So aktivieren Sie die Postfachüberwachungsprotokollierung in Exchange und Microsoft 365

Die Einrichtung der Überwachungsprotokollierung für Postfächer in Exchange (sowohl online als auch lokal) ist unerlässlich, wenn Sie den Überblick behalten möchten, wer was tut. Dies gilt insbesondere, wenn Ihr Team Postfächer gemeinsam nutzt oder Sie einfach nur sichergehen wollen, dass keine E-Mails versehentlich gelöscht werden. Manchmal hat man wirklich das Gefühl, einen Detektiv zu brauchen, um herauszufinden, wer diese eine wichtige E-Mail löscht oder verschiebt. Glücklicherweise verfügen sowohl Exchange Online- als auch lokale Exchange-Server über integrierte Tools zur Protokollierung dieser Aktivitäten. Doch der Teufel steckt im Detail. Wenn Sie mit den Befehlen oder Konfigurationen nicht vertraut sind, werden Sie wahrscheinlich auf einige Schwierigkeiten stoßen. Daher finden Sie hier eine praxisnahe Anleitung, die Ihnen vielleicht den Tag erspart, wenn Sie herausfinden müssen, wer dieses Postfachelement gelöscht hat.

So aktivieren und überprüfen Sie die Postfachüberwachungsprotokollierung in Exchange

Überwachungsprotokollierung in Microsoft 365 (Office 365) aktivieren

Wenn Sie Microsoft 365 nutzen, ist die Überwachungsprotokollierung seit Ende 2018 standardmäßig aktiviert. Dennoch empfiehlt sich eine Überprüfung, da sie bei manchen Mandanten, insbesondere nach Konfigurationsänderungen oder bei Neuinstallationen, möglicherweise deaktiviert ist. So vermeiden Sie spätere Frustration, wenn keine Protokolleinträge vorhanden sind.

1. Stellen Sie über PowerShell mit dem Exchange Online V3-Modul eine Verbindung her. Falls Sie es noch nicht installiert haben, laden Sie es aus der PowerShell Gallery herunter. Führen Sie anschließend folgenden Befehl aus:
2. Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true

Dadurch werden Sie in die Exchange Online PowerShell-Sitzung weitergeleitet.Überprüfen Sie nach der Verbindung, ob die Überwachungsprotokollierung auf Organisationsebene aktiviert ist:

Get-OrganizationConfig | Format-List AuditDisabled

Wenn „AuditDisabled“ den Wert „“ anzeigt False, ist die Überwachungsprotokollierung für den Mandanten aktiviert. Andernfalls können Sie sie aktivieren, in den meisten Fällen ist sie jedoch bereits aktiv.

Um zu überprüfen, für welche Postfächer die Überwachung aktiviert ist, führen Sie Folgendes aus:

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Select UserPrincipalName, AuditEnabled

Bei vielen Konfigurationen wird dies angezeigt, es empfiehlt sich jedoch, dies zu bestätigen, bevor Sie detailliertere Protokolle analysieren. Um die Überwachung für ein bestimmtes Postfach zu deaktivieren oder zu aktivieren, verwenden Sie:

Set-Mailbox [email protected] -AuditEnabled $true

oder um es auszuschalten:

Set-Mailbox [email protected] -AuditEnabled $false

Die Überwachungsstufen lassen sich für Eigentümer-, Administrator- oder Stellvertreteraktionen individuell anpassen – es handelt sich also nicht um eine Alles-oder-Nichts-Lösung. Um beispielsweise zu konfigurieren, welche Aktionen für ein Postfach protokolliert werden:

Set-Mailbox [email protected] -AuditOwner HardDelete, SoftDelete, MoveToDeletedItems

Auf diese Weise werden nur bestimmte Aktivitäten zu Prüfprotokolleinträgen geführt, sodass Sie nicht in Protokolldateien ertrinken.

Möchten Sie die aktuellen Überwachungseinstellungen überprüfen? Führen Sie Folgendes aus:

Get-Mailbox [email protected] | Select-Object -ExpandProperty AuditOwner

Die Protokolle werden im Ordner „Überwachung“ innerhalb jedes Postfachs gespeichert. Diese Ordner werden jedoch nicht in Outlook oder OWA angezeigt. Verwenden Sie stattdessen PowerShell-Befehle, um Statistiken abzurufen oder Protokolle zu exportieren.

Sie können auch die Größe Ihrer Überwachungsprotokolle in einem Postfach mit folgendem Befehl überprüfen:

Get-MailboxFolderStatistics -Identity [email protected] | where {$_. FolderType -eq 'Audits'} | ft Identity, ItemsInFolder, FolderSize –auto

Aktivieren der Postfachüberwachungsprotokollierung in Exchange Server (lokal)

Wenn Sie noch Ihre alte lokale Exchange-Installation verwenden – beispielsweise 2010 SP1 oder höher –, müssen Sie diese manuell aktivieren, da sie standardmäßig deaktiviert ist. Die erste Maßnahme ist die Verbindung zu Ihrem Exchange-Server über PowerShell.

$Session = New-PSSession -ConfigurationName Microsoft. Exchange -ConnectionUri http://your-exchange-server/PowerShell/ -Authentication Kerberos -Credential (Get-Credential) Import-PSSession $Session

Nach der Verbindung aktivieren Sie die Protokollierung für bestimmte Postfächer. Beispiel für ein einzelnes Postfach:

Set-Mailbox [email protected] -AuditEnabled $true

Oder, um es für alle Postfächer in Ihrer Organisation zu aktivieren:

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Ein kleiner Tipp: Aktivieren Sie nicht einfach alle Aktivitäten für jedes Postfach – das kann schnell außer Kontrolle geraten und riesige Protokolldateien können den Speicherplatz belegen.Überwachen Sie besser bestimmte Aktionen wie das Löschen oder Verschieben von Elementen.

Set-Mailbox [email protected] -AuditOwner SoftDelete, HardDelete, MoveToDeletedItems

Auf diese Weise ertrinken Sie nicht in Protokollen und erhalten die Informationen, die Sie wirklich benötigen.

Sie können die Aufbewahrungsdauer von Prüfprotokollen begrenzen:

Set-Mailbox [email protected] -AuditLogAgeLimit 30

Eine übersichtliche Protokollierung hilft, Speicherprobleme zu vermeiden, insbesondere in größeren Umgebungen.

Herausfinden, wer eine Nachricht in einem gemeinsamen Postfach gelöscht oder verschoben hat

Hier erweist es sich als nützlich – falls jemand etwas Wichtiges in einem gemeinsamen Postfach oder einem Team-Postfach löscht. Der Search-MailboxAuditLogBefehl ist dann hilfreich, aber seine Anwendung und die Wahl der richtigen Filter sind nicht immer offensichtlich.

Beispielbefehl, um herauszufinden, wer seit dem 1. Februar Elemente gelöscht oder verschoben hat:

Search-MailboxAuditLog -Identity [email protected] -StartDate 2/1/2022 -ShowDetails | ft MailboxOwnerUPN, LogonType, LogonUserDisplayName, Operation, OperationResult, FolderPathName

Ja, das kann je nach Aktivitätsniveau etwas dauern, aber letztendlich werden Sie den Übeltäter finden. Für spezifischere Suchanfragen filtern Sie nach Vorgangstypen wie z. B.HardDeleteoder MoveToDeletedItems:

Search-MailboxAuditLog -Identity [email protected] -StartDate 2/2/2022 -EndDate 2/8/2022 –LogonTypes Delegate, Admin | Where-Object {$_. Operation -like "*Delete*"} | ft

Wenn Sie regelmäßig Hintergrundsuchen durchführen müssen, ohne Ihre Konsole zu blockieren, New-MailboxAuditLogSearchkönnen Sie mit diesem Befehl Suchen starten, die im Hintergrund laufen und Ihnen Berichte senden.

Sie können die Überwachungsprotokolle auch im Microsoft 365 Compliance Center einsehen. Es ist etwas übersichtlicher und einfacher zu bedienen, wenn Sie nicht mit der Befehlszeile vertraut sind.

So oder so erfordert die Durchführung von Audits etwas Vorbereitung, aber es lohnt sich, wenn man nachverfolgen muss, wer was getan hat. Manchmal ist die gelöschte E-Mail oder der verschobene Ordner der Schlüssel zum Verständnis größerer Sicherheits- oder Compliance-Probleme.

Zusammenfassung

• Prüfen Sie, ob die Überwachungsprotokollierung für Ihren Mandanten/Ihre Postfächer aktiviert ist.
• Aktivieren Sie bei Bedarf die Überwachungsprotokollierung für einzelne Postfächer.
• Passen Sie die Prüfstufen an, um umfangreiche Protokolldateien zu vermeiden und sich auf das Wesentliche zu konzentrieren.
• Verwenden Sie Befehle wie Search-MailboxAuditLogoder das Compliance Center für Untersuchungen.

Zusammenfassung

Die Einrichtung von Audit-Logs mag anfangs kompliziert erscheinen – PowerShell-Befehle, Einstellungen, Filter –, aber sie sind ungemein hilfreich, wenn man herausfinden muss, wer eine wichtige E-Mail gelöscht hat. Einmal korrekt konfiguriert, dienen sie als Sicherheitsnetz und stellen sicher, dass man stets über die Vorgänge in den Postfächern, insbesondere in freigegebenen, informiert ist. Warum es so gut funktioniert, ist mir nicht ganz klar, aber bei einer bestimmten Konfiguration wirkt es wie Magie. Hoffentlich hilft dies jemandem, stundenlanges Rätselraten zu vermeiden!