有人可以给我提供链接或说明如何在所有 Exchange 2010 邮箱上启用审核吗,以便我们可以查看何时有人访问他们不是所有者的邮箱。
此外,这会对具有 200 个邮箱的环境产生什么样的性能影响?这些日志可能占用多少磁盘空间?
另外,我如何才能准确指定日志的存储位置,并设置它们在指定的时间后轮换。
答案1
每个邮箱都有针对管理员、代表和邮箱所有者的单独审核选项 - 默认情况下,所有选项均处于禁用状态。您可以通过Get-Mailbox jsmith |fl *Audit*在 Exchange 管理外壳中发出来查看各种审核属性。要对特定邮箱启用审核,请使用 cmdlet Set-Mailbox jsmith -AuditEnabled $True。
要查看日志,请使用 cmdlet Search-MailboxAuditLog,其选项已记录在 TechNet 上。运行以查看审计日志的示例 cmdlet 是 Search-MailboxAuditLog jsmith -LogonTypes Admin,Delegate -StartDate 1/1/2010 -EndDate 12/31/2010 -ResultSize 2000。这将限制用户选择标准到报告杰史密斯,仅显示 2010 年 1 月 1 日至 2010 年 12 月 31 日之间的管理员和代表操作,最多可显示 2000 条结果。
或者,您可以在 Exchange 控制面板中查看这些日志的更合理、更易读的版本审计报告进而运行非所有者邮箱访问报告。
请注意,可以针对三种访问类型启用审计 - 管理员、委托人和所有者。生成的日志量取决于您审计的访问类型。显然,所有者的日志最密集,您可能希望将其关闭。
日志存储在邮箱中,您无法控制将它们存储在何处,但可以设置保留限制以减少存储开销。