Mailbox seviyesinde konfigüre edilir.
Geçerli olarak user audit kapalıdır.
User, Delegate ve Administrative seviyelerinde konfigüre edilir.
Mailboxlar üzerinde 11 hareket izlenir
copy, mesajın kopyalanması (Administrator, Delegate)
create, gönderilen ve alınan mesajlar, oluşturulan klasörler hariç (Administrator, Delegate, Owner)
Folderbind, mailbox ve içindeki herhangi bir klasöre erişim (Administrator, Delegate)
harddelete, Recoverable Item dan silinen öğeler (Administrator, Delegate, Owner)
messagebind Okunan yada açılan mesajlar (Administrator)
move, taşınan öğeler (Administrator, Delegate, Owner)
movetodeleteditems, silinen mesajlar (Administrator, Delegate, Owner)
sendas, send as yetkisi ile gönderilen mesajlar (Administrator, Delegate)
sendonbehalf, sendonbehalf (asıl gönderenin belli olduğu) yetkisi ile gönderilen mesajlar (Administrator, Delegate)
softdelete, silinmiş öğelerden silinen (Administrator, Delegate, Owner)
update bir objenin özelliklerinde yapılan güncelleme (Administrator, Delegate, Owner)
audit loglar kulanıcıların mailbox ı içinde tutulur
Recoverable Items içinde Audits
owa ve outlook üzerinden görülemez
MFCMAPI program ile görülebiliyor
Powershell ile konfigüre edilir.
Set-Mailbox -Identity 'Kubilay Kaya' -AuditEnabled $True
Geçerli olarak 90 gün
AuditAdmin
{Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
AuditDelegate
{Update, SoftDelete, HardDelete, SendAs, Create}
hareketleri loglanmaya başlar.
AuditOwner aşırı log üretebileceğindan, belirli kullanıcılar için gerekli durumlarda açılması önerilir. Mesela kulllanıcının mesajlarının periyodik olarak kaybolması gibi.
Audit işleminden hariç tutulacak kullanıcılar önceden belirtilir.
Set-MailboxAuditBypassAssociation -Identity 'test' -AuditBypassEnabled $True
Tüm kullanıcılar için aşağıdaki komutlalarla yada oluşturulacak ps1 dosyası
çalıştırılarak açılabilir
$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true -AuditDelegate Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create -AuditLogAgeLimit 366.00:00:00}
Mailbox Audit yapılandırmasını bir kullanıcı üzerinde görmek için
Get-Mailbox -Identity 'Kubilay Kaya' | Format-List Audit*
Audit enabled olan tüm kullanıcıların listesini almak için
Get-Mailbox -resultsize unlimited | where {$_.Auditenabled -eq "True"}
Hangi hareketlerin loglanacağı belirlemek için
Set-Mailbox -Identity "Kubilay Kaya" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true
Set-Mailbox -Identity "Kubilay Kaya" -AuditAdmin MessageBind,FolderBind -AuditEnabled $true
Set-Mailbox -Identity "Kubilay Kaya" -AuditOwner HardDelete -AuditEnabled $true
Audit Loglar
Geçerli olarak 90 gün tutulur 24.855 güne arttırılabilir
Eğer AuditlogAgeLimit 0 verilirse loglar temizlenir.
her log 1.5 - 3 kb arasındadır
mailbox içinde tutulan loglar kotadan hariçtir
Powershell ile görülebilir
Audit sayı ve büyüklüğünü görmek için
Get-MailboxFolderStatistics -Identity "Kubilay Kaya" | ? {$_.Name -eq "Audits" -and $_.FolderType -eq "Audits"} | Format-Table Identity, ItemsInFolder, FolderSize -AutoSize
Identity ItemsInFolder FolderSize
-------- ------------------ ----------
kubilay.kaya\Audits 23 253.8 Kb (259891 bytes)
Audit arama
Search-MailboxAuditLog -Identity 'Kubilay Kaya' -ShowDetails -StartDate
"11/18/2013 00:00:00 AM" -EndDate "11/18/2013 12:00:00 PM" | Format-Table
Operation, OperationResult, LastAccessed, LogonType, LogonUserDisplayName,
FolderPathName, ItemSubject -AutoSize
Tarihin dinamik olarak verilmesi
Search-MailboxAuditLog -Identity 'Kubilay Kaya' -ShowDetails -StartDate (get-date -format g(get-date).adddays(-1)) -EndDate (get-date -format g) | Format-Table Operation, OperationResult, LastAccessed, LogonType, LogonUserDisplayName, FolderPathName, ItemSubject -AutoSize
Search-MailboxAuditLog -Identity 'Kubilay Kaya' -ShowDetails | Format-Table Operation, LastAccessed, LogonType, LogonUserDisplayName, FolderPathName, ItemSubject -AutoSize
Sadece belirli bir olayın loglanması
Search-MailboxAuditLog -Identity 'Kubilay Kaya' -ShowDetails | ? {$_.Operation -eq "HardDelete"} | Format-Table Operation, LastAccessed, LogonType, LogonUserDisplayName, FolderPathName, ItemSubject -AutoSize
Logların dışarı çıkarılması
Search-MailboxAuditLog -Identity 'Kubilay Kaya' -Showdetails | select -prop Owner, LastAccessed, Operation, OperationResults, LogonType, FolderPathName, ClientInfoString, ClientIpAddress, InternalLogonType, MailboxOwnerUPN, LogonUserDN, Subject|Export-Csv C:\users\kkaya\Desktop\mailboxaudit.csv -NoTypeInformation -Encoding "UTF8"
Search-MailboxAuditLog -Identity 'Kubilay Kaya' -Showdetails -StartDate (get-date -format g(get-date).adddays(-1)) -EndDate (get-date -format g) | select * | Export-xml C:\users\kkaya\Desktop\mailboxaudit.xml get-mailbox | Search-MailboxAuditLog -Showdetails -Resultsize 250000 -StartDate (get-date -format g(get-date).adddays(-1)) -EndDate (get-date -format g) | select * | Export-clixml C:\users\kkaya\Desktop\mailboxaudit.xml
Gerekli olabilecek alanlar
Owner, LastAccessed, Operation, OperationResults, LogonType, FolderPathName, ClientInfoString, ClientIpAddress, InternalLogonType, MailboxOwnerUPN, LogonUserDN, Subject
New-MailboxAuditLogSearch "Admin and Delegate Access" -Mailboxes "test","test2" -LogonTypes Admin,Delegate -StartDate 1/1/2013 -EndDate 12/31/2013 -StatusMailRecipients "test@test.test"
logontyper owner verilirse -Showdetails kullanılmalıdır.
Folder izinlerinin görüntülenmesi gerekli olabilir
Get-MailboxFolderPermission -Identity test@test.test:\Calendar
Add-MailboxFolderPermission -Identity kullanici1:\calendar -User kullanici2 -AccessRights Reviewer
Örnek Komutlar
Get-DistributionGroupMember ksg | Get-Mailbox | fl Au*
Get-DistributionGroupMember mailgrupadi | Set-Mailbox -AuditDelegate Update,
Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, Send As,
SendOnBehalf, Create -AuditEnabled $true
