易宝典——玩转O365中的EXO服务 之四十九 如何知道管理员进行了哪些操作
在企业中除了需要了解、跟踪管理员可能对用户邮箱的访问外,还需要跟踪管理员在邮件组织中进行的设置和操作,以便确认所有行为合规。并且保证邮件组织的稳定正确运行,以及在出现误操作或恶意操作时,能够及时进行排查修复故障。对需要追责的事件提供可靠的指引和证据。
因此,在Exchange Online中提供了管理员审核日志,用于记录管理员对组织和收件人配置进行的修改。可以用于跟踪误操作导致事件、确定恶意操作的行为、验证相关操作是否符合合规要求。
一、跟踪管理员对用户账户角色的调整
通常情况下,邮件组织的管理员可以通过自己的权限对企业中的用户授予一定管理角色,以便指定用户获得响应的管理权限。如果未经授权的这类操作,可能将给企业邮件系统带来维护上的极大困难,影响邮件系统正常运行的稳定性。
那么如何才能有效了解到哪些管理员为其他哪些用户进行过授权呢?这是在进行合规处理以及后续追责方面尤其需要的。Exchange Online为使用者提供了管理角色组更改报告,该报告可以展示管理员对组织中管理角色组成员修改的信息记录。
通过Exchange管理中心(EAC)可以很方便的导出管理角色组更改报告。在EAC中导航到“合规性管理”,在右侧选择“审核”,点击“运行管理员角色组报告”。
在打开的“搜索对管理员角色组的更改”窗口中,指定需要获取报告的起始日期和结束日期,还可以通过筛选器指定检索特定角色组的授权情况,如果不指定,则会检索所有角色组的授权情况。最后点击“搜索“,将在下方列出符合检索条件的角色组更改报告。
从报告中很容易看出哪个管理员为哪个用户在什么时候授予了哪种管理角色权限。
二、利用管理员审核日志跟踪管理员操作
如果要想知道更多的管理员操作信息,可以通过管理员审核日志来获取。
对于管理员审核日志的获取有两个途径,分别是通过“运行管理员审核日志报告”和“导出管理员审核日志”。对于“运行管理员审核日志报告”可以查看管理员审核日志中有关组织管理员所做的配置更改。而“导出管理员审核日志”将会把日志导出为一个XML文件,和邮箱审核日志相同,Exchange Online会将该XML文件以邮件附件的形式发送到指定用户邮箱,因此,如果用户使用OWA作为客户端,那么必须为其启用允许OWA附件,具体操作可以参考《玩转O365中的EXO服务 之四十七 怎样获取邮箱审核日志》(https://blog.51cto.com/liulike/2359471)。
1、确认管理员审核日志功能是否已经启用
在Exchange Online中管理员审核日志是默认开启的,可以通过Get-AdminAuditLogConfig来确认该功能是否真实启用。
Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled
需要注意,在Exchange Online该功能是不能关闭的,但在Exchange Server中该功能可以通过Set-AdminAuditLogConfig来进行启用或禁用,如:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
在确认已经启用管理员审核日志功能之后就可以查看或导出管理员审核日志了。
2、查看管理员审核日志
在EAC中导航到“合规性管理”,在右侧选择“审核”,点击“运行管理员审核日志报告”。
在“搜索以查看配置更改”窗口中,指定要检索的日志的起始日期和终止日期,如果不进行定义则会默认筛选近15日的日志。点击“搜索”进行检索,其结果将会显示在下方。
3、导出管理员审核日志
在EAC中导航到“合规性管理”,在右侧选择“审核”,点击“导出管理员审核日志”。
指定需要导出日志的起始日期和结束日期,以及将导出的XML文件发送至哪个指定的用户邮箱,最后点击导出即可。
Exchange Online限制该XML的大小不超过10MB,所以在选择时间区间时,应尽量精确,默认的时间范围为最近15天。另外,Exchange Online的日志导出一般持续时间较长,所以通过不可能马上收到邮件,通常为24小时内发出,但实测也有更为缓慢的时候,要等到48-72小时或更长。
三、使用PowerShell查询并导出管理员审核日志
如果要使用一些高级或更加精确的筛选,可以使用PowerShell来进行操作。比如,默认情况下只会筛选出1000条目,但是在PowerShell中使用_ResultSize_可指定符合条件的条目返回数。
1、查询管理员审核日志
如要筛选2019年3月7日至2019年3月8日,管理员在系统中对邮箱进行的发送和接收邮件大小限制等操作日志。可以使用Search-AdminAuditLog来进行。
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019
可以将其返回值赋予一个变量,通过指定查看该数组类型值的元素ID,可以查看具体的某一条日志记录。
$res = Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019
$res[0]
可以通过该日志记录的各属性查看具体信息。
$res[0].CmdletParameters
2、导出管理员审核日志
可以通过New-AdminAuditLogSearch创建导出管理员审核日志。
New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019 -StatusMailRecipients admin@lpwr.net -Name "Mail limit Setting 20190308"
同样,该操作Exchange Online在执行完成后,将会把符合筛选条件的日志条目以XML文件附件方式发送到指定的邮箱中,时间同样为24小时内。因此需要较长的等待,并且XML文件的大小会被限制在10MB以内。
转载于:https://blog.51cto.com/liulike/2360228
易宝典——玩转O365中的EXO服务 之四十九 如何知道管理员进行了哪些操作相关推荐
- 易宝典——玩转O365中的EXO服务 之五十 如何知道微软管理员进行了哪些操作
在企业中的管理员进行操作已经能够监控和跟踪的情况下.很多Office 365的用户企业,都非常关心微软的Office 365管理员,会不会对其使用的Exchange Online进行一下突发性的修改配 ...
- 易宝典——玩转O365中的EXO服务 之四十六 如何启用审核功能
在企业的信息管理中,对于系统稳健和信息安全尤为看重.对于用户来讲,可以通过配置各种权限.规则和策略来进行约束.那么具有相当权限乃至完全权限的管理员呢?又该如何对其进行约束,这就有为重要了.从" ...
- 易宝典——玩转O365中的EXO服务 之四十 创建就地电子数据展示搜索
就地电子数据展示是靠就地电子数据展示搜索,将符合条件(例如关键字.开始日期和结束日期.发件人地址和收件人地址以及邮件类型等.)的邮件搜索出来用于展示.因此,在使用就地电子数据展示之前,必须为其创建就地 ...
- 易宝典——玩转O365中的EXO服务 之四十二 导出就地电子数据展示搜索结果
对于搜索结果,如果仅仅只能预览查看而不能提取,那么就无法将相关结果提供给第三方(如法院)作为证据或其它电子数据需求处理. 在Office 365的Exchange Online中,提供两种提取电子数据 ...
- 易宝典——玩转O365中的EXO服务 之三十六 为软删除邮箱启用就地保留
在企业应用中有时候会碰到如下场景.有员工已经离职了,其用户账户和邮箱已经在系统中被进行了删除操作.但是,在该员工在职期间,并未发现需要对其邮箱启用保留的必要.而现在却因为某种原因需要对其邮箱内容进行保 ...
- 易宝典——玩转O365中的EXO服务 之三十七 保留所有邮箱
在企业中会遇到的一个典型的案例,即为了保证企业的商业利益,需要将所有邮箱均设置为保留状态.如前所述,在进行邮件保留时,可以采用就地保留或诉讼保留.就地保留不仅可以基于用户邮箱实现,还可以基于邮件组或O ...
- Linux中阶—文件服务vsftpd (九)
vsftpd服务安装: yum -y install vsftpd* yum -y install pam* libdb -utils libdb* --skip-broken 软件结构如下: ...
- 安卓玩机搞机技巧综合资源-----安卓机型固件中分区对应说明【十九】
接上篇 安卓玩机搞机技巧综合资源------如何提取手机分区 小米机型代码分享等等 [一] 安卓玩机搞机技巧综合资源------开机英文提示解决dm-verity corruption your de ...
- 语言用pad流程图求和例题_易编玩初级课解析:如何用编程玩转流程图?
纵观历年高考题,每年的高考试卷中总会出现这样的试题:这种图就是数学中常见的流程图,通过流程图可以明确的表示某个算法,或者程序从开始到结束的动态过程.对于孩子的程序性思维能力.语言概括提炼能力和统筹能力 ...
最新文章
- elasticsearch扩展ik分词器词库
- python学习手册视频教程-Python学习精品教程,视频书籍打包下载
- 给你30秒的时间,你会用Excel制作出一个抽奖功能吗?
- wp config.php mysql_wordpress遇到错误“似乎 wp-config.php 文件不存在”的解决办法
- GameMaker Studio 之中的攻击与受击判定盒
- 在Outlook 2007中查看您的Google日历
- 计算机视觉模型、学习和推理
- elasticsearch查询操作(使用marvel插件)
- Git教程(二)-如何上传和同步自己的git项目
- redis主从和持久化
- ArcMap操作技巧
- 2021 年最佳开源软件榜单出炉!
- ImageMagick内存占用过高被杀掉
- java compar_Java中Comparable和Comparator
- python根据词性进行词频统计_如何根据词性来确定语篇中的词频?
- Dialog去掉默认白色背景
- Android仿微信朋友圈4实现评论动态时输入框和软键盘自动定位到内容下面
- 2019年 8月9日 日报
- C语言 学生成绩统计
- 利达主机联网接线端子_利达接线图介绍
热门文章
- 2022年 AI 技术成熟度曲线
- oracle 采购模块表信息,EBS采购(PO)模块常用表
- 微信 openid = hash(uid + app_id) 也就是说,对每个app可以做到用户id唯一
- 使用动态规划求解算法问题的五大特点总结(附基于Python的参考代码)
- 青春散场,挚爱郭敬明(一草著)【连载二】
- android studio hiera,速成意大利语第课 昨天晚上我在电视机前我们不能空手去那里.doc...
- android桌面壁纸显示不全屏显示,手机壁纸怎么全屏 全屏显示手机壁纸方法
- CSS4day(圆角边框,阴影,浮动详解及其示例)
- 024《孤独是生命的礼物》读后感
- Node.js全局对象