Exchange 2010 Mailbox Audit Logging: So wirds aktiviert und verwendet

Hin und wieder können sich Anwender nicht erklären, warum Mails verschwinden, verschoben oder hart gelöscht wurden obwohl keine Regeln existieren.
Tja, ich kann mir das auch nicht erklären 😀 aber ich weiß wie man herausfinden kann wer es war. Mailbox Audit Logging aktivieren und Ergebnisse auswerten.

So wird’s gemacht:

Festlegen, auf welche Mailbox Audit Logging aktiviert wird:

set-mailbox <MailboxID> -AuditEnabled $true
set-mailbox <MailboxID> -AuditOwner {Update, Move, SoftDelete, HardDelete, Create}

Die Einstellungen auf der Mailbox sehen dann so aus:

AuditLoggingEinstellungen

Damit werden die Änderungen von Admins, Vertretern und dem Benutzer selbst protokolliert. Die Informationen werden max, 90 Tage aufbewahrt. Die Logging Informationen werden in der Benutzermailbox gespeichert.

AuditBypassEnabled muss auf $false gesetzt werden, damit die Änderungsvorgänge auch wirklich protokolliert werden.

Set-MailboxAuditBypassAssociation <MailboxID> -AuditBypassEnabled $false

Abfrage der Änderungen in einer Mailbox: (Natürlich muss man warten, bis die Aktionen auftreten!)

Search-MailboxAuditLog <MailboxID> -ShowDetails | ft Operation,LogonType,FolderPathName,
                ClientInfoString,SourceItemSubjectsList,DestFolderPathName,lastaccessed

Das Ergebnis sieht dann in etwa so aus:

Search-MailboxAuditLog

Wie man schön sehen kann werden die Vorgänge (SoftDelete/Move/…) und Quell- sowie Zielordner dokumentiert. In der Spalte ClientInfoString wird dazu noch dokumentiert, über welchen Client der Vorgang stattgefunden hat.

LogonType = Owner bedeutet, der User macht das selbst! Was ja zu erwarten war 😀

Matthias