none
使用者郵件稽核紀錄Search-MailboxAuditLog RRS feed

  • 問題

  • 各位前輩好

         小弟之前有在這邊詢問管理者稽核紀錄...目前已經OK...不過關於使用者稽核問題我想請請問一下

    在ECP管理網頁這邊有<label for="ResultPanePlaceHolder_ExchangeServer_Logs_contentContainer_chkMessageTrackingLogEnabled" id="ResultPanePlaceHolder_ExchangeServer_Logs_contentContainer_chkMessageTrackingLogEnabled_label">Enable message tracking log 我從這邊路徑下有抓到一些寄送的資訊</label>

    然後我也有在Exchange Shell這邊執行以下的動作去監控特定使用者(比如說他叫做Ben Smith)

    <label for="ResultPanePlaceHolder_ExchangeServer_Logs_contentContainer_chkMessageTrackingLogEnabled" id="ResultPanePlaceHolder_ExchangeServer_Logs_contentContainer_chkMessageTrackingLogEnabled_label"></label>然後我從此這帳號跟其他帳號做mail互相寄信跟此帳號做Mail 移動與刪除的相關行為

    但是我執行Search-MailboxAuditLog 去檢視卻沒有任何紀錄...這是正常的嬤?


    wyldkao

    2020年10月20日 上午 09:50

解答

  • 您好:

    上面的第二張圖是導出到csv的搜索結果,可以通過以下的命令行實現:

    search-mailboxauditlog -identity "Ben Smith" -showdetails | Export-csv -path c:\test\audit.csv


    如果您想記錄該郵箱的所有操作您只需在郵箱操作者(包括-AuditAdmin,-AuditDelegate,-AuditOwner)後面添加所有要記錄的行爲即可,關於這些參數的可選值我們可以查看官方文檔:Set-Mailbox

    添加需要記錄的操作或將所有操作寫在參數后,用逗號隔開即可。

    Set-Mailbox -Identity "Ben Smith" -AuditAdmin Copy,MessageBind,FolderBind -AuditEnabled $true

    此致,

    Joyce Shen


    如果以上回復對您有所幫助,建議您將其“標記為答复”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們tnsf@microsoft.com.

    2020年10月22日 上午 08:45

所有回覆

  • 您好:

    請問您當前的Exchange服務器版本是什麽?

    根據您上面提供的命令行,您應該已經正確設置了要記錄的郵箱審核操作。

    這裏有一篇官方KB介紹了您上面提到的問題,解決方案是將服務器上的系統和網絡服務賬戶的語言和區域設置為English (United States)

    詳情:Empty results are returned when you run Search-AdminAuditLog or Search-MailboxAuditLog with a parameter in Exchange Server

    另外也看到有導致該問題的原因是郵箱數據庫索引的損壞,您可通過以下命令行檢查

    Get-MailboxDatabaseCopyStatus * | ft -auto

    如確實是由於索引損壞導致,可按此文章的步驟進行修復

    How to Fix a Failed Database Content Index for Exchange Server 2013

    此致,

    Joyce Shen


    如果以上回復對您有所幫助,建議您將其“標記為答复”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們tnsf@microsoft.com.

    2020年10月21日 上午 05:37
  • 您好....

        目前是英文版OS(當初為了安裝某產品要給原廠工程師看所以是安裝英文版本)

    使用您的指令檢查,目前是健康的

    另外請教一下.....所以如果照我問題中設定指令執行.....然後對該使用者進行Mail的行為(搬移/刪除)...這樣執行 Search-MailboxAuditLog  應該是要有資料 顯示出來的....沒錯吧???因為如果是該顯示資料卻沒有..那至少我可以把問題縮限在這邊~~


    wyldkao

    2020年10月21日 上午 05:48
  • 您好:

    根據您上面提供的命令行,將對以下操作進行記錄:

    • 郵箱代理者使用該郵箱代理發送(SendAs, SendOnBehalf)
    • 管理員訪問該郵箱文件夾與郵件的時間
    • 郵箱所有者硬刪除郵件

    請確保對該郵箱執行的操作在上面的記錄範圍内,如果您想記錄更多的操作,可對AuditDelegate與AuditOwner新增更多操作,如move等。

    以下是在自己環境中測試出來的配置與返回結果供您查看:

    此致,

    Joyce Shen


    如果以上回復對您有所幫助,建議您將其“標記為答复”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們tnsf@microsoft.com.

    2020年10月21日 上午 08:16
  • 感謝您

         我執行您提供的指令結果如下(檢查目前該使用者目前被設定的狀態)

    不過想請問您的第二張圖片是從哪邊可以看到??

    此外看起來我原始問題所執行的指令似乎只有部分動作被稽核到...如果在測試過程中,我想要紀錄此郵件信箱的所有紀錄...那我應該要怎樣set-mailbox ??

    Wyldkao


    wyldkao

    2020年10月21日 上午 10:01
  • 您好:

    上面的第二張圖是導出到csv的搜索結果,可以通過以下的命令行實現:

    search-mailboxauditlog -identity "Ben Smith" -showdetails | Export-csv -path c:\test\audit.csv


    如果您想記錄該郵箱的所有操作您只需在郵箱操作者(包括-AuditAdmin,-AuditDelegate,-AuditOwner)後面添加所有要記錄的行爲即可,關於這些參數的可選值我們可以查看官方文檔:Set-Mailbox

    添加需要記錄的操作或將所有操作寫在參數后,用逗號隔開即可。

    Set-Mailbox -Identity "Ben Smith" -AuditAdmin Copy,MessageBind,FolderBind -AuditEnabled $true

    此致,

    Joyce Shen


    如果以上回復對您有所幫助,建議您將其“標記為答复”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們tnsf@microsoft.com.

    2020年10月22日 上午 08:45
  • 您好,

    請問以上建議是否有效?

    如果以上建議有效,請在空閒的時候標記它為答案以幫助更多的用戶。

    此致,

    Joyce Shen


    如果以上回復對您有所幫助,建議您將其“標記為答复”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們tnsf@microsoft.com.

    2020年10月26日 上午 01:23
  • 您好...感協您上述提供的Audit參數

    我設定去紀錄AuditOwner (應該就是我Lab裡面的使用者本體 Ben Smith) 包含 Create(建立新郵件?)/Move/HardDelete 與MailboxLogin (如您上述提供的範例)

    然後我使用該帳號(Ben Smith) 建立新郵件,寄送給自己與CC給別人,當收到信件後,我執行新建立Folder / 移動郵件到新Folder/ 刪除郵件/清空郵件 這些動作...

    然後如您說的匯出CSV檔案..我總算知道為何我之前設定HardDelete 會沒紀錄...因為我此次匯出的紀錄只有Cretae/Move 兩種...即使我做了多種動作...

    想請問針對Move/HardDelete 這兩種..我自己的認知是使用者郵件移動跟刪除郵件....應該會被記錄....還是我對這兩個動作的認知有所誤會??

    感謝!!!


    wyldkao

    2020年10月29日 上午 05:12
  • 您好:

    請參考官方文檔中對各個操作詳細描述:信箱稽核記錄所記錄的信箱動作

    此致,

    Joyce Shen


    如果以上回復對您有所幫助,建議您將其“標記為答复”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們tnsf@microsoft.com.

    2020年10月30日 上午 07:17
  • Hi Joyce

        關於SoftDelete 跟HardDelete....一般使用者應該是只有做到

    1. 刪除郵件,把郵件移動到[刪除的郵件]資料夾 (就是上述的MoveToDeletedItems)

    2. 使用者一陣子看[刪除的郵件]裡面太多了,會清空[刪除的資料夾] (應該就是上述的 SoftDelete)

    請問一下所謂的HardDelete 這一個[可復原的項目]資料夾動作,似乎不是一般使用者會去執行的行為..好像連管理者一般日常也不會去做....我看以下的文章自己的理解...這樣正確嗎??

    https://docs.microsoft.com/zh-tw/exchange/security-and-compliance/recoverable-items-folder/recoverable-items-folder


    wyldkao

    2020年10月30日 上午 08:04
  • 您好:

    您使用的是本地的Exchange服務器,我們應該看本地的官方文檔對刪除[可復原項目]的介紹:

    從 [可復原的專案] 資料夾清除或刪除專案

    確實,一般這些操作都是需要通過命令行執行的。

    此致,

    Joyce Shen


    如果以上回復對您有所幫助,建議您將其“標記為答复”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們tnsf@microsoft.com.

    2020年11月2日 上午 06:53
  • 您好,

    請問以上建議是否有效?

    如果以上建議有效,請在空閒的時候標記它為答案以幫助更多的用戶。

    此致,

    Joyce Shen


    如果以上回復對您有所幫助,建議您將其“標記為答复”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們tnsf@microsoft.com.


    2020年11月6日 上午 08:33