メールボックス監査ログについて

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

メールボックスには機密情報、ビジネスへの影響が大きい (HBI) 情報、および個人識別情報 (PII) が含まれている可能性のあり、組織内のメールボックスにログオンしたユーザー、および行った操作を追跡することが重要です。メールボックスの所有者以外のユーザーによるメールボックスへのアクセスを追跡することが特に重要です。これらのユーザーは、代理ユーザーと呼ばれます。

メールボックス監査ログを使用すると、メールボックスの所有者、管理者、および代理人 (メールボックスへのフル アクセスのアクセス許可を持つ管理者を含む) によるメールボックスへのアクセスをログに記録できます。以下のシナリオでは、メールボックスに管理者のみがアクセスするものと見なしています。

メールボックスの監査ログを有効にすると、ログオンの種類 (管理者、代理ユーザー、または所有者) に応じてログに記録するユーザーの操作 (メッセージへのアクセス、移動、削除など) を指定できます。監査ログ エントリには、クライアント IP アドレス、ホスト名、メールボックスへのアクセスに使用されるプロセスやクライアントなどの重要な情報も含まれています。移動されるアイテムの場合、エントリには移動先フォルダーの名前が含まれます。

注意

より機密性の高い情報が含まれる可能性がある探索検索メールボックスなどのメールボックスでは、メッセージの削除などのメールボックス所有者の操作に対してメールボックス監査ログを有効にすることを検討してください。

目次

メールボックス監査ログ

メールボックス監査ログを有効にする

メールボックス監査ログ エントリを検索する

メールボックス監査ログ エントリ

メールボックス監査ログ

メールボックス監査ログは、メールボックス監査ログが有効になっている各メールボックスに対して生成されます。ログ エントリは、監査対象メールボックスの [回復可能なアイテム] フォルダーの [監査] サブフォルダーに保存されます。これにより、メールボックスへのアクセスに使用したクライアント アクセス方法、あるいは管理者がメールボックス監査ログへのアクセスに使用したサーバーまたはワークステーションに無関係に、すべての監査ログが 1 つの場所から利用可能になります。メールボックスを別のメールボックス サーバーに移動した場合、そのメールボックスのメールボックス監査ログも移動されます。これは、監査ログがメールボックス内に配置されているためです。

既定では、メールボックス監査ログ エントリはメールボックスに 90 日間保存されてから、削除されます。この保存期間を変更するには、Set-Mailbox コマンドレットで AuditLogAgeLimit パラメーターを使用します。メールボックスが訴訟ホールド中の場合は、メールボックスの監査ログ保存期間だけ監査ログ エントリが保持されます。監査ログ エントリをもっと長く保持するには、AuditLogAgeLimit パラメーターの値を変更するか、保存期間が経過する前に監査ログ エントリをエクスポートすることによって、保存期間を増やす必要があります。詳細については、「メールボックス監査ログの検索を作成する」を参照してください。

メールボックス監査ログ

メールボックス監査ログを有効にする

メールボックス監査ログは、メールボックスごとに有効にします。メールボックス監査ログを有効または無効にするには、Set-Mailbox コマンドレットを使用します。詳細については、「メールボックスのメールボックス監査ログを有効または無効にする」を参照してください。

メールボックスのメールボックス監査ログを有効にすると、メールボックスへのアクセス、および特定の管理者と代理人の操作が既定で記録されます。メールボックスの所有者が実行した操作をログに記録するには、監査対象にする所有者の操作を指定する必要があります。次の表に、操作が記録されるログオンの種類を含め、メールボックス監査ログによって記録される操作を示します。

メールボックス監査ログによって記録されるメールボックスの操作

操作 説明 管理者 代理人 所有者

Copy

アイテムが別のフォルダーにコピーされます。

はい

いいえ

いいえ

Create

アイテムがメールボックス内に作成されます (たとえば、メッセージが送受信されます)。

注意

フォルダーの作成は監査されません。

はい*

はい*

はい

FolderBind

メールボックス フォルダーにアクセスされます。***

はい*

はい**

いいえ

HardDelete

アイテムが [回復可能なアイテム] フォルダーから完全に削除されます。

はい*

はい*

はい

MessageBind

アイテムが閲覧ウィンドウでアクセスされるか、開かれます。***

はい

いいえ

いいえ

Move

アイテムが別のフォルダーに移動されます。

はい*

はい

はい

MoveToDeletedItems

アイテムが [削除済みアイテム] フォルダーに移動されます。

はい*

はい

はい

SendAs

メッセージが "送信者" アクセス許可を使用して送信されます。

はい*

はい*

該当なし

SendOnBehalf

メッセージが "代理送信" アクセス許可を使用して送信されます。

はい*

はい

該当なし

SoftDelete

アイテムが [削除済みアイテム] フォルダーから削除されます。

はい*

はい*

はい

Update

アイテムのプロパティが更新されます。

はい*

はい*

はい

Copy

アイテムが別のフォルダーにコピーされます。

はい

いいえ

いいえ

Create

アイテムがメールボックス内に作成されます (たとえば、メッセージが送受信されます)。

注意

フォルダーの作成は監査されません。

はい*

はい*

はい

FolderBind

メールボックス フォルダーにアクセスされます。***

はい*

はい**

いいえ

HardDelete

アイテムが [回復可能なアイテム] フォルダーから完全に削除されます。

はい*

はい*

はい

MessageBind

アイテムが閲覧ウィンドウでアクセスされるか、開かれます。***

はい

いいえ

いいえ

Move

アイテムが別のフォルダーに移動されます。

はい*

はい

はい

MoveToDeletedItems

アイテムが [削除済みアイテム] フォルダーに移動されます。

はい*

はい

はい

SendAs

メッセージが "送信者" アクセス許可を使用して送信されます。

はい*

はい*

該当なし

SendOnBehalf

メッセージが "代理送信" アクセス許可を使用して送信されます。

はい*

はい

該当なし

SoftDelete

アイテムが [削除済みアイテム] フォルダーから削除されます。

はい*

はい*

はい

Update

アイテムのプロパティが更新されます。

はい*

はい*

はい

* メールボックスの監査が有効になっている場合は既定で監査されます。 ** 代理人により実行されるフォルダー結合操作のエントリは統合されます。24 時間の期間内の個々のフォルダー アクセスに対して 1 つのログ エントリが生成されます。 *** 既定の予定表の FolderBind と MessageBind はログに記録されません。

サード パーティのツールで使用されるアカウントや、法令に基づく監視に使用されるアカウントなどの承認された自動プロセスによるメールボックスのアクセスは、大量のメールボックス監査ログ エントリを作成する可能性があります。これは、組織にとって興味がないものである可能性があります。このようなアカウントを構成して、メールボックス監査ログをバイパスするようにできます。詳細については、「メールボックス監査ログからユーザー アカウントをバイパスする」を参照してください。

特定の種類のメールボックス操作を監査する必要がなくなった場合、これらの操作を無効にするように、メールボックスの監査ログ構成を変更する必要があります。既存のログ エントリは、メールボックスに構成されている監査ログ有効期限に達するまで削除されません。

メールボックス監査ログ

メールボックス監査ログ エントリを検索する

次の方法を使用すると、メールボックス監査ログ エントリを検索できます。

  • 単一のメールボックスの同期的検索** Search-MailboxAuditLog** コマンドレットを使用すると、単一のメールボックスのメールボックス監査ログ エントリを同期的に検索できます。検索結果は、コマンドレットによって Exchange 管理シェル ウィンドウに表示されます。詳細については、「Search-MailboxAuditLog」および「メールボックスのメールボックス監査ログを検索する」を参照してください。

  • 1 つ以上のメールボックスの非同期的検索   メールボックス監査ログ検索を作成して 1 つ以上のメールボックスのメールボックス監査ログを非同期に検索し、検索結果を特定の電子メール アドレスに送信できます。検索結果は、XML 添付ファイルとして送信されます。検索を作成するには、New-MailboxAuditLogSearch コマンドレットを使用します。詳細については、「メールボックス監査ログの検索を作成する」を参照してください。

  • Exchange コントロール パネルでの監査レポートの使用   Exchange コントロール パネル (ECP) の [監査] タブを使用して、監査レポートを実行したり、メールボックス監査ログや管理者監査ログのエントリをエクスポートしたりできます。詳細については、「[監査] タブ」を参照してください。

メールボックス監査ログ エントリ

次の表に、メールボックス監査ログ エントリに記録されるフィールドを示します。

メールボックス監査ログのフィールド

フィールド 入力内容

Operation

次のいずれかの操作。

  • Copy

  • Create

  • FolderBind

  • HardDelete

  • MessageBind

  • Move

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Update

OperationResult

次のいずれかの結果。

  • Failed

  • PartiallySucceeded

  • Succeeded

LogonType

操作を実行したユーザーのログオンの種類。ログオンの種類には次のものが含まれます。

  • 所有者

  • 代理人

  • 管理者

DestFolderId

移動操作の宛先フォルダーの GUID。

DestFolderPathName

移動操作の宛先フォルダーのパス。

FolderId

フォルダーの GUID。

FolderPathName

フォルダーのパス。

ClientInfoString

操作を実行したクライアントまたは Exchange コンポーネントを識別する詳細情報。

ClientIPAddress

クライアント コンピューターの IP アドレス。

ClientMachineName

クライアント コンピューター名。

ClientProcessName

クライアント アプリケーションのプロセス名。

ClientVersion

クライアント アプリケーションのバージョン。

InternalLogonType

操作を実行したユーザーのログオンの種類。ログオンの種類には次のものが含まれます。

  • 所有者

  • 代理人

  • 管理者

MailboxOwnerUPN

メールボックス所有者のユーザー プリンシパル名 (UPN)。

MailboxOwnerSid

メールボックス所有者のセキュリティ識別子 (SID)。

DestMailboxOwnerUPN

メールボックス間操作用に記録された宛先メールボックス所有者の UPN。

DestMailboxOwnerSid

メールボックス間操作用に記録された宛先メールボックス所有者の SID。

DestMailboxOwnerGuid

宛先メールボックス所有者の GUID。

CrossMailboxOperation

記録される操作がメールボックス間操作 (メールボックス間でのメッセージのコピーや移動など) かどうかに関する情報。

LogonUserDisplayName

ログオンしたユーザーの表示名。

DelegateUserDisplayName

代理ユーザーの表示名。

LogonUserSid

ログオンしたユーザーの SID。

SourceItems

記録対象操作 (移動や削除など) が実行されるメールボックス アイテムの ItemID。多数のアイテム上で実行される操作の場合、このフィールドはアイテムの集合として返されます。

SourceFolders

ソース フォルダーの GUID。

ItemId

アイテム ID。

ItemSubject

アイテムの件名。

MailboxGuid

メールボックスの GUID。

MailboxResolvedOwnerName

メールボックス ユーザーの解決された名前 (形式は、ドメイン\SamAccountName)。

LastAccessed

操作が実行された時刻。

Identity

監査ログ エントリの ID。

Operation

次のいずれかの操作。

  • Copy

  • Create

  • FolderBind

  • HardDelete

  • MessageBind

  • Move

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Update

OperationResult

次のいずれかの結果。

  • Failed

  • PartiallySucceeded

  • Succeeded

LogonType

操作を実行したユーザーのログオンの種類。ログオンの種類には次のものが含まれます。

  • 所有者

  • 代理人

  • 管理者

DestFolderId

移動操作の宛先フォルダーの GUID。

DestFolderPathName

移動操作の宛先フォルダーのパス。

FolderId

フォルダーの GUID。

FolderPathName

フォルダーのパス。

ClientInfoString

操作を実行したクライアントまたは Exchange コンポーネントを識別する詳細情報。

ClientIPAddress

クライアント コンピューターの IP アドレス。

ClientMachineName

クライアント コンピューター名。

ClientProcessName

クライアント アプリケーションのプロセス名。

ClientVersion

クライアント アプリケーションのバージョン。

InternalLogonType

操作を実行したユーザーのログオンの種類。ログオンの種類には次のものが含まれます。

  • 所有者

  • 代理人

  • 管理者

MailboxOwnerUPN

メールボックス所有者のユーザー プリンシパル名 (UPN)。

MailboxOwnerSid

メールボックス所有者のセキュリティ識別子 (SID)。

DestMailboxOwnerUPN

メールボックス間操作用に記録された宛先メールボックス所有者の UPN。

DestMailboxOwnerSid

メールボックス間操作用に記録された宛先メールボックス所有者の SID。

DestMailboxOwnerGuid

宛先メールボックス所有者の GUID。

CrossMailboxOperation

記録される操作がメールボックス間操作 (メールボックス間でのメッセージのコピーや移動など) かどうかに関する情報。

LogonUserDisplayName

ログオンしたユーザーの表示名。

DelegateUserDisplayName

代理ユーザーの表示名。

LogonUserSid

ログオンしたユーザーの SID。

SourceItems

記録対象操作 (移動や削除など) が実行されるメールボックス アイテムの ItemID。多数のアイテム上で実行される操作の場合、このフィールドはアイテムの集合として返されます。

SourceFolders

ソース フォルダーの GUID。

ItemId

アイテム ID。

ItemSubject

アイテムの件名。

MailboxGuid

メールボックスの GUID。

MailboxResolvedOwnerName

メールボックス ユーザーの解決された名前 (形式は、ドメイン\SamAccountName)。

LastAccessed

操作が実行された時刻。

Identity

監査ログ エントリの ID。

メールボックス監査ログ

 © 2010 Microsoft Corporation.All rights reserved.