none
exchange2010sp3 邮箱用户行为日志 RRS feed

  • 问题

  • exchange2010sp3

    我想要知道几点几分,某个用户使用什么模式,在哪个ip登录了邮箱,是否登录成功之类的信息。

    是否有日志可以提供让我查询?

    2018年1月25日 1:52

答案

  • 您好,

    我们可以查看IIS日志和Rpc Client Access日志来查看,这些日志里面会记录客户端的IP地址,访问的协议及登录账户的信息。

    IIS log:
    默认位置:C:\inetpub\logs\LogFiles\W3SVC1
    记录OWA, ActiveSync, ECP, EWS (includes Outlook 2011 and OS X mail clients)的连接请求。
    For example:
    2017-03-28 02:33:25 fe80::cce2:b193:1b07:74f7%12 POST /owa/auth.owa &CorrelationID=<empty>;&cafeReqId=af09dd09-ada4-461d-8cd5-8d70860021af;&encoding=; 443 
    contoso\three fe80::cce2:b193:1b07:74f7%12 Mozilla/5.0+(Windows+NT+6.3;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 
    https://exc2016.contoso.com/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fexc2016.contoso.com%2fowa%2f 302 0 0 31

    RPC client Access Log:C:\Program Files\Microsoft\Exchange Server\V14\Logging\RPC Client Access
    记录Outlook客户端
    For example:
    2017-03-28T03:16:17.456Z,2131,1,/o=Contoso/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae25789565b477f9abd43c5940c8f5b-test16,,
    OUTLOOK.EXE,14.0.6025.1000,Classic,192.168.0.51,,,ncacn_http,Client=MSExchangeRPC,97ba2552-352e-420c-a8fc-75fb789b5b73|ff2ecc61-9378-45a6-aa57-91c010db1757,"""{E0AA311E-7A89-4693-ADB1-22DB4E703E5E}""",
    OwnerLogon,0,00:00:00.1870000,"Logon: Owner, /o=Contoso/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae25789565b477f9abd43c5940c8f5b-test16 in 
    database 89e656e8-05c3-41f8-813b-4de95004dfe2 last mounted on EXC2016.contoso.com; 
    LogonId: 0",,,,test16@contoso.com,,

    此致,
    敬礼

    Allen Wang


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年1月25日 9:20