Где я могу найти данные журнала для Exchange 2010, которые покажут мне такие данные, как пользователи, обращающиеся к базе данных, или неудачные попытки входа в систему.
Спасибо!
Попытки входа в систему регистрируются в обычном журнале попыток входа в систему Windows в журнале событий безопасности. Я не верю, что есть способ отличить логины Exchange от обычных логинов Windows, но ваши серверы клиентского доступа в любом случае не должны видеть никаких логинов в простом Windows, поэтому можно с уверенностью предположить, что все, что есть, связано с Exchange.
Я не верю, хотя могу ошибаться, что существует способ аудита доступа к базе данных. Такой журнал может стать безумным спамом в организации любого размера из-за того, что Outlook просто сидит там, очевидно ничего не делая. Режим подключения Outlook по умолчанию основан на модели pull, поэтому Outlook периодически опрашивает сервер Exchange (интервал можно настраивать, но по умолчанию он довольно короткий), что может быть одним из тех, что нужно регистрировать.
Предполагая, что вы используете Exchange 2010 SP1, вы, возможно, ищете Ведение журнала аудита почтового ящика. Вам нужно будет включить его и настроить в соответствии с тем, что вы ищете. Как только вы это сделаете, вам определенно нужно будет следить за ростом этого, потому что это может довольно быстро получить большой объем информации.
Что касается того, где вы можете найти журналы, вам нужно будет запустить команды PowerShell из этой статьи, чтобы просмотреть журналы, но я считаю, что информация хранится в отдельных почтовых ящиках. Я не могу указать на документацию по этому поводу, поэтому могу ошибаться относительно того, где они хранятся.
Насколько мне известно, нет способа проверить доступ к базам данных почтовых ящиков. Если пользователь вошел в систему и подключен к Exchange (через OWA, клиент Outlook или мобильное устройство с ActiveSync), вы можете предположить, что он взаимодействует с серверами почтовых ящиков.
Аутентификация пользователей для Exchange обрабатывается Active Directory. Журнал безопасности на сервере клиентского доступа может содержать некоторую информацию аудита безопасности, но лучше всего искать журналы безопасности на контроллере домена. Это только скажет вам, кто и когда проходил аутентификацию (и, возможно, клиент, с которого они подключались). Однако отслеживание того, когда и где пользователь вошел в систему, может быть затруднено, если у вас есть несколько контроллеров домена, потому что вам нужно будет искать журналы безопасности на КАЖДОМ контроллере домена, чтобы найти информацию, которую вы ищете. Есть некоторые сторонние программы, которые сделают это за вас.
Я обнаружил, что журналы IIS наиболее полезны при отслеживании сбоев аутентификации, поскольку в журналах отображается только IP-адрес сервера Exchange. Помните, что они для времени по Гринвичу ... Мне удалось найти недопустимую попытку входа в систему и выяснить, что у сотрудника было ДВА разных почтовых клиента, установленных на мобильном устройстве, но он обновлял только один ... поэтому другой блокировал их учетная запись.