Ведение журнала аудита почтовых ящиков в Exchange ServerMailbox audit logging in Exchange Server

Почтовые ящики могут содержать конфиденциальные сведения, важные для работы организации, а также персональные данные. Поэтому необходимо отслеживать вход в почтовые ящики организации и выполняемые в них действия. Особенно это касается доступа к почтовым ящикам пользователей, не являющихся их владельцами. Такие пользователи называются делегированными.Because mailboxes can contain sensitive, high business impact (HBI) information and personally identifiable information (PII), it's important that you track who logs on to the mailboxes in your organization and what actions are taken. It's especially important to track access to mailboxes by users other than the mailbox owner. These users are referred to as delegate users.

С помощью функции ведения журнала аудита почтового ящика можно регистрировать доступ владельцев, делегатов (в том числе администраторов с полными разрешениями на доступ к почтовому ящику) и администраторов к почтовым ящикам.By using mailbox audit logging, you can log mailbox access by mailbox owners, delegates (including administrators with full access permissions to mailboxes), and administrators.

При включении функции ведения журнала аудита для почтового ящика можно указать, какие именно действия (например, доступ к почтовому ящику, перемещение или удаление сообщений) должны регистрироваться для соответствующих типов учетных записей для входа (администратор, делегированный пользователь или владелец). В записях журнала аудита также содержатся другие важные сведения, такие как IP-адрес клиента, имя узла, процесс или клиент, использованные для получения доступа к почтовому ящику. Для перемещенных сообщений также указывается имя папки назначения.When you enable audit logging for a mailbox, you can specify which user actions (for example, accessing, moving, or deleting a message) will be logged for a logon type (administrator, delegate user, or owner). Audit log entries also include important information such as the client IP address, host name, and process or client used to access the mailbox. For items that are moved, the entry includes the name of the destination folder.

Ведение журнала аудита почтовых ящиковMailbox audit logs

Для всех почтовых ящиков, для которых включено ведение журнала аудита, создаются журналы аудита. Записи журнала хранятся во вложенной папке "Аудиты" папки "Элементы с возможностью восстановления" в отслеживаемом почтовом ящике. Это обеспечивает централизованный доступ ко всем записям журнала аудита независимо от того, каков способ клиентского доступа к почтовому ящику или какой сервер (либо компьютер) администратор использует для доступа к журналу аудита почтовых ящиков. При перемещении почтового ящика на другой сервер также перемещаются хранящиеся в нем журналы аудита.Mailbox audit logs are generated for each mailbox that has mailbox audit logging enabled. Log entries are stored in the Recoverable Items folder in the audited mailbox, in the Audits subfolder. This ensures that all audit log entries are available from a single location, regardless of which client access method was used to access the mailbox or which server or computer an administrator uses to access the mailbox audit log. If you move a mailbox to another Mailbox server, the mailbox audit logs for that mailbox are also moved because they're located in the mailbox.

По умолчанию записи журнала аудита хранятся в почтовом ящике 90 дней, после чего удаляются.By default, mailbox audit log entries are retained in the mailbox for 90 days and then deleted. Время хранения можно изменить, используя параметр AuditLogAgeLimit в командлете Set-Mailbox.You can modify this retention period by using the AuditLogAgeLimit parameter with the Set-Mailbox cmdlet. Если почтовый ящик хранится на месте или хранится для судебного разбирательства, записи журнала аудита сохраняются до истечения периода хранения журналов аудита для этого почтового ящика.If a mailbox is on In-Place Hold or Litigation Hold, audit log entries are only retained until the audit log retention period for the mailbox is reached. Чтобы сохранить журналы аудита на более длительный срок, следует увеличить период хранения, изменив значение параметра AuditLogAgeLimit.To retain audit log entries longer, you have to increase the retention period by changing the value for the AuditLogAgeLimit parameter. Вы также можете экспортировать записи журнала аудита до истечения периода хранения.You can also export audit log entries before the retention period is reached. Дополнительные сведения см. в следующих разделах:For more information, see:

Включение ведения журнала аудита почтовых ящиковEnabling mailbox audit logging

Ведение журнала аудита включено для каждого почтового ящика. С помощью командлета Set-Mailbox можно включить или отключить ведение журнала аудита почтовых ящиков. Дополнительные сведения см. в разделе Включение и отключение ведения журнала аудита для почтового ящика.Mailbox audit logging is enabled per mailbox. Use the Set-Mailbox cmdlet to enable or disable mailbox audit logging. For details, see Enable or disable mailbox audit logging for a mailbox.

При включении ведения журнала аудита почтового ящика операции доступа к почтовому ящику, а также некоторые действия администраторов и делегатов записываются по умолчанию. Для записи действий владельца почтового ящика необходимо указать, какие именно действия должны записываться.When you enable mailbox audit logging for a mailbox, access to the mailbox and certain administrator and delegate actions are logged by default. To log actions taken by the mailbox owner, you must specify which owner actions should be audited.

Действия, которые регистрируются в журналах аудита почтовых ящиковMailbox actions logged by mailbox audit logging

В приведенной ниже таблице перечислены действия, записываемые в журнале аудита почтового ящика, а также типы учетных записей вошедших пользователей, для которых эти действия можно зарегистрировать. Обратите внимание на то, что администратор, которому предоставлены разрешения на полный доступ к почтовому ящику пользователя, считается делегированным пользователем.The following table lists the actions logged by mailbox audit logging, including the logon types for which the action can be logged. Note that an administrator who has been assigned the Full Access permission to a user's mailbox is considered a delegate user.

Для отключения записи определенных действий, выполняемых в почтовом ящике, необходимо изменить параметры ведения журнала аудита почтового ящика. Существующие записи в журнале аудита удаляются после истечения заданного срока хранения.If you no longer require certain types of mailbox actions to be audited, you should modify the mailbox's audit logging configuration to disable those actions. Existing log entries aren't purged until the age limit for audit log entries is reached.

ДействиеAction ОписаниеDescription АдминистраторAdmin ДелегатDelegate ВладелецOwner
КопироватьCopy Сообщение скопировано в другую папку.An item is copied to another folder. ДаYes НетNo НетNo
СозданиеCreate В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент, например новое приглашение на собрание. Учтите, что создание сообщений и папок при этом не регистрируется.An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Note that message or folder creation isn't audited. Да1Yes1 Да1Yes1 ДаYes
FolderBindFolderBind Папка почтового ящика была открыта.A mailbox folder is accessed. Да1Yes1 Да,2Yes2 НетNo
HardDeleteHardDelete Элемент удален из папки "Элементы для восстановления" без возможности восстановления.An item is deleted permanently from the Recoverable Items folder. Да1Yes1 Да1Yes1 ДаYes
MailboxLoginMailboxLogin Пользователь выполнил вход в свой почтовый ящик.The user signed in to their mailbox. НетNo НетNo Да,3Yes3
мессажебиндMessageBind Сообщение открыто или просматривается в области просмотра.An item is accessed in the reading pane or opened. ДаYes НетNo НетNo
MoveMove Сообщение перемещено в другую папку.An item is moved to another folder. Да1Yes1 ДаYes ДаYes
MoveToDeletedItemsMoveToDeletedItems Сообщение перемещено в папку "Удаленные".An item is moved to the Deleted Items folder. Да1Yes1 ДаYes ДаYes
SendAsSendAs Сообщение отправлено с использованием разрешений "Отправить как".A message is sent using Send As permissions. Да1Yes1 Да1Yes1 НетNo
SendOnBehalfSendOnBehalf Сообщение отправлено с использованием разрешений "Отправить от имени".A message is sent using Send on Behalf permissions. Да1Yes1 ДаYes НетNo
SoftDeleteSoftDelete Сообщение удалено из папки "Удаленные".An item is deleted from the Deleted Items folder. Да1Yes1 Да1Yes1 ДаYes
UpdateUpdate Параметры элемента обновлены.An item's properties are updated. Да1Yes1 Да1Yes1 ДаYes

1 — аудит по умолчанию, если для почтового ящика включен аудит.1 Audited by default if auditing is enabled for a mailbox.

2 записи действий по привязке папки, выполняемые делегатами, объединяются.2 Entries for folder bind actions performed by delegates are consolidated. За 24 часа в журнале создается одна запись для доступа к отдельной папке.One log entry is generated for individual folder access within a time span of 24 hours.

3 аудит для учетных записей владельца почтового ящика работает только для имен входа POP3, IMAP4 или OAuth.3 Auditing for owner logins to a mailbox works only for POP3, IMAP4, or OAuth logins. Он не поддерживается для входа в почтовый ящик с использованием NTLM или Kerberos.It doesn't work for NTLM or Kerberos logins to the mailbox.

Поиск в журнале аудита почтового ящикаSearching the mailbox audit log

Для поиска записей в журнале аудита можно использовать следующие способы.You can use the following methods to search mailbox audit log entries:

  • Синхронный поиск по одному почтовому ящику: командлет Search – маилбоксаудитлог можно использовать для синхронного поиска записей в журнале аудита почтовых ящиков для одного почтового ящика.Synchronously search a single mailbox: You can use the Search-MailboxAuditLog cmdlet to synchronously search mailbox audit log entries for a single mailbox. Командлет выводит результаты поиска в окне командной консоли Exchange.The cmdlet displays search results in the Exchange Management Shell window. Дополнительные сведения см. в разделе Search Mailbox Audit Log for a Mailbox.For details, see Search Mailbox Audit Log for a Mailbox.

  • Асинхронный поиск по одному или нескольким почтовым ящикам: вы можете создать поиск по журналу аудита почтового ящика для асинхронного поиска в журналах аудита почтовых ящиков для одного или нескольких почтовых ящиков, а затем отправить результаты поиска по указанному адресуAsynchronously search one or more mailboxes: You can create a mailbox audit log search to asynchronously search mailbox audit logs for one or more mailboxes, and then have the search results sent to a specified email address. Результаты поиска отправляются в виде вложения XML.The search results are sent as an XML attachment. Для выполнения поиска используйте командлет New-MailboxAuditLogSearch.To create the search, use the New-MailboxAuditLogSearch cmdlet. Дополнительные сведения см. в разделе Create a Mailbox Audit Log Search.For details, see Create a Mailbox Audit Log Search.

  • Использование отчетов аудита в центре администрирования Exchange: на вкладке Аудит в центре администрирования Exchange можно запустить отчет о доступе к почтовым ящикам, не являющимся владельцами (содержит записи для действий администратора и удаления) или экспортировать записи, не являющиеся владельцами, из журнала аудита почтовых ящиков.Use auditing reports in the Exchange admin center (EAC): You can use the Auditing tab in the EAC to run a non-owner mailbox access report (contains entries for admin and delete actions) or export non-owner entries from the mailbox audit log. Дополнительные сведения см. в следующих статьях:For details, see:

Записи журнала аудита почтовых ящиковMailbox audit log entries

В следующей таблице описываются поля, заполняемые в журнале аудита почтовых ящиков.The following table describes the fields logged in a mailbox audit log entry.

ПолеField ЗаполняетсяPopulated with
OperationOperation Одно из следующих действий:One of the following actions:
CopyCopy
CreateCreate
FolderBindFolderBind
HardDeleteHardDelete
MailboxLoginMailboxLogin
мессажебиндMessageBind
MoveMove
MoveToDeletedItemsMoveToDeletedItems
SendAsSendAs
SendOnBehalfSendOnBehalf
SoftDeleteSoftDelete
UpdateUpdate
OperationResultOperationResult Один из следующих результатов:One of the following results:
FailedFailed
партиаллисукцеедедPartiallySucceeded
SucceededSucceeded
LogonTypeLogonType Тип учетной записи для входа пользователя, выполняющего действие. Типы учетных записей для входа:Logon type of the user who performed the operation. Logon types include:
ВладелецOwner
ДелегатDelegate
АдминистраторAdmin
дестфолдеридDestFolderId Идентификатор GUID папки назначения для операций перемещения.Destination folder GUID for move operations.
дестфолдерпаснамеDestFolderPathName Путь к папке назначения для операций перемещения.Destination folder path for move operations.
FolderIdFolderId Идентификатор GUID папки.Folder GUID.
фолдерпаснамеFolderPathName Путь к папке.Folder path.
ClientInfoStringClientInfoString Сведения для идентификации клиента или компонента Exchange, выполняющего эту операцию.Details that identify which client or Exchange component performed the operation.
ClientIPAddressClientIPAddress IP-адрес клиентского компьютера.Client computer IP address.
ClientMachineNameClientMachineName Имя клиентского компьютера.Client computer name.
ClientProcessNameClientProcessName Имя процесса клиентского приложения.Name of the client application process.
ClientVersionClientVersion Версия клиентского приложения.Client application version.
InternalLogonTypeInternalLogonType Тип внутреннего пользователя (сотрудника организации), выполнившего операцию. Для этого поля допускаются те же значения, что и для поля LogonType. The type of internal user (a person in your organization) who performed the operation. The possible values for this field are the same ones as the LogonType field.
MailboxOwnerUPNMailboxOwnerUPN Имя участника-пользователя (UPN) владельца почтового ящика.Mailbox owner user principal name (UPN).
MailboxOwnerSidMailboxOwnerSid Идентификатор безопасности владельца почтового ящика (SID).Mailbox owner security identifier (SID).
DestMailboxOwnerUPNDestMailboxOwnerUPN Имя участника-пользователя владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках.Destination mailbox owner UPN, logged for cross-mailbox operations.
DestMailboxOwnerSidDestMailboxOwnerSid Идентификатор безопасности владельца почтового ящика назначения, выполняющего действия в нескольких почтовых ящиках.Destination mailbox owner SID, logged for cross-mailbox operations.
дестмаилбоксовнергуидDestMailboxOwnerGuid Идентификатор GUID владельца почтового ящика назначения.Destination mailbox owner GUID.
кроссмаилбоксоператионCrossMailboxOperation Запись сведений об операции, выполненной в нескольких почтовых ящиках (например, копирование или перемещение сообщений в другие почтовые ящики).Information about whether the operation logged is a cross-mailbox operation (for example, copying or moving messages between mailboxes).
LogonUserDisplayNameLogonUserDisplayName Отображаемое имя пользователя, выполнившего вход.Display name of user who is logged on.
делегатеусердисплайнамеDelegateUserDisplayName Отображаемое имя пользователя-делегата.Delegate user display name.
LogonUserSidLogonUserSid Идентификатор безопасности пользователя, выполнившего вход.SID of user who is logged on.
саурцеитемсSourceItems Идентификатор ItemID элементов почтового ящика, в котором выполнено записанное действие (например, перемещение или удаление). Для действий, выполненных для нескольких элементов, данное поле отображается как совокупность элементов.ItemID of mailbox items on which the logged action is performed (for example, move or delete). For operations performed on a number of items, this field is returned as a collection of items.
саурцефолдерсSourceFolders Идентификатор GUID исходной папки.Source folder GUID.
ИдентификаторItemId Идентификатор элемента.Item ID.
итемсубжектItemSubject Тема элемента.Item subject.
MailboxGuidMailboxGuid Идентификатор GUID почтового ящикаMailbox GUID.
маилбоксресолведовнернамеMailboxResolvedOwnerName Имя разрешенного пользователя почтового ящика в формате_SamAccountName_ domain\ .Mailbox user resolved name in the format DOMAIN\ SamAccountName.
ластакцесседLastAccessed Время выполнения действия.Time when the operation was performed.
IdentityIdentity Идентификатор записи журнала аудита.Audit log entry ID.

Дополнительные сведенияMore information

  • Доступ администратора к почтовым ящикам: доступ к почтовым ящикам осуществляется только администратором в следующих сценариях:Administrator access to mailboxes: Mailboxes are considered to be accessed by an administrator only in the following scenarios:

  • Обход журнала аудитапочтовых ящиков: доступ к почтовому ящику с помощью авторизованных автоматизированных процессов, таких как учетные записи сторонних средств или учетные записи, используемые для мониторинга законного, может создать большое количество записей журнала аудита почтовых ящиков и не представлять интереса предприятии.Bypassing mailbox auditing logging: Mailbox access by authorized automated processes such as accounts used by third-party tools or accounts used for lawful monitoring can create a large number of mailbox audit log entries and may not be of interest to your organization. Регистрацию сведений о таких учетных записях в журнале аудита можно отключить.You can configure such accounts to bypass mailbox audit logging. Дополнительные сведения см. в разделе Bypass a User Account From Mailbox Audit Logging.For details, see Bypass a User Account From Mailbox Audit Logging.

  • Ведение журнала действий владельца почтового ящика: для почтовых ящиков, например для почтового ящика поиска обнаружения, который может содержать более важную информацию, рекомендуется включить ведение журнала аудита почтовых ящиков для действий владельца почтового ящикаLogging mailbox owner actions: For mailboxes such as the Discovery Search Mailbox, which may contain more sensitive information, consider enabling mailbox audit logging for mailbox owner actions such as message deletion.