Exchange 2016: Überwachungsprotokollierung für Postfächer aktivieren

Mit der Überwachungsprotokollierung können bestimmte Aktionen für Postfächer protokolliert werden, besonders sinnvoll ist diese Funktion für Postfächer auf denen mehrere Benutzer Zugriff haben. So lässt sich zum Beispiel nachvollziehen, welcher Benutzer auf eine bestimmte Mail geantwortet hat, oder wer welche Mail gelöscht hat. Auch bei den normalen Benutzerpostfächern, kann die Überwachungsprotokollierung (Audit Logging) hilfreich sein. Zwar sind die Audit Logs meist nicht für die Fehleranalyse hilfreich, aber es lässt sich so feststellen, was der Benutzer mit einer Mail angestellt hat.

In der Standardeinstellung sind die Mailbox Audit Logs deaktiviert und können je Postfach aktiviert werden. Die Mailbox Audit Logs werden in der Standardeinstellung 90 Tage lang gespeichert.

Die folgenden Aktionen werden für Postfächer mit aktivierten Mailbox Audit Logging protokolliert:

Quelle: https://docs.microsoft.com/de-de/Exchange/policy-and-compliance/mailbox-audit-logging/mailbox-audit-logging

Konfigurieren der Überwachungsprotokollierung

Um das Mailbox Audit Logging für ein bestimmtes Postfach zu aktivieren, kann der folgende Befehl verwendet werden:

Get-Mailbox frank | Set-Mailbox -AuditEnabled $true

Mit dem folgenden Befehl kann die Überwachungsprotokollierung für alle Postfächer aktiviert werden:

Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled $true

Das Abschalten der Protokollierung kann mit folgenden Befehlen für ein einzelnes Postfach oder für alle Postfächer durchgeführt werden:

Get-Mailbox Frank | Set-Mailbox -AuditEnabled $false
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled $false

In der Standardeinstellung beträgt die Aufbewahrungszeit für die Mailbox Audit Logs 90 Tage, dieses Limit lässt sich mit dem folgenden Befehlen anpassen (Zum Beispiel auf 180 Tage für ein einzelnes Postfach oder für alle):

Get-Mailbox Frank | Set-Mailbox -AuditLogAgeLimit 180
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditLogAgeLimit 180

Je nach Aktivität des Benutzers und Dauer der Speicherung der Logs, erhöht sich der Speicherbedarf der Mailbox. Der erhöhte Platzbedarf muss also mit einkalkuliert werden. bevor die Überwachung für alle Postfächer aktiviert wird, sollte dies zunächst nur für einige Postfächer konfiguriert werden, somit lässt sich der zusätzliche Platzbedarf abschätzen.

Prüfen der Überwachungsprotokollierung

Nachdem die Protokollierung eingeschaltet wurde, wird ein neuer Ordner mit dem Namen “Audits” im Postfach des Benutzers erstellt. In diesem Ordner werden die Überwachungsereignisse gespeichert. Der Benutzer kann nicht auf den Ordner “Audits” zugreifen und bekommt ihn auch nicht in Outlook angezeigt. Mit der Exchange Management Shell lässt sich prüfen, ob der Ordner erstellt wurde und ob bereits Ereignisse gespeichert wurden. Dazu kann der folgende Befehl verwendet werden:

get-mailbox frank | Get-MailboxFolderStatistics | where {$_.name -eq "Audits"} | ft name,itemsinfolder

Im Screenshot ist zu sehen, dass der Ordner “Audits” im Postfach “Frank” erstellt wurde und bereits 5 Ereignisse enthält. Auf diesem Weg lässt sich auch der Speicherbedarf der Überwachungsprotokollierung prüfen:

get-mailbox frank | Get-MailboxFolderStatistics | where {$_.name -eq "Audits"} | ft name,itemsinfolder,foldersize

Abrufen der Protokolle

Damit ein Benutzer die Überwachungsprotokolle einsehen kann, muss der Benutzer Mitglied der AD-Gruppe “Compliance Management” sein. In der Standardeinstellung hat kein Benutzer das Recht die Protokolle einzusehen. Mit dem folgenden Befehl kann ein Benutzer zur Gruppe “Compliance Management” hinzugefügt werden:

Add-RoleGroupMember "Compliance Management" -Member administrator

Dieser Vorgang ist auch direkt via Active Directory Konsole oder über das Exchange Admin Center möglich.

Häufig werden nur die Überwachungsprotokolle für einen bestimmten Benutzer benötigt. Die schnellste Möglichkeit ist es, sich das Protokoll direkt auf der Exchange Management Shell anzeigen zu lassen. Für einen einzelnen Benutzer funktioniert dies mit dem folgenden Befehl:

Search-MailboxAuditLog frank -ShowDetails -StartDate ((get-date).AddDays(-2)) -EndDate (get-date)

In diesem Fall werden die Ereignisse der letzten 2 Tage für den Benutzer “Frank” in der Shell angezeigt:

Bei Bedarf lassen sich die Ereignisse entsprechend filtern. Hier zum Beispiel alle Ereignisse der letzten 2 Tage in denen ein “HardDelete” ausgeführt wurde (Mail mit Shift+Entf gelöscht):

Search-MailboxAuditLog frank -ShowDetails -StartDate ((get-date).AddDays(-2)) -EndDate (get-date) | where {$_.Operation -eq "HardDelete"}

Im Exchange Admin Center gibt es ebenfalls eine Möglichkeit an die Überwachungsprotokolle zu kommen. In diesem Fall werden die Ergebnisse per E-Mail als XML-Datei an einen Empfänger zugestellt. Die XML-Datei lässt sich dann wiederum mit der PowerShell oder anderen Tools weiterverarbeiten.

Die Protokolle können wie folgt im Exchange Admin Center abgerufen werden:

Es lässt sich dann entsprechend festlegen für welche Benutzer die Postfachüberwachungsprotokolle exportiert werden sollen und wer der Empfänger der Ergebnisse ist:

Das Zustellen der Ergebnisse per Mail und XML-Datei lässt sich auch direkt aus der Exchange Management Shell auslösen, dafür kann der folgende Befehl verwendet werden:

New-MailboxAuditLogSearch "hans3" -Mailboxes hans,frank -StatusMailRecipients frank@frankysweb.org -StartDate ((get-date).AddDays(-2)) -EndDate (get-date) -ShowDetails

Der folgende Screenshot zeigt eine entsprechende Mail und die XML-Datei:

Die XML-Datei lässt sich dann wiederum mit entsprechenden Tools filtern oder weiter verarbeiten. Auch die PowerShell bietet sich hier hier an:

Hinweis

Wenn der Exchange Server auf einem “nicht englisch sprachigem” Server installiert wurde, werden keine Audit Logs angezeigt. Hier hilft es die Sprache auf “English – US” umzustellen:

• Search-AdminAuditLog or Search-MailboxAuditLog with parameter returns empty results in Exchange Server