メールボックスの監査ログの出力Mailbox audit logging

製品: Exchange Server 2013Applies to: Exchange Server 2013

メールボックスには機密情報、ビジネスへの影響が大きい (HBI) 情報、および個人情報 (PII) が含まれていることがあるため、組織内のメールボックスに誰がログオンしたか、およびどんな操作を行ったかを追跡することが重要です。メールボックスの所有者以外のユーザーによるメールボックスへのアクセスを追跡することが特に重要です。これらのユーザーは、代理ユーザーと呼ばれます。Because mailboxes can contain sensitive, high business impact (HBI) information and personally identifiable information (PII), it's important that you track who logs on to the mailboxes in your organization and what actions are taken. It's especially important to track access to mailboxes by users other than the mailbox owner. These users are referred to as delegate users.

メールボックス監査ログ を使用すると、メールボックスの所有者、代理人 (メールボックスへのフル アクセス許可を持つ管理者を含む)、および管理者によるメールボックスへのアクセスをログに記録できます。By using mailbox audit logging, you can log mailbox access by mailbox owners, delegates (including administrators with full access permissions to mailboxes), and administrators.

メールボックスの監査ログを有効にする場合は、ログオンの種類 (管理者、代理ユーザー、または所有者) に応じてログに記録するユーザー操作 (メッセージへのアクセス、移動、削除など) を指定できます。監査ログ エントリには、メールボックスへのアクセスに使用されたクライアント IP アドレス、ホスト名、プロセスやクライアントなどの重要な情報も含まれています。移動されるアイテムの場合、エントリには移動先フォルダーの名前が含まれます。When you enable audit logging for a mailbox, you can specify which user actions (for example, accessing, moving, or deleting a message) will be logged for a logon type (administrator, delegate user, or owner). Audit log entries also include important information such as the client IP address, host name, and process or client used to access the mailbox. For items that are moved, the entry includes the name of the destination folder.

メールボックス監査ログMailbox audit logs

メールボックス監査ログが有効になっているメールボックスごとに、メールボックス監査ログが生成されます。Mailbox audit logs are generated for each mailbox that has mailbox audit logging enabled. ログエントリは、監査されたメールボックスの [回復可能なアイテム] フォルダーに、監査サブフォルダーに格納されます。Log entries are stored in the Recoverable Items folder in the audited mailbox, in the Audits subfolder. これにより、メールボックスにアクセスするのに使用されたクライアントアクセス方法や、メールボックス監査ログへのアクセスに使用した管理者がどのクライアントアクセス方法を使用したかに関係なく、1つの場所からすべての監査ログエントリを使用できるようになります。This ensures that all audit log entries are available from a single location, regardless of which client access method was used to access the mailbox or which server or workstation an administrator used to access the mailbox audit log. メールボックスを別のメールボックスサーバーに移動すると、そのメールボックスのメールボックス監査ログもメールボックスに配置されているため、移動します。If you move a mailbox to another Mailbox server, the mailbox audit logs for that mailbox are also moved because they're located in the mailbox.

既定では、メールボックス監査ログ エントリはメールボックスに 90 日間保存されてから、削除されます。By default, mailbox audit log entries are retained in the mailbox for 90 days and then deleted. この保持期間は、 Auditlogagelimitパラメーターと共にMailboxコマンドレットを使用して変更できます。You can modify this retention period by using the AuditLogAgeLimit parameter with the Set-Mailbox cmdlet. メールボックスがインプレース保持または訴訟ホールドになっている場合、メールボックスの監査ログの保存期間が終わる時点までに限って、監査ログ エントリは保持されます。If a mailbox is on In-Place Hold or Litigation Hold, audit log entries are only retained until the audit log retention period for the mailbox is reached. 監査ログのエントリを長く保持するには、 Auditlogagelimitパラメーターの値を変更して、保持期間を延長する必要があります。To retain audit log entries longer, you have to increase the retention period by changing the value for the AuditLogAgeLimit parameter. また、保存期限に達する前に監査ログのエントリをエクスポートすることもできます。You can also export audit log entries before the retention period is reached. 詳細については、次のトピックを参照してください。For more information, see:

メールボックス監査ログの有効化Enabling mailbox audit logging

メールボックス監査ログは、メールボックスごとに有効にします。メールボックス監査ログを有効または無効にするには、 Set-Mailbox コマンドレットを使用します。詳細については、「 メールボックスのメールボックス監査ログを有効または無効にする」を参照してください。Mailbox audit logging is enabled per mailbox. Use the Set-Mailbox cmdlet to enable or disable mailbox audit logging. For details, see Enable or disable mailbox audit logging for a mailbox.

メールボックスのメールボックス監査ログを有効にすると、メールボックスへのアクセス、および特定の管理者と代理人の操作が既定で記録されます。メールボックスの所有者が実行した操作をログに記録するには、監査対象にする所有者の操作を指定する必要があります。When you enable mailbox audit logging for a mailbox, access to the mailbox and certain administrator and delegate actions are logged by default. To log actions taken by the mailbox owner, you must specify which owner actions should be audited.

メールボックス監査ログによって記録されるメールボックスの操作Mailbox actions logged by mailbox audit logging

次の表に、操作を記録できるログオンの種類を含め、メールボックス監査ログによって記録された操作を示します。The following table lists the actions logged by mailbox audit logging, including the logon types for which the action can be logged.

アクションAction 説明Description 管理者Administrator 代理人Delegate OwnerOwner

コピーするCopy

アイテムが別のフォルダーにコピーされます。An item is copied to another folder.

はいYes

いいえNo

いいえNo

作成するCreate

アイテムが、メールボックスの予定表、連絡先、メモ、またはタスク フォルダーに作成されます。たとえば、新しい会議出席依頼が作成されます。なお、メッセージまたはフォルダーの作成は監査されません。 An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Note that message or folder creation isn't audited.

はい\*Yes\*

はい\*Yes\*

はいYes

FolderBindFolderBind

メールボックス フォルダーにアクセスされます。A mailbox folder is accessed.

はい\*Yes\*

Yes \* \*Yes\*\*

いいえNo

HardDeleteHardDelete

アイテムが [回復可能なアイテム] フォルダーから完全に削除されます。An item is deleted permanently from the Recoverable Items folder.

はい\*Yes\*

はい\*Yes\*

はいYes

MessageBindMessageBind

アイテムが閲覧ウィンドウでアクセスされるか、開かれます。An item is accessed in the reading pane or opened.

はいYes

いいえNo

いいえNo

移動するMove

アイテムが別のフォルダーに移動されます。An item is moved to another folder.

はい\*Yes\*

はいYes

はいYes

MoveToDeletedItemsMoveToDeletedItems

アイテムが [削除済みアイテム] フォルダーに移動されます。An item is moved to the Deleted Items folder.

はい\*Yes\*

はいYes

はいYes

SendAsSendAs

メッセージが "送信者" アクセス許可を使用して送信されます。A message is sent using Send As permissions.

はい\*Yes\*

はい\*Yes\*

該当なしNot applicable

SendOnBehalfSendOnBehalf

メッセージが "代理送信" アクセス許可を使用して送信されます。A message is sent using Send on Behalf permissions.

はい\*Yes\*

Yes

該当なしNot applicable

SoftDeleteSoftDelete

アイテムが [削除済みアイテム] フォルダーから削除されます。An item is deleted from the Deleted Items folder.

はい\*Yes\*

はい\*Yes\*

はいYes

更新するUpdate

アイテムのプロパティが更新されます。An item's properties are updated.

はい\*Yes\*

はい\*Yes\*

はいYes

* メールボックスの監査が有効になっている場合、既定で監査されます。* Audited by default if auditing is enabled for a mailbox.

** 代理人により実行されたフォルダー バインド操作のエントリは統合されます。** Entries for folder bind actions performed by delegates are consolidated. 24 時間の時間内の個々のフォルダー アクセスに対して 1 つのログ エントリが生成されます。One log entry is generated for individual folder access within a time span of 24 hours.

特定の種類のメールボックス操作を監査する必要がなくなった場合、これらの操作を無効にするように、メールボックスの監査ログ構成を変更する必要があります。既存のログ エントリは、監査ログ エントリの有効期限に達するまで削除されません。If you no longer require certain types of mailbox actions to be audited, you should modify the mailbox's audit logging configuration to disable those actions. Existing log entries aren't purged until the age limit for audit log entries is reached.

メールボックス監査ログエントリの検索Searching mailbox audit log entries

次の方法を使用すると、メールボックス監査ログ エントリを検索できます。You can use the following methods to search mailbox audit log entries:

  • 単一のメールボックスを同期的に検索する: 「search-mailboxauditlogコマンドレットを使用して、単一のメールボックスのメールボックス監査ログエントリを同期的に検索できます。Synchronously search a single mailbox: You can use the Search-MailboxAuditLog cmdlet to synchronously search mailbox audit log entries for a single mailbox. 検索結果は、コマンドレットによって Exchange 管理シェル ウィンドウに表示されます。The cmdlet displays search results in the Exchange Management Shell window. 詳細については、「 メールボックスのメールボックス監査ログを検索する」を参照してください。For details, see Search the mailbox audit log for a mailbox.

  • 1 つまたは複数のメールボックスを非同期的に検索する: メールボックス監査ログの検索を作成して、1つ以上のメールボックスのメールボックス監査ログを非同期的に検索してから、検索結果を指定したメールアドレスに送信することができます。Asynchronously search one or more mailboxes: You can create a mailbox audit log search to asynchronously search mailbox audit logs for one or more mailboxes, and then have the search results sent to a specified email address. 検索結果は、XML 添付ファイルとして送信されます。The search results are sent as an XML attachment. 検索を作成するには、 New-MailboxAuditLogSearch コマンドレットを使用します。To create the search, use the New-MailboxAuditLogSearch cmdlet. 詳細については、「 メールボックス監査ログの検索を作成する」を参照してください。For details, see Create a mailbox audit log search.

  • Exchange 管理センター (EAC) で監査レポートを使用する: EAC の [監査] タブを使用して、所有者以外のメールボックスアクセスのレポートを実行したり、メールボックス監査ログからエントリをエクスポートしたりできます。Use auditing reports in the Exchange admin center (EAC): You can use the Auditing tab in the EAC to run a non-owner mailbox access report or export entries from the mailbox audit log. 詳細については、以下を参照してください。For details, see:

メールボックス監査ログ エントリMailbox audit log entries

次の表に、メールボックス監査ログ エントリに記録されるフィールドを示します。The following table describes the fields logged in a mailbox audit log entry.

フィールドField 入力内容Populated with

OperationOperation

次のいずれかの操作。One of the following actions:

  • CopyCopy

  • CreateCreate

  • FolderBindFolderBind

  • HardDeleteHardDelete

  • MessageBindMessageBind

  • MoveMove

  • MoveToDeletedItemsMoveToDeletedItems

  • SendAsSendAs

  • SendOnBehalfSendOnBehalf

  • SoftDeleteSoftDelete

  • UpdateUpdate

OperationResultOperationResult

次のいずれかの結果。One of the following results:

  • FailedFailed

  • PartiallySucceededPartiallySucceeded

  • SucceededSucceeded

LogonTypeLogonType

操作を実行したユーザーのログオンの種類。ログオンの種類には次のものが含まれます。Logon type of the user who performed the operation. Logon types include:

  • 所有者Owner

  • 代理人Delegate

  • 管理者Admin

DestFolderIdDestFolderId

移動操作の宛先フォルダーの GUID。Destination folder GUID for move operations.

DestFolderPathNameDestFolderPathName

移動操作の宛先フォルダーのパス。Destination folder path for move operations.

FolderIdFolderId

フォルダーの GUID。Folder GUID.

FolderPathNameFolderPathName

フォルダーのパス。Folder path.

ClientInfoStringClientInfoString

操作を実行したクライアントまたは Exchange コンポーネントを識別する詳細情報。Details that identify which client or Exchange component performed the operation.

ClientIPAddressClientIPAddress

クライアント コンピューターの IP アドレス。Client computer IP address.

ClientMachineNameClientMachineName

クライアント コンピューター名。Client computer name.

ClientProcessNameClientProcessName

クライアント アプリケーションのプロセス名。Name of the client application process.

ClientVersionClientVersion

クライアント アプリケーションのバージョン。Client application version.

InternalLogonTypeInternalLogonType

操作を実行したユーザーのログオンの種類。ログオンの種類には次のものが含まれます。Logon type of the user who performed the operation. Logon types include:

  • 所有者Owner

  • 代理人Delegate

  • 管理者Admin

MailboxOwnerUPNMailboxOwnerUPN

メールボックス所有者のユーザー プリンシパル名 (UPN)。Mailbox owner user principal name (UPN).

MailboxOwnerSidMailboxOwnerSid

メールボックス所有者のセキュリティ識別子 (SID)。Mailbox owner security identifier (SID).

DestMailboxOwnerUPNDestMailboxOwnerUPN

メールボックス間操作用に記録された宛先メールボックス所有者の UPN。Destination mailbox owner UPN, logged for cross-mailbox operations.

DestMailboxOwnerSidDestMailboxOwnerSid

メールボックス間操作用に記録された宛先メールボックス所有者の SID。Destination mailbox owner SID, logged for cross-mailbox operations.

DestMailboxOwnerGuidDestMailboxOwnerGuid

宛先メールボックス所有者の GUID。Destination mailbox owner GUID.

CrossMailboxOperationCrossMailboxOperation

記録される操作がメールボックス間操作 (メールボックス間でのメッセージのコピーや移動など) であるかどうかに関する情報。Information about whether the operation logged is a cross-mailbox operation (for example, copying or moving messages between mailboxes).

LogonUserDisplayNameLogonUserDisplayName

ログオンしたユーザーの表示名。Display name of user who is logged on.

DelegateUserDisplayNameDelegateUserDisplayName

代理ユーザーの表示名。Delegate user display name.

LogonUserSidLogonUserSid

ログオンしたユーザーの SID。SID of user who is logged on.

SourceItemsSourceItems

記録対象操作 (移動や削除など) が実行されるメールボックス アイテムの ItemID。多数のアイテム上で実行される操作の場合、このフィールドはアイテムの集合として返されます。ItemID of mailbox items on which the logged action is performed (for example, move or delete). For operations performed on a number of items, this field is returned as a collection of items.

SourceFoldersSourceFolders

ソース フォルダーの GUID。Source folder GUID.

ItemIdItemId

アイテム ID。Item ID.

ItemSubjectItemSubject

アイテムの件名。Item subject.

MailboxGuidMailboxGuid

メールボックスの GUID。Mailbox GUID.

MailboxResolvedOwnerNameMailboxResolvedOwnerName

メールボックスユーザーは、ドメイン\SamAccountNameの形式で名前を解決しました。Mailbox user resolved name in the format DOMAIN\SamAccountName.

最終アクセスLastAccessed

操作が実行された時刻。Time when the operation was performed.

IdentityIdentity

監査ログ エントリの ID。Audit log entry ID.

詳細情報More information

  • メールボックスへの管理者アクセス: メールボックスは、次のシナリオでのみ管理者によってアクセスされると見なされます。Administrator access to mailboxes: Mailboxes are considered to be accessed by an administrator only in the following scenarios:

  • メールボックス監査ログをバイパスする: サードパーティ製のツールで使用されるアカウントや、法的の監視に使用されるアカウントなどの、承認された自動プロセスによるメールボックスへのアクセスにより、メールボックスの監査ログエントリが大量に作成され、ユーザーにとっては関心がない場合があります。機関.Bypassing mailbox auditing logging: Mailbox access by authorized automated processes such as accounts used by third-party tools or accounts used for lawful monitoring can create a large number of mailbox audit log entries and may not be of interest to your organization. このようなアカウントを構成して、メールボックス監査ログをバイパスするようにできます。You can configure such accounts to bypass mailbox audit logging. 詳細については、「 メールボックス監査ログからユーザー アカウントをバイパスする」を参照してください。For details, see Bypass a user account from mailbox audit logging.

  • メールボックス所有者の操作のログ: 探索検索メールボックスなどのメールボックスには、より多くの機密情報が含まれている場合があります。メールボックス監査ログを有効にして、メッセージの削除などのメールボックスの所有者の操作を検討します。Logging mailbox owner actions: For mailboxes such as the Discovery Search Mailbox, which may contain more sensitive information, consider enabling mailbox audit logging for mailbox owner actions such as message deletion.