Включение аудита (mailbox audit logging) Exchange Server 2013

• Возможность аудита поддерживает Exchange Server 2013 и более поздние версии
• По умолчанию mailbox audit logging не включена
• С помощью Центр администрирования Exchange (EAC) невозможно включить или отключить ведение журнала аудита почтового ящика, для этого потребуется использовать командную строку

Далее приведен пример включения ведения журнала аудита для почтовых ящиков всех пользователей в организации с помощью PowerShell

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}

Для отключения пропишите

-AuditEnabled $false

Поиск отправителя письма

---

Если использовать Центр администрирования Exchange: необходимо выбрать пункт меню «Compliance Management» и далее «Auditing» в правой части экрана.

Вы увидите список из нескольких пунктов, нас интересует «Run a non-owner mailbox access report» Установите необходимый интервал дат, нажмите на кнопку «select mailboxes…» и выберите общий почтовый ящик, затем выберите в списке «Search for access by:» внизу экрана значение «All non-owners» и запустите поиск!

Так же можно установить отправителя с использованием скрипта Search-MailboxAuditLog

Например, для поиска в журнале событий, произошедших с 13 по 15 января 2014г. в общем почтовом ящике «HelpDesk» нужно использовать следующую команду:

[PS] C:\>Search-MailboxAuditLog -Identity "Help Desk" -LogonTypes Delegate -StartDate 1/14/2014 -EndDate 1/15/2014
RunspaceId               : d8142847-166a-488a-b668-f7b84c3f3ceb
MailboxGuid              : a0f10db1-5268-47a5-8f71-d1e65f55c653
MailboxResolvedOwnerName : Help Desk
LastAccessed             : 14/01/2014 9:31:08 PM
Identity                 : exchange2013demo.com/Company/Resources/Help Desk
IsValid                  : True
ObjectState              : New

Для того, чтобы увидеть все подробности нужно воспользоваться параметром –ShowDetails