Экспорт журналов аудита почтовых ящиков

 

Применимо к: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Последнее изменение раздела: 2011-11-23

Если для почтового ящика включен аудит почтовых ящиков, Microsoft Exchange ведет запись действий над данными в почтовом ящике со стороны пользователей, не являющихся владельцами. Записи заносятся в журнал аудита почтового ящика. В каждой записи указывается, кто, когда и как обращался к почтовому ящику, был ли это пользователь, отличный от владельца, какие действия он выполнял и были ли они успешными. По умолчанию записи в журнале аудита почтового ящика хранятся в течение 90 дней. По журналу аудита почтовых ящиков можно определить, обращался ли к почтовому ящику пользователь, не являющийся его владельцем.

При экспорте записей из журналов аудита почтовых ящиков Microsoft Exchange сохраняет их в XML-файле и вкладывает его в сообщение электронной почты, отправляемое указанным получателям.

В этом разделе рассматривается следующее.

Настройка ведения журнала аудита почтовых ящиков

Для экспорта и просмотра журналов аудита почтовых ящиков ведение журнала аудита почтовых ящиков следует включить для всех почтовых ящиков, по которым следует вести аудит. Также следует разрешить XML-вложения в Outlook Web App.

Включение ведения журнала аудита почтовых ящиков

Ведение журнала аудита почтовых ящиков включается для всех почтовых ящиков, по которым следует составлять отчет о доступе пользователей, не являющихся владельцами. Если ведение журнала аудита почтовых ящиков не включено для почтового ящика, экспорт не даст результатов.

Чтобы включить ведение журнала аудита почтовых ящиков для почтового ящика, выполните следующую команду PowerShell:

Set-Mailbox <Identity> -AuditEnabled $true

Чтобы включить аудит для всех почтовых ящиков пользователей в организации, выполните следующие команды:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Включение XML-вложений в Outlook Web App

При экспорте журнала аудита почтовых ящиков Microsoft Exchange вкладывает журнал аудита в XML-файле в сообщение электронной почты. Тем не менее по умолчанию XML-вложения блокируются в Outlook Web App. Следует разрешить в Outlook Web App XML-вложения, чтобы можно было открыть вложенный журнал аудита.

Выполните следующую команду, чтобы разрешить XML-вложения в Outlook Web App:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
Экспорт журнала аудита почтовых ящиков

  1. Последовательно выберите команды «Моя организация» > «Роли и аудит» > «Аудит».

  2. Выберите команду «Экспорт журналов аудита почтовых ящиков».

  3. Настройте следующие условия поиска для экспорта записей из журнала аудита почтовых ящиков:

    • Начальная и конечная даты   Задайте диапазон дат для записей в экспортируемом файле.

    • Почтовые ящики для поиска в журнале аудита   Выберите ящики, для которых следует извлечь записи журнала аудита.

    • Тип доступа, отличный от владения   Выберите один из следующих вариантов, чтобы определить тип доступа, для которого извлекаются записи:

      • Все пользователи, не являющиеся владельцами   Поиск обращений администраторов и делегированных пользователей организации, а также администраторов центров данных корпорации Майкрософт.

      • Внешние пользователи   Поиск обращений только от администраторов центров данных корпорации Майкрософт.

      • Администраторы и пользователи-делегаты   Поиск обращений администраторов и делегатов из организации.

      • Администраторы   Поиск обращений от администраторов организации.

    • Получатели   Выберите пользователей, которым следует отправить журнал аудита почтовых ящиков.

  4. нажмите кнопку «Экспорт».

    Microsoft Exchange извлекает записи из журнала аудита почтовых ящиков, соответствующие заданным условиям, сохраняет их в файле SearchResult.xml и вкладывает его в сообщение электронной почты, отправляемое указанным получателям.

  5. Нажмите кнопку «Экспорт».

    Microsoft Exchange извлекает записи из журнала аудита администратора, соответствующие заданным условиям, сохраняет их в файле SearchResult.xml и вкладывает его в сообщение электронной почты, отправляемое указанным получателям.

Примечание. Для доступа к отчетам на вкладке «Отчеты аудита» в панели управления Exchange и для их запуска пользователь должен обладать соответствующими разрешениями. Дополнительные сведения см. в подразделе «Предоставление пользователям доступа к отчетам аудита» раздела Использование отчетов аудита в Exchange Online.

Просмотр журнала аудита почтовых ящиков

Чтобы открыть или сохранить файл SearchResult.xml:

  1. Войдите в почтовый ящик, куда был отправлен журнал аудита почтовых ящиков.

  2. В папке «Входящие» откройте сообщение с вложенным XML-файлом, отправленное Microsoft Exchange. Обратите внимание, что в тексте сообщения указаны условия поиска.

  3. Щелкните вложение и выберите соответствующую команду, чтобы сохранить или открыть XML-файл.

Записи в журнале аудита почтовых ящиков

В следующем примере показана запись из журнала аудита почтовых ящиков, содержащаяся в файле SearchResult.xml. Каждую запись предваряет XML-тег <Event>, а завершает XML-тег </Event>. В этой записи указывается, что администратор удалил сообщение с темой "Notification of litigation hold" из папки элементов для восстановления в почтовом ящике tamaraj 30 апреля 2010 г.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\tamaraj50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=tamaraj@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>
Полезные поля в журнале аудита почтовых ящиков

Обратите внимание на эти поля. Они помогают получить нужные сведения о всех видах обращений к почтовому ящику от пользователей, не являющихся владельцами.

 

Поле Описание

Owner

Это владелец почтового ящика, к которому обратился пользователь, не являющийся владельцем.

LastAccessed

Дата и время обращения к почтовому ящику.

Operation

Выполненное пользователем действие. Дополнительные сведения см. в подразделе «Что заносится в журнал аудита почтовых ящиков?» статьи Запуск отчета об обращениях к почтовым ящика от пользователей, не являющихся их владельцами

OperationResult

Успешность выполненного пользователем действия.

LogonType

Тип обращения пользователя. Это может быть администратор, делегат или внешний пользователь.

FolderPathName

Имя папки, в которой находилось сообщение, затронутое пользователем.

ClientInfoString

Сведения о почтовом клиенте, который пользователь использует для обращения к почтовому ящику.

ClientIPAddress

IP-адрес компьютера, который пользователь использует для обращения к почтовому ящику.

InternalLogonType

Тип учетной записи, которую пользователь использует для обращения к почтовому ящику.

MailboxOwnerUPN

Адрес электронной почты владельца почтового ящика.

LogonUserDN

Отображаемое имя пользователя.

Subject

Тема сообщения электронной почты, затронутого пользователем.

 
Связанные разделы справки
Идет загрузка...
Ресурсы не найдены.