Auditing
گزینه های Auditing زیر در Exchange 2019 قابل دستیابی است:
-
Administrator audit logging: به منظور Audit نمودن تغییرات مدیریتی در Exchange Organization، بکار می رود.
-
Mailbox audit logging: به منظور Audit نمودن دسترسی به Mailbox و تغییرات آن، بکار می رود.
قابلیت Administrator audit logging قابلیتی است که امکان Audit نمودن اینکه: چه کسی، چه چیزی و در کجا، در یک Exchange Organization را انجام داده است، فراهم می آورد. Audit شدن تغییرات مدیریتی بدان معناست که cmdlet های View-Only، از قبیل Get-* و یا Search-*، به منظور Audit شدن، ثبت نخواهند شد.
Log های Administrator audit logging، در Microsoft Exchange System Mailbox، ذخیره می گردد.
Administrator audit logging به صورت Default، فعال است. برای Disable نمودن این قابلیت، از cmdlet زیر استفاده می شود:
Set-AdminAuditLogConfig -adminAuditLogEnable $False
برای Enable نمودن این قابلیت، از cmdlet زیر استفاده می شود:
Set-AdminAuditLogConfig -adminAuditLogEnable $True
نکته: برای Move کردن System mailbox به یک دیتابیس جدید، که بطور مثال MDB2 نامیده می شود، در یک سرور بنام Exchange2019، از cmdlet زیر استفاده می کنیم:
get-mailbox -server exchnage2019 -Arbitration | New-MoveRequest -TargetDatabase “MDB2”
برای مشاهده تنظیمات Administrator Audit Logging، از cmdlet زیر استفاده می کنیم:
Get-AdminAuditLogConfig
گزینه های Administrator Audit Logging:
به منظور محدود سازی ثبت تغییرات مدیریتی برخی cmdlet ها، به طور مثال New-Mailbox و Remove-Mailbox، از cmdlet زیر استفاده می کنیم:
Set-AdminAuditLogConfig –AdminAuditLogCmdlets “New-Mailbox”,”Remove-Mailbox”
به منظور مستثنی نمودن ثبت تغییرات مدیریتی برخی از cmdlet ها، به طور مثال Set-Mailbox، از cmdlet زیر استفاده می شود:
Set-AdminAuditLogConfig -AdminAuditLogExcludedCmdlets “Set-Mailbox”
به منظور ثبت پارامترهای خاص، نظیر Name، Identity، Windows Email Address و Email Address، از cmdlet زیر استفاده می شود:
Set-AdminAuditLogConfig –AdminAuditLogParameters “Name”, “Identity”, “WindowsEmailAddress”, “EmailAddresses”
به منظور ثبت تغییرات مدیریتی در برخی از cmdlet ها که مرتبط با عبارات خاصی هستند و یا پارامتر هایی که در آنها عبارت خاصی وجود دارد، از Wild Card ها استفاده می کنیم. بطور مثال برای ثبت تغییرات مدیریتی در ارتباط با cmdlet هایی که با “Mailbox” مرتبط هستند و ثبت پارامتر هایی که حاوی عبارت “Address” هستند، از cmdlet زیر استفاده می کنیم:
Set-AdminAuditLogConfig –AdminAuditLogCmdlets “*-Mailbox” –AdminAuditLogParameters “*Address*”
نکته: مقدار Default برای پارامترهای AdminAuditLogCmdlets و AdminAuditLogParameters، عبارت * می باشد. بنابراین در صورتی که بخواهیم بعد از ایجاد تغییرات به مقادیر Default باز گردیم، از cmdlet زیر استفاده می کنیم:
Set-AdminAuditLogConfig –AdminAuditLogCmdlets “*” –AdminAuditLogParameters “*” –AdminAuditLogExcludedCmdlets $null
به صورت پیش فرض، Administrator Audit Logging، در یک پریود زمانی ۹۰ روزه صورت می پذیرد و هر Log پس از ۹۰ روز، Delete می گردد. با استفاده از cmdlet زیر، می توان این مدت را تغییر داد. فرمت زمان به صورت dd.hh:mm:ss می باشد. به طور مثال این cmdlet، این مدت را به ۱۸۰ روز افزایش می دهد:
Set-AdminAuditLogConfig –AdminAuditLogAgeLimit 180.00:00:00
جستجو در Administrator Audit Log
برای دستیابی به اطلاعات ثبت شده توسط Administrator Audit Log، در:
EAC ——> Compliance management ——-> auditing TAB
یکی از دو گزینه Run the admin audit log report و یا Export the admin audit log را انتخاب می کنیم.
Mailbox Audit Logging
گاهی یک سازمان، نیازمند پی گیری دسترسی یا تغییرات ایجاد شده در Mailbox های جداگانه، به ویژه، Mailbox هایی که حاوی اطلاعات حساسی هستند، می باشد. با بکار گیری Mailbox Audit Logging، می توان دسترسی به Mailbox ویا تغییرات انجام یافته بر روی آن توسط Owner ها، Delegate ها و Administrator ها را Audit نمود.
برای Enable نمودن Mailbox Audit Logging، تنها از طریق EMS، می توان اقدام نمود. به طور مثال، برای فعال نمودن آن بر روی یک Mailbox بنام Info، از cmdlet زیر استفاده می گردد:
Set-Mailbox –Identity “Info” –AuditEnabled $True
برای بررسی Enable بودن Auditing بر روی یک Mailbox و مشاهده تنظیمات آن، از cmdlet زیر استفاده می کنیم:
Get-Mailbox –Identity “Info” | Select Name, Audit*
برای Disable نمودن Mailbox Audit Logging، از cmdlet زیر استفاده می شود:
Set-Mailbox –Identity “Info” –AuditEnabled $False
گزینه های Mailbox Audit Logging:
فعالیت های صورت یافته در یک Mailbox، بسته به اینکه چگونه و با چه اکانتی به این میل باکس، Login شده است (Administrator یا Delegate یا Owner)، ثبت می گردد و یا ثبت نمی شود:
نوع فعالیت |
Administrator |
Delegate |
Owner |
Copy شدن Item در یک فولدر دیگر |
بله |
خیر |
خیر |
ایجاد یک Item (به جز ایجاد فولدر) |
بله |
بله |
بله |
دسترسی به فولدر |
بله |
بله |
خیر |
Delete نمودن همیشگی یک Item (Hard Delete) |
بله |
بله |
بله |
دسترسی به Item |
بله |
خیر |
خیر |
Move کردن Item به فولدر دیگر |
بله |
بله |
بله |
Delete کردن Item (Move کردن به فولدر Deleted Items) |
بله |
بله |
بله |
یک ایمیل با استفاده از Send As Permission ارسال شود |
بله |
بله |
– |
یک ایمیل با استفاده از SendOnBehalf Permission ارسال شود |
بله |
بله |
– |
یک Item از Deleted Items به Recoverable Items، ارسال (Move) شود |
بله |
بله |
بله |
Update شدن Property های Item |
بله |
بله |
بله |
Mailbox Auditing به صورت پیش فرض تا ۹۰ روز، نگاه داری می شود. اگر بخواهیم این عدد را (به طور مثال به ۱۸۰ روز)، برای یک Mailbox (به طور مثال Info)، تغییر دهیم، از cmdlet زیر استفاده می شود:
Set-Mailbox –Identity “Info” –AuditLogAgeLimit 180.00:00:00
جستجو در Mailbox Audit Logging:
برای دستیابی به اطلاعات ثبت شده توسط Mailbox Audit Logging، در:
EAC ——> Compliace management ——-> auditing TAB
یکی از دو گزینه Run a non-owner mailbox access report یا Export mailbox audit logs را انتخاب می کنیم.
نکته: گزینه Run a non-owner mailbox access report، برای ایجاد یک گزارش برای حالاتی که Login کننده به میل باکس Owner نباشد، استفاده می گردد. برای ایجاد گزارش در حالتی که Login کننده به میل باکس، Owner باشد، حتما” باید از EMS، استفاده گردد.
نکته: اگر بعد از انتخاب گزینه Run a non-owner mailbox access report، حالت Login کننده به Mailbox، گزینه External Users انتخاب شود، به معنای Administrator در Exchange Online یا Office 365 می باشد.
