Microsoft Exchange Audit Logging

Posted 2021-02-01 ningxin

Audit Logging主要分为两种类型，一种是监听邮箱级别的non-owner（非所有者）的操作，一种是监听管理员的操作。

Non-owner： 比如我所共享的邮件被删除了，我可以通过audit logging来查询是谁操作的。

Administrator audit logging： 这个是记录所有管理员的cmdlets操作，但是这些cmdlets不包括GET， SEARCH 和 TEST。

这里需要注意的是，邮箱级别的non-owner的操作监听，默认情况是关闭的。我们必须用cmdlet激活才能开始监听记录。在没开通之前，之前的所有操作时没法监听查找的。而且，这个坚挺的最高记录时90内的一些操作。所有超过90天的记录是找不到的。所以呢，如果想要监听查找之前的，就需要人为的每隔一段时间，保存这个logging的xml文件。

关于导出，用户需要有权限才可以导出，在permision中设置。而且，这个导出的记录是xml文件格式，而邮箱默认情况是锁定了xml附件操作，所以还需要给邮箱配置xml附件权限。  

 

运行一下代码来添加XML格式到文件类型到Outlook Web App列表中 

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add=‘.xml‘}

 运行以下代码来给用户赋予Audit Logs的权限。

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>