Die Überwachung des Postfachzugriffs ist unter Exchange 2007 ab SP2 möglich, in Exchange 2010 standardmäßig integriert. Die Konfiguration kann über den Assistenten für "Diagnoseprotokollierungseigenschaften verwalten..." vorgenommen werden. Dies ist eigentlich ein altbekanntes Feature aus vorigen Exchange Versionen.
Die Überwachungs-Kategorie
Der zum Auditieren benötigte Dienstkategorie ist der Informationsspeicher ("MSExchangeIS") und darin die Optionen "9000 Private". Der Dienst findet sich auf dem Server mit der Mailbox Rolle.
Was damit überwacht weden kann
Zugriffe auf Verzeichnisse wie Posteingang, Gesendete Objekte etc.
Zugriff auf Nachrichten (Öffenen von Nachrichten)
Send AS (Senden einer Nachricht)
Extended Send On Behalf Of (Senden einer Nachricht im Auftrag von)
Hinweis: Zugriffsüberprüfung sollte davon absehen, generell ein "Postfach-Logon" zu überwachen. Denn hier werden auch ganz normale Zugriffe z.B. auf Free/Busy Daten einbezogen und führen zur Datenflut und zu "Sagt-Nichts-Aus"-Ergebnissen. Was hingegen überprüft werden sollte, sind Datenzugriffe.
Aktivieren der Überwachung
Als cmdlet:
E10SECOND\MSExchangeIS\9000 Private\Send As' | Set-EventLogLevel -Level 'Expert'
Hinweis: Abhängigkeit vom Betriebssystem
Grundsätzlich ist das Auditing von Exchange 2007/2010 auf Windows 2003 und Window 2008 Plattformen technisch möglich. Microsoft rät jedoch von der Audit-Funktionalität bei E2K7 unter W2K3 wegen eingeschränkter Event-Funktionalitäten und Performance-Problemen ab!
Die Daten werden in einem speziellen neuen Anwendungsprotokollverzeichnis gespeichert. Dies sollten Sie so anpassen, dass der Speicherort der Dateien auf einem optimalen Laufwerk liegen.
Links:
Understanding Mailbox Access Auditing with Exchange Server 2007 Service Pack 2
White Paper: Configuration and Mailbox Access Auditing for Exchange 2007 Organizations
