每当说道审核,相信对于每个人来说都是一个比较敏感的话题,对于当下互联网兴盛年代,所有的信息都已不是那么的安全,当然自然也就方便了,那今天说的是Exchange2013SP1下的邮箱审核,那邮箱审核有什么用呢?我们为某个邮箱启用审核之后,只要有非所有者用户访问邮箱,Microsoft Exchange就会邮箱审核日志中记录相关信息,每个日志条目都包含以下信息---访问邮箱的用户及访问时间,非所有者执行的操作以及是否成功执行操作。默认情况下,邮箱审核日志中的条目保存90天,可以使用邮箱审核日志来确认某个非邮箱所偶有着的用户是否访问过邮箱等,当导出邮箱审核日志中的条目时,Microsoft Exchange 会将这些条目保存在一个 XML 文件中,然后将其附加到发送到指定收件人的电子邮件中,不多说了,具体操作见下:
配置邮箱审核日志记录,首先确认的是,对于需要运行非所有者邮箱访问报告的每个邮箱,必须启用邮箱审核日志记录。如果未对邮箱启用邮箱审核日志记录,则当导出邮箱审核日志时,将不会获得有关该邮箱的任何结果。首先必须先获得权限,然后才能执行此过程。若要查看所需的权限,若要对单个邮箱启用邮箱审核日志记录,请运行命令行管理程序中的命令:
我们首先通过get-mailbox查看当前的用户
我们通过以下命令查看哪些用户启用了邮箱审核日志
Get-Mailbox | FL Name,AuditEnabled
我们查看到当期组织的所有用户均没有启用邮箱审核日志,所以我们需要通过以下命令来启用,Set-
Mailbox <Identity> -AuditEnabled $true
比如我要对user01启用
Set-Mailbox –identity user01 -AuditEnabled $true
启用后,我们查看user01的邮箱审核日志状态
Get-Mailbox | FL Name,AuditEnabled
AuditEnabled 属性的值为 True
验证已启用审计记录。
若要对组织中所有用户邮箱启用邮箱审核日志记录,请运行以下命令:
$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq ‘UserMailbox‘)} $UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
再次执行
发现已修改
运行以下命令以验证 Outlook Web App 中是否允许使用 XML 附件
Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
请验证 .xml
是否已包含在允许的文件类型列表中。
我们发现没有,所以我们要运行以下名来来添加到owa运行文件类型的列表中
运行以下命令,将 XML 添加到 Outlook Web App 中允许的文件类型列表。
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add=‘.xml‘}
运行以下命令以验证是否已将 XML 附件从 Outlook Web App 中被阻止的文件列表中删除。
Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
验证 .xml
是否未包含在受阻止的文件类型列表中。
我们发现在组织的列表中,所以我们运行以下命令从列表中删除
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove=‘.xml‘}
配置完成后,我们接下来就是到处邮箱审核日志。
导出邮箱审核日志
1. 在Exchange管理中心—合规性管理---审核
https://casaddress.domain.com/ecp
2. 单击—导出邮箱审核日志
3. 配置一下搜索条件一导出邮箱审核日志中的条目
开始和结束日期
要为搜索审核日志的邮箱
非所有者访问的类型
全部非所有用户
外部用户
管理员和代理用户
管理员
我们根据需求填写后,单击导出,然后我们选择的导出的用户是user01、user02,然后将结果发送给gavin
单击导出,然后我们登陆gavin邮箱查看信息
我们发现没有任何信息,所以我们需要伪造相关操作,然后导出审核日志。
我们通过outlook下载附件,进行查看
我们在Exchange管理中心发现,有一个运行每个邮箱诉讼保留报告功能: