Come monitorare chi ha accesso a una casella di posta condivisa
Native Auditing
- Per abilitare l'auditing per una specifica casella di posta, eseguire il seguente comando in Exchange Management Shell:
Set-Mailbox –Identity "TestUser" -AuditEnabled $true
- Per verificare tutte le caselle di posta, inserisci questo:
$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')} $UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
- Per verificare quali caselle di posta hanno l'audit della casella di posta abilitato, eseguire il seguente comando:
Get-Mailbox | FL Name,AuditEnabled
- Per recuperare le voci del registro di controllo, eseguire il seguente comando:
Search-MailboxAuditLog -Identity "TestUser" -LogonTypes Admin,Delegate -ShowDetails -StartDate 1/1/2014 -EndDate 12/31/
- Per inviare le voci del registro di controllo della casella di posta a una casella di posta specificata, eseguire il seguente comando:
New-MailboxAuditLogSearch "smtp.server.name" -Mailboxes "TestUser","TestUser1" -LogonTypes Admin,Delegate -StartDate 1/1/2014 -EndDate 12/31/2014 –ShowDetails -StatusMailRecipients auditors@test.local
Esempio di rapporto:
Netwrix Auditor for Exchange
- Esegui Netwrix Auditor → Vai alla sezione "Rapporti" → Espandi la sezione "Exchange" → Seleziona "Tutti gli eventi di accesso a caselle di posta non di proprietà su Exchange Server" → Clicca su "Visualizza".
- Per salvare il rapporto, clicca sul pulsante "Esporta" → Scegli un formato dal menu a tendina → Clicca "Salva".
Condividi su