none
Abilitare auditing per All non­-owners (Exchange2013) RRS feed

  • Domanda

  • Salve a tutti,

    ho un problema con l'abilitazione dei log per i non-owners di un recipient.

    di seguito i passi che ho fatto e la mia configurazione:

    1 DC, 1MBX, 1CAS tutti con Win2012R2.
    Exchange versione 2013 SP1

    1° Step) ho abilitato il controllo fullaccess del recipient che voglio monitorare, quindi ho dato ad administrator il fullaccess di una mailbox di un utente:
    Add-MailboxPermission Mario -AccessRights fullaccess –user Administrator

    Poi ho abilitato i log in tutte le mailbox della mia organizzazione:

    Get-Mailbox | Set-Mailbox -AuditEnabled $true

    Infatti se verifico con il comendo: Get-Mailbox -Identity "Mario Rossi" | FL *audit*

    Vedo i log abilitati per (accesso, cancellazione soft, cancellazione hard ecc)Poi apro owa con il profilo administrator e faccio apri mailbox di altro utente, scegli Mario Rossi, entro nella mailbox e cancello un paio di messaggi sia soft che hard, invio qualche messaggio ecc.

    Successivamente apro la console ECP vado in Compliance management\Auditing\Run a non­owner mailbox access report

    scelgo in "Search for access" All non­owners, e clicco Search.
    Il sistema trova l'accesso alla mailbox Mario Rossi fornendo data e ora ma nella parte destra dove dovrei vedere il tipo di log non vedo nulla tranne che un messaggio di notifica:
    There are no audit logs associated with the user. The audit logs have been deleted.

    Ho provato ad attendere ore, riavviare ma niente, nonostante i log abilitati il sistema mi dice che non sono associati log a quella mailbox.
    Ho cercato in giro ma non trovo nulla che possa aiutarmi, avete mai avuto lo stesso problema.

    domenica 2 agosto 2015 07:48

Risposte

  • Ho appena fatto una prova e il problema dovrebbe essere quello.

    Devi andare nei regional settings del server Exchange e impostare date, time e numbers nel formato "English United States), poi nel tab "Administrative" selezione "copy settings" mettendo il flag su "Welcome Screen and System Accounts".

    La documentazione dice che va fatto un reboot del server ma credo che la modifica sia attiva da subito.

    Prova e fammi sapere.

    Roberto 



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    • Contrassegnato come risposta mivex giovedì 6 agosto 2015 07:59
    mercoledì 5 agosto 2015 14:30
    Moderatore

Tutte le risposte

  • Quando abiliti l'audit log su una mailbox devi attendere che giri il processo "Mailbox Assitant" oppure lo puoi forzare da EMS con Start-ManagedFolderAssistant

    Ma a questo punto, se il problema permane, il problema non era quello :-)

    Prova a interrogare l'audit log da EMS:

    Search-MailboxAuditLog mailboxidentity -ShowDetails

    In questo modo trova qualcosa?

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    domenica 2 agosto 2015 22:04
    Moderatore
  • Ho provato a forzarlo con Start-ManagedFolderAssistant da shell

    poi ho riprovato ad accedere alla mailbox da altro utente, inviato e cancellato un messaggio, 

    ho lanciato anche da Shell : Search-MailboxAuditLog Mario -ShowDetails
    ma non mi da nulla.

    Da EAC invece, sembra che veda l'accesso alla mailbox ma non tracci i log, mi da sempre il solito messaggio:

    There are no audit logs associated with the user. The audit logs have been deleted.

    Tra l'altro ho notato che come ultimo accesso alla mailbox dal non-owner mi da la data del primo accesso e non dell'ultimo come dovrebbe essere.....

    lunedì 3 agosto 2015 06:43
  • Nessun altro suggerimento?
    mercoledì 5 agosto 2015 07:01
  • Potrebbe essere un bug legato ai regional settings del server Exchange, vedi se è il tuo caso:

    https://support.microsoft.com/en-us/kb/3054391

    Altra cosa, Exchange 2013 SP1 vuol dire Febbraio 2014, valuterei seriamente l'update a CU9.

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 5 agosto 2015 13:20
    Moderatore
  • Ho appena fatto una prova e il problema dovrebbe essere quello.

    Devi andare nei regional settings del server Exchange e impostare date, time e numbers nel formato "English United States), poi nel tab "Administrative" selezione "copy settings" mettendo il flag su "Welcome Screen and System Accounts".

    La documentazione dice che va fatto un reboot del server ma credo che la modifica sia attiva da subito.

    Prova e fammi sapere.

    Roberto 



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    • Contrassegnato come risposta mivex giovedì 6 agosto 2015 07:59
    mercoledì 5 agosto 2015 14:30
    Moderatore
  • Si pare che il problema sia quello, lo confermano anche altre fonti.
    Nel mio caso però non va comunque, ho settato tutto come suggerito, sia sul CAS che sul MBX per non trascurare nulla, ho riavviato, ho prodotto attività che potessero generare log ma non cambia nulla.

    Sicuramente sarà un problema si regional settings, quindi rivedrò tutto con calma.
    Ho letto che potrebbe dipendere anche da una corruzione degli indici:
    "Exchange Search services - corrupted indexes of the default mailbox database.Rebuilding indexes as described in the article below and restarting search services fixed the problem of showing MailboxAuditLog results."

    Certo che non rilasciare fix per una cosa cosi importante è assurdo.

    giovedì 6 agosto 2015 08:34