Ref: 瞭解 Exchange Server 2007 Service Pack 2 中的 Mailbox Access Auditing

-

Exchange 2007 SP2 新功能
瞭解 Exchange Server 2007 Service Pack 2 中的 Mailbox Access Auditing

存取稽核實作在 Microsoft Exchange Store.exe 處理程序中,這是信箱資料庫裡的郵件存取點。「存取稽核」代表一組事件日誌的事件,這些事件是設計來提供系統管理員有關於使用者已開啟之信箱資源的資訊。 這些是新的事件,不會修改現有的事件 (現有的事件可能用於其他目的)。

存取稽核是以 [Microsoft Exchange IS] 資源的一組 [診斷記錄] 類別啟用,每個類別對應到不同的資源存取類型。可以獨立啟用每個類別。這讓系統管理員能夠選擇適合特定組織的資訊等級 (以及記錄它所造成的對應負載)。
  • [資料夾存取] 類別可讓您記錄對應到開啟資料夾的事件,例如 [收件匣]、[寄件匣] 或 [寄件備份] 等資料夾。
  • [郵件存取] 類別可讓您記錄對應到明確開啟郵件的事件。
  • [延伸以下列傳送] 類別可讓您記錄對應到以擁有信箱功能的使用者身分傳送郵件的事件。
  • [延伸傳送代理者] 類別可讓您記錄對應到代表擁有信箱功能的使用者傳送郵件的事件。

存取稽核不會稽核郵件刪除,只會稽核郵件存取。

存取稽核著重於反映用戶端取得對實際訊息資料之存取的事件,或是執行影響訊息資料之權限的事件。例如:

  • 藉由開啟資料夾,用戶端取得了對實際資料的存取權。
  • 藉由開啟郵件,用戶端取得了對實際資料的存取權。

登入信箱即是隱含取得對資料夾之存取權的作業。存取稽核讓您忽略在 IPM 樹狀子目錄底下發生的作業,例如空閒/忙碌快取查閱作業。此外,存取稽核會忽略 Exchange 系統處理程序的存取。存取稽核也可以只記錄特定類別的存取。Windows 稽核與存取稽核之間的交換在於組態處理程序。Windows 稽核可以用原則來設定。存取稽核是由 Microsoft Exchange 資訊儲存庫的診斷類別來控制。



每個類別支援從 0 (未啟用) 到 5 (最大記錄) 的記錄等級。較高的記錄等級會增加記錄資料的數量和詳細程度。

Blog 相關文章

1.  LAB: Exchange 2007 如何變更 Exchange 稽核記錄等級 (Exchange Auditing) – 1

2.  LAB: Exchange 2007 如何變更 Exchange 稽核記錄等級 (Exchange Auditing on Server 2008) – 2

More Information

1. Service Pack 2 Highlight: Mailbox Access Auditing

2. White Paper: Configuration and Mailbox Access Auditing for Exchange 2007 Organizations

3. Understanding Mailbox Access Auditing with Exchange Server 2007 Service Pack 2


Comments

Post a Comment

Popular posts from this blog

E15 CU3–Update Failed–AD replicated Exceeded the tombstone lifetime.

-
Image
  Exchange 2013 CU3 The naming context is in the process of being removed or is not replicated http://technet.microsoft.com/en-us/library/replication-error-8452-the-naming-context-is-in-the-process-of-being-removed-or-is-not-replicated-from-the-specified-server(v=ws.10).aspx   C:\> REPADMIN /SHOWREPS Root\RDC01 DSA Options: IS_GC Site Options: (none) DSA object GUID: f1694974-47c4-4555-a214-db3c86854aeb DSA invocationID: f1694974-47c4-4555-a214-db3c86854aeb ==== INBOUND NEIGHBORS ====================================== CN=Schema,CN=Configuration,DC=lab7,DC=root     TW\AD02 via RPC         DSA object GUID: bfcc1053-e1da-46fd-8b9d-179c7992...
Read more

202301 - Exchange onpreme - PowerShell Serialization Payload Signing

-
Image
Released: January 2023 Exchange Server Security Updates https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2023-exchange-server-security-updates/ba-p/3711808 https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/SerializedDataSigningCheck/ 1.  Update KB5022143 (Exchange SU) 2. Run latest HealthCherker 3.  PowerShell Serialization Payload Signing https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/SerializedDataSigningCheck/ Certificate signing of PowerShell serialization payload in Exchange Server https://support.microsoft.com/en-us/topic/certificate-signing-of-powershell-serialization-payload-in-exchange-server-90fbf219-b0dd-4b2c-8a68-9d73b3309eb1 4.  MonitorExchangeAuthCertificate    https://microsoft.github.io/CSS-Exchange/Admin/MonitorExchangeAuthCertificate/ 5.                 New-SettingOverride -Name "EnableSigningVerification" -Component Data -Secti...
Read more

Ticket: RemoteAPP certificate revocation check error

-
Image
  . certutil -f –urlfetch -verify <your_certificate>.cer From internet client (Win7 ultimate x64) Issuer:     CN=TWCA Secure CA -Evaluation Only     OU=SSL Certification Service Provider-Evaluation Only     O=TAIWAN-CA INC.     C=TW Subject:     CN=deep2.msft.com     OU=ITS     O=Msft Corporation     L=Taipei     S=Taiwan     C=TW Cert Serial Number: 04bd dwFlags = CA_VERIFY_FLAGS_ALLOW_UNTRUSTED_ROOT (0x1) dwFlags = CA_VERIFY_FLAGS_IGNORE_OFFLINE (0x2) dwFlags = CA_VERIFY_FLAGS_FULL_CHAIN_REVOCATION (0x8) dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN (0x20000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwErrorStatu...
Read more