Cada caixa de correio tem opções de auditoria separadas para administradores, representantes e o proprietário da caixa de correio - todos os quais estão desabilitados por padrão. Você pode exibir as várias propriedades de auditoria emitindo Get-Mailbox jsmith |fl *Audit* no Shell de Gerenciamento do Exchange. Para habilitar a auditoria em uma caixa de correio específica, use o cmdlet Set-Mailbox jsmith -AuditEnabled $True .
Para exibir os logs, use o cmdlet Search-MailboxAuditLog , cujas opções estão documentadas no TechNet . Um exemplo de cmdlet a ser executado para exibir os logs de auditoria é Search-MailboxAuditLog jsmith -LogonTypes Admin,Delegate -StartDate 1/1/2010 -EndDate 12/31/2010 -ResultSize 2000 . Isso restringirá os critérios de seleção aos relatórios para o usuário jsmith , apenas mostrará as ações de administrador e delegado entre 1º de janeiro de 2010 e 31 de dezembro de 2010 com um máximo de 2.000 resultados.
Como alternativa, você pode ver uma versão muito mais sensível e legível desses registros no Painel de Controle do Exchange, em Relatórios de Auditoria e Executar um Relatório de Acesso à Caixa de Correio não proprietário .
Observe que a auditoria pode ser ativada para três tipos de acesso - admin, delegate e owner. A quantidade de registro gerada dependerá de quais tipos de acesso você audita. Obviamente, o proprietário seria o mais intensivo em log e é aquele que você provavelmente desejaria deixar desativado.
Os logs são armazenados na caixa de correio, você não tem controle sobre onde armazená-los, mas pode definir um limite de retenção para reduzir a sobrecarga de armazenamento.