我可以在哪里找到 Exchange 2010 的日志数据,这些数据将显示诸如访问数据库的用户或失败的登录尝试等数据。
谢谢!
答案1
登录尝试与普通 Windows 登录尝试日志一起归档在安全事件日志中。我认为没有办法区分 Exchange 登录和普通 Windows 登录,但您的客户端访问服务器无论如何都不应该看到任何普通的 Windows 登录,因此可以安全地假设那里的所有内容都与 Exchange 有关。
我不相信有一种方法可以审计数据库访问,尽管我可能错了。这种日志在任何规模的组织中都会变得非常垃圾,因为 Outlook 所做的活动量很大,只是静静地待在那里,似乎什么也没做。默认的 Outlook 连接模式基于拉动模型,因此 Outlook 会定期轮询 Exchange 服务器(间隔可以调整,但默认情况下非常短),这将是需要记录的内容。
答案2
据我所知,没有办法审核对邮箱数据库的访问。如果用户登录并连接到 Exchange(通过 OWA、Outlook 客户端或带有 ActiveSync 的移动设备),您基本上可以假设他们与邮箱服务器交互。
Exchange 的用户身份验证由 Active Directory 处理。客户端访问服务器中的安全日志可能包含一些安全审计信息,但最好的查看位置是域控制器上的安全日志。这只会告诉您谁在何时进行身份验证(以及他们可能从哪个客户端进行连接)。但是,如果您有多个域控制器,跟踪用户登录的时间/地点可能会很困难,因为您需要搜索每个域控制器上的安全日志才能找到您要查找的信息。有一些第三方程序可以为您完成此操作。
答案3
假设您正在运行 Exchange 2010 SP1,您可能正在寻找邮箱审计日志。您必须将其打开,并根据要查找的内容进行配置。一旦完成,您肯定需要小心谨慎地观察其增长情况,因为它很快就会积累大量信息。
至于在哪里可以找到日志,您需要运行该文章中找到的 powershell 命令来查看日志,但我相信信息存储在各个邮箱中。我无法指出那方面的文档,所以我可能搞错了它们的存储位置。
答案4
我发现 IIS 日志在追踪身份验证失败方面最有帮助,因为日志只显示 Exchange 服务器的 IP 地址。请记住,它们是 GMT 时间...我能够找到无效的登录尝试,并发现员工在移动设备上安装了两个不同的电子邮件客户端,但只更新了一个...所以另一个锁定了他们的帐户。