Share via

Включение или отключение ведения журнала аудита почтовых ящиков для почтового ящика в Exchange Server

  • Статья

С помощью ведения журнала аудита почтового ящика в Exchange Server вы можете отслеживать входы в почтовый ящик, а также какие действия выполняются во время входа пользователя в систему. Если ведение журнала аудита почтового ящика включено, некоторые действия, выполняемые администраторами и делегатами, записываются по умолчанию. Действия, выполняемые владельцем почтового ящика, по умолчанию не записываются. Дополнительные сведения о ведении журнала аудита почтовых ящиков и действиях, которые можно регистрировать, см. в статье Ведение журнала аудита почтовых ящиков в Exchange Server.

Осторожностью

Аудит действий владельца почтового ящика может создать большое количество записей в журнале и поэтому по умолчанию отключен. Рекомендуем включать аудит только для определенных действий владельца.

Что нужно знать перед началом работы

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Ведение журнала аудита почтовых ящиков" в разделе Политика обмена сообщениями и разрешения на соответствие требованиям Exchange Server.

  • По умолчанию записи в журнале аудита почтового ящика хранятся в течение 90 дней. Сроки хранения записей см. в разделе Дополнительные сведения.

  • Вы не можете использовать центр администрирования Exchange (EAC), чтобы включить или отключить ведение журнала аудита почтовых ящиков. Необходимо использовать командную консоль Exchange. Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

  • Администратор, которому предоставлены разрешения на полный доступ к почтовому ящику пользователя, считается делегированным пользователем.

  • Считается, что администраторы получают доступ к почтовым ящикам только в следующих случаях:

    • Для поиска в почтовом ящике используется обнаружение электронных данных на месте.

    • Для экспорта почтового ящика используется командлет New-MailboxExportRequest.

    • Для доступа к почтовому ящику используется Редактор MAPI Microsoft Exchange Server.

Включение и отключение ведения журнала аудита почтовых ящиков

Для включения или отключения ведения журнала аудита почтового ящика можно использовать Командная консоль Exchange. С ее помощью можно включить или отключить запись всех операций, указанных для администратора, делегатов и владельца почтового ящика.

В этом примере включается ведение журнала аудита почтового ящика пользователя Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true

В этом примере мы включили ведение журнала аудита для почтовых ящиков всех пользователей в организации.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}

В этом примере отключается ведение журнала аудита почтового ящика пользователя Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $false

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-Mailbox.

Настройка ведения журнала аудита почтовых ящиков для доступа администратора, делегата и владельца

Если для почтового ящика включено ведение журнала аудита почтовых ящиков, только действия администратора, делегата и владельца, указанные в конфигурации ведения журнала аудита, заносятся в журнал.

В этом примере указывается, что MessageBind действия и FolderBind , выполняемые администраторами, будут регистрироваться в почтовом ящике Бена Смита.

Set-Mailbox -Identity "Ben Smith" -AuditAdmin MessageBind,FolderBind -AuditEnabled $true

В этом примере указывается, что SendAs действия или SendOnBehalf , выполняемые пользователями-делегатами, будут регистрироваться в почтовом ящике Бена Смита.

Set-Mailbox -Identity "Ben Smith" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true

В этом примере указывается, что действие, HardDelete выполненное владельцем почтового ящика, будет зарегистрировано в почтовом ящике Бена Смита.

Set-Mailbox -Identity "Ben Smith" -AuditOwner HardDelete -AuditEnabled $true

Подробные сведения о синтаксисе и параметрах см. в разделе Set-Mailbox.

Как проверить, все ли получилось?

Чтобы убедиться, что ведение журнала аудита почтовых ящиков включено и указаны правильные настройки ведения журнала для доступа администратора, делегата и владельца, используйте командлет Get-Mailbox для извлечения параметров ведения журнала аудита для этого почтового ящика.

В этом примере извлекаются параметры почтового ящика Бена Смита (Ben Smith) и передаются параметры аудита, в том числе срок хранения записей журнала, в командлет Format-List.

Get-Mailbox "Ben Smith" | Format-List Audit*

Значение True свойства AuditEnabled проверяет, включено ли ведение журнала аудита.

В этом примере показано получение параметров аудита для почтовых ящиков всех пользователей в организации.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Format-List Name,Audit*

Дополнительные сведения

При запуске командлета Get-Mailbox могут не отображаться все действия для каждого типа пользователей. Но вы можете выполнить приведенные ниже команды, чтобы просмотреть все действия для определенного типа входа пользователя.

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner

По умолчанию записи в журнале аудита почтового ящика хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется. С помощью командлета Set-Mailbox можно изменить этот параметр, чтобы элементы хранились в течение большего (или меньшего) периода времени.

В этом примере срок хранения записей в журнале аудита почтового ящика пользователя Pilar Pinilla увеличивается до 180 дней.

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

В этом примере срок хранения записей в журнале аудита почтовых ящиков всех пользователей в организации уменьшается до 60 дней.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Set-Mailbox -AuditLogAgeLimit 60