web-dev-qa-db-ja.com

Exchange 2016:メールボックスユーザーのアクセスを監査してIPを取得する方法

メールボックスがハッキングされたと考えているメールボックスユーザー(Exchange 2016)がいます。
それで、彼のメールボックスへのアクセスを監査したいと思います。
Set-Mailbox -Identity "Ben Smith" -AuditEnabled $trueを使用して監査を有効にしました

しかし、ECPを介して、他のユーザーまたは管理者がそのメールボックスにアクセスしようとしたかどうかを確認できるようです。

メールボックスがハッキングされた場合、ユーザー自体からのアクセスが表示されますが、この目的のためのオプションはありません。

このメールボックスを監査して、最後のログイン、IP、デバイスなどのアクセス統計を取得するにはどうすればよいですか?

1
fips123

IISログとイベントログを介して、成功または失敗した各プロトコルのクライアントログオンを確認できます。まず、クライアントログオンの結果をイベントログで成功または失敗にしてから、ユーザーの詳細情報を確認できます。 IIS log。

1.イベントログExchangeのイベントログには、クライアントのログオンステータスが記録されます。 [Windowsログ]-> [セキュリティ]セクションに移動すると、ログにクライアントのログオンステータスが記録されます。 (a)ユーザーアカウントのログオンクライアントが正常に実行されると、イベントID 4624が生成されます。 (b)ユーザーアカウントのログオンクライアントが失敗した場合、イベントID 4625が生成されます。 enter image description here 2.IISログ次に、特定のユーザーアクセス時間、ユーザー名、ログオンタイプ、およびログオンステータスをIIS logs。IIS logs場所は次のとおりです:C:\ inetpub\logs\LogFiles\W3SVC1 ExchangeでIISのログをより明確に表示するには、Excelを使用してログをインポートし、異なる列で分析することをお勧めします。具体的な手順は次のとおりです。

(a)IISログで#文字で始まるヘッダーを削除します。Excelで開くときに列を形成すると便利です。 enter image description here

(b)空のExcelスプレッドシートを開き、[ファイル]> [開く]をクリックして、[IISログ]を選択します。開いた後、区切りフィルタータイプを選択します。次に、[スペース]を選択して[完了]をクリックします。 IISログにリストされているいくつかのコードがあります:

•日付(日付)•時間(時間、タイムゾーン(GMT))•クライアントIPアドレス(c-ip)•ユーザー名(cs-username)•メソッド(cs-method)•URIステム(cs-uri-stem)• URIクエリ(cs-uri-query)•プロトコルステータス(sc-status)•Win32ステータス(sc-win32-status)•送信バイト数(sc-byte)•所要時間(time-taken)•ホスト(cs-Host) •ユーザーエージェント(cs(User-Agent))•リファラー(cs(Referer))

コード「cs-status」の200 OK成功ステータス応答コードは、リクエストが成功した(ログオンに成功した)ことを示します。 401無許可クライアントエラーステータス応答コードは、ターゲットリソースの有効な認証資格情報がないために要求が適用されなかったことを示します(ログオンに失敗しました)。

enter image description here その他の参考資料、次を参照してください: https://blogs.msdn.Microsoft.com/friis/2014/01/09/how-to-use-Excel-to-analyse-iis-logs/

3-1。Outlook Web Accessの場合、主にイベントログを確認でき、ログオン時間、アカウント名、ログオンステータスを正確に記録します。 IISログには、ログオンステータス、ログオン時間、ログオンタイプも記録されました。

enter image description here

3-2。Outlook Anywhereの場合、Exchange Server 2016では、組織レベルでMAPI over HTTPがデフォルトで有効になっています。ただし、MAPI over HTTPに対応していないOutlookクライアントは、Outlook Anywhere(RPC over HTTP)を使用して、MAPI対応のクライアントアクセスサーバー経由でExchangeにアクセスできます。主にイベントログを確認でき、ログオンステータス、アカウント名、ログオン時間を記録しました。 IIS logは、ログオン時間、ログオンタイプ、ログインステータスも正確に記録します。

enter image description here

3-3。Exchange ActiveSyncの場合、主にイベントログを確認でき、ログオンステータス、アカウント名、ログオン時間を記録しました。 IISログは、ログオン時間、ログオンタイプ、およびログインステータスも正確に記録します。 enter image description hereenter image description here

1
Kelvin_D