Exchange 2010, logs de acesso do usuário?

2

Onde posso localizar dados de log do Exchange 2010 que mostrem dados como usuários acessando o banco de dados ou tentativas de logon com falha.

Obrigado!

    
por jeremy 06.11.2011 / 14:44

3 respostas

4

As tentativas de login são arquivadas com o log de login de login normal do Windows, no log de eventos de segurança. Eu não acredito que haja uma maneira de desambiguar logins do Exchange de logins normais do Windows, mas seus servidores de acesso do cliente não devem estar vendo logins de janelas simples, então é seguro assumir que tudo o que existe é relacionado ao Exchange. / p>

Eu não acredito, embora possa estar errado, que haja uma maneira de auditar o acesso ao banco de dados. Esse tipo de log teria um spam incrivelmente insano em uma organização de qualquer tamanho, devido à quantidade de atividade que o Outlook faz apenas sentado aparentemente sem fazer nada. O modo de conexão padrão do Outlook é baseado em um modelo de recepção, portanto o Outlook pesquisa periodicamente o servidor Exchange (o intervalo pode ser ajustado, mas por padrão é bem curto), que seria o tipo de coisa a ser registrada.

    
por 06.11.2011 / 15:20
0

Tanto quanto sei, não há como auditar o acesso aos bancos de dados da Caixa de Correio. Se um usuário estiver conectado e conectado ao Exchange (via OWA, cliente Outlook ou dispositivo móvel com o ActiveSync), você basicamente pode presumir que está fazendo interface com os servidores de caixa de correio.

A autenticação do usuário para o Exchange é gerenciada pelo Active Directory. O log de segurança no servidor de acesso do cliente pode conter algumas informações de auditoria de segurança, mas o melhor lugar para procurar seria os logs de segurança no controlador de domínio. Isso só dirá a você quem estava autenticando quando (e possivelmente o cliente do qual eles estavam se conectando). No entanto, o rastreamento de quando / onde um usuário fez login pode ser difícil se você tiver vários controladores de domínio, porque você precisaria pesquisar os logs de segurança em TODOS os controladores de domínio para localizar as informações que estava procurando. Existem alguns programas de terceiros que farão isso por você.

    
por 06.11.2011 / 19:44
0

Supondo que você esteja executando o Exchange 2010 SP1, talvez esteja procurando Log de auditoria de caixa de correio . Você terá que ligá-lo e configurá-lo para o que você está procurando. Depois disso, você definitivamente precisará tomar cuidado para ficar atento ao crescimento disso, pois pode chegar a muitas informações rapidamente.

Até onde você pode encontrar os logs, você precisará executar os comandos do powershell encontrados naquele artigo para ver os logs, mas acredito que as informações estão armazenadas nas caixas de correio individuais. Não posso apontar a documentação sobre isso, então posso estar enganado sobre onde eles estão armazenados.

    
por 07.11.2011 / 12:24