Exchange Server’ın kullanıldıgı organizasyonlar da, Exchange Server yöneticisinin herhangi bir posta kutusu veya posta kutusunda ki öğeye erişim girişiminin denetlenmesi gerekmektedir. Özellikle posta kutusu sahibi dışında ki kişilerin, admin veya delegasyon yapılan kullanıcıların erişimini izlemek önemlidir. Varsayılan olarak tüm mailboxlar üzerinde audit logging açık gelir. Mailbox erişimi, silme, taşıma gibi spesifik işlemlerin kim tarafından yapıldığı açıkca görülür. 

Aşağıdaki tabloda loglanan tüm detayları gorebilirsiniz. Burada ki owner mailbox’ın sahibi, Admin Exchange Server yönetisi, Delegate user ise full mailbox access yetkisi verilmiş olan kişi/kişileri temsil ediyor.

https://docs.microsoft.com/en-us/exchange/policy-and-compliance/mailbox-audit-logging/mailbox-audit-logging?view=exchserver-2019 

Exchange ortamında ki audit log konfigürasyonu için aşağıdaki komutu kullanabilirsiniz. Defaul olarak AdminAudit log acık geliyor. Log tutulmasını istemediginiz komutlar var ise onları exclude edebilirsiniz. Loglar 90 gün boyunca saklanmaktadır. Audit konfigürasyon değişiklikleri ECP üzerinden yapılamaz. 

Her bir mailbox üzerinde ki audit detaylarını gormek için aşağıdaki komutu kullanabilirsiniz.

https://docs.microsoft.com/en-us/exchange/policy-and-compliance/mailbox-audit-logging/enable-or-disable?view=exchserver-2019

Mailbox üzerinde auditing kapatmak veya açmak için aşağıdaki komutları kullanabilirsiniz.

Admin Audit Logları, Exchange sunucuları üzerinde ki eventviewer’dan (MSExchange Management) kontrol edebilirsiniz. Örneğin sendas, sendonbehalf, full access, delete content, search mailbox, address list hide gibi komut cıktılarını gorebilirsiniz. Details tabında kimin tarafında yapıldıgı yer alır.

ECP üzerinden XML formatında export alabilirsiniz ancak schedule edemiyorsunuz.

Bu durumun çözümü için, PAUL CUNNINGHAM çok güzel bir script hazırlamış. Task schedule’a ekleyip kullanabileceğiniz gibi, son 24 saat içerisinde ki admin aktivitelerini mail atabilmektedir. Projesini github’da paylaşıyor. 

https://github.com/cunninghamp/Get-MailboxAuditLoggingReport.ps1 

Örnek script cıktısını aşağıda paylaşıyorum, SendAs işleminin raporlanması.

Close