易寶典——玩轉(zhuǎn)O365中的EXO服務(wù) 之四十九 如何知道管理員進(jìn)行了哪些操作

在企業(yè)中除了需要了解、跟蹤管理員可能對用戶郵箱的訪問外，還需要跟蹤管理員在郵件組織中進(jìn)行的設(shè)置和操作，以便確認(rèn)所有行為合規(guī)。并且保證郵件組織的穩(wěn)定正確運行，以及在出現(xiàn)誤操作或惡意操作時，能夠及時進(jìn)行排查修復(fù)故障。對需要追責(zé)的事件提供可靠的指引和證據(jù)。

因此，在Exchange Online中提供了管理員審核日志，用于記錄管理員對組織和收件人配置進(jìn)行的修改。可以用于跟蹤誤操作導(dǎo)致事件、確定惡意操作的行為、驗證相關(guān)操作是否符合合規(guī)要求。

一、跟蹤管理員對用戶賬戶角色的調(diào)整

通常情況下，郵件組織的管理員可以通過自己的權(quán)限對企業(yè)中的用戶授予一定管理角色，以便指定用戶獲得響應(yīng)的管理權(quán)限。如果未經(jīng)授權(quán)的這類操作，可能將給企業(yè)郵件系統(tǒng)帶來維護(hù)上的極大困難，影響郵件系統(tǒng)正常運行的穩(wěn)定性。

那么如何才能有效了解到哪些管理員為其他哪些用戶進(jìn)行過授權(quán)呢？這是在進(jìn)行合規(guī)處理以及后續(xù)追責(zé)方面尤其需要的。Exchange Online為使用者提供了管理角色組更改報告，該報告可以展示管理員對組織中管理角色組成員修改的信息記錄。

通過Exchange管理中心（EAC）可以很方便的導(dǎo)出管理角色組更改報告。在EAC中導(dǎo)航到“合規(guī)性管理”，在右側(cè)選擇“審核”，點擊“運行管理員角色組報告”。

在打開的“搜索對管理員角色組的更改”窗口中，指定需要獲取報告的起始日期和結(jié)束日期，還可以通過篩選器指定檢索特定角色組的授權(quán)情況，如果不指定，則會檢索所有角色組的授權(quán)情況。最后點擊“搜索“，將在下方列出符合檢索條件的角色組更改報告。

從報告中很容易看出哪個管理員為哪個用戶在什么時候授予了哪種管理角色權(quán)限。

二、利用管理員審核日志跟蹤管理員操作

如果要想知道更多的管理員操作信息，可以通過管理員審核日志來獲取。

對于管理員審核日志的獲取有兩個途徑，分別是通過“運行管理員審核日志報告”和“導(dǎo)出管理員審核日志”。對于“運行管理員審核日志報告”可以查看管理員審核日志中有關(guān)組織管理員所做的配置更改。而“導(dǎo)出管理員審核日志”將會把日志導(dǎo)出為一個XML文件，和郵箱審核日志相同，Exchange Online會將該XML文件以郵件附件的形式發(fā)送到指定用戶郵箱，因此，如果用戶使用OWA作為客戶端，那么必須為其啟用允許OWA附件，具體操作可以參考《玩轉(zhuǎn)O365中的EXO服務(wù) 之四十七 怎樣獲取郵箱審核日志》（https://blog.51cto.com/liulike/2359471）。

1、確認(rèn)管理員審核日志功能是否已經(jīng)啟用

在Exchange Online中管理員審核日志是默認(rèn)開啟的，可以通過Get-AdminAuditLogConfig來確認(rèn)該功能是否真實啟用。

Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled

需要注意，在Exchange Online該功能是不能關(guān)閉的，但在Exchange Server中該功能可以通過Set-AdminAuditLogConfig來進(jìn)行啟用或禁用，如：

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

在確認(rèn)已經(jīng)啟用管理員審核日志功能之后就可以查看或?qū)С龉芾韱T審核日志了。

2、查看管理員審核日志

在EAC中導(dǎo)航到“合規(guī)性管理”，在右側(cè)選擇“審核”，點擊“運行管理員審核日志報告”。

在“搜索以查看配置更改”窗口中，指定要檢索的日志的起始日期和終止日期，如果不進(jìn)行定義則會默認(rèn)篩選近15日的日志。點擊“搜索”進(jìn)行檢索，其結(jié)果將會顯示在下方。

3、導(dǎo)出管理員審核日志

在EAC中導(dǎo)航到“合規(guī)性管理”，在右側(cè)選擇“審核”，點擊“導(dǎo)出管理員審核日志”。

指定需要導(dǎo)出日志的起始日期和結(jié)束日期，以及將導(dǎo)出的XML文件發(fā)送至哪個指定的用戶郵箱，最后點擊導(dǎo)出即可。

Exchange Online限制該XML的大小不超過10MB，所以在選擇時間區(qū)間時，應(yīng)盡量精確，默認(rèn)的時間范圍為最近15天。另外，Exchange Online的日志導(dǎo)出一般持續(xù)時間較長，所以通過不可能馬上收到郵件，通常為24小時內(nèi)發(fā)出，但實測也有更為緩慢的時候，要等到48-72小時或更長。

三、使用PowerShell查詢并導(dǎo)出管理員審核日志

如果要使用一些高級或更加精確的篩選，可以使用PowerShell來進(jìn)行操作。比如，默認(rèn)情況下只會篩選出1000條目，但是在PowerShell中使用_ResultSize_可指定符合條件的條目返回數(shù)。

1、查詢管理員審核日志

如要篩選2019年3月7日至2019年3月8日，管理員在系統(tǒng)中對郵箱進(jìn)行的發(fā)送和接收郵件大小限制等操作日志?？梢允褂?span >Search-AdminAuditLog來進(jìn)行。

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

可以將其返回值賦予一個變量，通過指定查看該數(shù)組類型值的元素ID，可以查看具體的某一條日志記錄。

$res = Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

$res[0]

可以通過該日志記錄的各屬性查看具體信息。

$res[0].CmdletParameters

2、導(dǎo)出管理員審核日志

可以通過New-AdminAuditLogSearch創(chuàng)建導(dǎo)出管理員審核日志。

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019 -StatusMailRecipients admin@lpwr.net -Name "Mail limit Setting 20190308"

同樣，該操作Exchange Online在執(zhí)行完成后，將會把符合篩選條件的日志條目以XML文件附件方式發(fā)送到指定的郵箱中，時間同樣為24小時內(nèi)。因此需要較長的等待，并且XML文件的大小會被限制在10MB以內(nèi)。