易寶典——玩轉(zhuǎn)O365中的EXO服務 之四十七 怎樣獲取郵箱審核日志
企業(yè)中已經(jīng)為Office 365中Exchange Online啟用了審核日志�����,并且配置好了需要審核的操作�����。當在正常的運行過程中�����,默認情況下郵箱的審核日志將保留90天?����,F(xiàn)在只要是符合審核條件的操作�����,都將被記錄的日志中�����。比如有管理員訪問的用戶的郵箱操作�����、有委派用戶刪除了用戶郵箱中的郵件等�����。每一條日志中都會包含:訪問的時間�����、訪問的用戶�����、執(zhí)行的操作、該操作是否執(zhí)行成功等信息�����。
通過使用Exchange管理中心(EAC)可以獲取郵箱審核日志的內(nèi)容�����。但是�����,由于Exchange Online的郵箱審核日志是通過XML格式提供的�����,并且是作為附件形式發(fā)送到指定接收郵箱的�����。默認情況下�����,Exchange Online的Outlook Web App(OWA)是不支持XML附件的�����,因此�����,如果使用OWA作為客戶端則需要額外配置啟用允許XML附件�����。
一�����、配置OWA允許XML附件
默認情況下�����,Exchange Online的OWA只允許如下擴展名的郵件附件:
而明確標記為阻止的擴展名有:
1�����、如何了解Exchange Online的OWA默認支持或拒絕的附件格式
可以通過Get-OwaMailboxPolicy命令獲取當前Exchange Online的OWA支持或拒絕的所有附件文件擴展名格式
Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
2�����、添加OWA支持XML附件格式文件
使用Set-OwaMailboxPolicy設(shè)置OWA郵箱策略,將XML格式擴展名添加到Exchange Online的OWA允許列表中�����。
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
通過Get-OwaMailboxPolicy查看結(jié)果�����,可以看見xml已經(jīng)出現(xiàn)在允許列表中了�����。
如果不再需要支持那么可以將其從允許列表中移除�����。
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{remove='.xml'}
3�����、保證XML不在OWA阻止附件格式文件列表中
同樣可以使用Set-OwaMailboxPolicy設(shè)置OWA郵箱策略�����,將指定格式的擴展名從Exchange Online的OWA阻止列表中移除�����。
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
當然如果需要阻止一個特定格式的文件�����,可以直接用add在阻止列表中進行添加即可�����。
二�����、導出郵箱審核日志
在Exchange管理中心(EAC)中�����,點擊左側(cè)導航欄中的“合規(guī)性管理”�����,在右邊窗口中點擊“審核”�����,然后點擊“導出郵箱審核日志”。
在彈出的“導出郵箱審核日志”頁面中�����,需要先后設(shè)置如下參數(shù):
日志的開始時間和結(jié)束時間�����,指定需要導出哪個用戶的郵箱審核日志或所有郵箱的審核日志�����。
默認情況下是搜索“全部非所有者”訪問日志�����,此外還可以選擇其它類型�����。
全部非所有者:將包含組織內(nèi)的管理員和受委派用戶的訪問�����,以及運行Exchange Online的微軟數(shù)據(jù)中心的管理員的訪問�����;
外部用戶:僅包含運行Exchange Online的微軟數(shù)據(jù)中心的管理員的訪問�����;
管理員和收委派用戶:僅包含組織內(nèi)的管理員和受委派用戶的訪問�����;
管理員:僅包含組織內(nèi)的管理員的訪問�����。
最后�����,指定接收審核日志的郵箱�����,點擊“導出”完成配置�����。
需要注意的是,收到郵件的過程較為緩慢�����,EAC中提示“會在24小時內(nèi)”發(fā)送給指定的收件人�����。
三�����、如何分析郵箱審核日志
當Exchange Online執(zhí)行審核日志導出后�����,指定接收郵箱將收到如下格式的電子郵件:
附件中包含一個SearchResult.xml的文件�����。在該xml文件中�����,每一個事件都是以條目的形式出現(xiàn)的�����,一個條目是以“<Event”開頭�����,以“</Evnet>”結(jié)尾�����。
在一條事件中�����,比較有用的字段如下:
Owner:郵箱的所有者�����;
LastAccessd:該事件訪問郵箱的時間�����;
Operation:訪問者在郵箱中進行的操作�����;
OperationResult:操作是否成功?還是失?����?����;
Logon Type:非所有者訪問的類型�����,包括:管理員�����、受委派用戶和外部用戶�����;
FolderPathName:此次訪問受影響的文件夾路徑名稱�����;
ClientInfoString:此次訪問使用的客戶端軟件信息�����;
ClientIPAddress:此次訪問是從那個IP地址發(fā)起的�����;
InternalLogonType:此次訪問所使用的賬戶登錄類型�����;
MailboxOwnerUPN:此次訪問的郵箱的所有者的郵件地址�����;
LogonUserDN:此次訪問者的顯示名�����;
Subject:此次訪問涉及到的郵件主題�����。
通過上述信息�����,可以幫助企業(yè)很快定位用戶郵箱被非所有者訪問的具體情況,從而幫助企業(yè)進行合規(guī)�����、法務�����,以及訴訟方面的取得相關(guān)利益�����。
