Bu yazımda sizler ile Exchange 2013 üzerinde Mailbox Audit ayarlarının aktif edilmesini ve Audit loğlarını aktif edildikten sonra silinen veya taşınan maillerin nasıl tespit edileceğini paylaşacağım. Exchange yapımızda kullanıcı sayımız oldukça yüksek veya orta düzeylerde olabilir. Peki, kullanıcılarınızın maillerini nasıl, ne zaman, hangi user tarafından silindiğini nasıl tespit ederiz? Her sistemde olduğu gibi Exchange yapısında da Auditing yani log kontrolünü elimizden geldiğince yapmamız hatta raporlamamız gerekmektedir. Hepimiz az çok yaşamışız veya yaşıyoruzdur şöyle bir durumu. Bazı userlar sürekli benim mailim farklı bir klasöre taşınmış, silinmiş diye IT Adminlerine sürekli dönüş yapabiliyor. Elimizde gerçekten bu iş için alınmış 3. Party bir DLP tarzı yazılım yok ise cidden bu durum sıkıntı yaratabiliyor. Peki, bizlere bu konuda sürekli dönüş yapan user ve yöneticilere nasıl cevap verebiliriz? Bu yazımda bu tarz durumlarda neler yapabileceğimizi sizler ile paylaşacağım.

Aşağıda uygulayacağımız adımlar sayesinde, hangi kullanıcı, hangi konulu maili nereye taşımış veya silmiş görebileceğiz.

Öncelikle Audit kısımda ki 2 parametre bizim için çok önemli.

“SoftDelete ve MoveToDeletedItems”
SoftDelete : Kullanıcı maili delete veya Shift+Delete ile silmiş demektir.
MoveToDeletedItems : Kullanıcı maili farklı bir klasöre taşımış demektir. Bu klasör Delete Items klasörü de olabilir.
Exchange yapılarında UserMalibox Audit log default olarak False yani disable gelir.
Örnek: ufuk.tatlidil user’ına bir göz atalım.
Exchange PowerShell üzerinde aşağıda ki PS komutunu çalıştıralım.
get-mailbox ufuk.tatlidil | fl *audit*
AuditEnabled : False
AuditLogAgeLimit : 90.00:00:00
AuditAdmin : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
AuditDelegate : {Update, SoftDelete, HardDelete, SendAs, Create}
AuditOwner : {}
Gördüğünüz üzere Audit Enabled kısmı False yani aktif değil. Bu user üzerinde Audit Searching işlemi yapılamaz anlamına geliyor.
Peki, Ufuk.Tatlidil user’ ı için Audit Logunu aktif edelim.
Komutumuz:
Set-Mailbox ufuk.tatlidil -AuditEnabled:$true
clip_image001
Komut sonrası bakalım user’ da Audit kısmı True olmuş mu?
Komutumuz:
get-mailbox ufuk.tatlidil | fl *audit*
clip_image002
Aynı kullanıcıya hangi Audit adımlarının set edileceğini belirtiyoruz.
Komutumuz:
Set-Mailbox ufuk.tatlidil -AuditOwner "HardDelete,SoftDelete,MoveToDeletedItems"
clip_image003
Kullanıcının sahipliğini, başlangıç ve bitiş tarihlerini set ediyoruz.
Komutumuz:
Search-MailboxAuditLog -Identity ufuk.tatlidil -LogonTypes Owner -StartDate (Get-Date).AddHours(-1) –ShowDetails
clip_image004
İşlemlerden sonra owa veya Iphone, Android gibi Active Sync bağlantı kuran telefonlardan Deneme konulu maili siliyorum. Silme işleminden sonra Audit logları yansımış mı aşağıda ki PowerShell komutu ile test ediyorum.
Komutumuz:
Search-MailboxAuditLog -Identity ufuk.tatlidil -LogonTypes Owner -StartDate (Get-Date).AddHours(-1) -ShowDetails | fl operation*,logonuserdisplayname,sourceitemsubject*,sourceitemfolder*
clip_image005
Log’ da gördüğünüz gibi Deneme konulu sildiğim mail, User belirtilerek M.Ufuk TATLIDIL silindiği bilgisi yansımış.
Peki, bu logu farklı bir formata export edip, okuyabilir miyiz?
Komutumuz:
Search-MailboxAuditLog -Identity ufuk.tatlidil -LogonTypes Owner -StartDate (Get-Date).AddHours(-1) -ShowDetails | fl operation*,logonuserdisplayname,sourceitemsubject*,sourceitemfolder* > c:\test.txt
clip_image006
Komutta ki > c:\test.txt parametresi bu raporu bir .txt formatında belirttiğiniz path’e atacağı anlamına gelir.
clip_image007
Son olarak Inbox’ a düşen bir maili Delete Items’ e move ediyorum. Logumuza göz atalım.
clip_image008
Sarı renk ile belirttiğim gibi loğumuz başarılı bir şekilde yansıdı.
Ayrıca organizasyon bazında Audit loglarını açmak istersek, aşağıda ki komutu kullanabilirsiniz.
Komutumuz:
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled:$true
Farklı bir user’ da aktif olmuşmu bakalım.
get-mailbox ilkim.ada | fl *audit*
clip_image009
Audit Enabled True görünmekte.
Audit Log’u user bazında disable etmek istersek:
Set-Mailbox UserName -AuditEnabled $false
Faydalı olması dileğiyle...