========================================================================

一、关于Exchange邮箱审核简述

========================================================================

由于邮箱可能包含一些敏感、对业务影响很大 (HBI) 的信息和个人的可识别信息 (PII)，因此，跟踪登录组织内邮箱的人员及其所执行的操作非常重要。跟踪邮箱所有者之外的其他用户对邮箱的访问情况尤其重要。这些用户称为“委派用户”。

使用邮箱审核日志记录可以记录邮箱所有者、委派用户（包含具有完全邮箱访问权限的管理员）和管理员对邮箱的访问。

为邮箱启用审核日志记录时，可以指定将记录一种登录类型（管理员、委派用户或所有者）的哪些用户操作。审核日志条目还包含客户端 IP 地址、主机名以及用于访问邮箱的进程或客户端等重要信息。对于移动的项目，条目中包含目标文件夹的名称。

邮箱审核日志

邮箱审核日志针对每个启用了邮箱审核日志记录功能的邮箱而生成。日志条目存储在已审核邮箱“可恢复邮件”文件夹的“审核”子文件夹中。这样能够保证可以从一个位置获得全部审核日志条目，而无论使用哪种客户端访问方法来访问邮箱，或者管理员使用哪个服务器或工作站来访问邮箱审核日志。如果将邮箱移至其他邮箱服务器，则由于邮箱中包含该邮箱的审核日志，因此这些审核日志也会移动到其他邮箱服务器。

默认情况下，邮箱审核日志条目在邮箱中保留 90 天后将被删除。可以使用 AuditLogAgeLimit 参数和 Set-Mailbox cmdlet 来修改此保留期限。如果邮箱为就地保留或诉讼保留，审核日志条目仅保留到邮箱的审核日志保留期限为止。要将审核日志条目保留更长时间，您必须通过更改 AuditLogAgeLimit 参数的值来增加保留期。您也可以在保留期到期之前导出审核日志条目。

Exchange邮箱审核能够记录的内容如下：

=======================================================================

二、问题描述

=======================================================================

使用命令Set-mailbox test –AuditEnable $true命令给邮箱用户启用审核后。

再次使用命令：Search-MailboxAuditLog -Identity caiwu03 -StartDate "07/27/2016" -EndDate "07/29/2016" -LogonTypes owner –ShowDetails   进行邮箱审核日志查询的时候返回的结果为空。（前提是我在对邮箱启用审核后，在用户邮箱中进行了删除邮件、发送新邮件操作）

使用命令：Get-MailboxFolderStatistics –identity test | Where{$_.name –like “Audit*”}  查看该邮箱中有关审核相关的记录，显示的结果为审核记录已经成功记录了，在/Audits文件夹下面的ItemsInfolder值为2，说明已经记录了邮箱的操作。

========================================================================

三、问题原因分析

========================================================================

通过查看微软的相关KB，微软给出的解释说此功能确实存在问题，导出结果为空时由于本地Exchange 2013所有服务器的语言设置不是为英文导致。随便说明一下，我的测试环境中的Exchange 2013版本为 CU13，系统版本为Windows Server  2012 R2。关于微软的KB具体可以参考：

https://support.microsoft.com/en-us/kb/3054391

https://blogs.technet.microsoft.com/criscrif/2015/02/26/no-results-using-the-search-mailboxauditlog-cmdlet-with-exchange-2013-cu4/

========================================================================

四、解决方法

========================================================================

下面的所有操作需要在环境中的所有Exchange服务器上进行操作，如果有多台单独角色的Exchange服务器的话，需要每台服务器上进行同样操作。

1、打开Exchange服务器的“控制面板”，选择“Clock,Language,and Region”，如图。

2、选择“change Date,time,or number formats”，如图。

3、将当前系统的”替代Widows显示语言“和”替代默认输入法“设置为”English(United States）。（如果安装的是中文系统，在进行才操作之前需要安装英文语音包）

4、选择“区域”，选择“Change Location”，如图。

5、选择”管理“，设置”Change System Locale“，设置为”English（United States)“。

6、选择”Copy Settings“，将”欢迎屏幕“和”新用户帐号”的显示语言设置为“English(united States）”，如图。（第5步操作完成后，之间勾选“Welcome Screen and System Accounts”即可，操作后需要重启）。

7、结果验证，使用命令：Search-MailboxAuditLog -Identity caiwu03 -StartDate "07/27/2016" -EndDate "07/29/2016" -LogonTypes owner –ShowDetails    查询审核日志，结果显示能够正常获取。如图。

==============================================================

五、总结

==============================================================

个人觉得Exchange的邮箱审核策略还是比较有用的，可以作为一个操作依据。但是审核对语言支持不好，只能支持English。

本文转自 jialt 51CTO博客，原文链接:http://blog.51cto.com/jialt/1831551