我们目前正在运行 Exchange 2010 SP1。我想查看谁被授予了对特定邮箱的完全访问权限或发送权限,问题是我们没有为此邮箱启用审核日志记录。我们可能有一名 IT 员工在窥探,我们希望阻止这种情况发生...
我的问题是:还有什么其他地方(系统日志等)可以让我跟踪此交易吗?
答案1
这可能有点麻烦(因为审计日志已关闭),但您可以查看 Powershell 历史记录。由于 Exchange 2007/2010/2013 中的所有内容都是基于 Powershell 的,因此您可以看到某人在哪里运行了带有相关参数的 cmdlet Add-MailboxPermission。要查找 Powershell 命令的日志,请打开 eventvwr.msc。不要查看通常的 Windows 日志区域,而是查看应用程序和服务日志。您将看到一个 MSExchange 管理事件源,其中包含所有 powershell 执行历史记录。
我刚刚检查了我自己的 2010 环境并添加了完整的邮箱权限,它就立即弹出在该日志中。