none
Аудит Exchange 2013 не работает после включения. RRS feed

  • Вопрос

  • Два сервера Exchange 2013 CU 10 в Dage 
    Включаю аудит на двух почтовых ящиках. 
    Set-Mailbox -Identity Testmail2 -AuditEnabled $true 
    и втором соответственно 
    Далее проверяю 
    Get-Mailbox testmail2 | FL Audit* 
    Показывает что аудит включен. 
    Делаю на обоих ящиках хард делеты создаю письма, захожу с других ip через owa. Проверяю 
    Search-MailboxAuditLog -Identity testmail2 -LogonTypes Delegate -StartDate 1/13/2016 -EndDate 1/18/2016 –ShowDetails 
    Повершел отрабатывает, ошибки нет. Результат пустой. 
    Делаю запрос 
    Search-Mailbox -identity testmail2 -SearchQuery "Received: < $('18/1/2016')" -LogLevel Full -LogOnly -TargetMailbox 'testmail1' -TargetFolder 'Search Result'. 
    Через час приходит письмо с пустым результатом. 
    Проверял на следующий день, сделав так же кучу разных операций от хард делита до захода с разных ip. То же самое. Такие эксперименты провожу уже 5 тый день. В ECP в разделе аудит тоже ничего не выдает. Уже не знаю куда копать все обновления стоят, (CU11 еще не накатывал).
    19 января 2016 г. 9:55

Ответы

  • Т.е. аудит работает только в случаях с делегированием ящика ?

    Так, давайте попробуем еще раз.

    Допустим вы включили аудит для ящика Testmail2

    Set-Mailbox -Identity Testmail2 -AuditEnabled $true 

    Если вы выполните команду, которую вам подсказал Максим, то увидите, что по умолчанию журнал ведется не для всех пользователей и не для всех событий.

    Get-Mailbox Testmail2 | fl *audit*

    Вам нужна строка:AuditOwner.

    Для того, что бы вести запись действий пользователя, нужный дополнительные настройки, например:

    Set-Mailbox Testmail2 -AuditOwner "HardDelete,SoftDelete,MoveToDeletedItems"

    Подождите пару часиков, удалите тестовые сообщения и попробуйте посмотреть журнал:

    Search-MailboxAuditLog -Identity Testmail2 -LogonTypes Owner -StartDate (Get-Date).AddHours(-2) -ShowDetails | fl operation*,logonuserdisplayname,sourceitemsubject*,sourceitemfolder*




    19 января 2016 г. 15:27

Все ответы

  • Добрый день.

    В тестируемые ящики кем заходите? 


    Blog - Smtp25.ru
    Полезные ссылки - Links

    19 января 2016 г. 11:21
    Отвечающий
  • соответственно под теми же пользователями на кого они заведены. Те. на testmail1 захожу с аккаунта testmail1 и на testmail2 под аккаунтом testmail2
    19 января 2016 г. 11:58
  • По умолчанию, события для владельцев ящика не пишутся, даже если включен аудит. Проверить это можно командой (атрибут AuditOwner - его нужно настраивать отдельно):

    Get-Mailbox mailbox.name | fl *audit*


    Blog - Smtp25.ru
    Полезные ссылки - Links

    19 января 2016 г. 12:00
    Отвечающий
  • Подумал "Дежавю", но После включения не работает аудит почтового ящика

    Мы же это уже обсуждали )

    1. Не достатачно "Set-Mailbox -Identity Testmail2 -AuditEnabled $true". Аудит нужно настраивать, а не только включать.

    2. Search-MailboxAuditLog -Identity testmail2 -LogonTypes Delegate - Вы заходите не делегатом а владелцем ящика, соответсвенно там записей и нет. Об этом тоже вам уже говорили.

    3. "Search-Mailbox -identity testmail2 -SearchQuery "Received: < $('18/1/2016')" -LogLevel Full -LogOnly -TargetMailbox 'testmail1' -TargetFolder 'Search Result'. " - на лицо некорректное использование. Данный скрипт надо доработать под вашу среду Exchange. Зависит от локализации, и региональных настроек. 

     
    19 января 2016 г. 13:11
  • Т.е. аудит работает только в случаях с делегированием ящика ?
    19 января 2016 г. 14:51
  • Т.е. аудит работает только в случаях с делегированием ящика ?

    Так, давайте попробуем еще раз.

    Допустим вы включили аудит для ящика Testmail2

    Set-Mailbox -Identity Testmail2 -AuditEnabled $true 

    Если вы выполните команду, которую вам подсказал Максим, то увидите, что по умолчанию журнал ведется не для всех пользователей и не для всех событий.

    Get-Mailbox Testmail2 | fl *audit*

    Вам нужна строка:AuditOwner.

    Для того, что бы вести запись действий пользователя, нужный дополнительные настройки, например:

    Set-Mailbox Testmail2 -AuditOwner "HardDelete,SoftDelete,MoveToDeletedItems"

    Подождите пару часиков, удалите тестовые сообщения и попробуйте посмотреть журнал:

    Search-MailboxAuditLog -Identity Testmail2 -LogonTypes Owner -StartDate (Get-Date).AddHours(-2) -ShowDetails | fl operation*,logonuserdisplayname,sourceitemsubject*,sourceitemfolder*




    19 января 2016 г. 15:27