none
Herausfinden wer Kalendereintrag editiert/löscht RRS feed

  • Frage

  • Hallo Exchange-Kollegen

    Ich stehe vor folgendem Problem. Ein Abteilungsleiter hat sein Kalender 2 Sektretärinen freigegeben (FULL-Access). Diese verwalten auch seine Termine. Nun scheint es so das einige Termne welche gesetzt werden plötzlich verschwinden. Ich stehe wie der Esel am Berg. Wo muss ich anfangen?

    Mittels "Get-MessageTrackingLog" komme ich ja nicht weiter...

    Könnte es ein Client-Problem sein (Outlook 2010 (WSUS)). Wir verwenden den Cache-Modus. Ausserdem ist ein ActiveSync mittels Iphone im Spiel.

    Unter den gelöschten Objekten findet sich ebenfalls keiner der Termine

    Danke & Gruss

    florian

    Freitag, 17. August 2012 11:19

Antworten

  • Hi florian Winkelried,

    Gut den Owner-Schalter hast du gefunden:
    Auditing of mailbox owner actions can generate a large number of mailbox audit log entries and is therefore disabled by default. We recommend that you only enable auditing of specific owner actions needed to meet business or security requirements
    http://technet.microsoft.com/en-us/library/ff461937

    Daraufhin habe ich per Set-Mailbox -Auditowner aktiviert:

    AuditEnabled     : True
    AuditLogAgeLimit : 90.00:00:00
    AuditAdmin       : {Update, Move, MoveToDeletedItems, SoftDelete, .....)
    AuditDelegate    : {Update, SoftDelete, HardDelete, SendAs, Create}
    AuditOwner       : {Update, Move, SoftDelete, HardDelete, Create}

    Du hast es auch beim BenutzerA aktiviert?!? Komisch... Bypass ist nicht aktiv?
    http://technet.microsoft.com/en-us/library/ff461934


    Viele Grüße
    Christian

    Mittwoch, 29. August 2012 14:00
    Moderator

Alle Antworten

  • Hi florian Winkelried,

    hast du auch den serverseitigen Papierkorb beim Abteilungsleiter und Sekretärin geprüft?

    Du könntest versuchen mit dem AuditLogging weiter zu kommen:
    http://technet.microsoft.com/en-us/library/ff459237.aspx
    http://www.msxfaq.de/konzepte/auditing.htm
     -- Viele Grüße
    Christian

    Freitag, 17. August 2012 19:22
    Moderator
  • Ergänzend zu Christian:

    Ausserdem ist ein ActiveSync mittels Iphone im Spiel.

    HIER würde ich unbedingt auch ansetzen.

    Auditlog, wie Christian schreibt, hilft Dir zumindest schon mal weiter, wer die Termine löscht.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 17. August 2012 19:34
  • Hi,

    HIER würde ich unbedingt auch ansetzen.

    vielleicht kannst du ja nachvollziehen, wann die Termine verschwinden: Immer beim Sync? Ist auf dem AppleDevice eine aktuelle Fw?


    Viele Grüße
    Christian

    Samstag, 18. August 2012 06:54
    Moderator
  • Hallo zusammen

    Danke für eure Hilfe. Ich war leider einige Zeit nicht erreichbar.

    Nun leider ist das Auditlog nicht aktiv. So kann ich in der Vergangenheit nichts nachverfolgen. Ich denke dass ich nun das Auditlog mal aktiviere und das ganze im Auge behalte.

    Gemäss User handelt es sich nur um Ganztagestermine. Wie gesagt wird ein IPhone (Version 902.179) und ein IPad (902.206) synchroinisiert.  Hatte schon jemand Probleme damit?

    Gruss
    florian

    Donnerstag, 23. August 2012 12:20
  • Hallo zusammen

    ich weiss jetzt wie ich das Audit-Log aktivieren und exportieren kann aber wo wird es gespeichert? Muss ich dafür  Speicherplatz oder andere Ressourcen einplanen?

    Danke & Gruss

    florian

    Montag, 27. August 2012 09:18
  • Hi Florian,

    das Audit-Log kann individuell noch auf deine Bedürnisse angepasst werden (welche "Befehle" bzw. "Tätigkeiten" überwacht werden sollen.

    Standardmäßig wird das Log 1 Jahr aufbewahrt. Die Ausgabe in der .xml-Datei benötigt nicht sehr viele Ressourcen - diese Datei wird maximal 10 MB groß.

    http://technet.microsoft.com/en-us/library/ff459262.aspx --> "The XML file is then sent to a recipient as an e-mail attachment. The maximum size of the XML file is 10 megabytes (MB)."

    http://technet.microsoft.com/de-de/library/dd335109.aspx

    Gruß

    Dominik

    Ach ja: gespeichert werden die Daten in einer "Arbitration Mailbox" - Ab Exchange 2010 SP1 wird diese automatisch angelegt. Somit wird die Verfälschung der Daten auf Dateiebene erschwert.


    NewCoTec GmbH MCITP: Enterprise Administrator 2008 MCITP: Enterprise Messaging Administrator 2010 MCTS: Windows 7, Configuring CCNA: Cisco Certified Network Associate


    Dienstag, 28. August 2012 08:27
  • Ich habe nun das Audit Log aktiviert:

    Set-Mailbox BenutzerA -Auditenabled $True
    Ergebnis:
    AuditEnabled     : True
    AuditLogAgeLimit : 90.00:00:00
    AuditAdmin       : {Update, Move, MoveToDeletedItems  SoftDelete, HardDelete, FolderBind, SendAs, S
                       endOnBehalf, Create}
    AuditDelegate    : {Update, SoftDelete, HardDelete, SendAs, Create}
    AuditOwner       : {}

    Nun habe ich ein paar Mails und Kalender gelöscht kann aber nichts im Log finden...

    Was mache ich falsch ?

    Danke & Gruss
    florian


    Dienstag, 28. August 2012 15:39
  • Hi florian,

    was gibt dir denn
     Search-MailboxAuditLog BenutzerA -ShowDetails |FT
    zurück?

    Eigentlich sieht es gut aus - löschst du als Owner?


    Viele Grüße
    Christian

    Mittwoch, 29. August 2012 05:17
    Moderator
  • Hallo Christian

    Ja ich lösche als Owner jedoch müsste ich zum späteren Zeitpunkt alle Änderungen aufzeichnen. Auch solche die ein Nicht-Owner macht.

    search-Mailbox-Auditlog ergibt: 

    PSComputerName RunspaceId Operation OperationResult LogonType ExternalAccess FolderId FolderPathName ClientInfoString
    sxx05.kt.gr.ch e25ddc9c-5ac4-4cb6-b2fd-840cbddc2864 FolderBind Succeeded Admin False LgAAAADFdTG62eMpTZJJsPJD4HQzAQB4nG1M9jI8TbvDiAfRUkvmAAAAALaOAAAB \Recoverable Items Client=Management;Action=E-Discovery;Interactive=False
    sxx05.kt.gr.ch e25ddc9c-5ac4-4cb6-b2fd-840cbddc2864 FolderBind Succeeded Admin False LgAAAABuiKi8kSDrSrXRLsMJd57SAQDMsuR8nvp9TYzOGvVg4YSxAAAAtVHGAAAB \Recoverable Items

    Client=Management;Action=E-Discovery;Interactive=False

    Danke & Gruss

    florian

    Mittwoch, 29. August 2012 08:54
  • Hallo zusammen

    ich bin mittlerweile einen Schritt weiter. Das Problem ist mittlerweile nur das wenn BenutzerA ein Element löscht ich das in den AuditLogs nicht sehe.

    Daraufhin habe ich per Set-Mailbox -Auditowner aktiviert:

    AuditEnabled     : True
    AuditLogAgeLimit : 90.00:00:00
    AuditAdmin       : {Update, Move, MoveToDeletedItems, SoftDelete, .....)
    AuditDelegate    : {Update, SoftDelete, HardDelete, SendAs, Create}
    AuditOwner       : {Update, Move, SoftDelete, HardDelete, Create}

    Leider sehe ich immer noch nichts wenn der Owner etwas löscht...

    Danke & Gruss

    florian

    Mittwoch, 29. August 2012 12:35
  • Hi florian Winkelried,

    Gut den Owner-Schalter hast du gefunden:
    Auditing of mailbox owner actions can generate a large number of mailbox audit log entries and is therefore disabled by default. We recommend that you only enable auditing of specific owner actions needed to meet business or security requirements
    http://technet.microsoft.com/en-us/library/ff461937

    Daraufhin habe ich per Set-Mailbox -Auditowner aktiviert:

    AuditEnabled     : True
    AuditLogAgeLimit : 90.00:00:00
    AuditAdmin       : {Update, Move, MoveToDeletedItems, SoftDelete, .....)
    AuditDelegate    : {Update, SoftDelete, HardDelete, SendAs, Create}
    AuditOwner       : {Update, Move, SoftDelete, HardDelete, Create}

    Du hast es auch beim BenutzerA aktiviert?!? Komisch... Bypass ist nicht aktiv?
    http://technet.microsoft.com/en-us/library/ff461934


    Viele Grüße
    Christian

    Mittwoch, 29. August 2012 14:00
    Moderator
  • Hallo Christian

    Danke für deinen Hinweis, das fehlt natürlich noch.

    Nun abschliessend folgende Zusammenfassung. Um bei einem Postfach alle Änderungen vom Owner und anderen Benutzern zu überwachen muss sowohl:

    • Set-Mailbox BenutzerA -Auditenabled $True -auditowner "Create,Update, Softdelete......"

    wie auch:

    • Set-MailboxAuditBypassAssociation -Identity BenutzerA -AuditBypassEnabled $false

    setzen?

    Danke & Gruss

    Florian

    Donnerstag, 30. August 2012 12:24
  • Hallo zusammen

    ich habe nun folgendes gemacht aber es wird komischerweise nicht alles gelogt:

    Set-Mailbox -Identity "BenutzerA" -AuditEnabled $true
    Set-Mailbox -Identity "BenutzerA" -auditowner create, update, move, softdelete, hardDelete
    Set-MailboxAuditBypassAssociation -Identity "BenutzerA" -AuditBypassEnabled $true

    Mit Get jeweils überprüft ob die Werte auch wirklich gesetzt sind. Es scheint als habe es nur zu beginn funktioniert. Komisch....

    Gruss
    florian

    Freitag, 31. August 2012 09:39