Exchange：邮箱审核日志记录

最新推荐文章于 2023-10-23 11:00:30 发布

原创最新推荐文章于 2023-10-23 11:00:30 发布 · 1.3k 阅读

0 ·

本内容遵循CC 4.0 BY-SA版权协议

标签

#服务器 #Exchange #PowerShell

Exchange Server 专栏收录该内容

28 篇文章

订阅专栏

本文详细介绍了Exchange邮箱审核日志记录的技术规范，包括如何启用日志记录、设置保留期，以及如何查看和管理日志。此外，还讨论了如何绕过特定用户账户的审核记录，以减少不必要的日志条目。最后，提供了两种查看邮箱审核日志的方法，以帮助管理员监控邮箱访问行为。

1、技术规范

1）通过使用邮箱审核日志记录（Mailbox Audit Logging），可以记录邮箱所有者（Mailbox Owner）、委派用户（Delegate User，包含具有完全邮箱访问权限的管理员）和管理员（Administrator）对邮箱的访问。

2）当为邮箱启用审核日志记录时，可以指定应记录的一种登录类型（管理员、委派用户或所有者）的哪些用户操作（例如，访问、移动或删除邮件）。审核日志条目还包含客户端 IP 地址、主机名以及用于访问邮箱的进程或客户端等重要信息。对于移动的项目，条目中包含目标文件夹的名称。

3）为启用邮箱审核日志记录的每个邮箱生成邮箱审核日志，日志条目存储在审核邮箱的 Recoverable Items 文件夹的 Audits 子文件夹中。如果将邮箱移动到另一个邮箱服务器，该邮箱的邮箱审核日志也会被移动，因为它们位于邮箱中。

4）审核日志保留期：

● 默认情况下，邮箱审核日志条目在邮箱中保留 90 天，然后删除。可以通过将 AuditLogAgeLimit 参数与 Set-Mailbox cmdlet 一起使用来修改此保留期。

● 如果邮箱处于 In-Place Hold 或 Litigation Hold 状态，以审核日志保留期为准。

● 可以在达到审核日志保留期之前导出审核日志条目。

5）注意，已分配对用户邮箱的完全访问权限的管理员被视为委托用户。

6）推荐，针对含有敏感信息的邮箱，如 Discovery Search Mailbox，启用 Message Delete 操作的 Owner 邮箱审核日志。

7）邮箱审核日志记录的操作：

*1：如果启用邮箱审核日志，默认审核的日志。

*2：在 24 小时内为单个文件夹的访问，仅生成一个日志条目。

*3：仅适用于 POP3、IMAP4 或 OAuth 登录，不适用于 NTLM 或 Kerberos 登录。

*No：不能审核的邮箱操作。

2、启用邮箱审核日志记录功能

1）设置对象为单个邮箱。

2）当为邮箱启用邮箱审核日志记录时，默认情况下记录的是某些委派用户和管理员的特定操作，不记录邮箱所有者执行的操作。

3）记录管理员的特定操作，包括：

● 执行 In-Place eDiscovery 操作

● 使用 New-MailboxExportRequest 命令导出邮箱

● 使用 Microsoft Exchange Server MAPI Editor 工具

4）命令样例：

● 启用邮箱审核日志

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $True

Set-Mailbox -Identity "Ben Smith" -AuditAdmin MessageBind,FolderBind -AuditEnabled $True

Set-Mailbox -Identity "Ben Smith" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $True

Set-Mailbox -Identity "Ben Smith" -AuditOwner HardDelete -AuditEnabled $True

Get-Mailbox -Identity "Ben Smith" | fl Name,Audit*

Get-Mailbox -Identity "Ben Smith" | Select-Object -ExpandProperty AuditAdmin

● 在组织范围内，启用所有邮箱的邮箱审核日志

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | fl Name,Audit*

● 设置邮箱审核日志保留期

Set-Mailbox -Identity "Ben Smith" -AuditLogAgeLimit 180

3、绕过邮箱审核日志记录中的用户帐户

1）技术背景：

某些授权帐户（如第三方工具使用的帐户或用于合法监视的帐户）执行的访问可能创建大量邮箱审核日志条目，而我们对此可能不感兴趣。

那么，我们就可以对该监控用户或计算机帐户进行配置，以绕过邮箱审核日志记录，这样由该用户或计算机帐户对任何邮箱执行的操作将不再被记录，从而可以减少邮箱审核日志中的杂乱信息。

2）此设置为全局设置，即如果将帐户配置为绕过邮箱审核日志记录，则该帐户对组织中的任何邮箱进行的访问都不会被记录。

Set-MailboxAuditBypassAssociation -Identity "ServiceAccess" -AuditBypassEnabled $True

3）如果委派一个用户对 CEO 邮箱具有 Full Access 权限，同时又分配了该用户 AuditBypass 权限，则无法审核该用户对 CEO 邮箱做了什么样的操作。

针对这些用户，我们唯一的办法是结合 Admin Audit Logging 功能。

模拟场景：

4、场景描述

委派账户 Nuno 对邮箱 CEO 的 Full Access 权限，并以 Nuno 账户连接到邮箱 CEO，阅读并删除一些邮件。

Audit 信息被写到 Recoverable Items 的 Audits 子文件夹下，该子文件夹对任何用户是隐藏的，即一般用户不能进入该文件夹。

为检查该文件夹是否已写入日志，可以执行以下命令：

Get-MailboxFolderStatistics -Identity CEO -FolderScope RecoverableItems | ?{$_.Name -eq "Audits"] | Select Identity,*Items*

5、使用以下方法之一，查看邮箱审核日志

1）使用 Search-MailboxAuditLog 命令：

Search-MailboxAuditLog -Mailboxes CEO -LogonTypes Delegate -ShowDetails

或者

Search-MailboxAuditLog -Mailboxes CEO -LogonTypes Delegate -ShowDetails -StartDate "10/08/2011" | ？{$_.Operation -eq "SendAs"} | Select Operation,OperationResult,ClientInfoString,MailboxOwnerUPN,LogonUserDisplayName,ItemSubject

2）使用 New-MailboxAuditLogSearch 命令：

New-MailboxAuditLogSearch -StartDate “10/08/2011” -EndDate “10/09/2011” -StatusMailRecipients ceo@letsexchange.com -Mailboxes CEO,Nuno -LogonTypes Admin -ShowDetails

邮箱审核日志发送到 ceo@letsexchange.com，打开该邮箱。

打开邮箱附件：

使用 PowerShell 阅读该 XML 文件：

[XML] $ResultFile = Get-Content .\SearchResult.xml

$ResultFile.SearchResults.Event | ?{$_.Operation -eq "MessageBind"}

3）使用 ECP 工具：

打开链接 Run a non-owner mailbox access report…。

打开链接 Export mailbox audit logs…。

参考链接

Mailbox audit logging in Exchange Serverhttps://docs.microsoft.com/en-us/Exchange/policy-and-compliance/mailbox-audit-logging/mailbox-audit-logging?view=exchserver-2019