Exchange 2016: Überwachungsprotokollierung für Postfächer aktivieren

Mit der Überwachungsprotokollierung können bestimmte Aktionen für Postfächer protokolliert werden, besonders sinnvoll ist diese Funktion für Postfächer auf denen mehrere Benutzer Zugriff haben. So lässt sich zum Beispiel nachvollziehen, welcher Benutzer auf eine bestimmte Mail geantwortet hat, oder wer welche Mail gelöscht hat. Auch bei den normalen Benutzerpostfächern, kann die Überwachungsprotokollierung (Audit Logging) hilfreich sein. Zwar sind die Audit Logs meist nicht für die Fehleranalyse hilfreich, aber es lässt sich so feststellen, was der Benutzer mit einer Mail angestellt hat.

In der Standardeinstellung sind die Mailbox Audit Logs deaktiviert und können je Postfach aktiviert werden. Die Mailbox Audit Logs werden in der Standardeinstellung 90 Tage lang gespeichert.

Die folgenden Aktionen werden für Postfächer mit aktivierten Mailbox Audit Logging protokolliert:

Überwachungsprotokollierung für Postfächer aktivieren

Quelle: https://docs.microsoft.com/de-de/Exchange/policy-and-compliance/mailbox-audit-logging/mailbox-audit-logging

Konfigurieren der Überwachungsprotokollierung

Um das Mailbox Audit Logging für ein bestimmtes Postfach zu aktivieren, kann der folgende Befehl verwendet werden:

Get-Mailbox frank | Set-Mailbox -AuditEnabled $true

Mit dem folgenden Befehl kann die Überwachungsprotokollierung für alle Postfächer aktiviert werden:

Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled $true

Das Abschalten der Protokollierung kann mit folgenden Befehlen für ein einzelnes Postfach oder für alle Postfächer durchgeführt werden:

Get-Mailbox Frank | Set-Mailbox -AuditEnabled $false
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled $false

In der Standardeinstellung beträgt die Aufbewahrungszeit für die Mailbox Audit Logs 90 Tage, dieses Limit lässt sich mit dem folgenden Befehlen anpassen (Zum Beispiel auf 180 Tage für ein einzelnes Postfach oder für alle):

Get-Mailbox Frank | Set-Mailbox -AuditLogAgeLimit 180
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditLogAgeLimit 180

Je nach Aktivität des Benutzers und Dauer der Speicherung der Logs, erhöht sich der Speicherbedarf der Mailbox. Der erhöhte Platzbedarf muss also mit einkalkuliert werden. bevor die Überwachung für alle Postfächer aktiviert wird, sollte dies zunächst nur für einige Postfächer konfiguriert werden, somit lässt sich der zusätzliche Platzbedarf abschätzen.

Prüfen der Überwachungsprotokollierung

Nachdem die Protokollierung eingeschaltet wurde, wird ein neuer Ordner mit dem Namen “Audits” im Postfach des Benutzers erstellt. In diesem Ordner werden die Überwachungsereignisse gespeichert. Der Benutzer kann nicht auf den Ordner “Audits” zugreifen und bekommt ihn auch nicht in Outlook angezeigt. Mit der Exchange Management Shell lässt sich prüfen, ob der Ordner erstellt wurde und ob bereits Ereignisse gespeichert wurden. Dazu kann der folgende Befehl verwendet werden:

get-mailbox frank | Get-MailboxFolderStatistics | where {$_.name -eq "Audits"} | ft name,itemsinfolder

Überwachungsprotokollierung für Postfächer aktivieren

Im Screenshot ist zu sehen, dass der Ordner “Audits” im Postfach “Frank” erstellt wurde und bereits 5 Ereignisse enthält. Auf diesem Weg lässt sich auch der Speicherbedarf der Überwachungsprotokollierung prüfen:

get-mailbox frank | Get-MailboxFolderStatistics | where {$_.name -eq "Audits"} | ft name,itemsinfolder,foldersize

Überwachungsprotokollierung für Postfächer aktivieren

Abrufen der Protokolle

Damit ein Benutzer die Überwachungsprotokolle einsehen kann, muss der Benutzer Mitglied der AD-Gruppe “Compliance Management” sein. In der Standardeinstellung hat kein Benutzer das Recht die Protokolle einzusehen. Mit dem folgenden Befehl kann ein Benutzer zur Gruppe “Compliance Management” hinzugefügt werden:

Add-RoleGroupMember "Compliance Management" -Member administrator

Überwachungsprotokollierung für Postfächer aktivieren

Dieser Vorgang ist auch direkt via Active Directory Konsole oder über das Exchange Admin Center möglich.

Häufig werden nur die Überwachungsprotokolle für einen bestimmten Benutzer benötigt. Die schnellste Möglichkeit ist es, sich das Protokoll direkt auf der Exchange Management Shell anzeigen zu lassen. Für einen einzelnen Benutzer funktioniert dies mit dem folgenden Befehl:

Search-MailboxAuditLog frank -ShowDetails -StartDate ((get-date).AddDays(-2)) -EndDate (get-date)

In diesem Fall werden die Ereignisse der letzten 2 Tage für den Benutzer “Frank” in der Shell angezeigt:

Überwachungsprotokollierung für Postfächer aktivieren

Bei Bedarf lassen sich die Ereignisse entsprechend filtern. Hier zum Beispiel alle Ereignisse der letzten 2 Tage in denen ein “HardDelete” ausgeführt wurde (Mail mit Shift+Entf gelöscht):

Search-MailboxAuditLog frank -ShowDetails -StartDate ((get-date).AddDays(-2)) -EndDate (get-date) | where {$_.Operation -eq "HardDelete"}

Überwachungsprotokollierung für Postfächer aktivieren

Im Exchange Admin Center gibt es ebenfalls eine Möglichkeit an die Überwachungsprotokolle zu kommen. In diesem Fall werden die Ergebnisse per E-Mail als XML-Datei an einen Empfänger zugestellt. Die XML-Datei lässt sich dann wiederum mit der PowerShell oder anderen Tools weiterverarbeiten.

Die Protokolle können wie folgt im Exchange Admin Center abgerufen werden:

Überwachungsprotokollierung für Postfächer aktivieren

Es lässt sich dann entsprechend festlegen für welche Benutzer die Postfachüberwachungsprotokolle exportiert werden sollen und wer der Empfänger der Ergebnisse ist:

Überwachungsprotokollierung für Postfächer aktivieren

Das Zustellen der Ergebnisse per Mail und XML-Datei lässt sich auch direkt aus der Exchange Management Shell auslösen, dafür kann der folgende Befehl verwendet werden:

New-MailboxAuditLogSearch "hans3" -Mailboxes hans,frank -StatusMailRecipients frank@frankysweb.org -StartDate ((get-date).AddDays(-2)) -EndDate (get-date) -ShowDetails

Der folgende Screenshot zeigt eine entsprechende Mail und die XML-Datei:

Überwachungsprotokollierung für Postfächer aktivieren

Die XML-Datei lässt sich dann wiederum mit entsprechenden Tools filtern oder weiter verarbeiten. Auch die PowerShell bietet sich hier hier an:

Überwachungsprotokollierung für Postfächer aktivieren

Hinweis

Wenn der Exchange Server auf einem “nicht englisch sprachigem” Server installiert wurde, werden keine Audit Logs angezeigt. Hier hilft es die Sprache auf “English – US” umzustellen:

5 Replies to “Exchange 2016: Überwachungsprotokollierung für Postfächer aktivieren”

  1. Hi Frank!

    Super interessanter Artikel!
    Wie zu erkennen ist, schreibst du als Profi nur sehr Powershell-lastige oder Exchange-lastige Infos.
    Das Thema ist für viele Kunden sehr interessant und bisher haben wir keine Software gefunden, die das benutzerfreundlich darstellt – auch microsoftig ist nach deinem Artikel das herausfinden, wer was gelöscht/verschoben/beantwortet hat, sehr aufwändig.
    Gibt es dafür nicht ein Programm/Software, die die Auswertung der Protokollierung ermöglicht?

    Oder eventuell ist das Anlass für ein Skript, dass eine Protokollierung veranschaulicht?
    Datum/Zeit – Benutzer – Benutzer-Aktion mit Email-ID/Betreff

    Denkst du, sowas ist sehr schwer zu skripten/zu erstellen?
    Lg von einem deiner treuen Fans aus Österreich,
    Roman

  2. Hallo,

    wieder einmal vielen Dank für die äusserst hilfreichen Infos.
    Ich wollte auch gleich beim Kunden freudig zur Tat schreiten als ich merkte, dass die interessanten Adressen öffentliche Ordner sind.
    Gibt es da etwas vergleichbares zur Protokollierung auf Ordner oder Gesamtebene?

  3. Hallo Frank,
    wieder ein sehr schöner Artikel :-)

    Ich habe alles soweit konfiguriert (wir setzten Exchange DAG unter 2013 CU21 ein – Deutsch).
    Ich bin unter anderem Mitglied:Organization Management, Compliance Management
    Ich bin über Powershell und auch sonst nicht in der Lage die Audits zu lesen:
    Ich kann alledings sehen, dass es Einträge Audits gibt.
    Meldung der Shell:
    Search-MailboxAuditLog : Das anfordernde Konto ist nicht berechtigt, auf das Überwachungsprotokoll zuzugreifen.
    In Zeile:1 Zeichen:1
    + Search-MailboxAuditLog -Identity blabla -ShowDetails -StartDate 01/01/2017 -EndD …
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : NotSpecified: (:) [Search-MailboxAuditLog], AuditLogAccessDeniedException
    + FullyQualifiedErrorId : [Server=EX1,RequestId=d4bf6723-a22f-4063-b7f7-b7a71e5470c4,TimeStamp=05.07.2018 11:15:06
    ] [FailureCategory=Cmdlet-AuditLogAccessDeniedException] 4CC2A0FD,Microsoft.Exchange.Management.SystemConfiguratio
    nTasks.SearchMailboxAuditLog
    Noch einen Tipp, wo ich noch nachbessern muss?

    Grüße
    Volker

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.