So aktivieren Sie die Postfachüberwachungsprotokollierung und überprüfen Überwachungsprotokolle in Office 365

Netwrix Auditor for Exchange

1. Netwrix Auditor starten → Navigieren Sie zu „Suche“ → Setzen Sie die folgenden Filter:
   • Datenquelle entspricht Exchange Online
   • Wenn gleich Heute
2. Klicken Sie auf Search. Standardmäßig wird die Ausgabe so sortiert, dass die neuesten Ereignisse zuerst angezeigt werden.

Erfahren Sie mehr über Netwrix Auditor for Exchange

Native Lösung

Aktivieren Sie die Überwachung

Sie müssen ein Office 365 Admin sein, um die Überwachung zu aktivieren.

1. Öffnen Sie das Security & Compliance Center.
2. Klicken Sie Suche & Untersuchung -> Klicken Sie Audit log search -> Klicken Sie Beginnen Sie mit der Aufzeichnung von Benutzer- und Admin-Aktivitäten.

Beachten Sie, dass Sie bis zu 24 Stunden warten müssen, um Audit-Daten zu erhalten.

Aktivieren Sie die Postfachüberwachung

Die Überwachung von Postfächern ist im Audit log enthalten, aber Sie müssen sie separat aktivieren.

• Um die Überwachung für ein einzelnes Postfach zu aktivieren, verwenden Sie dieses PowerShell-Cmdlet:

      Set-Mailbox -Identity "UserName" -AuditEnabled $true
      

• Um die Überwachung für alle Office 365-Postfächer in Ihrer Organisation zu aktivieren, führen Sie die folgenden PowerShell-Befehle aus:

      $UserMailboxes= Get-mailbox-Filter {(RecipientTypeDetails-eq 'UserMailbox')}

$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled$true}
      

Weitere Informationen zum Postfach-Auditing finden Sie im Exchange Online Mailbox Auditing Quick Reference Guide.

Überprüfen Sie das Audit-Protokoll

Beachten Sie, dass Sie Mailbox-Überwachung nur für Ereignisse erhalten können, die nach der Aktivierung der Überwachung in Office 365 stattgefunden haben.

• Öffnen Sie das Security & Compliance Center.
• Klicken Sie auf Search & Investigation -> Klicken Sie auf Audit log search.
• Filtern Sie Aktivitäten mit dem Activity-Button in der linken Leiste, klicken Sie auf Search.
• Klicken Sie auf die Aktivität, die Sie überprüfen möchten, zum Beispiel geänderte Berechtigungen des Ordners:

• Überprüfen Sie die Aktivitätsdetails im rechten Bereich:

Office 365 Mailbox Audit Logging - Der einfache Weg

Die Migration Ihrer Geschäftsanwendungen, wie Exchange Server, in die Cloud kann Wartungskosten reduzieren, die Verfügbarkeit verbessern und Kosteneinsparungen liefern. Da E-Mails jedoch häufig sensible oder geschäftskritische Informationen enthalten, müssen Sie sicherstellen, dass Sie Ihre Cloud-Umgebung effektiv überwachen können, um Vorfälle zu untersuchen und Compliance-Audits zu bestehen. Das native Office 365-Audit-Toolset bietet Ihrer Organisation einige der benötigten Funktionen, einschließlich Postfachüberwachungsprotokollierung und einem wiederherstellbaren Elemente-Ordner, der Ihnen möglicherweise von früheren Versionen von Microsoft-Anwendungen bekannt ist, sowie den führenden Daten-Governance- und eDiscovery-Fähigkeiten, die im Security & Compliance Center verfügbar sind

Vor Januar 2019 mussten Sie, um nicht-Besitzer-Postfachzugriffsereignisse, Berechtigungseinstellungen und andere kritische Änderungen in Office 365 zu überwachen, die Postfachüberwachung manuell über PowerShell aktivieren. Jetzt ist das folgende Postfach-Audit-Logging standardmäßig aktiviert: Zugriffsaktionen von Benutzerpostfächern werden für jeden Anmeldetyp (Admin, Delegierter und Postfachbesitzer-Aktionen) überwacht. Obwohl diese Änderung zur Sicherheit und zum Datenschutz beiträgt, haben die nativen Tools immer noch andere Nachteile. Insbesondere wird das Audit-Log nur für 90 Tage aufbewahrt; diese begrenzte Aufbewahrungszeit bedeutet, dass Organisationen Vorfälle nicht gründlich untersuchen oder kritischen Vorschriften wie HIPAA, SOX und FISMA entsprechen können und verlagert die Last des Archivierens auf die Schultern der IT-Administratoren. Darüber hinaus speichert Office 365 alle Protokolleinträge im Unified Audit Log; es mag praktisch erscheinen, alle Ereignisse in einem einzigen Audit-Trail zu protokollieren, aber ohne angemessene Parsing- und Filtertools macht es nur schwer, Ereignisse aufgrund der unterschiedlichen Spezifika jeder Ereignisquelle und Ereignisart zu suchen und zu analysieren.

Netwrix Auditor for Exchange entlastet IT-Administratoren, indem es ihnen ermöglicht, alle Postfach-Audit-Ereignisse schnell zu überprüfen, ohne spezifische Audit-Log-Datensätze für Postfächer suchen und exportieren, Daten mit PowerShell parsen und manuell sichern zu müssen. Die Anwendung bietet eine breite Palette an vordefinierten Berichten und Warnungen, die es Administratoren ermöglichen, alle Ereignisse des Exchange Servers und Exchange Online im Blick zu behalten – alles ist griffbereit in einer Single-Pane-of-Glass-Schnittstelle.