24 Eylül 2014 Çarşamba

Exchange Server 2010/2013 Mailbox Auditing - Mail Kutusu Denetimi

Exchange Server 2010/2013 Mailbox Auditing

Mailbox seviyesinde konfigüre edilir.
Geçerli olarak user audit kapalıdır.
User, Delegate ve Administrative seviyelerinde konfigüre edilir.

Mailboxlar üzerinde 11 hareket izlenir
copy, mesajın kopyalanması (Administrator, Delegate)
create, gönderilen ve alınan mesajlar, oluşturulan klasörler hariç (Administrator, Delegate, Owner)
Folderbind, mailbox ve içindeki herhangi bir klasöre erişim (Administrator, Delegate)
harddelete, Recoverable Item dan silinen öğeler (Administrator, Delegate, Owner)

messagebind Okunan yada açılan mesajlar (Administrator)
move, taşınan öğeler (Administrator, Delegate, Owner)
movetodeleteditems, silinen mesajlar (Administrator, Delegate, Owner)
sendas, send as yetkisi ile gönderilen mesajlar (Administrator, Delegate)
sendonbehalf, sendonbehalf (asıl gönderenin belli olduğu) yetkisi ile gönderilen mesajlar (Administrator, Delegate)
softdelete, silinmiş öğelerden silinen (Administrator, Delegate, Owner)
update bir objenin özelliklerinde yapılan güncelleme (Administrator, Delegate, Owner)

audit loglar kulanıcıların mailbox ı içinde tutulur
Recoverable Items içinde Audits 
owa ve outlook üzerinden görülemez
MFCMAPI program ile görülebiliyor

Powershell ile konfigüre edilir.
Set-Mailbox -Identity 'Kubilay Kaya' -AuditEnabled $True

Geçerli olarak 90 gün
AuditAdmin
{Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}

AuditDelegate
{Update, SoftDelete, HardDelete, SendAs, Create}

hareketleri loglanmaya başlar.

AuditOwner aşırı log üretebileceğindan, belirli kullanıcılar için gerekli durumlarda açılması önerilir. Mesela kulllanıcının mesajlarının periyodik olarak kaybolması gibi. 


Audit işleminden hariç tutulacak kullanıcılar önceden belirtilir.
Set-MailboxAuditBypassAssociation -Identity 'test' -AuditBypassEnabled $True

Tüm kullanıcılar için aşağıdaki komutlalarla yada oluşturulacak ps1 dosyası 
çalıştırılarak açılabilir
$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true -AuditDelegate Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create -AuditLogAgeLimit 366.00:00:00}


Mailbox Audit yapılandırmasını bir kullanıcı üzerinde görmek için
Get-Mailbox -Identity 'Kubilay Kaya' | Format-List Audit*

Audit enabled olan tüm kullanıcıların listesini almak için
Get-Mailbox -resultsize unlimited | where {$_.Auditenabled -eq "True"}

Hangi hareketlerin loglanacağı belirlemek için
Set-Mailbox -Identity "Kubilay Kaya" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true

Set-Mailbox -Identity "Kubilay Kaya" -AuditAdmin MessageBind,FolderBind -AuditEnabled $true

Set-Mailbox -Identity "Kubilay Kaya" -AuditOwner HardDelete -AuditEnabled $true


Audit Loglar
Geçerli olarak 90 gün tutulur  24.855 güne arttırılabilir 
Eğer AuditlogAgeLimit 0 verilirse loglar temizlenir.
her log 1.5 - 3 kb arasındadır
mailbox içinde tutulan loglar kotadan hariçtir

Powershell ile görülebilir
Audit sayı ve büyüklüğünü görmek için
Get-MailboxFolderStatistics -Identity "Kubilay Kaya" | ? {$_.Name -eq "Audits" -and $_.FolderType -eq "Audits"} | Format-Table Identity, ItemsInFolder, FolderSize -AutoSize

Identity                      ItemsInFolder    FolderSize
--------                        ------------------    ----------

kubilay.kaya\Audits                     23   253.8 Kb (259891 bytes)


Audit arama
Search-MailboxAuditLog -Identity 'Kubilay Kaya' -ShowDetails -StartDate 
"11/18/2013 00:00:00 AM" -EndDate "11/18/2013 12:00:00 PM" | Format-Table 
Operation, OperationResult, LastAccessed, LogonType, LogonUserDisplayName, 
FolderPathName, ItemSubject -AutoSize

Tarihin dinamik olarak verilmesi
Search-MailboxAuditLog -Identity 'Kubilay Kaya' -ShowDetails -StartDate (get-date -format g(get-date).adddays(-1)) -EndDate (get-date -format g) | Format-Table Operation, OperationResult, LastAccessed, LogonType, LogonUserDisplayName, FolderPathName, ItemSubject -AutoSize

Search-MailboxAuditLog -Identity 'Kubilay Kaya' -ShowDetails | Format-Table Operation, LastAccessed, LogonType, LogonUserDisplayName, FolderPathName, ItemSubject -AutoSize


Sadece belirli bir olayın loglanması
Search-MailboxAuditLog -Identity 'Kubilay Kaya' -ShowDetails | ? {$_.Operation -eq "HardDelete"} | Format-Table Operation, LastAccessed, LogonType, LogonUserDisplayName, FolderPathName, ItemSubject -AutoSize

Logların dışarı çıkarılması
Search-MailboxAuditLog -Identity 'Kubilay Kaya' -Showdetails | select -prop Owner, LastAccessed, Operation, OperationResults, LogonType, FolderPathName, ClientInfoString, ClientIpAddress, InternalLogonType, MailboxOwnerUPN, LogonUserDN, Subject|Export-Csv C:\users\kkaya\Desktop\mailboxaudit.csv -NoTypeInformation -Encoding "UTF8"

Search-MailboxAuditLog -Identity 'Kubilay Kaya' -Showdetails -StartDate (get-date -format g(get-date).adddays(-1)) -EndDate (get-date -format g) | select * | Export-xml  C:\users\kkaya\Desktop\mailboxaudit.xml get-mailbox | Search-MailboxAuditLog -Showdetails -Resultsize 250000 -StartDate (get-date -format g(get-date).adddays(-1)) -EndDate (get-date -format g) | select * | Export-clixml  C:\users\kkaya\Desktop\mailboxaudit.xml


Gerekli olabilecek alanlar
Owner, LastAccessed, Operation, OperationResults, LogonType, FolderPathName, ClientInfoString, ClientIpAddress, InternalLogonType, MailboxOwnerUPN, LogonUserDN, Subject


New-MailboxAuditLogSearch "Admin and Delegate Access" -Mailboxes "test","test2" -LogonTypes Admin,Delegate -StartDate 1/1/2013 -EndDate 12/31/2013 -StatusMailRecipients "test@test.test"

logontyper owner verilirse -Showdetails kullanılmalıdır.

Folder izinlerinin görüntülenmesi gerekli olabilir
Get-MailboxFolderPermission -Identity test@test.test:\Calendar

Add-MailboxFolderPermission -Identity kullanici1:\calendar -User kullanici2 -AccessRights Reviewer


Örnek Komutlar

Get-DistributionGroupMember ksg | Get-Mailbox | fl Au*

Get-DistributionGroupMember mailgrupadi | Set-Mailbox -AuditDelegate Update, 

Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, Send As, 

SendOnBehalf, Create -AuditEnabled $true