目录
1、技术规范
1)通过使用邮箱审核日志记录(Mailbox Audit Logging),可以记录邮箱所有者(Mailbox Owner)、委派用户(Delegate User,包含具有完全邮箱访问权限的管理员)和管理员(Administrator)对邮箱的访问。
2)当为邮箱启用审核日志记录时,可以指定应记录的一种登录类型(管理员、委派用户或所有者)的哪些用户操作(例如,访问、移动或删除邮件)。审核日志条目还包含客户端 IP 地址、主机名以及用于访问邮箱的进程或客户端等重要信息。对于移动的项目,条目中包含目标文件夹的名称。
3)为启用邮箱审核日志记录的每个邮箱生成邮箱审核日志,日志条目存储在审核邮箱的 Recoverable Items 文件夹的 Audits 子文件夹中。如果将邮箱移动到另一个邮箱服务器,该邮箱的邮箱审核日志也会被移动,因为它们位于邮箱中。
4)审核日志保留期:
● 默认情况下,邮箱审核日志条目在邮箱中保留 90 天,然后删除。可以通过将 AuditLogAgeLimit 参数与 Set-Mailbox cmdlet 一起使用来修改此保留期。
● 如果邮箱处于 In-Place Hold 或 Litigation Hold 状态,以审核日志保留期为准。
● 可以在达到审核日志保留期之前导出审核日志条目。
5)注意,已分配对用户邮箱的完全访问权限的管理员被视为委托用户。
6)推荐,针对含有敏感信息的邮箱,如 Discovery Search Mailbox,启用 Message Delete 操作的 Owner 邮箱审核日志。
7)邮箱审核日志记录的操作:
*1:如果启用邮箱审核日志,默认审核的日志。
*2:在 24 小时内为单个文件夹的访问,仅生成一个日志条目。
*3:仅适用于 POP3、IMAP4 或 OAuth 登录,不适用于 NTLM 或 Kerberos 登录。
*No:不能审核的邮箱操作。
2、启用邮箱审核日志记录功能
1)设置对象为单个邮箱。
2)当为邮箱启用邮箱审核日志记录时,默认情况下记录的是某些委派用户和管理员的特定操作,不记录邮箱所有者执行的操作。
3)记录管理员的特定操作,包括:
● 执行 In-Place eDiscovery 操作
● 使用 New-MailboxExportRequest 命令导出邮箱
● 使用 Microso