企业中已经为Office 365中Exchange Online启用了审核日志,并且配置好了需要审核的操作。当在正常的运行过程中,默认情况下邮箱的审核日志将保留90天。现在只要是符合审核条件的操作,都将被记录的日志中。比如有管理员访问的用户的邮箱操作、有委派用户删除了用户邮箱中的邮件等。每一条日志中都会包含:访问的时间、访问的用户、执行的操作、该操作是否执行成功等信息。
通过使用Exchange管理中心(EAC)可以获取邮箱审核日志的内容。但是,由于Exchange Online的邮箱审核日志是通过XML格式提供的,并且是作为附件形式发送到指定接收邮箱的。默认情况下,Exchange Online的Outlook Web App(OWA)是不支持XML附件的,因此,如果使用OWA作为客户端则需要额外配置启用允许XML附件。
一、配置OWA允许XML附件
默认情况下,Exchange Online的OWA只允许如下扩展名的邮件附件:
而明确标记为阻止的扩展名有:
1、如何了解Exchange Online的OWA默认支持或拒绝的附件格式
可以通过Get-OwaMailboxPolicy命令获取当前Exchange Online的OWA支持或拒绝的所有附件文件扩展名格式
Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
2、添加OWA支持XML附件格式文件
使用Set-OwaMailboxPolicy设置OWA邮箱策略,将XML格式扩展名添加到Exchange Online的OWA允许列表中。
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
通过Get-OwaMailboxPolicy查看结果,可以看见xml已经出现在允许列表中了。
如果不再需要支持那么可以将其从允许列表中移除。
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{remove='.xml'}
3、保证XML不在OWA阻止附件格式文件列表中
同样可以使用Set-OwaMailboxPolicy设置OWA邮箱策略,将指定格式的扩展名从Exchange Online的OWA阻止列表中移除。
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
当然如果需要阻止一个特定格式的文件,可以直接用add在阻止列表中进行添加即可。
二、导出邮箱审核日志
在Exchange管理中心(EAC)中,点击左侧导航栏中的“合规性管理”,在右边窗口中点击“审核”,然后点击“导出邮箱审核日志”。
在弹出的“导出邮箱审核日志”页面中,需要先后设置如下参数:
日志的开始时间和结束时间,指定需要导出哪个用户的邮箱审核日志或所有邮箱的审核日志。
默认情况下是搜索“全部非所有者”访问日志,此外还可以选择其它类型。
-
全部非所有者:将包含组织内的管理员和受委派用户的访问,以及运行Exchange Online的微软数据中心的管理员的访问;
-
外部用户:仅包含运行Exchange Online的微软数据中心的管理员的访问;
-
管理员和收委派用户:仅包含组织内的管理员和受委派用户的访问;
-
管理员:仅包含组织内的管理员的访问。
最后,指定接收审核日志的邮箱,点击“导出”完成配置。
需要注意的是,收到邮件的过程较为缓慢,EAC中提示“会在24小时内”发送给指定的收件人。
三、如何分析邮箱审核日志
当Exchange Online执行审核日志导出后,指定接收邮箱将收到如下格式的电子邮件:
附件中包含一个SearchResult.xml的文件。在该xml文件中,每一个事件都是以条目的形式出现的,一个条目是以“<Event”开头,以“</Evnet>”结尾。
在一条事件中,比较有用的字段如下:
-
Owner:邮箱的所有者;
-
LastAccessd:该事件访问邮箱的时间;
-
Operation:访问者在邮箱中进行的操作;
-
OperationResult:操作是否成功?还是失败;
-
Logon Type:非所有者访问的类型,包括:管理员、受委派用户和外部用户;
-
FolderPathName:此次访问受影响的文件夹路径名称;
-
ClientInfoString:此次访问使用的客户端软件信息;
-
ClientIPAddress:此次访问是从那个IP地址发起的;
-
InternalLogonType:此次访问所使用的账户登录类型;
-
MailboxOwnerUPN:此次访问的邮箱的所有者的邮件地址;
-
LogonUserDN:此次访问者的显示名;
-
Subject:此次访问涉及到的邮件主题。
通过上述信息,可以帮助企业很快定位用户邮箱被非所有者访问的具体情况,从而帮助企业进行合规、法务,以及诉讼方面的取得相关利益。
