Exchange

Exchange 2016:如何審核郵箱使用者訪問權限以獲取其 IP?

  • March 5, 2020

我有一個郵箱使用者(Exchange 2016)認為他的郵箱被黑了。

所以我想審核對他郵箱的訪問。

我通過啟用審核Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true

但似乎通過 ECP 我只能檢查哪些其他使用者或管理員嘗試訪問該郵箱。

如果郵箱被黑客入侵,它應該顯示來自使用者本身的訪問權限,但沒有用於此目的的選項。

如何審核此郵箱以獲取上次登錄、IP、設備等訪問統計資訊?

您可以通過 IIS 日誌和事件日誌檢查每個協議成功或失敗的客戶端登錄。首先在事件日誌中查找客戶端登錄成功或失敗的結果,然後您可以通過IIS日誌查看使用者帳戶和協議的詳細資訊。

  1.Event log Exchange中的Event log會記錄客戶端的登錄狀態。您可以轉到 Windows 日誌 -> 安全部分,日誌記錄客戶端登錄狀態。(a).如果使用者帳戶登錄客戶端成功,將生成事件 id 4624。(b).如果使用者帳戶登錄客戶端失敗,將生成事件 id 4625。   在此處輸入圖像描述   2.IIS日誌 然後,我們可以通過IIS日誌看到具體的使用者訪問時間、使用者名、登錄類型和登錄狀態。IIS 日誌位置如下: C:\inetpub\logs\LogFiles\W3SVC1 為了更清楚地查看 Exchange 上的 IIS 日誌,我建議您使用 Excel 導入日誌,然後使用不同的列進行分析。下面是具體步驟:

(a).刪除IIS日誌中以#字元開頭的標題。用Excel打開時形成列很方便。 在此處輸入圖像描述  

(b).打開一個空的 Excel 電子表格並點擊文件>打開,選擇 IIS 日誌。打開後,選擇分隔過濾器類型。接下來,選擇空間並點擊完成。IIS 日誌中列出了一些程式碼:  

• 日期(日期) • 時間(時間、時區 (GMT)) • 客戶端 IP 地址 (c-ip) • 使用者名 (cs-username) • 方法 (cs-method) • URI 詞幹 (cs-uri-stem) • URI 查詢 (cs-uri-query) • 協議狀態 (sc-status) • Win32 狀態 (sc-win32-status) • 發送字節數 (sc-bytes) • 花費時間 (time-taken) • 主機 (cs-host) • 使用者代理 (cs(User-Agent)) • 推薦人 (cs(Referer))  

在程式碼“cs-status”中,200 OK成功狀態響應碼表示請求成功(登錄成功)。401未授權客戶端錯誤狀態響應程式碼表示該請求尚未應用,因為它缺少目標資源的有效身份驗證憑據(登錄失敗)。

  在此處輸入圖像描述   更多參考,請看:https ://blogs.msdn.microsoft.com/friis/2014/01/09/how-to-use-excel-to-analysis-iis-logs/  

3-1.對於Outlook Web Access,我們可以主要查看事件日誌,它準確地記錄了登錄時間、賬戶名和登錄狀態。IIS 日誌還記錄了登錄狀態、登錄時間和登錄類型。

 在此處輸入圖像描述  

3-2. 對於 Outlook Anywhere,在 Exchange Server 2016 中,預設情況下在組織級別啟用 MAPI over HTTP。但是,不支持 MAPI over HTTP 的 Outlook 客戶端仍然可以使用 Outlook Anywhere (RPC over HTTP) 通過啟用 MAPI 的客戶端訪問伺服器訪問 Exchange。我們可以主要查看事件日誌,它記錄了登錄狀態、賬戶名和登錄時間。IIS 日誌還準確記錄了登錄時間、登錄類型和登錄狀態。

 在此處輸入圖像描述  

3-3.對於Exchange Activesync,我們可以主要查看事件日誌,它記錄了登錄狀態、賬戶名和登錄時間。IIS 日誌還準確記錄了登錄時間、登錄類型和登錄狀態。 在此處輸入圖像描述 在此處輸入圖像描述

引用自:https://serverfault.com/questions/947930