我有一个邮箱用户(Exchange 2016),他相信他的邮箱被黑客入侵了。
所以我想审核对他邮箱的访问。
我启用了审核Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true
,但似乎通过 ECP 我只能检查哪些其他用户或管理员试图访问该邮箱。
如果邮箱被黑客入侵,它应该显示用户本身的访问权限,但没有此选项。
我如何审核此邮箱以获取访问统计信息,例如上次登录、IP、设备等?
答案1
您可以通过IIS日志和事件日志检查每个协议的客户端登录是否成功或失败。首先在事件日志中找到客户端登录成功或失败的结果,然后您可以通过IIS日志查看用户帐户和协议的详细信息。
1.事件日志 Exchange 中的事件日志会记录客户端的登录状态。您可以进入 Windows 日志 -> 安全部分,日志会记录客户端的登录状态。 (a).如果用户帐户登录客户端成功,将生成事件 ID 4624。 (b).如果用户帐户登录客户端失败,将生成事件 ID 4625。
2.IIS日志 然后我们可以通过IIS日志看到具体的用户访问时间,用户名,登录类型以及登录状态。IIS日志存放位置如下:C:\inetpub\logs\LogFiles\W3SVC1 为了更清晰的查看Exchange上的IIS日志,建议使用Excel导入日志,然后分列进行分析。具体步骤如下:
(a).删除 IIS 日志中以 # 字符开头的标题。这样在使用 Excel 打开时可以方便地形成列。
(b).打开一个空的 Excel 电子表格,单击文件>打开,选择 IIS 日志。打开后,选择分隔符过滤器类型。接下来,选择空格并单击完成。IIS 日志中列出了一些代码:
• 日期 (date) • 时间 (time, 时区 (GMT) ) • 客户端 IP 地址 (c-ip) • 用户名 (cs-username) • 方法 (cs-method) • URI 主干 (cs-uri-stem) • URI 查询 (cs-uri-query) • 协议状态 (sc-status) • Win32 状态 (sc-win32-status) • 发送字节数 (sc-bytes) • 所用时间 (time-taken) • 主机 (cs-host) • 用户代理 (cs(User-Agent)) • 引用者 (cs(Referer))
在代码“cs-status”中,200 OK 成功状态响应代码表示请求已成功(登录成功)。401 未经授权的客户端错误状态响应代码表示请求尚未应用,因为它缺少目标资源的有效身份验证凭据(登录失败)。
更多参考请参阅:https://blogs.msdn.microsoft.com/friis/2014/01/09/how-to-use-excel-to-analyse-iis-logs/
3-1.对于Outlook Web Access,我们主要可以查看事件日志,它准确记录了登录时间,账户名和登录状态。IIS日志也记录了登录状态,登录时间和登录类型。
3-2.对于 Outlook Anywhere,在 Exchange Server 2016 中,默认情况下在组织级别启用了 MAPI over HTTP。但是,不支持 MAPI over HTTP 的 Outlook 客户端仍可以使用 Outlook Anywhere (RPC over HTTP) 通过启用 MAPI 的客户端访问服务器访问 Exchange。我们可以主要检查事件日志,它记录了登录状态、帐户名称和登录时间。IIS 日志还准确记录了登录时间、登录类型和登录状态。
3-3.对于Exchange Activesync,我们主要可以查看事件日志,它记录了登录状态,帐户名称和登录时间。 IIS日志也准确记录了登录时间,登录类型和登录状态。
