הפעלת שירות ה Audit Log

הקדמה Audit-Log:

במאמר זה נתמקד על הפעלת שירות Audit עבור תיבות הדוא"ל המוקמות בשרת ה Exchange Online.

כברירת מחדל, שירות ה Audit פעיל אך ורק עבור משתמשי Global Admin לטובת תיעוד שינויים ברמת שרת ה Exchange Online כגון פעולות אדמיניסטרטיביות של ניהול תיבות דואר וכו'.

במידה ונתבקש להפעיל Audit Log עבור תיבות הדואר, נצטרך לבצע הפעלה ידנית באמצעות פקודות Power Shell.
הערה: הפעלת השירות תתעד שינויים בתיבה מרגע הפעלתו, ועד 90 יום אחורה (ניתן להגדיל באמצעות פקודת Power Shell)

מתי נצטרך להשתמש בשירות Audit Log עבור תיבות?

הפעלת שירות ה Audit נוצרה כדי לבצע תיעוד עבור כל השינויים הנעשים ברמת תיבת הדואר של המשתמש, ובכך יכול לתת מענה עבור כל השינויים המתבצעים ברמת תיבת דואר כגון:

  • יצירת פרטי דואר
  • שינויים פרטי דואר
  • מחיקת פרטי דואר
  • התחברות לתיבת הדואר

סוגי Audit הניתנים לתיעוד

Audit Owner – אפשרות זאת תבצע תיעוד על כל הנעשה בתיבה הדואר ע"י הבעלים של התיבה.
Audit Delegate – אפשרות זו תבצע תיעוד עבור משתמשים נוספים אשר בבעלותם הרשאות עבור תיבת הדואר.
Audit Admin – אפשרות זו תבצע תיעוד במידה ומנהל המערכת (Global Admin) ביצע שינוי ברמת תיבת הדואר.

הפעלת שירות ה Audit

הפעלת השירות מתבצעת ע"י שני שלבים:

    • הפעלת שירות ה Audit על גבי תיבת הדואר הרצוייה
    • קביעת קריטריונים לטובת התיעוד (הגדרת הפעולות שלגביהם יתבצע תהליך ה Audit).

על מנת להפעיל Audit עבור תיבה, יש להתחבר לשירות ה PS באמצעות המאמר הבא:
התחברות לPowerShell

  1. הפעלת שירות Audit עבור תיבת דואר:
  2. הוספת סוג התיעוד עבור תיבת הדואר.
    על מנת להפעיל Audit Owner נריץ את הפקודה הבאה:
    בדוגמא הבאה, נוסיף את כל הפרמטרים הקיימים לתיעוד התיבה:
  3. הפעלת Audit Delegate:
    בדוגמא הבאה, נוסיף את כל הפרמטרים הקיימים לתיעוד התיבה:
  4. הפעלת Audit Admin
    בדוגמא הבאה, נוסיף את כל הפרמטרים הקיימים לתיעוד התיבה:

צפייה בהגדרות ה Audit של תיבות הדואר

על מנת לצפות בהגדרות אשר ביצענו לאחר הפעלת השירות, נוכל להשתמש בפקודה הבאה:

לדוגמא

הערה: על מנת לבצע הרחבה לשדות, נצטרך להריץ את הפקודה הבאה:

הפקודה הבאה תציג את כל המשתמשים אשר מופעל עליהם שירותי Audit:

ייצוא של קבצי ה Audit Log

על מנת לייצא את כל סוגי ה Audit לקובץ מסוג CSV אותו נוכל לנתח עבור השינויים שבוצעו בתיבת הדואר, יש להשתמש בפקודה הבאה:

דוגמא:

ייצוא של קבצי ה Audit Log עבור אירועים מסוג מחיקה בלבד:

דוגמא:

ייצוא של קבצי ה Audit Log  לתקופה של 30 ימים אחורה:

בטבלה הבאה נוכל לקבל מידע עבור כל הפרמטרים הקיימים לטובת התיעוד:

Owner
Delegate
Admin
Description
Action
No
No
Yes
A message was copied to another folder.
Copy
Yes
Yes*
Yes*
An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Note that message or folder creation isn’t audited.
Create
No
Yes**
Yes*
A mailbox folder was accessed. This action is also logged when the admin or delegate opens the mailbox.
FolderBind
Yes
Yes*
Yes*
A message was purged from the Recoverable Items folder.
HardDelete
Yes
No
No
The user signed in to their mailbox.
MailboxLogin
No
No
Yes
A message was viewed in the preview pane or opened.
MessageBind
Yes
Yes
Yes*
A message was moved to another folder.
Move
Yes
Yes
Yes*
A message was deleted and moved to the Deleted Items folder.
MoveToDeletedItems
No
Yes*
Yes*
A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner.
SendAs
No
Yes
Yes*
A message was sent using the
SendOnBehalf
SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message.
Yes Yes* Yes* A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. SoftDelete
Yes Yes* Yes* A message or its properties was changed. Update

 

בהצלחה,

רון קורן