Ведение журнала

Применяется к: Exchange Server 2013 г.

Функция ведения журнала позволяет организации соответствовать правовым, регулятивным и организационным требованиям, записывая все входящие и исходящие сообщения электронной почты. При планировании хранения и соответствия требованиям для обмена сообщениями важно понимать, как журналы вписываются в политику соответствия требованиям организации, а также то, как Microsoft Exchange Server 2013 г. помогает защитить журнальные сообщения.

Важность ведения журнала

Важно понимать разницу между ведением журнала и архивированием данных.

  • Ведение журнала — это возможность организации записывать все входящие и исходящие сообщения, включая сообщения электронной почты, для использования в стратегии хранения или архивирования электронной почты организации. Для соблюдения постоянно растущего количества регулятивных и нормативных требований многие организации должны хранить записи об обмене сообщениями, возникающем при выполнении сотрудниками ежедневных деловых задач.

  • Архивирования данных означает архивирования данных, удаления их из родной среды и хранения в других местах, что снижает нагрузку на хранение данных. Ведение журнала Exchange можно применять как средство стратегии архивирования или хранения электронной почты.

Хотя ведение журнала может не оговариваться конкретным нормативным актом, для соблюдения условий нормативов может потребоваться ведение журнала в обязательном порядке. Например, корпоративные руководители в некоторых сферах финансовой деятельности отвечают за заявления, которые делают их сотрудники клиентам. Для проверки точности заявлений корпоративный руководитель может ввести правило, требующее, чтобы менеджеры регулярно знакомились с некоторой частью сообщений, которыми обмениваются сотрудники с клиентами во время взаимодействия. Каждый квартал менеджеры проверяют соответствие поведения каждого сотрудника существующим требованиям и дают ему оценку. После того как все менеджеры передают отчет со своими оценками руководителю предприятия, он сообщает обобщенные данные по компании ее правлению. В этом примере сообщения электронной почты могут быть одним из видов взаимодействия сотрудников с клиентами, которые должны контролироваться менеджерами, поэтому ведение журнала применяется для регистрации всех сообщений электронной почты, отправляемых сотрудниками, отвечающими за связи с клиентами. Под такие нормативы также могут попадать и другие способы взаимодействия с клиентами, такие как факсы и телефонные разговоры. Возможность регистрации в журнале всех типов данных на предприятии является важной функцией архитектуры информационной системы.

В следующем списке перечисляются некоторые из наиболее известных норм США и международных нормативов, определяющих требования, для реализации которых может использоваться технология ведения журналов.

  • Акт Сарбейнс-Оксли от 2002 г. (SOX)

  • Правило комиссии по бирже ценных бумаг 17a-4 (правило SEC 17 A-4)

  • Национальная ассоциация дилеров по ценным бумагам 3010 и 3110 (NASD 3010 и 3110)

  • Акт Грэмма-Лича-Блайли (Gramm-Leach-Bliley) (Акт финансовой модернизации)

  • Акт 2001 года о защите конфиденциальности данных в финансовых учреждениях

  • Акт 2003 года о защите конфиденциальности данных в финансовых учреждениях

  • Акт 1996 года о передаче и защите данных учреждений здравоохранения (HIPAA)

  • Акт 2001 года об объединении и усилении Америки за счет предоставления надлежащих средств, необходимых для предотвращения терроризма (Патриотический акт)

  • Директива по защите данных Европейского союза

  • Акт о защите личной информации в Японии

Агент ведения журнала

В организации Exchange 2013 г. весь трафик электронной почты передается серверами почтовых ящиков. Все сообщения проходят по крайней мере один сервер, работающий с транспортной службой в течение всего срока службы. Агент journaling — это транспортный агент, ориентированный на соответствие требованиям, который обрабатывает сообщения на серверах почтовых ящиков. Она загорелась на транспортных событиях OnSubmittedMessage и OnRoutedMessage.

Примечание

В Exchange 2013 г. агент Journaling является встроенным агентом. Встроенные агенты не включены в список агентов, возвращаемых командлетом Get-TransportAgent. Дополнительные сведения см. в материале Transport agents.

Exchange 2013 г. предоставляет следующие параметры журнального журнала:

  • Стандартная журнальная рассылка. Стандартная журнальная рассылка настроена в базе данных почтовых ящиков. Она позволяет агенту журнала вести журнал все сообщения, отправленные в почтовые ящики и из них, расположенные в определенной базе данных почтовых ящиков. Чтобы журналировать все сообщения всем получателям и отправителям, необходимо настроить журнальную рассылку на всех базах данных почтовых ящиков на всех серверах почтовых ящиков в организации.

  • Premium журналов: Premium журналов позволяет агенту journaling выполнять более подробное журнальное использование правил журнала. Вместо журнализации всех почтовых ящиков, проживающих в базе данных почтовых ящиков, можно настроить правила журнала в соответствие с потребностями организации путем журнализации отдельных получателей или членов групп рассылки. Для использования журналов премиум-Exchange Enterprise лицензии на доступ к клиентам (CAL).

Если включить стандартную журнальную рассылку в базе данных почтовых ящиков, эти сведения сохраняются в Active Directory и читаются агентом журнала. Кроме того, правила журнала, настроенные с помощью журналов премиум-класса, также сохраняются в Active Directory и применяются агентом журнала. Дополнительные сведения о настройке стандартного и премиум-журнала см. в журнале Manage journaling.

Правила журнала

Ниже приведены ключевые аспекты правил журнала:

  • Область правил журнала: определяет, какие сообщения занесяются в журнал агентом журнала.

  • Получатель журнала: указывает SMTP-адрес получателя, который вы хотите засвечить.

  • Журнальный почтовый ящик: указывает один или несколько почтовых ящиков, используемых для сбора отчетов журналов.

Область действия правил журнала

Можно использовать правила ведения журнала для регистрации в журнале только внутренних сообщений, только внешних сообщений или сообщений обоих типов. Эти области действия описываются в следующем списке.

  • Только внутренние сообщения: правила журнала с набором области для журнала внутренних сообщений, отправленных между получателями внутри Exchange организации.

  • Только внешние сообщения: правила журнала с набором области для журналов внешних сообщений, отправленных получателям или полученных от отправителей за пределами Exchange организации.

  • Все сообщения: правила журнала с областью, задаемой для журнала всех сообщений, которые проходят через организацию независимо от происхождения или назначения. К ним относятся сообщения, которые, возможно, уже были обработаны правилами журнала во внутренних и внешних сферах.

Получатель журнала

Реализовать правила ведения журнала можно, задав SMTP-адрес получателя, которого необходимо регистрировать в журнале. Получателем может быть почтовый ящик Exchange, группа рассылки, почтовый пользователь или контакт. На этих получателей могут распространяться требования законодательств, или эти получатели могут быть вовлечены в судебное разбирательство, и сообщения электронной почты или другие средства взаимодействия могут собираться в качестве доказательств. Указывая конкретных получателей или определенные группы получателей, можно легко настроить среду ведения журнала, которая будет соответствовать рабочим процессам организации, а также требованиям законов и нормативов. Выбор определенных получателей, которые должны регистрироваться в журнале, позволяет снизить издержки на хранение и другие затраты, связанные с хранением большого количества данных.

Все сообщения, отправляемые или принимаемые указанными в правиле получателями, для которых ведется журнал, регистрируются в журнале. Если в качестве получателя, для которого ведется журнал, указана группа рассылки, в журнале будут регистрироваться все сообщения, отправляемые и принимаемые участниками этой группы рассылки. Если получатель не будет указан, в журнале будут регистрироваться все сообщения, отправляемые получателям, соответствующим области действия правила журнала, и принимаемые от них.

Получатели журналов с включенной поддержкой единой системы обмена сообщениями

Во многих организациях, где реализовано ведение журнала, для объединения инфраструктуры электронной почты, голосовой почты и факсимильной связи также используется единая система обмена сообщениями. Однако иногда создание отчетов журнала для сообщений, созданных единой системой обмена сообщениями, не является необходимым. В таких случаях можно решить, будет ли сервер единой системы обмена сообщениями Exchange обрабатывать сообщения голосовой почты и сообщения уведомлений о пропущенных вызовах или пропускать такие сообщения. Если организации не требуется заносить в журнал такие сообщения, тогда, пропуская их, можно уменьшить объем места на диске, необходимый для хранения отчетов журнала.

Примечание

Сообщения, содержащие факсы, создаваемые службой единой системы обмена сообщениями, всегда регистрируются в журнале, даже если отключить ведение журнала голосовой почты единой системы обмена сообщениями и уведомления о пропущенных вызовах.

Дополнительные сведения о включении и отключении сообщений голосовой почты и уведомлений о пропущенных вызовах см. в разделе Disable or Enable Journaling of Voice Mail and Missed Call Notifications.

Почтовый ящик журналов

Почтовый ящик журналов используется для сбора отчетов журнала. Настройка почтового ящика службы ведения журнала зависит от требований политик, законов и нормативов, применяемых в организации. Можно указать один почтовый ящик журнала, в который будут собираться сообщения для всех правил журнала, настроенных в организации, либо использовать разные почтовые ящики для каждого правила журнала или набора правил.

Важно!

Нельзя назначить почтовый ящик Microsoft 365 или Office 365 почтовым ящиком журнала. Возможна доставка отчетов журнала в локальную систему архивации или стороннюю службу архивации. Если вы работаете с гибридным развертыванием с помощью почтовых ящиков, разделенных между локальной серверами и Microsoft 365 или Office 365, можно назначить локального почтового ящика в качестве почтового ящика для журналов Microsoft 365 или Office 365 и локального почтовых ящиков.

Важно!

Почтовые ящики журналов содержат очень важные сведения. Их необходимо обезопасить, поскольку в них собираются сообщения, отправляемые и принимаемые получателями в организации. Эти сообщения могут относиться к юридическим процессам или подпадать под нормативные требования. Различные законы требуют, чтобы сообщения были защищены от несанкционированного доступа до того, как они будут переданы в следственные органы. Рекомендуется создать политики, управляющие доступом к почтовым ящикам журналов в организации, чтобы доступ предоставлялся только тем лицам, у которых имеется прямая необходимость в нем. Проконсультируйтесь с юристами, чтобы убедиться, что система ведения журналов соответствует всем законам и нормативам, действующим для организации.

Важно!

Почтовые ящики журналов должны принимать сообщения в размере, равном или больше максимального размера сообщения, установленного в организации. Если вы настроили исключения для MaxSendSize и MaxReceiveSize для почтового ящика отдельного пользователя, которые больше общего параметра в TransportConfig, необходимо настроить журнальные почтовые ящики MaxSendSize и MaxReceiveSize соответственно, чтобы убедиться, что сообщения, отправленные в журнал, принимаются, а не в очереди или отклоняется. Сообщения, отклоненные почтовым ящиком журналов, будут периодически проверяться повторно, что приводит к ненужному росту базы данных и растрате ресурсов. Кроме того, рекомендуется настроить альтернативный почтовый ящик для журналов, чтобы предотвратить другие невыполнеемые ситуации.

Альтернативный почтовый ящик журналов

Если почтовый ящик службы ведения журнала недоступен, можно запретить сбор недоставленных отчетов журнала в очередях почты на серверах почтовых ящиков. Вместо этого можно использовать альтернативный почтовый ящик журналов для сохранения таких отчетов журнала. Альтернативный почтовый ящик журналов получает отчеты журналов в виде вложений в отчеты о недоставке, созданные почтовым ящиком журналов или сервером с почтовым ящиком журналов, который отклоняет доставку отчета журнала или становится недоступным.

Когда почтовый ящик журналов снова становится доступным, можно воспользоваться возможностью OfficeOutlook Отправить заново, чтобы отправить отчеты журнала для доставки в почтовый ящик журналов.

При настройке альтернативного почтового ящика журналов все отчеты журнала, которые были отклонены или не могут быть доставлены в организации Exchange, доставляются в этот альтернативный почтовый ящик. Следовательно, важно обеспечить возможность приема альтернативным почтовым ящиком журналов и сервером почтовых ящиков, где он расположен, большого количества отчетов журнала.

Предупреждение

Настроив альтернативный почтовый ящик журнала, необходимо отслеживать его для гарантии того, что он не станет недоступен одновременно с почтовыми ящиками журнала. Если альтернативный почтовый ящик журналов становится недоступным и отклоняет отчеты журнала, они удаляются без возможности восстановления.

Поскольку альтернативный почтовый ящик журналов собирает все отклоненные отчеты журнала всей организации Exchange, необходимо быть уверенным в том, что тем самым не нарушаются никакие законы или нормы, действующие в организации. Если законы или нормы запрещают организации хранение отчетов журнала, отправленных на различные почтовые ящики журналов, в одном альтернативном почтовом ящике журналов, настройка такого альтернативного почтового ящика может оказаться невозможной. Этот вопрос необходимо обсудить с юристами и определить, можно ли использовать альтернативный почтовый ящик журналов.

При настройке альтернативного почтового ящика журналов необходимо использовать те же критерии, что и при создании почтового ящика журналов.

Важно!

Альтернативный почтовый ящик журналов должен рассматриваться как специальный выделенный почтовый ящик. Все сообщения, отправленные непосредственно на альтернативный почтовый ящик журналов не регистрируются в журнале.

Репликация правил журнала

Правила журнала хранятся в Active Directory и применяются на всех серверах почтовых ящиков в организации Exchange 2013 г. При создании, изменении или устранении правила журнала изменение реплицируется на все серверы Active Directory в организации. Все серверы почтовых ящиков в организации затем извлекают обновленную конфигурацию правил журнала с серверов Active Directory и применяют новые или измененные правила журнала.

Повторив все правила журнала в организации, Exchange 2013 позволяет предоставлять согласованный набор правил журнала по всей организации. Все сообщения, которые передаются Exchange организации 2013 г., подчиняются одинаковым правилам журнала.

Важно!

Репликация правил журнала в организации зависит от репликации Active Directory. Время репликации между контроллерами домена Active Directory зависит от количества сайтов в организации и скорости ссылок и других факторов, не зависяющих от microsoft Exchange. Рассмотрите задержки репликации при реализации правил журнала в организации. Дополнительные сведения о репликации Active Directory см. в обзоре Введение в репликацию active Directory иуправление топологией с помощью Windows PowerShell.

Важно!

Каждый сервер почтовых ящиков кэшет групп рассылки, чтобы избежать повторных круглых поездок в Active Directory. Кэш расширенных групп уменьшает количество запросов, которые каждый сервер почтовых ящиков должен сделать контроллеру домена Active Directory. По умолчанию срок действия записей в кэше расширенных групп истекает через четыре часа. Поэтому при указании группы рассылки в качестве получателя журнала изменения в составе группы рассылки могут применяться не к правилам журнала до обновления кэша расширенных групп. Чтобы немедленно обновить кэш получателя, необходимо остановить и запустить службу транспорта microsoft Exchange. Это необходимо сделать для каждого сервера почтовых ящиков, где необходимо принудительно обновить кэш получателя.

отчеты журнала.

Отчет журнала — это сообщение, которое агент ведения журнала создает, когда письмо соответствует правилу журнала и должно быть отправлено в почтовый ящик журналов. Исходное сообщение, соответствующее правилу журнала, включается в отчет журнала без изменений в виде вложения. Текст отчета журнала включает такие сведения исходного письма, как электронный адрес отправителя, тема сообщения, код сообщения и электронный адрес получателя. Это также называется журналом конвертов и является единственным методом журнала, поддерживаемом Exchange 2013 г.

Отчеты журнала и сообщения, защищенные службой управления правами на доступ к данным

При реализации журналов в среде Exchange 2013 г. необходимо учитывать отчеты о журналах и сообщения, защищенные от IRM. Сообщения, защищенные IRM, влияют на возможности поиска и обнаружения систем архивации сторонних производителей, которые не оснащены встроенной поддержкой RMS (службы управления правами). В Exchange 2013 г. можно настроить расшифровку отчета журнала, чтобы сохранить текстовую копию сообщения в отчете журнала.

Взаимодействие с Exchange 2007

Существует не так много различий между функциями журнала в Exchange 2013, Exchange 2010 и Exchange 2007. Однако в Exchange 2010 и более поздних годах setup создает отдельный контейнер в Active Directory для хранения правил журнала. При настройке первого сервера Exchange 2010 или более позднего года в организации Exchange 2007 г. Установка создает копию существующих правил журнала в Exchange 2007 г. и хранит их в новом контейнере. После завершения установки правила журнала в обеих версиях Exchange являются последовательными.

После установки при изменении конфигурации правил журнала Exchange 2010 (или более поздней) необходимо внести такое же изменение на серверах 2007 Exchange, чтобы убедиться, что они последовательны. Кроме того, изменения, внесенные в правила журнала Exchange 2007 г., также должны быть внесены в Exchange 2010 г. или более поздней. Вы также можете экспортировать правила журнала Exchange 2007 г. и импортировать их Exchange 2013 г.

Устранение неполадок

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы в Exchange Server. Если у вас возникли неполадки с почтовым ящиком JournalingReportDNRTo, изучите статью Правила транспорта и почтовых ящиков в Exchange Online не работает должным образом.