易宝典文章——玩转Office 365中的Exchange Online服务 之四十七 怎样获取邮箱审核日志

企业中已经为Office 365中Exchange Online启用了审核日志,并且配置好了需要审核的操作。当在正常的运行过程中,默认情况下邮箱的审核日志将保留90天。现在只要是符合审核条件的操作,都将被记录的日志中。比如有管理员访问的用户的邮箱操作、有委派用户删除了用户邮箱中的邮件等。每一条日志中都会包含:访问的时间、访问的用户、执行的操作、该操作是否执行成功等信息。

通过使用Exchange管理中心(EAC)可以获取邮箱审核日志的内容。但是,由于Exchange Online的邮箱审核日志是通过XML格式提供的,并且是作为附件形式发送到指定接收邮箱的。默认情况下,Exchange Online的Outlook Web App(OWA)是不支持XML附件的,因此,如果使用OWA作为客户端则需要额外配置启用允许XML附件。

一、配置OWA允许XML附件

默认情况下,Exchange Online的OWA只允许如下扩展名的邮件附件:

clip_image002

而明确标记为阻止的扩展名有:

clip_image004

1、如何了解Exchange Online的OWA默认支持或拒绝的附件格式

可以通过Get-OwaMailboxPolicy命令获取当前Exchange Online的OWA支持或拒绝的所有附件文件扩展名格式

Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes

clip_image006

Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes

clip_image008

2、添加OWA支持XML附件格式文件

使用Set-OwaMailboxPolicy设置OWA邮箱策略,将XML格式扩展名添加到Exchange Online的OWA允许列表中。

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add=’.xml’}

clip_image010

通过Get-OwaMailboxPolicy查看结果,可以看见xml已经出现在允许列表中了。

如果不再需要支持那么可以将其从允许列表中移除。

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{remove=’.xml’}

clip_image012

3、保证XML不在OWA阻止附件格式文件列表中

同样可以使用Set-OwaMailboxPolicy设置OWA邮箱策略,将指定格式的扩展名从Exchange Online的OWA阻止列表中移除。

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove=’.xml’}

clip_image014

当然如果需要阻止一个特定格式的文件,可以直接用add在阻止列表中进行添加即可。

clip_image016

二、导出邮箱审核日志

在Exchange管理中心(EAC)中,点击左侧导航栏中的“合规性管理”,在右边窗口中点击“审核”,然后点击“导出邮箱审核日志”。

clip_image018

在弹出的“导出邮箱审核日志”页面中,需要先后设置如下参数:

日志的开始时间和结束时间,指定需要导出哪个用户的邮箱审核日志或所有邮箱的审核日志。

clip_image020

默认情况下是搜索“全部非所有者”访问日志,此外还可以选择其它类型。

clip_image021

l 全部非所有者:将包含组织内的管理员和受委派用户的访问,以及运行Exchange Online的微软数据中心的管理员的访问;

l 外部用户:仅包含运行Exchange Online的微软数据中心的管理员的访问;

l 管理员和收委派用户:仅包含组织内的管理员和受委派用户的访问;

l 管理员:仅包含组织内的管理员的访问。

最后,指定接收审核日志的邮箱,点击“导出”完成配置。

需要注意的是,收到邮件的过程较为缓慢,EAC中提示“会在24小时内”发送给指定的收件人。

三、如何分析邮箱审核日志

当Exchange Online执行审核日志导出后,指定接收邮箱将收到如下格式的电子邮件:

clip_image023

附件中包含一个SearchResult.xml的文件。在该xml文件中,每一个事件都是以条目的形式出现的,一个条目是以“<Event”开头,以“</Evnet>”结尾。

在一条事件中,比较有用的字段如下:

l Owner:邮箱的所有者;

l LastAccessd:该事件访问邮箱的时间;

l Operation:访问者在邮箱中进行的操作;

l OperationResult:操作是否成功?还是失败;

l Logon Type:非所有者访问的类型,包括:管理员、受委派用户和外部用户;

l FolderPathName:此次访问受影响的文件夹路径名称;

l ClientInfoString:此次访问使用的客户端软件信息;

l ClientIPAddress:此次访问是从那个IP地址发起的;

l InternalLogonType:此次访问所使用的账户登录类型;

l MailboxOwnerUPN:此次访问的邮箱的所有者的邮件地址;

l LogonUserDN:此次访问者的显示名;

l Subject:此次访问涉及到的邮件主题。

通过上述信息,可以帮助企业很快定位用户邮箱被非所有者访问的具体情况,从而帮助企业进行合规、法务,以及诉讼方面的取得相关利益。