none
После включения не работает аудит почтового ящика. RRS feed

  • Вопрос

  • Два сервера Exchange2013 CU10 в DAGе на Server2012.

    Админ лог ведется. Как положено в xchange2013 по умолчанию.

    Поставили задачу включить аудит для нескольких почтовых ящиков. Проверяю на своем админском. (имя изменено)

    Включаю.

    Set-Mailbox yaadmin.s -AuditEnabled $true

    Проверяю.

    Get-Mailbox yaadmin.s | FL Audit*

    Аудит включен все ок.

    Делаю пару входов через owa и отулук. делаю пару хард делет и отправок на разные адреса. Проверяю 

    Search-MailboxAuditLog -Identity yaadmin.s -LogonTypes Delegate -StartDate 1/13/2016 -EndDate 1/14/2016 -ShowDetails

    Скрипт отрабатывает ошибок нет, как нет и результата. Через ecp тоже тишина. Подскажите куда копать? 

    14 января 2016 г. 6:13

Ответы

Все ответы

  • Здравствуйте!

    Вы своей же учетной записью все это проделали? По умолчанию действия владельца ящика не записываются. Надо настраивать дополнительно.

    • Предложено в качестве ответа Maksim BarakinEditor 14 января 2016 г. 6:42
    14 января 2016 г. 6:36
  • По задаче необходимо отслеживать так же случаи удаления писем менеджеров, Допустим менеджер получил письмо и удалил его, сказав что не получал. А получено оно из другой организации. Скажем лень работать и он сделал вид что письма не было. В этом случае он удаляет его под своей учеткой хар делетом. Конечно есть механизмы восстановления на крайний случай, но как включить аудит подобных вещей ? Да и как войти в почту не под своей учеткой если нет деллигирования. К примеру ведется аудит захода с других ip? Когда один менеджер дал пароль от почты другому (или тот его подсмотрел), а второй в свою очередь наделал дел хотя зашел в чужую учетку с правильным паролем. 
    14 января 2016 г. 6:43
  • Вы теперь все в одну кучу хотите )))

    Разный задачи можно решать используя разные механизмы.

    Отчет по ящику через search-mailbox покажет, поступило ли письмо в ящик, было ли оно прочитано(точно не помню), и куда потом оно делось. И не обязательно включать аудит который будет еще засорять систему лишними данными.

    Пример:

    Search-Mailbox -identity Manager -SearchQuery "Received: < $('31/12/2015')" -LogLevel Full -LogOnly -TargetMailbox 'adm' -TargetFolder 'Search Result'
    Пароль передали или скомпрометирован. 

    С какого IP зашел и кто - данные можете найти в логах IIS.

    Если нет делегирования, то есть Full Access permissions

    Как настроить аудит

    Например:

    Set-Mailbox -Identity "Manager" -AuditOwner HardDelete -AuditEnabled $true

    Mailbox audit logging in Exchange 2016



    • Изменено Zaza Abramov 14 января 2016 г. 7:32
    14 января 2016 г. 6:57
  • Наверное перемудрил :) 

    Как раз интересует отчет по ящику, чтобы показал читали письмо, удаляли или хотябы что-то. 

    Но вот к примеру вот эта команда 

    Search-MailboxAuditLog -Identity soloviev.a -LogonTypes Delegate -StartDate 1/13/2016 -EndDate 1/14/2016 –ShowDetails

    Выдает пустой результат. 

    Ваш запрос 

    Search-Mailbox -identity Manager -SearchQuery "Received: < $('31/12/2015')" -LogLevel Full -LogOnly -TargetMailbox 'adm' -TargetFolder 'Search Result'

    Соответственно подправленный написал что письмо мне отправил и далже размер указал но я его не вижу в оутлуке :(  Сейчас сделаю скриншот

    14 января 2016 г. 7:17
  • Вот скрин. Аудиты на обоих ящиках включены. Но 

    Search-Mailbox 

    Показывает пустоту.

    И на почту отчет не приходит, возможно придет позже размер хотябы  у него есть. А есть вообще возможность просмотреть данные действия через ecp в разделе аудит ? 

    14 января 2016 г. 7:24
  • Я кажется начинаю догадываться, что просто включение аудита толком ничего не дает, надо еще включить нужные мне опции.

    Set-Mailbox -Identity "Manager" -AuditOwner HardDelete -AuditEnabled $true

    Включит отслеживание удаления через шифт. В графе auditOwner. Сейчас попробую пойти по этому пути.

    Еще один вопрос, журналы аудита как часто обновляются? т.е. если удалить письмо я могу сразу это увидеть, или информация собирается раз в час или реже? 

    • Изменено Astra7000 14 января 2016 г. 7:50
    14 января 2016 г. 7:44

  • И на почту отчет не приходит, возможно придет позже размер хотябы  у него есть. А есть вообще возможность просмотреть данные действия через ecp в разделе аудит ? 

    В первом случае скрипт нашел два элемента. Посмотрите в ящике soloviev.a папку Search result там будет  zip архив. Содержимое лучше читать в notepad++

    Попробуйте поменяйте формат даты на д/м/г или д.м.г. ищите например от кого: -SearchQuery "From:'someuser.domain.com'"

    Запуск отчета об обращениях к почтовым ящикам от пользователей, не являющихся их владельцами
    В центре администрирования Exchange перейдите к разделу Управление соответствием требованиям > Аудит.
    Выберите команду Запустить отчет о доступе к почтовым ящикам со стороны пользователей, не являющихся владельцами.
    По умолчанию служба Microsoft Exchange запускает отчет о доступе к почтовым ящикам со стороны пользователей, не являющихся владельцами, для всех почтовых ящиков в организации за последние две недели. В почтовых ящиках, перечисленных в результатах поиска, включено ведение журнала аудита почтовых ящиков.
    Чтобы просмотреть отчет о доступе к определенному почтовому ящику со стороны пользователей, не являющихся владельцами, выберите этот почтовый ящик со списка почтовых ящиков. Просмотрите результаты поиска в области сведений.

    14 января 2016 г. 7:51
  • Еще один вопрос, журналы аудита как часто обновляются? т.е. если удалить письмо я могу сразу это увидеть, или информация собирается раз в час или реже? 

    Раз в сутки идет выгрузка и консолидация.

    Сазонов Илья

    https://isazonov.wordpress.com/

    14 января 2016 г. 8:11
    Модератор
  • Получается если письмо удалили сегодня, информация об этом будет доступна только на следующий день? Или есть способы быстро разобраться в логах?
    14 января 2016 г. 8:38
  • Принимайте как факт. Разработчики в курсе ситуации, но будут ли что-то делать.... Можете открыть кейс и сделать запрос.

    Сазонов Илья

    https://isazonov.wordpress.com/

    14 января 2016 г. 8:44
    Модератор
  • Буду знать, подожду отчета. Хотел последний вопрос задать.

    Есть ли в Exchange 2013 возможность посмотреть с какого ip было отправлено письмо? Я имею в виду конечно письма с нашей почты. К примеру во сколько с какого ip было отправлено письмо с почтового ящика скажем petrov.v ?

    14 января 2016 г. 9:03
  • В заголовке самого письма может быть заголовок X-Originating-IP

    Это можно посмотреть в Outlook.


    Сазонов Илья

    https://isazonov.wordpress.com/

    14 января 2016 г. 10:09
    Модератор
  • Доброе утро коллеги.

    Была аналогичная ситуация. Успешно решена. Возможно кому то будет полезно. Так же не работал аудит никаких ящиков. Поиск в интернете привел к аналогичным проблемам с немецким языком.

    А ларчик просто открывался.

    https://support.microsoft.com/en-us/help/3054391

    Вся проблема заключалась в формате языка.

    Exchange 2013 у нас стоит английский, а формат и языковые настройки для системы у нас стояли русские, видимо скрипт, который отвечает за поиск аудита, не умеет работать с разными языковыми форматами. После установки для системного аккаунта английского языка и английского формата и перезагрузки (именно перезагрузки) всех серверов с Exchange, поиск по аудиту стал работать.

    


    • Изменено Danish Alexander 17 февраля 2017 г. 8:04
    • Предложено в качестве ответа Danish Alexander 17 февраля 2017 г. 8:05
    17 февраля 2017 г. 8:03