none
Аудит действий с письмом в Exchange 2010 RRS feed

  • Общие обсуждения

  • Всем привет!
    Стоит нетривиальная задача.
    Отследить в общих ящиках движение писем. Допустим, есть общий ящик, к которому имеют доступ несколько человек. В какой-то момент письмо переместили между папками, удалили. Вопрос - кто и когда это сделал?
    MailboxAudit включил, все вроде нормально.

    AuditEnabled : True
    AuditLogAgeLimit : 90.00:00:00
    AuditAdmin : {Update, Copy, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, M
    essageBind, Create}
    AuditDelegate : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
    AuditOwner : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, Create}

    Проблема в том, что ID письма при каждом действии с письмом меняется.
    Было:
    SourceItems : { RgAAAADp1a0gVu+dSbSBlpAwFqicBwDgIHMd5BqRSalTh3pq+VEsALCw+4CGAADgIHMd5BqRSalTh3pq+VEsA
    OOjyiwBAAAA}

    Удалил:
    SourceItems : { RgAAAADp1a0gVu+dSbSBlpAwFqicBwDEJQsR06OGRZRAbJzcTO08AAAAceQWAADEJQsR06OGRZRAbJzcTO08A
    ADDbj5sAAAA}

    Может кто сталкивался? Помогите, плз.
    8 апреля 2019 г. 8:50

Все ответы

  • Попробуйте использовать ItemEntryID  для поиска писем через mfc mapi подключенный к ящику.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    10 апреля 2019 г. 13:04
    Модератор
  • Да вот не хотелось бы ставить какое-то дополнительное ПО. Стандартными средствами (powershell, например) никак нельзя?
    10 апреля 2019 г. 15:36
  • Привет.

    Включите аудит на все действия в почтовом ящике.

    Пример.

     Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox" -or RecipientTypeDetails -eq "SharedMailbox" -or RecipientTypeDetails -eq "RoomMailbox" -or RecipientTypeDetails -eq "DiscoveryMailbox"} | Set-Mailbox -AuditEnabled $true -AuditLogAgeLimit 365 -AuditAdmin Update, MoveToDeletedItems, SoftDelete, HardDelete, SendAs, SendOnBehalf, Create, UpdateFolderPermission -AuditDelegate Update, SoftDelete, HardDelete, SendAs, Create, UpdateFolderPermissions, MoveToDeletedItems, SendOnBehalf -AuditOwner UpdateFolderPermission, MailboxLogin, Create, SoftDelete, HardDelete, Update, MoveToDeletedItems  


    MCITP, MCSE. Regards, Oleg

    10 апреля 2019 г. 17:26
    Модератор
  • Так у меня и так всё включено (см. первое сообщение). Единственно, чего нет, по сравнению с вашим выводом - это UpdateFolderPermission и MailboxLogin. Они не включаются.

    Ошибка: "Не удается преобразовать значение "MailboxLogin" в  тип "Microsoft.Exchange.Data.Directory.MailboxAuditOperations" из-за недопустимых значений перечисления.

    Ошибка: "Не удается преобразовать значение "UpdateFolderPermission" в тип "Microsoft.Exchange.Data.Directory.MailboxAuditOperations" из-за недопустимых значений перечисления.

    11 апреля 2019 г. 3:40
  • Возможно, так как использую в O365 и Exchange 2016..

    У вас включено Litigation Hold для этого ящика?


    MCITP, MCSE. Regards, Oleg

    11 апреля 2019 г. 13:23
    Модератор
  • Нет, Litigation Hold не включал.
    12 апреля 2019 г. 7:47