Exchange 2016: как контролировать доступ пользователей к почтовому ящику, чтобы получить их IP?

Вы можете проверить вход клиента в систему для каждого успешного или неудачного протокола через журнал IIS и журнал событий. Сначала найдите в журнале событий результаты успешного или неудачного входа клиента в систему, затем вы можете проверить подробную информацию об учетных записях пользователей и протоколах через журнал IIS.

1. Журнал событий Журнал событий в Exchange будет записывать статус входа клиента. Вы можете перейти в Журналы Windows -> Раздел «Безопасность», в журналах записывается статус входа клиента в систему. (a) .Если клиентская учетная запись входа в систему прошла успешно, будет сгенерирован идентификатор события 4624. (b) Если клиентская учетная запись пользователя не работает, будет сгенерирован идентификатор события 4625. 2. Журнал IIS Затем мы могли видеть время доступа конкретного пользователя, имя пользователя, тип и статус входа в систему через журналы IIS. Расположение журналов IIS показано ниже: C: \ inetpub \ logs \ LogFiles \ W3SVC1 Для более четкого просмотра журналов IIS на Exchange я рекомендую вам использовать Excel для импорта журналов, а затем их анализа в разных столбцах. Вот конкретные шаги:

(а). Удалите заголовки, начинающиеся с символа # в журналах IIS. Это удобно для формирования столбцов при открытии в Excel.  

(б). Откройте пустую электронную таблицу Excel и нажмите Файл> Открыть, выберите журнал IIS. После открытия выберите тип фильтра с разделителями. Затем выберите «Пробел» и нажмите «Готово». В журнале IIS перечислены некоторые коды:

• Дата (дата) • Время (время, часовой пояс (GMT)) • IP-адрес клиента (c-ip) • Имя пользователя (cs-username) • Метод (cs-method) • Стержень URI (cs-uri-stem) • Запрос URI (cs-uri-query) • Статус протокола (sc-status) • Статус Win32 (sc-win32-status) • Отправленные байты (sc-байты) • Затраченное время (затраченное время) • Хост (cs-host) • Пользовательский агент (cs (User-Agent)) • Referer (cs (Referer))

В коде «cs-status» код ответа 200 OK с состоянием успеха указывает, что запрос выполнен успешно (вход в систему успешно). Код ответа о состоянии неавторизованной ошибки клиента 401 указывает на то, что запрос не был применен из-за отсутствия действительных учетных данных аутентификации для целевого ресурса (неудачный вход в систему).

  Дополнительные ссылки см .:https://blogs.msdn.microsoft.com/friis/2014/01/09/how-to-use-excel-to-analyse-iis-logs/  

3-1. Для Outlook Web Access мы могли в основном проверять журнал событий, он точно записывает время входа в систему, имя учетной записи и статус входа. Журнал IIS также записывал состояние входа в систему, время входа в систему и тип входа в систему.

3-2. Для мобильного Outlook в Exchange Server 2016 MAPI over HTTP включен по умолчанию на уровне организации. Но клиенты Outlook, которые не поддерживают MAPI через HTTP, могут по-прежнему использовать Outlook Anywhere (RPC через HTTP) для доступа к Exchange через сервер клиентского доступа с поддержкой MAPI. В основном мы могли проверять журнал событий, он записывал статус входа в систему, имя учетной записи и время входа в систему. Журнал IIS также точно записывает время входа в систему, тип входа в систему и статус входа в систему.

3-3. Для Exchange Activesync мы могли в основном проверять журнал событий, в нем записывались статус входа в систему, имя учетной записи и время входа в систему. Журнал IIS также точно записывает время входа в систему, тип входа в систему и статус входа в систему.