Auditoria de ações da caixa de correio do Exchange 2010

3

Alguém pode me ligar ou me fornecer instruções sobre como ativar a auditoria em todas as caixas de correio do Exchange 2010 para que possamos ver quando alguém acessa uma caixa de correio da qual não é o proprietário.

Além disso, que tipo de impacto no desempenho isso terá em um ambiente com 200 caixas de correio? Quanto espaço em disco esses registros potencialmente usarão?

Além disso, como posso especificar exatamente onde quero que os logs sejam armazenados e configurá-los para girar após um período de tempo especificado.

    
por Windows Ninja 18.05.2011 / 15:31

1 resposta

4

Cada caixa de correio tem opções de auditoria separadas para administradores, representantes e o proprietário da caixa de correio - todos os quais estão desabilitados por padrão. Você pode exibir as várias propriedades de auditoria emitindo Get-Mailbox jsmith |fl *Audit* no Shell de Gerenciamento do Exchange. Para habilitar a auditoria em uma caixa de correio específica, use o cmdlet Set-Mailbox jsmith -AuditEnabled $True .

Para exibir os logs, use o cmdlet Search-MailboxAuditLog , cujas opções estão documentadas no TechNet . Um exemplo de cmdlet a ser executado para exibir os logs de auditoria é Search-MailboxAuditLog jsmith -LogonTypes Admin,Delegate -StartDate 1/1/2010 -EndDate 12/31/2010 -ResultSize 2000 . Isso restringirá os critérios de seleção aos relatórios para o usuário jsmith , apenas mostrará as ações de administrador e delegado entre 1º de janeiro de 2010 e 31 de dezembro de 2010 com um máximo de 2.000 resultados.

Como alternativa, você pode ver uma versão muito mais sensível e legível desses registros no Painel de Controle do Exchange, em Relatórios de Auditoria e Executar um Relatório de Acesso à Caixa de Correio não proprietário .

Observe que a auditoria pode ser ativada para três tipos de acesso - admin, delegate e owner. A quantidade de registro gerada dependerá de quais tipos de acesso você audita. Obviamente, o proprietário seria o mais intensivo em log e é aquele que você provavelmente desejaria deixar desativado.

Os logs são armazenados na caixa de correio, você não tem controle sobre onde armazená-los, mas pode definir um limite de retenção para reduzir a sobrecarga de armazenamento.

Fonte da maior parte desta informação .

    
por 24.05.2011 / 07:12