在 Exchange Server 中啟用或停用信箱的信箱稽核記錄

  • 發行項

透過信箱稽核記錄Exchange Server,您可以追蹤信箱的登入,以及使用者登入時所採取的動作。 當您啟用信箱的信箱稽核記錄時,系統管理員和委派預設會記錄某些動作。 預設不會記錄信箱擁有者所執行的動作。 若要深入瞭解信箱稽核記錄以及可以記錄哪些動作,請參閱信箱稽核記錄Exchange Server

謹慎

稽核信箱擁有者動作可能會產生大量的信箱稽核記錄專案,因此預設為停用。 我們建議您只啟用特定擁有者動作的稽核,以符合商務或合規性需求。

開始之前有哪些須知?

  • 您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱 Exchange Server 中傳訊原則和合規性許可權主題中的「信箱稽核記錄」專案。

  • 信箱稽核記錄中的專案預設會保留 90 天。 See the More information section change how long entries are retained.

  • 您無法使用 Exchange 系統管理中心 (EAC) 來啟用或停用信箱稽核記錄。 您必須使用 Exchange 管理命令介面。 若要了解如何在內部部署 Exchange 組織中開啟 Exchange 管理命令介面,請參閱 Open the Exchange Management Shell

  • 獲指派使用者信箱「完整存取」權限的系統管理員會被視為委派使用者。

  • 在下列案例中,信箱會被視為只能由系統管理員存取:

    • 使用 就地 eDiscovery 來搜尋信箱。

    • 使用 New-MailboxExportRequest 指令程式來匯出信箱。

    • Microsoft Exchange Server MAPI Editor 用來存取信箱。

啟用或停用信箱稽核記錄

您可以使用 Exchange 管理命令介面來啟用或停用信箱的信箱稽核記錄。 這會啟用或停用為系統管理員、委派和信箱擁有者指定的所有作業記錄。

這個範例會啟用 Ben Smith 信箱的信箱稽核記錄。

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true

此範例會為組織中的所有使用者信箱啟用信箱稽核記錄。

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}

這個範例會停用 Ben Smith 信箱的信箱稽核記錄。

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $false

如需詳細的語法及參數資訊,請參閱 Set-Mailbox

設定系統管理員、委派和擁有者存取的信箱稽核記錄設定

啟用信箱的信箱稽核記錄時,系統僅會記錄信箱稽核記錄設定中所指定之系統管理員、代理人和擁有者的行為。

此範例會指定 MessageBind 系統管理員為 Ben Smith 的信箱記錄所執行的 和 FolderBind 動作。

Set-Mailbox -Identity "Ben Smith" -AuditAdmin MessageBind,FolderBind -AuditEnabled $true

此範例會指定 SendAs 會為 Ben Smith 的信箱記錄委派使用者所執行的 或 SendOnBehalf 動作。

Set-Mailbox -Identity "Ben Smith" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true

此範例會指定 HardDelete 將信箱擁有者所執行的動作記錄為 Ben Smith 的信箱。

Set-Mailbox -Identity "Ben Smith" -AuditOwner HardDelete -AuditEnabled $true

如需詳細的語法及參數資訊,請參閱 Set-Mailbox

如何知道這是否正常運作?

若要驗證您是否已成功啟用信箱的信箱稽核記錄,並針對系統管理員、代理人或擁有者存取方面指定好正確的記錄設定,可使用 Get-Mailbox Cmdlet 以擷取該信箱的信箱稽核記錄設定。

此範例會擷取 Ben Smith 的信箱設定,並將指定的稽核設定 (包括稽核記錄保留天數) 傳送至 Format-List Cmdlet。

Get-Mailbox "Ben Smith" | Format-List Audit*

AuditEnabled屬性的 True 值會驗證已啟用稽核記錄。

此範例會擷取組織中所有使用者信箱的稽核設定。

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Format-List Name,Audit*

其他資訊

當您執行 Get-Mailbox Cmdlet 時,針對每種使用者類型稽核的動作可能不會全部顯示。 但您可以執行下列命令,以顯示特定使用者登入類型的所有稽核動作。

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner

根據預設,信箱稽核記錄中的專案會保留 90 天。 超過 90 天的項目就會遭到刪除。 您可以使用 Set-Mailbox Cmdlet 來變更此設定,讓專案保留較長 (或較短) 一段時間。

本範例會將 Pilar Pinilla 信箱中信箱稽核記錄專案的存留期限制增加到 180 天。

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

此範例會將貴組織中所有使用者信箱的信箱稽核記錄專案的存留期限制減少為 60 天。

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Set-Mailbox -AuditLogAgeLimit 60