none
Exchange 2016 啟用稽核問題 RRS feed

  • 問題

  • 各位前輩好

          小弟目前在測試一個軟體...他需要啟用Exchange 的稽核功能...由於我並非是Exchnage專家(只能說是小白一個)

    目前建置一個測試環境,並不會有有任何大量寄送..所以看不出任何壓力或量。想請問一下幾個問題

    1. 我找到一篇文章

    https://docs.microsoft.com/zh-tw/exchange/policy-and-compliance/mailbox-audit-logging/enable-or-disable?view=exchserver-2016

    找到指令可以啟動全部帳號的稽核功能(請問一下這指令是包含未來建立的帳號都會自動啟用稽核嗎?)

    Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}

    不過我在我測試的exchange 2016 -CU16 執行上述指令出現下面的錯誤,好像是identity參數錯誤。..請問我可能是哪邊有問題??

    啟用組織中所有使用者信箱的信箱審核記錄

    另外這樣啟用後..想請問在實務環境上....事件量每天會很大嗎?? (如果以一個有500人企業,平均200封/人)的話


    wyldkao

    2020年8月10日 上午 01:39

解答

  • 您好,

    >>這樣我還要執行上述的使用者紀錄嗎??

    Admin Audit Log(系統管理員審核記錄)和Mailbox Audit Log(信箱稽核記錄)是不同的。

    Admin Audit Log記錄Exchange服務器上執行過的cmdlet指令,而Mailbox Audit Log記錄某個信箱的訪問/操作記錄。

    具體區別您可以參考這兩篇官方文章:Admin Audit Log   Mailbox Audit Log

    您所提到的這兩個指令是設置啟用Admin Audit Log(系統管理員審核記錄)的,Exchange默認會啟用Admin Audit Log

    而您說的使用者紀錄應該指的是Mailbox Audit Log(信箱稽核記錄)。

    這兩者是没有關聯的。

    所以您仍需执行之前我回復中提到的這条指令來為當前所有的使用者啟用信箱稽核記錄:

    Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true


    為某個具體的信箱啟用了信箱稽核記錄後,您才可以通過EAC或者EMS來確認使用者的Mail 相關紀錄。

    >>請問我想要現有的使用者跟"未來"使用者都一體使用...那我要怎樣輸入啟用稽核的指令??

    這個命令只會為當前所有的使用者啟用信箱稽核記錄,如果未來有新的使用者的話,您需要為他們重新運行以下命令來啟用信箱稽核記錄:

    Set-Mailbox –identity <這裏是新的使用者的信箱名> -AuditEnabled $true


    此致,

    Kael Yao


    如果以上回復對您有所幫助,建議您將其“標記為解答”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們:tnsf@microsoft.com


    • 已編輯 Kael Yao 2020年9月15日 上午 09:30
    • 已標示為解答 wyldkao 2020年9月16日 上午 02:38
    2020年9月15日 上午 09:30
  • 您好,是這樣的。

    因為新建信箱的稽核記錄默認是不啟用的,所以需要定期執行指令為當前所有的使用者啟用信箱稽核記錄。

    Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

    此指令不會对已經啟用稽核記錄的信箱作任何修改,执行时會在EMS中提示沒有進行任何修改的warning

    如果存在信箱(如新建立的信箱)还没有啟用稽核記錄的话则会修改为啟用。

    或者您也可以在建立信箱時执行此指令直接為之啟用稽核記錄。

    Set-Mailbox –identity <這裏是新的使用者的信箱名> -AuditEnabled $true

    此致,

    Kael Yao


    如果以上回復對您有所幫助,建議您將其“標記為解答”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們:tnsf@microsoft.com

    • 已編輯 Kael Yao 2020年9月16日 上午 09:12
    • 已標示為解答 wyldkao 2020年9月17日 上午 05:09
    2020年9月16日 上午 09:10

所有回覆

  • 您好,
    >>找到指令可以啟動全部帳號的稽核功能(請問一下這指令是包含未來建立的帳號都會自動啟用稽核嗎?)
    這個指令只會為已經存在的賬號啟用稽核。新建的賬號並不會自動啟用,而會保持默認設置的禁用狀態。
    >>不過我在我測試的exchange 2016 -CU16 執行上述指令出現下面的錯誤,好像是identity參數錯誤。..請問我可能是哪邊有問題??
    請您嘗試執行以下指令:

    Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

    查看是否能成功執行,若沒有錯誤提示,您可以執行這個指令來查看稽核是否已啟用:

    Get-Mailbox -ResultSize Unlimited -Filter {AuditEnabled -eq "true"}

    >>另外這樣啟用後..想請問在實務環境上....事件量每天會很大嗎?? (如果以一個有500人企業,平均200封/人)的話
    通常來說,相較於信箱資料庫,稽核記錄不會佔用太大的硬碟空間。
    如果仍擔心會有硬碟空間不足的問題的話,您可以執行以下指令修改稽核日誌的保留時間(默認為90天)

    Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditLogAgeLimit 45

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已提議為解答 Kael Yao 2020年8月11日 上午 07:17
    2020年8月10日 上午 08:58
  • 您好,
    請問您的問題有最新進展嗎?如果您對此問題有任何疑問或需要進一步的幫助,請隨時回復。


    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com

    2020年8月13日 上午 08:11
  • 您好

         我目前重新回到此測試,正在確認Admin Auditing 紀錄的啟用與否...

    想請問如果我想確認使用者的Mail 相關紀錄....我執行

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
    Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogCmdlets * -AdminAuditLogParameters *

     這樣我還要執行上述的使用者紀錄嗎??

    另外如果還是需要的話,請問我想要現有的使用者跟"未來"使用者都一體使用...那我要怎樣輸入啟用稽核的指令??

    還望您指教


    wyldkao

    2020年9月15日 上午 03:47
  • 您好,

    >>這樣我還要執行上述的使用者紀錄嗎??

    Admin Audit Log(系統管理員審核記錄)和Mailbox Audit Log(信箱稽核記錄)是不同的。

    Admin Audit Log記錄Exchange服務器上執行過的cmdlet指令,而Mailbox Audit Log記錄某個信箱的訪問/操作記錄。

    具體區別您可以參考這兩篇官方文章:Admin Audit Log   Mailbox Audit Log

    您所提到的這兩個指令是設置啟用Admin Audit Log(系統管理員審核記錄)的,Exchange默認會啟用Admin Audit Log

    而您說的使用者紀錄應該指的是Mailbox Audit Log(信箱稽核記錄)。

    這兩者是没有關聯的。

    所以您仍需执行之前我回復中提到的這条指令來為當前所有的使用者啟用信箱稽核記錄:

    Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true


    為某個具體的信箱啟用了信箱稽核記錄後,您才可以通過EAC或者EMS來確認使用者的Mail 相關紀錄。

    >>請問我想要現有的使用者跟"未來"使用者都一體使用...那我要怎樣輸入啟用稽核的指令??

    這個命令只會為當前所有的使用者啟用信箱稽核記錄,如果未來有新的使用者的話,您需要為他們重新運行以下命令來啟用信箱稽核記錄:

    Set-Mailbox –identity <這裏是新的使用者的信箱名> -AuditEnabled $true


    此致,

    Kael Yao


    如果以上回復對您有所幫助,建議您將其“標記為解答”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們:tnsf@microsoft.com


    • 已編輯 Kael Yao 2020年9月15日 上午 09:30
    • 已標示為解答 wyldkao 2020年9月16日 上午 02:38
    2020年9月15日 上午 09:30
  • 您好

        所以針對使用者的信箱稽核紀錄...我如果想要套用全部...現在與未來...

    就必須要把設定抵用的指令變成"週期性"執行或者是SOP 在建立使用者信箱時同時執行啟用...

    是這樣嗎??

    感協您

    wencheng


    wyldkao

    2020年9月16日 上午 02:39
  • 您好,是這樣的。

    因為新建信箱的稽核記錄默認是不啟用的,所以需要定期執行指令為當前所有的使用者啟用信箱稽核記錄。

    Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

    此指令不會对已經啟用稽核記錄的信箱作任何修改,执行时會在EMS中提示沒有進行任何修改的warning

    如果存在信箱(如新建立的信箱)还没有啟用稽核記錄的话则会修改为啟用。

    或者您也可以在建立信箱時执行此指令直接為之啟用稽核記錄。

    Set-Mailbox –identity <這裏是新的使用者的信箱名> -AuditEnabled $true

    此致,

    Kael Yao


    如果以上回復對您有所幫助,建議您將其“標記為解答”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們:tnsf@microsoft.com

    • 已編輯 Kael Yao 2020年9月16日 上午 09:12
    • 已標示為解答 wyldkao 2020年9月17日 上午 05:09
    2020年9月16日 上午 09:10