Como monitorar quem acessou uma caixa de correio compartilhada

Auditoria Nativa

• Para habilitar a auditoria para uma caixa de correio específica, execute o seguinte comando no Exchange Management Shell:

      Set-Mailbox –Identity "TestUser" -AuditEnabled $true
      

• Para auditar todas as caixas de correio, insira isto:

      $UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')} $UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
      

• Para verificar quais caixas de correio têm o auditoria de caixa de correio ativada, execute o seguinte comando:

      Get-Mailbox | FL Name,AuditEnabled
      

• Para recuperar as entradas do registro de auditoria, execute o seguinte comando:

      Search-MailboxAuditLog -Identity "TestUser" -LogonTypes Admin,Delegate -ShowDetails -StartDate 1/1/2014 -EndDate 12/31/
      

• Para enviar as entradas do registro de auditoria da caixa de correio para uma caixa de correio especificada, execute o seguinte comando:

      New-MailboxAuditLogSearch "smtp.server.name" -Mailboxes "TestUser","TestUser1" -LogonTypes Admin,Delegate -StartDate 1/1/2014 -EndDate 12/31/2014 –ShowDetails -StatusMailRecipients auditors@test.local
      

Exemplo de Relatório:

Netwrix Auditor for Exchange

1. Execute o Netwrix Auditor → Vá para "Relatórios" → Expanda a seção "Exchange" → Selecione "Todos os Eventos de Acesso a Caixas de Correio de Não Proprietários do Exchange Server" → Clique em "Visualizar".
2. Para salvar o relatório, clique no botão "Exportar" → Escolha um formato no menu suspenso → Clique em "Salvar".