Het instellen van auditlogboeken voor mailboxen in Exchange (zowel online als on-premises) is eigenlijk essentieel als u wilt bijhouden wie wat doet. Vooral als uw team mailboxen deelt of als u zich zorgen maakt over het per ongeluk verwijderen van e-mails. Eerlijk gezegd voelt het soms alsof u een detective nodig hebt om erachter te komen wie die ene cruciale e-mail verwijdert of verplaatst. Gelukkig hebben zowel Exchange Online als on-premises Exchange-servers ingebouwde tools om deze activiteiten te registreren, maar de details zijn cruciaal. U zult waarschijnlijk tegen een paar problemen aanlopen als u niet bekend bent met de commando’s of configuraties, dus hier is een praktische handleiding die u wellicht kan helpen wanneer u moet achterhalen wie dat item in de inbox heeft verwijderd.
Hoe u auditlogboekregistratie van postvakken in Exchange kunt inschakelen en controleren.
Auditlogboekregistratie inschakelen in Microsoft 365 (Office 365)
Allereerst, als u Microsoft 365 gebruikt, is auditlogging vrijwel standaard ingeschakeld – sinds eind 2018. Het is echter nog steeds de moeite waard om dit te controleren, omdat het bij sommige tenants, met name als u configuraties hebt aangepast of als het een nieuwe installatie betreft, mogelijk niet is ingeschakeld. Door dit te controleren voorkomt u later de frustratie dat er niets wordt gelogd.
- Maak verbinding via PowerShell met de Exchange Online V3-module. Als u deze nog niet hebt geïnstalleerd, kunt u deze downloaden vanuit de PowerShell Gallery. Voer vervolgens de volgende opdracht uit:
Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true
Hiermee wordt u naar de Exchange Online PowerShell-sessie geleid. Controleer na de verbinding of auditlogboekregistratie is ingeschakeld op organisatieniveau:
Get-OrganizationConfig | Format-List AuditDisabledAls AuditDisabled aangeeft dat Falsehet is ingeschakeld, dan is auditlogging voor de tenant ingeschakeld. Zo niet, dan kunt u het inschakelen, maar in de meeste gevallen is het al actief.
Om te controleren voor welke postvakken de auditfunctie is ingeschakeld, voert u het volgende commando uit:
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Select UserPrincipalName, AuditEnabledIn veel configuraties ziet u ‘ja’, maar het is goed om dit te bevestigen voordat u de gedetailleerdere logboeken bekijkt. Als u de auditfunctie voor een specifieke mailbox wilt in- of uitschakelen, gebruikt u:
Set-Mailbox [email protected] -AuditEnabled $trueof om het uit te schakelen:
Set-Mailbox [email protected] -AuditEnabled $falseAuditniveaus kunnen worden aangepast voor acties van de eigenaar, beheerder of gemachtigde, dus het is niet alles-of-niets. U kunt bijvoorbeeld configureren welke acties voor een mailbox worden vastgelegd:
Set-Mailbox [email protected] -AuditOwner HardDelete, SoftDelete, MoveToDeletedItemsOp die manier worden alleen specifieke activiteiten als auditlogboek geregistreerd, waardoor u niet verdrinkt in een zee van logbestanden.
Wil je de huidige auditinstellingen controleren? Voer dan het volgende commando uit:
Get-Mailbox [email protected] | Select-Object -ExpandProperty AuditOwnerDe logbestanden worden opgeslagen in de map Audits in elke mailbox, maar verwacht deze mappen niet te zien in Outlook of OWA. Gebruik in plaats daarvan PowerShell-opdrachten om statistieken op te vragen of logbestanden te exporteren.
Je kunt ook controleren hoe groot je auditlogboeken in een mailbox zijn met:
Get-MailboxFolderStatistics -Identity [email protected] | where {$_. FolderType -eq 'Audits'} | ft Identity, ItemsInFolder, FolderSize –autoHet inschakelen van logboekregistratie voor postvakcontrole in Exchange Server (on-premises)
Als u nog steeds gebruikmaakt van een oude Exchange on-premise-installatie, bijvoorbeeld Exchange 2010 SP1 of hoger, moet u deze handmatig inschakelen, aangezien deze standaard is uitgeschakeld. De eerste stap is verbinding maken met uw Exchange-server via PowerShell.
$Session = New-PSSession -ConfigurationName Microsoft. Exchange -ConnectionUri http://your-exchange-server/PowerShell/ -Authentication Kerberos -Credential (Get-Credential) Import-PSSession $SessionZodra de verbinding tot stand is gebracht, kunt u logboekregistratie inschakelen voor specifieke mailboxen. Om dit snel voor één mailbox te doen:
Set-Mailbox [email protected] -AuditEnabled $trueOf, om het voor alle mailboxen in uw organisatie in te schakelen:
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $trueEen kleine tip: schakel niet zomaar alle activiteiten voor elke mailbox in, want het kan snel uit de hand lopen en enorme logbestanden kunnen veel schijfruimte in beslag nemen. Het is beter om specifieke acties te monitoren, zoals het verwijderen of verplaatsen van items.
Set-Mailbox [email protected] -AuditOwner SoftDelete, HardDelete, MoveToDeletedItemsOp deze manier raak je niet overweldigd door logbestanden en krijg je alleen de informatie die je echt nodig hebt.
U kunt de bewaartermijn van auditgegevens beperken:
Set-Mailbox [email protected] -AuditLogAgeLimit 30Door logbestanden overzichtelijk te houden, worden opslagproblemen voorkomen, met name in grotere omgevingen.
Ontdekken wie een bericht in een gedeelde mailbox heeft verwijderd of verplaatst.
Hier komt het van pas: als iemand iets belangrijks verwijdert uit een gedeelde of teammailbox. Het Search-MailboxAuditLogcommando is dan je beste vriend, maar het is niet altijd duidelijk hoe je het moet gebruiken of welke filters het beste zijn.
Voorbeeldopdracht om te achterhalen wie items heeft verwijderd of verplaatst sinds 1 februari:
Search-MailboxAuditLog -Identity [email protected] -StartDate 2/1/2022 -ShowDetails | ft MailboxOwnerUPN, LogonType, LogonUserDisplayName, Operation, OperationResult, FolderPathNameJa, het kan even duren, afhankelijk van de activiteit, maar uiteindelijk zul je de boosdoener vinden. Voor specifiekere zoekopdrachten kun je filteren op bewerkingstypen zoals HardDeleteof MoveToDeletedItems:
Search-MailboxAuditLog -Identity [email protected] -StartDate 2/2/2022 -EndDate 2/8/2022 –LogonTypes Delegate, Admin | Where-Object {$_. Operation -like "*Delete*"} | ftAls u regelmatig zoekopdrachten op de achtergrond wilt uitvoeren zonder uw console te blokkeren, New-MailboxAuditLogSearchkunt u met deze opdracht zoekopdrachten starten die op de achtergrond draaien en u rapporten sturen.
Je kunt auditlogboeken ook bekijken via het Microsoft 365 Compliance Center. Dat is wat visueler en makkelijker te navigeren als je niet zo bekend bent met de command line interface (CLI).
Hoe dan ook, auditing vergt wat voorbereiding, maar het is de moeite waard als je wilt achterhalen wie wat heeft gedaan. Soms is die verwijderde e-mail of verplaatste map de sleutel tot het begrijpen van grotere beveiligings- of complianceproblemen.
Samenvatting
- Controleer of auditregistratie is ingeschakeld voor uw tenant/mailboxen.
- Schakel indien nodig auditregistratie in voor individuele mailboxen.
- Pas de auditniveaus aan om enorme logbestanden te voorkomen en je te concentreren op wat belangrijk is.
- Gebruik commando’s zoals
Search-MailboxAuditLogof het Compliance Center voor onderzoeken.
Samenvatting
Het instellen van auditlogboeken lijkt in eerste instantie misschien ingewikkeld – PowerShell-opdrachten, instellingen, filters – maar het is ontzettend handig als je wilt weten wie die belangrijke e-mail heeft verwijderd. Eenmaal correct geconfigureerd, fungeert het als een soort vangnet, waardoor je precies weet wat er in je mailboxen gebeurt, vooral in gedeelde mailboxen. Ik weet niet precies waarom het werkt, maar bij één configuratie is het pure magie. Ik hoop dat dit iemand helpt om urenlang gissen te voorkomen!