Action | Description | Admin | Delegate | Owner3 |
Copy | An e-mail is copied to another folder or to the Personal Archive | Yes | n/a | n/a |
Create | An item (excluding folders) is created in the mailbox (a message is sent, for example) | Yes1 | Yes1 | Yes |
FolderBind | A mailbox folder is accessed | Yes1 | Yes2 | Yes |
HardDelete | An e-mail is permanently deleted | Yes1 | Yes1 | Yes |
MessageBind | An e-mail is opened or viewed in the preview pane | Yes | n/a | n/a |
Move | An e-mail is moved to another folder | Yes1 | Yes | Yes |
MoveToDeletedItems | An e-mail is deleted | Yes1 | Yes | Yes |
SendAs | An e-mail is sent using SendAs permissions | Yes1 | Yes1 | N/A |
SendOnBehalf | An e-mail is sent using SendOnBehalf permissions | Yes1 | Yes | N/A |
SoftDelete | An e-mail is deleted from the Deleted Items and moved to the Dumpster | Yes1 | Yes1 | Yes |
Update | The properties of an item are updated | Yes1 | Yes1 | Yes |
Exchange 2010 Ps 之邮箱稽核和稽核内容导出!
最新推荐文章于 2018-06-14 10:40:06 发布
作为邮箱服务器的管理员来说,他的权利是很大的,作为很多企业中存在的稽核部门,需要对各个部门的权利和职责进行稽核。Exchange 也提供这样的稽核功能,可以协助我们完成相关的需求,因为非本人邮箱访问这个是在企业内是一个非常严重的问题,我们需要对所有的邮箱启用审核日志,怎么做呢?
分为以下几步骤来做这个事情。
1. 我们需要给所有的用户启用管理日志,这个就比较简单了:
get-mailbox |set-mailbox -auditenabled $true 执行即可
接下来怎么做呢?就是等了,看看有谁偷偷的偷窥我的秘密,当然偷窥我的秘密也要有权限,因此我们必须了解我们的设置是否妥当,这个怎么设置呢?其实是在我们的EMC 界面中设置委派和管理的权限:
下面这个列表中表明了我们启用日志后各类操作是否会在管理员、委派人员、自己是否能够被稽核到
接下来我们有几个方法去查看这些命令,可以直接通过网页UI方式进行异步查询,也可以通过命令进行异步查询。同时也可以使用命令进行同步查询:
我们先来讲同步查询命令:
Search-mailboxLog 命令查询出单个用户的相关日志:
>Search-MailboxAuditLog -Identity wangwu -LogonTypes delegate -ShowDetails
上面的日志搜索的是wangwu的委派的用户的相关操作日志,但是貌似没有用户读取的日志,我们这里是lisi 利用wangwu 创建了一个邮件被记录了下来:
我们能够看到登陆的用户是lisi 实际操作 的邮箱是 wangwu.
这个是同步方式进行查询,还有另外一种方式就是采用异步方式进行用户操作的查询方式,这操作利用的命令是New-MailboxAuditLogSearch,这个可以针对一共用户也可以针对很多用户进行联合搜索,搜索的结果他会以邮件方式发送到邮箱:
New-MailboxAuditLogSearch –StartDate “06/08/2016” –EndDate “31/07/2016” –Mailboxes zhangsan,wangwu –LogonTypes delegate –StatusMailRecipients xupeng@docsop.com -ShowDetails
这个命令表示的是我们在张三和王五这两个邮箱里面寻找一些非本人操作的一些详细信息,并将这些信息发送给xupeng@docsop.com这个邮箱。接收到邮件之后打开邮件,能看到以xml结尾的文件,打开后的内容:
另外一个命令是我们的new-adminauditlogsearch 命令来搜索一段时间我们的命令变更我们的邮件服务器配置的命令组合:
我们收到邮件后打开XML 看到里面的内容如下: