易寶典——玩轉(zhuǎn)O365中的EXO服務(wù)之四十九如何知道管理員進(jìn)行了哪些操作

在企業(yè)中除了需要了解、跟蹤管理員可能對(duì)用戶郵箱的訪問(wèn)外，還需要跟蹤管理員在郵件組織中進(jìn)行的設(shè)置和操作，以便確認(rèn)所有行為合規(guī)。并且保證郵件組織的穩(wěn)定正確運(yùn)行，以及在出現(xiàn)誤操作或惡意操作時(shí)，能夠及時(shí)進(jìn)行排查修復(fù)故障。對(duì)需要追責(zé)的事件提供可靠的指引和證據(jù)。

創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：網(wǎng)站建設(shè)、成都做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的巴馬網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

因此，在Exchange Online中提供了管理員審核日志，用于記錄管理員對(duì)組織和收件人配置進(jìn)行的修改?？梢杂糜诟櫿`操作導(dǎo)致事件、確定惡意操作的行為、驗(yàn)證相關(guān)操作是否符合合規(guī)要求。

一、跟蹤管理員對(duì)用戶賬戶角色的調(diào)整

通常情況下，郵件組織的管理員可以通過(guò)自己的權(quán)限對(duì)企業(yè)中的用戶授予一定管理角色，以便指定用戶獲得響應(yīng)的管理權(quán)限。如果未經(jīng)授權(quán)的這類操作，可能將給企業(yè)郵件系統(tǒng)帶來(lái)維護(hù)上的極大困難，影響郵件系統(tǒng)正常運(yùn)行的穩(wěn)定性。

那么如何才能有效了解到哪些管理員為其他哪些用戶進(jìn)行過(guò)授權(quán)呢？這是在進(jìn)行合規(guī)處理以及后續(xù)追責(zé)方面尤其需要的。Exchange Online為使用者提供了管理角色組更改報(bào)告，該報(bào)告可以展示管理員對(duì)組織中管理角色組成員修改的信息記錄。

通過(guò)Exchange管理中心（EAC）可以很方便的導(dǎo)出管理角色組更改報(bào)告。在EAC中導(dǎo)航到“合規(guī)性管理”，在右側(cè)選擇“審核”，點(diǎn)擊“運(yùn)行管理員角色組報(bào)告”。

在打開(kāi)的“搜索對(duì)管理員角色組的更改”窗口中，指定需要獲取報(bào)告的起始日期和結(jié)束日期，還可以通過(guò)篩選器指定檢索特定角色組的授權(quán)情況，如果不指定，則會(huì)檢索所有角色組的授權(quán)情況。最后點(diǎn)擊“搜索“，將在下方列出符合檢索條件的角色組更改報(bào)告。

從報(bào)告中很容易看出哪個(gè)管理員為哪個(gè)用戶在什么時(shí)候授予了哪種管理角色權(quán)限。

二、利用管理員審核日志跟蹤管理員操作

如果要想知道更多的管理員操作信息，可以通過(guò)管理員審核日志來(lái)獲取。

對(duì)于管理員審核日志的獲取有兩個(gè)途徑，分別是通過(guò)“運(yùn)行管理員審核日志報(bào)告”和“導(dǎo)出管理員審核日志”。對(duì)于“運(yùn)行管理員審核日志報(bào)告”可以查看管理員審核日志中有關(guān)組織管理員所做的配置更改。而“導(dǎo)出管理員審核日志”將會(huì)把日志導(dǎo)出為一個(gè)XML文件，和郵箱審核日志相同，Exchange Online會(huì)將該XML文件以郵件附件的形式發(fā)送到指定用戶郵箱，因此，如果用戶使用OWA作為客戶端，那么必須為其啟用允許OWA附件，具體操作可以參考《玩轉(zhuǎn)O365中的EXO服務(wù) 之四十七 怎樣獲取郵箱審核日志》（https://blog.51cto.com/liulike/2359471）。

1、確認(rèn)管理員審核日志功能是否已經(jīng)啟用

在Exchange Online中管理員審核日志是默認(rèn)開(kāi)啟的，可以通過(guò)Get-AdminAuditLogConfig來(lái)確認(rèn)該功能是否真實(shí)啟用。

Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled

需要注意，在Exchange Online該功能是不能關(guān)閉的，但在Exchange Server中該功能可以通過(guò)Set-AdminAuditLogConfig來(lái)進(jìn)行啟用或禁用，如：

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

在確認(rèn)已經(jīng)啟用管理員審核日志功能之后就可以查看或?qū)С龉芾韱T審核日志了。

2、查看管理員審核日志

在EAC中導(dǎo)航到“合規(guī)性管理”，在右側(cè)選擇“審核”，點(diǎn)擊“運(yùn)行管理員審核日志報(bào)告”。

在“搜索以查看配置更改”窗口中，指定要檢索的日志的起始日期和終止日期，如果不進(jìn)行定義則會(huì)默認(rèn)篩選近15日的日志。點(diǎn)擊“搜索”進(jìn)行檢索，其結(jié)果將會(huì)顯示在下方。

3、導(dǎo)出管理員審核日志

在EAC中導(dǎo)航到“合規(guī)性管理”，在右側(cè)選擇“審核”，點(diǎn)擊“導(dǎo)出管理員審核日志”。

指定需要導(dǎo)出日志的起始日期和結(jié)束日期，以及將導(dǎo)出的XML文件發(fā)送至哪個(gè)指定的用戶郵箱，最后點(diǎn)擊導(dǎo)出即可。

Exchange Online限制該XML的大小不超過(guò)10MB，所以在選擇時(shí)間區(qū)間時(shí)，應(yīng)盡量精確，默認(rèn)的時(shí)間范圍為最近15天。另外，Exchange Online的日志導(dǎo)出一般持續(xù)時(shí)間較長(zhǎng)，所以通過(guò)不可能馬上收到郵件，通常為24小時(shí)內(nèi)發(fā)出，但實(shí)測(cè)也有更為緩慢的時(shí)候，要等到48-72小時(shí)或更長(zhǎng)。

三、使用PowerShell查詢并導(dǎo)出管理員審核日志

如果要使用一些高級(jí)或更加精確的篩選，可以使用PowerShell來(lái)進(jìn)行操作。比如，默認(rèn)情況下只會(huì)篩選出1000條目，但是在PowerShell中使用_ResultSize_可指定符合條件的條目返回?cái)?shù)。

1、查詢管理員審核日志

如要篩選2019年3月7日至2019年3月8日，管理員在系統(tǒng)中對(duì)郵箱進(jìn)行的發(fā)送和接收郵件大小限制等操作日志?？梢允褂肧earch-AdminAuditLog來(lái)進(jìn)行。

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

可以將其返回值賦予一個(gè)變量，通過(guò)指定查看該數(shù)組類型值的元素ID，可以查看具體的某一條日志記錄。

$res = Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

$res[0]

可以通過(guò)該日志記錄的各屬性查看具體信息。

$res[0].CmdletParameters

2、導(dǎo)出管理員審核日志

可以通過(guò)New-AdminAuditLogSearch創(chuàng)建導(dǎo)出管理員審核日志。

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019 -StatusMailRecipients admin@lpwr.net -Name "Mail limit Setting 20190308"

同樣，該操作Exchange Online在執(zhí)行完成后，將會(huì)把符合篩選條件的日志條目以XML文件附件方式發(fā)送到指定的郵箱中，時(shí)間同樣為24小時(shí)內(nèi)。因此需要較長(zhǎng)的等待，并且XML文件的大小會(huì)被限制在10MB以內(nèi)。

網(wǎng)站名稱：易寶典——玩轉(zhuǎn)O365中的EXO服務(wù)之四十九如何知道管理員進(jìn)行了哪些操作
鏈接地址：http://m.jiaotiyi.com/article/jeijpi.html