Exchange2013 SP1 邮箱审核日志启用及日志导出

每当说道审核,相信对于每个人来说都是一个比较敏感的话题,对于当下互联网兴盛年代,所有的信息都已不是那么的安全,当然自然也就方便了,那今天说的是Exchange2013SP1下的邮箱审核,那邮箱审核有什么用呢?我们为某个邮箱启用审核之后,只要有非所有者用户访问邮箱,Microsoft Exchange就会邮箱审核日志中记录相关信息,每个日志条目都包含以下信息---访问邮箱的用户及访问时间,非所有者执行的操作以及是否成功执行操作。默认情况下,邮箱审核日志中的条目保存90天,可以使用邮箱审核日志来确认某个非邮箱所偶有着的用户是否访问过邮箱等,当导出邮箱审核日志中的条目时,Microsoft Exchange 会将这些条目保存在一个 XML 文件中,然后将其附加到发送到指定收件人的电子邮件中,不多说了,具体操作见下:

配置邮箱审核日志记录,首先确认的是,对于需要运行非所有者邮箱访问报告的每个邮箱,必须启用邮箱审核日志记录。如果未对邮箱启用邮箱审核日志记录,则当导出邮箱审核日志时,将不会获得有关该邮箱的任何结果。首先必须先获得权限,然后才能执行此过程。若要查看所需的权限,若要对单个邮箱启用邮箱审核日志记录,请运行命令行管理程序中的命令:

我们首先通过get-mailbox查看当前的用户

我们通过以下命令查看哪些用户启用了邮箱审核日志

Get-Mailbox | FL Name,AuditEnabled

我们查看到当期组织的所有用户均没有启用邮箱审核日志,所以我们需要通过以下命令来启用,Set-

Mailbox <Identity> -AuditEnabled $true

比如我要对user01启用

Set-Mailbox –identity user01 -AuditEnabled $true

启用后,我们查看user01的邮箱审核日志状态

Get-Mailbox | FL Name,AuditEnabled

AuditEnabled 属性的值为 True 验证已启用审计记录。

若要对组织中所有用户邮箱启用邮箱审核日志记录,请运行以下命令:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq ‘UserMailbox‘)}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

再次执行

发现已修改

运行以下命令以验证 Outlook Web App 中是否允许使用 XML 附件

Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes

请验证 .xml 是否已包含在允许的文件类型列表中。

我们发现没有,所以我们要运行以下名来来添加到owa运行文件类型的列表中

运行以下命令,将 XML 添加到 Outlook Web App 中允许的文件类型列表。

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add=‘.xml‘}

运行以下命令以验证是否已将 XML 附件从 Outlook Web App 中被阻止的文件列表中删除。

Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes

验证 .xml 是否未包含在受阻止的文件类型列表中。

我们发现在组织的列表中,所以我们运行以下命令从列表中删除

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove=‘.xml‘}

配置完成后,我们接下来就是到处邮箱审核日志。

导出邮箱审核日志

1. 在Exchange管理中心—合规性管理---审核

https://casaddress.domain.com/ecp

2. 单击—导出邮箱审核日志

3. 配置一下搜索条件一导出邮箱审核日志中的条目

开始和结束日期

要为搜索审核日志的邮箱

非所有者访问的类型

全部非所有用户

外部用户

管理员和代理用户

管理员

我们根据需求填写后,单击导出,然后我们选择的导出的用户是user01、user02,然后将结果发送给gavin

单击导出,然后我们登陆gavin邮箱查看信息

我们发现没有任何信息,所以我们需要伪造相关操作,然后导出审核日志。

我们通过outlook下载附件,进行查看

我们在Exchange管理中心发现,有一个运行每个邮箱诉讼保留报告功能:

时间: 2024-10-13 06:26:24

Exchange2013 SP1 邮箱审核日志启用及日志导出的相关文章

MYSQL启用日志,查看日志

MYSQL启用日志,查看日志 MYSQL启用日志 [[email protected]]# whereis my.ini [[email protected]]# vi /etc/my.cnf [mysqld] datadir=/var/lib/mysql socket=/var/lib/mysql/mysql.sock user=mysql # Default to using old password format for compatibility with mysql 3.x # cli

mysql查看和启用二进制日志

1.查看是否启用了日志 mysql>show variables like 'log_bin'; VALUE值为OFF为关闭状态 2.编辑my.cnf文件 vim /etc/my.cnf 在[mysqld]最下面填上  log-bin 保存退出 3.重启mysql service mysqld restart 4.再次查看是否启用了日志 mysql>show variables like 'log_bin'; 此时VALUE值为ON 5.查看当前的二进制日志 mysql> show ma

MySQL 5.7 启用查询日志

MySQL版本:5.7 新版本的 my.ini 文件改动了,导致原先启用查询日志的方法不再适用 新版本的启用方法如下: 1. 修改 C:\ProgramData\MySQL\MySQL Server 5.7\my.ini 文件  搜索 # General and Slow logging.  将以下几行改动为: # General and Slow logging. log-output=FILE general-log=1 general_log_file="D:/Develop/MySQL/

查询指定时间内审核失败的事件日志

查询指定时间内审核失败的事件日志,必须要加namespace,否则无返回 $s = get-date "3/30/2016 13:54:03" $e = get-date "3/30/2016 13:55:03" $stime = [System.Management.ManagementDateTimeConverter]::ToDmtfDateTime($s) $etime = [System.Management.ManagementDateTimeConve

启用VSFTPD日志及其解读

启用vsftpd日志及其解读(转贴)在vsftpd.conf中有如下内容定义了日志的记录方式:# 表明FTP服务器记录上传下载的情况xferlog_enable=YES# 表明将记录的上传下载情况写在xferlog_file所指定的文件中, 即xferlog_file选项指定的文件中xferlog_std_format=YESxferlog_file=/var/log/xferlog # 启用双份日志.在用xferlog文件记录服务器上传下载情况的同时,# vsftpd_log_file所指定的

Exchange2013 SP1 DAG详细配置介绍

上一篇我们介绍了Exchange2013 sp1的安装及详细配置,今天呢就主要介绍Exchange2013 sp1的DAG配置介绍,那什么是DAG(Database Availability Group)呢,DAG就是数据库可用性组是内置于 Microsoft Exchange Server 2013 中的高可用性和站点恢复框架的基础组件. DAG 是一组邮箱服务器(最多可包含 16 个邮箱服务器),其中承载了一组数据库,可提供从影响单个服务器或数据库的故障中自动执行数据库级恢复的功能. 当然创

Exchange2013 SP1 CAS实现NLB的详细配置及介绍

上一篇我们介绍了Exchange2013 sp1 DAG详细安装配置及介绍, 今天呢介绍如何部署Exchange2013 SP1 CAS服务NLB配置,那什么是NLB呢,说白了,NLB就是Exchange CAS角色的高可用,为了提高服务器可用性的一个高可用服务,需要在本机启用windows 系统自带的网络负载均衡来完成.在Exchange2010版本的啥时候启用网络负载均衡后,还需要为CAS均均衡创建一个CAS阵列,而在Exchange2013版本开始就不需要单独创建CAS阵列了,NLB会自动

十、syslog日志与loganalyzer日志管理

10.1.rsyslog简介 syslog是一个历史悠久的日志系统.几乎所有的UNIX和Linux操作系统都采用syslog进行系统日志的管理和配置.Linux系统内核和许多程序会产生各种错误信息.警告信息和其他的提示信息.syslog可以根据信息的来源以及信息的重要程度将信息保存到不同的日志文件中.在默认的syslog配置下,日志文件通常都保存在/var/log目录下,在Centos6中,syslog的守护进程为rsyslog,系统启动时,默认会自动运行rsyslog守护进程. 在syslog

osharp3 操作日志之数据日志 控制增强

osharp3 原来的数据日志,有配置文件中有这总开关,DataLoggingEnabled,原来的程序是,这个总开关关了,就无法记录数据日志了,,如果开了,,他不管记录不记录数据日志,系统都会存数据改动日志到DataLogCache中 我在 DbContextBase中注入了一个操作记录员类 public IOperateLoger OperateLoger { get; set; } public class OperateLoger : IOperateLoger,IScopeDepend