是否可以使用 Logparser 或类似程序报告非邮箱所有者的用户对 Exchange 2003/2010 邮箱的访问情况?
访问可能来自 Outlook 客户端或 OWA,因此我推测这需要查询 IIS 日志以及查询机器事件日志?
谢谢
答案1
根据本文:
看来 IIS 日志将在 cs-username 列中包含用户信息。您可以通过
reason=2
在 cs-uri-query 中查找来找到失败的尝试。安全事件日志中的事件 ID 4625 包含有关登录尝试失败的信息。
鉴于它似乎存储在两个位置,最简单的解决方案可能就是使用事件查看器并过滤到特定的事件 ID。
否则,"select top 10 * from u_ex*.log where cs-uri-query like '%reason=2%'"
这将是您对 IIS 日志进行日志分析器查询的起点。