Exchange 2013 中的 Exchange 审核报告

适用于：Exchange Server 2013

使用审核日志记录可通过跟踪管理员所做的特定更改来解决配置问题，并帮助您满足法规、遵从性以及诉讼等要求。 Microsoft Exchange 提供两种类型的审核日志记录：

• 管理员审核日志记录会记录管理员执行的所有基于 Exchange 命令行管理程序 cmdlet 的操作。 这可以帮助您解决配置问题，或找出与安全或合规性相关的问题的原因。

• 邮箱审核日志会在管理员、代理用户或拥有该邮箱的人员访问邮箱时进行记录。 这有助于确定谁访问了邮箱以及访问者完成了哪些操作。

导出审核日志

在 Exchange 管理中心的 “合规性管理>审核 ”页上， (EAC) ，可以搜索管理员审核日志和邮箱审核日志中的条目并导出条目。

• 导出管理员审核日志：管理员基于 Shell cmdlet 执行且不以 “获取”、“ 搜索”或 “测试 ”谓词开头的任何操作都会记录在管理员审核日志中。 审核日志条目包括已运行的 cmdlet、与 cmdlet 一起使用的参数和值以及操作是否成功。 您可搜索并导出管理员审核日志中的条目。 当您导出搜索结果时，Microsoft Exchange 会先将这些结果保存到 XML 文件中，然后再将其附加到电子邮件。 有关详细信息，请参阅Search the role group changes or administrator audit logs。

  注意

  默认情况下，管理员审核日志条目保留 90 天。 当某个条目超过 90 天时，会删除该条目。 不能在基于云的组织中更改此设置。 但是，可以使用 Set-AdminAuditLog cmdlet 在本地 Exchange 组织中对其进行更改。

• 导出邮箱审核日志：为邮箱启用邮箱审核日志记录时，Microsoft Exchange 会将非所有者对邮箱数据执行的操作记录存储在邮箱审核日志中，该日志存储在要审核的邮箱中的隐藏文件夹中。 还可以将邮箱审核日志配置到日志所有者操作中。 此日志中的条目指示谁访问过该邮箱以及访问时间、所执行的操作以及操作是否成功。 当搜索邮箱审核日志中的条目并导出它们时，Microsoft Exchange 会先将搜索结果保存到一个 XML 文件中，然后再将其附加到电子邮件。 有关详细信息，请参阅 导出邮箱审核日志。

运行审核报告

当您在 EAC 中的“审核”页上运行以下任何报告时，报告的详细信息窗格中将显示结果。

• 运行非所有者邮箱访问报告：使用此报表可查找由邮箱所有者以外的其他人访问的邮箱。 有关详细信息，请参阅 运行非所有者邮箱访问报告。

• 运行管理员角色组报告：使用此报表搜索对管理员角色组所做的更改。 有关详细信息，请参阅Search the role group changes or administrator audit logs。

• 运行就地发现和保留报告：使用此报表查找已放入或从中删除的邮箱，In-Place保留。 有关更多信息，请参阅：

  • 就地保留和诉讼保留

  • 就地电子数据展示

• 运行每个邮箱诉讼保留报告：使用此报告可查找已置于诉讼保留状态或从诉讼保留中删除的邮箱。 有关详细信息，请参阅：

  • 运行每个邮箱的诉讼保留报告

  • 将邮箱置于诉讼保留状态

• 运行管理员审核日志报告：使用此报告可以查看管理员审核日志中的条目。 您可以在 EAC 中运行管理员审核日志报告，而无需将其导出，导出可能需要 24 小时才能通过电子邮件收到。 此报告会记录组织内管理员所进行的配置更改。 将分多页显示多达 5000 个条目。 若要缩小搜索范围，您可以指定日期范围。 有关详细信息，请参阅：

  • 查看管理员审核日志

  • 管理员审核日志记录

配置审核日志记录

必须先为您的组织配置审核日志记录，才可运行审核报告并导出审核日志。

启用邮箱审核日志记录

对于需要运行非所有者邮箱访问报告的每个邮箱，必须启用邮箱审核日志记录。 如果未对邮箱启用邮箱审核日志记录，则当您运行邮箱报告或导出邮箱审核日志时，将不会获得任何结果。

要对单个邮箱启用邮箱审核日志记录，请在命令行管理程序中运行以下命令。

Set-Mailbox <Identity> -AuditEnabled $true

要对组织中所有用户邮箱启用邮箱审核，请运行以下命令：

$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

有关配置记录的操作的详细信息，请参阅 启用或禁用邮箱的邮箱审核日志记录。

授予用户对审核报告的访问权限

默认情况下，管理员可在 EAC 中的“审核”页上访问并运行任何报告。 但是，其他用户（例如，记录经理或法律事务员工）必须分配有必需的权限。

授予用户访问权限最方便的方法是将其添加到“记录管理”角色组。 还可通过使用 Shell 将“审核日志”角色分配给用户，以授予其在 EAC 中访问“审核”页的权限。

将用户添加到“记录管理”角色组

1. 转到“权限管理员>角色”。

2. 在角色组列表中，单击“ 记录管理”，然后单击“ 编辑。

3. 在“成员”下，单击“添加

4. 在“选择成员”对话框中选择相应用户。 可以通过键入全部或部分显示名称，然后单击“搜索搜索”来搜索用户。 还可以通过单击“名称”或“显示名”列标题，对列表进行排序。

5. 单击“ 添加 然后单击“ 确定 ”返回到角色组页。

6. 单击“保存”以保存对角色组的更改。

在“详细信息”窗格中的“成员”下将列出该用户，并且该用户可访问 EAC 中的“审核”页，运行审核报告，还可导出审核日志。

将“审核日志”角色分配给用户

运行以下命令，以将“审核日志”角色分配给用户。

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

这使用户能够在 EAC 中选择 “合规性管理>审核 ”来运行任何报告。 用户还可以导出邮箱审核日志，并导出和查看管理员审核日志。

注意

要让某个用户运行审核报告，但不导出审核日志，则使用前面的命令以分配“仅查看审核日志”角色。

配置 Outlook Web App 以允许 XML 附件

当您导出邮箱审核日志或管理员审核日志时，Microsoft Exchange 会将审核日志（即一个 XML 文件）附加到一封电子邮件。 然而，Outlook Web App 在默认情况下会阻止 XML 附件。 如果要使用 Outlook Web App 访问这些审核日志，则必须将 Outlook Web App 配置为允许 XML 附件。

运行以下命令以在 Outlook Web App 中允许添加 XML 附件。

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'