Отчеты аудита ExchangeExchange auditing reports

Используйте журнал аудита для устранения проблем с конфигурацией и обеспечения соблюдения нормативных и законодательных требований путем отслеживания отдельных изменений, вносимых администраторами. В Microsoft Exchange доступно два вида журналов аудита:Use audit logging to troubleshoot configuration issues by tracking specific changes made by administrators and to help you meet regulatory, compliance, and litigation requirements. Microsoft Exchange provides two types of audit logging:

  • В журнал аудита администраторов записываются все действия, выполняемые администратором, на основе командлета консоли управления Exchange. Это позволяет устранять неполадки конфигурации или выявлять причины проблем безопасности или соответствия требованиям. В Exchange Online также записываются действия, которые выполняют администраторы Microsoft и полномочные администраторы.Administrator audit logging records any action, based on an Exchange Management Shell cmdlet, performed by an administrator. This can help you troubleshoot configuration issues or identify the cause of security-related or compliance-related problems. In Exchange Online, actions performed by Microsoft administrators and delegated administrators, are also recorded.

  • В журнале аудита почтового ящика регистрируются случаи доступа к почтовому ящику со стороны его владельца, администратора или делегированного пользователя. Это позволяет определить, кто обращался к почтовому ящику, а также какие действия были выполнены.Mailbox audit logging records when a mailbox is accessed by an administrator, a delegated user, or the person who owns the mailbox. This can help you determine who has accessed a mailbox and what they've done.

Экспорт журналов аудитаExport audit logs

На странице Управление соответствием требованиям > Аудит в Центре администрирования Exchange (EAC) можно выполнить поиск и экспорт записей из журнала аудита администратора и журнала аудита почтовых ящиков.On the Compliance Management > Auditing page in the Exchange admin center (EAC), you can search for and export entries from the administrator audit log and the mailbox audit log.

  • Экспорт журнала аудита действий администратора Все действия, выполняемые с помощью командлета командной консоли Exchange, названия которых не начинаются с глаголов Get, Search и Test, заносятся в журнал аудита действий администратора. В записях журнала аудита указывается запущенный командлет, его параметры и их значения, а также успешность выполнения. Записи в журнале аудита администратора можно искать и экспортировать. При экспорте результатов поиска Microsoft Exchange сохраняет их в XML-файл и прикрепляет их к сообщению электронной почты. Дополнительные сведения:Export the administrator audit log Any action performed by an administrator that's based on a Shell cmdlet and doesn't begin with the verbs Get, Search, or Test is logged in the administrator audit log. Audit log entries include the cmdlet that was run, the parameter and values used with the cmdlet, and when the operation was successful. You can search for and export entries from the administrator audit log. When you export your search results, Microsoft Exchange saves them in an XML file and attaches it to an email message. For more information, see:

  • Экспорт журналов аудита почтовых ящиков. Если для почтового ящика включено ведение журнала аудита почтового ящика, Microsoft Exchange регистрирует в этом журнале действия над данными в почтовом ящике со стороны пользователей, не являющихся владельцами. Журнал аудита почтового ящика хранится в скрытой папке почтового ящика, для которого включен аудит. Ведение журнала аудита почтового ящика можно настроить для регистрации действий владельцев. В записях такого журнала указывается, кто и когда обращался к почтовому ящику, какие действия при этом были выполнены и были ли они успешными. При поиске записей в журнале аудита почтового ящика и их экспорте Microsoft Exchange сохраняет результаты поиска в XML-файл и прикрепляет их к электронному сообщению. Дополнительные сведения см. в статье Экспорт журналов аудита почтовых ящиков.Export mailbox audit logs When mailbox audit logging is enabled for a mailbox, Microsoft Exchange stores a record of actions performed on mailbox data by non-owners in the mailbox audit log, which is stored in a hidden folder in the mailbox being audited. Mailbox audit logging can also be configure to log owner actions. Entries in this log indicate who accessed the mailbox and when, the actions performed, and whether the action was successful. When you search for entries in the mailbox audit log and export them, Microsoft Exchange saves the search results in an XML file and attaches it to an email message. For more information, see Export mailbox audit logs.

Запуск отчетов аудитаRun auditing reports

При запуске следующих отчетов на странице Аудит в Центре администрирования Exchange результаты отображаются в области сведений отчета.When you run any of the following reports on the Auditing page in the EAC, the results are displayed in the details pane of the report.

Настройка ведения журнала аудитаConfigure audit logging

Для запуска отчетов аудита и экспорта журналов аудита необходимо настроить ведение журналов аудита для вашей организации.Before you can run auditing reports and export audit logs, you have to configure audit logging for your organization.

Включение ведения журнала аудита почтовых ящиковEnable mailbox audit logging

Ведение журнала аудита почтовых ящиков включается для всех почтовых ящиков, по которым следует составлять отчет о доступе пользователей, не являющихся владельцами. Если ведения журнала аудита почтовых ящиков не включено для почтового ящика, вы не получите результаты при запуске отчета для него или экспорте журнала аудита почтового ящика.You have to enable mailbox audit logging for each mailbox that you want to run a non-owner mailbox access report for. If mailbox audit logging isn't enabled for a mailbox, you won't get any results when you run a report for it or export the mailbox audit log.

Чтобы включить ведения журнала аудита для одного почтового ящика, выполните следующую команду в командной консоли.To enable mailbox audit logging for a single mailbox, run the following command in the Shell.

Set-Mailbox <Identity> -AuditEnabled $true

Чтобы включить аудит для всех почтовых ящиков пользователей в организации, выполните следующие команды:To enable mailbox auditing for all user mailboxes in your organization, run the following commands.

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Дополнительные сведения о настройке регистрации нужных действий в журнале см. в таких статьях:For more information about configuring which actions are logged, see:

Предоставление пользователям доступ к отчетам аудитаGive users access to Auditing reports

По умолчанию администраторы могут получить доступ к любым отчетам и запустить их на странице "Аудит" в EAC. При этом другим пользователям, например юристам или делопроизводителям, также можно назначить нужные разрешения.By default, administrators can access and run any of the reports on the Auditing page in the EAC. However, other users, such as a records manager or legal staff, have to be assigned the necessary permissions.

Самым простым способом предоставить пользователям доступ является добавление в группу ролей "Управление записями". Вы также можете использовать командную консоль, чтобы предоставить пользователям доступ к странице Аудит в Центре администрирования Exchange, назначив им роль "Журналы аудита".The easiest way to give users access is to add them to the Records Management role group. You can also use the Shell to give a user access to the Auditing page in the EAC by assigning the Audit Logs role to the user.

Добавление пользователя в группу ролей "Управление записями"Add a user to the Records Management role group

  1. Перейдите к разделу Разрешения > Роли администраторов.Go to Permissions > Admin Roles.

  2. Выберите Управление записями в списке групп ролей и нажмите кнопку ИзменитьЗначок редактирования.In the list of role groups, click Records Management, and then click EditEdit icon.

  3. В области Члены нажмите кнопку ДобавитьЗначок добавления.Under Members, click AddAdd Icon.

  4. Укажите пользователя в диалоговом окне Выбрать членов группы. Можно выполнить поиск пользователя, введя отображаемое имя (полностью или частично) и нажав кнопку Поискзначок поиска. Можно также отсортировать список, щелкнув заголовок столбца Имя или Отображаемое имя.In the Select Members dialog box, select the user. You can search for a user by typing all or part of a display name, and then clicking SearchSearch icon. You can also sort the list by clicking the Name or Display Name column headings.

  5. Нажмите кнопку ДобавитьЗначок добавления, затем кнопку ОК, чтобы вернуться на страницу группы ролей.Click AddAdd Icon and then click OK to return to the role group page.

  6. Нажмите кнопку Сохранить, чтобы сохранить изменения в группе ролей.Click Save to save the change to the role group.

В области сведений пользователь будет указан в разделе Члены и сможет получить доступ к странице аудита в EAC, запустить отчеты аудита и экспортировать журналы аудита.In the details pane, the user is listed under Members and can access the Auditing page in the EAC, run auditing reports, and export audit logs.

Назначение пользователю роли "Журналы аудита"Assign the Audit Logs role to a user

Чтобы назначить роль "Журналы аудита" пользователю, выполните следующую команду.Run the following command to assign the Audit Logs role to a user.

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Это позволяет пользователю выбрать Управление соответствием требованиям > Аудит в EAC для запуска любых отчетов. Пользователь также может экспортировать журнал аудита почтовых ящиков и просматривать журнал аудита администратора.This enables the user to select Compliance Management > Auditing in the EAC to run any of the reports. The user can also export the mailbox audit log, and export and view the administrator audit log.

Примечание

Чтобы позволить пользователю запускать отчеты аудита, но не разрешать экспортировать журналы аудита, используйте предыдущую команду для назначения роли только для просмотра журналов аудита.To allow a user to run auditing reports but not to export audit logs, use the preceding command to assign the View-Only Audit Logs role.

Включение XML-вложений в Outlook Web AppConfigure Outlook Web App to allow XML attachments

При экспорте журнала аудита почтовых ящиков или журнала аудита администратора Microsoft Exchange прикрепляет XML-файл журнала аудита к сообщению электронной почты. Однако по умолчанию Outlook Web App блокирует XML-вложения. Если вы хотите использовать Outlook Web App для доступа к журналам аудита, вы должны настроить Outlook Web App, чтобы разрешить XML-вложения.When you export the mailbox audit log or administrator audit log, Microsoft Exchange attaches the audit log, which is an XML file, to an email message. However, Outlook Web App blocks XML attachments by default. If you want to use Outlook Web App to access these audit logs, you have to configure Outlook Web App to allow XML attachments.

Чтобы разрешить XML-вложения в Outlook Web App, выполните следующую команду:Run the following command to allow XML attachments in Outlook Web App.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'