在企业中除了需要了解、跟踪管理员可能对用户邮箱的访问外,还需要跟踪管理员在邮件组织中进行的设置和操作,以便确认所有行为合规。并且保证邮件组织的稳定正确运行,以及在出现误操作或恶意操作时,能够及时进行排查修复故障。对需要追责的事件提供可靠的指引和证据。

因此,在Exchange Online中提供了管理员审核日志,用于记录管理员对组织和收件人配置进行的修改。可以用于跟踪误操作导致事件、确定恶意操作的行为、验证相关操作是否符合合规要求。

一、跟踪管理员对用户账户角色的调整

通常情况下,邮件组织的管理员可以通过自己的权限对企业中的用户授予一定管理角色,以便指定用户获得响应的管理权限。如果未经授权的这类操作,可能将给企业邮件系统带来维护上的极大困难,影响邮件系统正常运行的稳定性。

那么如何才能有效了解到哪些管理员为其他哪些用户进行过授权呢?这是在进行合规处理以及后续追责方面尤其需要的。Exchange Online为使用者提供了管理角色组更改报告,该报告可以展示管理员对组织中管理角色组成员修改的信息记录。

通过Exchange管理中心(EAC)可以很方便的导出管理角色组更改报告。在EAC中导航到“合规性管理”,在右侧选择“审核”,点击“运行管理员角色组报告”。

image

在打开的“搜索对管理员角色组的更改”窗口中,指定需要获取报告的起始日期和结束日期,还可以通过筛选器指定检索特定角色组的授权情况,如果不指定,则会检索所有角色组的授权情况。最后点击“搜索“,将在下方列出符合检索条件的角色组更改报告。

从报告中很容易看出哪个管理员为哪个用户在什么时候授予了哪种管理角色权限。

image

二、利用管理员审核日志跟踪管理员操作

如果要想知道更多的管理员操作信息,可以通过管理员审核日志来获取。

对于管理员审核日志的获取有两个途径,分别是通过“运行管理员审核日志报告”和“导出管理员审核日志”。对于“运行管理员审核日志报告”可以查看管理员审核日志中有关组织管理员所做的配置更改。而“导出管理员审核日志”将会把日志导出为一个XML文件,和邮箱审核日志相同,Exchange Online会将该XML文件以邮件附件的形式发送到指定用户邮箱,因此,如果用户使用OWA作为客户端,那么必须为其启用允许OWA附件,具体操作可以参考《玩转O365中的EXO服务 之四十七 怎样获取邮箱审核日志》(https://blog.51cto.com/liulike/2359471)。

1、确认管理员审核日志功能是否已经启用

在Exchange Online中管理员审核日志是默认开启的,可以通过Get-AdminAuditLogConfig来确认该功能是否真实启用。

Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled

image

需要注意,在Exchange Online该功能是不能关闭的,但在Exchange Server中该功能可以通过Set-AdminAuditLogConfig来进行启用或禁用,如:

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

在确认已经启用管理员审核日志功能之后就可以查看或导出管理员审核日志了。

2、查看管理员审核日志

在EAC中导航到“合规性管理”,在右侧选择“审核”,点击“运行管理员审核日志报告”。

image

在“搜索以查看配置更改”窗口中,指定要检索的日志的起始日期和终止日期,如果不进行定义则会默认筛选近15日的日志。点击“搜索”进行检索,其结果将会显示在下方。

image

3、导出管理员审核日志

在EAC中导航到“合规性管理”,在右侧选择“审核”,点击“导出管理员审核日志”。

image

指定需要导出日志的起始日期和结束日期,以及将导出的XML文件发送至哪个指定的用户邮箱,最后点击导出即可。

image

Exchange Online限制该XML的大小不超过10MB,所以在选择时间区间时,应尽量精确,默认的时间范围为最近15天。另外,Exchange Online的日志导出一般持续时间较长,所以通过不可能马上收到邮件,通常为24小时内发出,但实测也有更为缓慢的时候,要等到48-72小时或更长。

三、使用PowerShell查询并导出管理员审核日志

如果要使用一些高级或更加精确的筛选,可以使用PowerShell来进行操作。比如,默认情况下只会筛选出1000条目,但是在PowerShell中使用_ResultSize_可指定符合条件的条目返回数。

1、查询管理员审核日志

如要筛选2019年3月7日至2019年3月8日,管理员在系统中对邮箱进行的发送和接收邮件大小限制等操作日志。可以使用Search-AdminAuditLog来进行。

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

image

可以将其返回值赋予一个变量,通过指定查看该数组类型值的元素ID,可以查看具体的某一条日志记录。

$res = Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

$res[0]

image

可以通过该日志记录的各属性查看具体信息。

$res[0].CmdletParameters

image

2、导出管理员审核日志

可以通过New-AdminAuditLogSearch创建导出管理员审核日志。

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019 -StatusMailRecipients admin@lpwr.net -Name "Mail limit Setting 20190308"

image

同样,该操作Exchange Online在执行完成后,将会把符合筛选条件的日志条目以XML文件附件方式发送到指定的邮箱中,时间同样为24小时内。因此需要较长的等待,并且XML文件的大小会被限制在10MB以内。