Exchange 2010のログデータはどこにありますか。データベースにアクセスしているユーザーや失敗したログオン試行などのデータが表示されます。
ありがとう!
ログインの試行は、セキュリティイベントログの通常のWindowsログインのログに記録されます。 Exchangeログインと通常のWindowsログインを区別する方法があるとは思いませんが、クライアントアクセスサーバーにはプレーンウィンドウログインが表示されないはずなので、Exchangeに関連するすべてのものであると考えるのが安全です。
私は間違っているかもしれませんが、データベースアクセスを監査する方法があるとは思いません。 Outlookがそこに座っているだけでどうやら何もしないので、どのような規模の組織でも、この種のログはめちゃくちゃスパムになります。デフォルトのOutlook接続モードはプルモデルに基づいているため、Outlookは定期的にExchangeサーバーをポーリングします(間隔は調整できますが、デフォルトではかなり短いです)。これは一種のログに記録されます。
Exchange 2010 SP1を実行していると仮定すると、 Mailbox Audit Logging を探している可能性があります。あなたはそれをオンにし、あなたが探しているもののためにそれを設定する必要があります。一度行うと、すぐに多くの情報になる可能性があるため、この増加に注意する必要があります。
ログが見つかるところまでは、その記事にあるPowerShellコマンドを実行してログを表示する必要がありますが、情報は個々のメールボックスに格納されていると思います。私はそれについてのドキュメントを指すことができないので、それらがどこに保存されているのか誤っているかもしれません。
私の知る限り、メールボックスデータベースへのアクセスを監査する方法はありません。ユーザーが(OWA、Outlookクライアント、またはActiveSyncを備えたモバイルデバイス経由で)ログインしてExchangeに接続している場合、基本的にはユーザーがメールボックスサーバーとインターフェイスしていると想定できます。
Exchangeのユーザー認証はActive Directoryによって処理されます。クライアントアクセスサーバーのセキュリティログには、いくつかのセキュリティ監査情報が含まれている場合がありますが、調べるのに最適な場所はドメインコントローラーのセキュリティログです。これは、誰がいつ(そしておそらくクライアントが接続していたのか)を認証していたかを知るだけです。ただし、複数のドメインコントローラーがある場合、ユーザーがログインした日時/場所を追跡することは困難です。探している情報を見つけるには、すべてのドメインコントローラーのセキュリティログを検索する必要があるためです。これを行うサードパーティのプログラムがいくつかあります。
IISログは、ExchangeサーバーのIPアドレスを表示するだけなので、認証の失敗を追跡するのに最も役立ちます。それらはGMT時間であることに注意してください...私は見つけることができました無効なログイン試行と従業員の解決には、モバイルデバイスに2つの異なる電子メールクライアントがインストールされていましたが、1つだけを更新していたため、もう1つはアカウントをロックアウトしていました。