我有一个邮箱用户(Exchange 2016)认为他的邮箱被黑了。
所以我想审核对他邮箱的访问。
我通过启用审核Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true
但似乎通过 ECP 我只能检查哪些其他用户或管理员尝试访问该邮箱。
如果邮箱被黑客入侵,它应该显示来自用户本身的访问权限,但没有用于此目的的选项。
如何审核此邮箱以获取上次登录、IP、设备等访问统计信息?
AskOverflow.Dev
您可以通过 IIS 日志和事件日志检查每个协议成功或失败的客户端登录。首先在事件日志中查找客户端登录成功或失败的结果,然后您可以通过IIS日志查看用户帐户和协议的详细信息。
1.Event log Exchange中的Event log会记录客户端的登录状态。您可以转到 Windows 日志 -> 安全部分,日志记录客户端登录状态。(a).如果用户帐户登录客户端成功,将生成事件 id 4624。(b).如果用户帐户登录客户端失败,将生成事件 id 4625。
2.IIS日志 然后,我们可以通过IIS日志看到具体的用户访问时间、用户名、登录类型和登录状态。IIS 日志位置如下: C:\inetpub\logs\LogFiles\W3SVC1 为了更清楚地查看 Exchange 上的 IIS 日志,建议您使用 Excel 导入日志,然后使用不同的列进行分析。下面是具体步骤:
(a).删除IIS日志中以#字符开头的标题。用Excel打开时形成列很方便。
(b).打开一个空的 Excel 电子表格并单击文件>打开,选择 IIS 日志。打开后,选择分隔过滤器类型。接下来,选择空间并单击完成。IIS 日志中列出了一些代码:
• 日期(日期) • 时间(时间、时区 (GMT)) • 客户端 IP 地址 (c-ip) • 用户名 (cs-username) • 方法 (cs-method) • URI 词干 (cs-uri-stem) • URI 查询 (cs-uri-query) • 协议状态 (sc-status) • Win32 状态 (sc-win32-status) • 发送字节数 (sc-bytes) • 花费时间 (time-taken) • 主机 (cs-host) • 用户代理 (cs(User-Agent)) • 推荐人 (cs(Referer))
在代码“cs-status”中,200 OK成功状态响应码表示请求成功(登录成功)。401未授权客户端错误状态响应代码表示该请求尚未应用,因为它缺少目标资源的有效身份验证凭据(登录失败)。
3-1.对于Outlook Web Access,我们可以主要查看事件日志,它准确地记录了登录时间、账户名和登录状态。IIS 日志还记录了登录状态、登录时间和登录类型。
3-2. 对于 Outlook Anywhere,在 Exchange Server 2016 中,默认情况下在组织级别启用 MAPI over HTTP。但是,不支持 MAPI over HTTP 的 Outlook 客户端仍然可以使用 Outlook Anywhere (RPC over HTTP) 通过启用 MAPI 的客户端访问服务器访问 Exchange。我们可以主要查看事件日志,它记录了登录状态、账户名和登录时间。IIS 日志还准确记录了登录时间、登录类型和登录状态。
3-3.对于Exchange Activesync,我们可以主要查看事件日志,它记录了登录状态、账户名和登录时间。IIS 日志还准确记录了登录时间、登录类型和登录状态。
