Назад | Перейти на главную страницу

Logparser для отслеживания доступа к подозрительному почтовому ящику?

Можно ли с помощью Logparser или аналогичного средства сообщить о доступе к почтовому ящику Exchange 2003/2010 от пользователей, которые не являются его владельцем?

Доступ может исходить от клиента Outlook или OWA, поэтому я предполагаю, что для этого потребуется запрос журналов IIS, а также запрос журналов событий компьютера?

Спасибо

В соответствии с Эта статья:

  • Похоже, что журналы IIS будут содержать информацию о пользователе в столбце cs-username. Вы можете найти неудачные попытки, ища reason=2 в cs-uri-query.

  • В журнале событий безопасности идентификатор события 4625 содержит информацию о неудачных попытках входа в систему.

Учитывая, что он, по-видимому, хранится в обоих местах, самым простым решением может быть просто использование средства просмотра событий и фильтрация до этого конкретного идентификатора события.

В противном случае "select top 10 * from u_ex*.log where cs-uri-query like '%reason=2%'" будет вашей отправной точкой для запроса анализатора журналов к журналам IIS.