Exchange Server 2013 Mailbox Audit Ayarları ve Silinen–Taşınan Mailleri Audit Loglar ile Tespit Etme
Bu yazımda sizler ile Exchange 2013 üzerinde Mailbox Audit ayarlarının aktif edilmesini ve Audit loğlarını aktif edildikten sonra silinen veya taşınan maillerin nasıl tespit edileceğini paylaşacağım. Exchange yapımızda kullanıcı sayımız oldukça yüksek veya orta düzeylerde olabilir. Peki, kullanıcılarınızın maillerini nasıl, ne zaman, hangi user tarafından silindiğini nasıl tespit ederiz? Her sistemde olduğu gibi Exchange yapısında da Auditing yani log kontrolünü elimizden geldiğince yapmamız hatta raporlamamız gerekmektedir. Hepimiz az çok yaşamışız veya yaşıyoruzdur şöyle bir durumu. Bazı userlar sürekli benim mailim farklı bir klasöre taşınmış, silinmiş diye IT Adminlerine sürekli dönüş yapabiliyor. Elimizde gerçekten bu iş için alınmış 3. Party bir DLP tarzı yazılım yok ise cidden bu durum sıkıntı yaratabiliyor. Peki, bizlere bu konuda sürekli dönüş yapan user ve yöneticilere nasıl cevap verebiliriz? Bu yazımda bu tarz durumlarda neler yapabileceğimizi sizler ile paylaşacağım.
Aşağıda uygulayacağımız adımlar sayesinde, hangi kullanıcı, hangi konulu maili nereye taşımış veya silmiş görebileceğiz.
Öncelikle Audit kısımda ki 2 parametre bizim için çok önemli.
“SoftDelete ve MoveToDeletedItems”
SoftDelete : Kullanıcı maili delete veya Shift+Delete ile silmiş demektir.
MoveToDeletedItems : Kullanıcı maili farklı bir klasöre taşımış demektir. Bu klasör Delete Items klasörü de olabilir.
Exchange yapılarında UserMalibox Audit log default olarak False yani disable gelir.
Örnek: ufuk.tatlidil user’ına bir göz atalım.
Exchange PowerShell üzerinde aşağıda ki PS komutunu çalıştıralım.
get-mailbox ufuk.tatlidil | fl *audit*
AuditEnabled : False
AuditLogAgeLimit : 90.00:00:00
AuditAdmin : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
AuditDelegate : {Update, SoftDelete, HardDelete, SendAs, Create}
AuditOwner : {}
Gördüğünüz üzere Audit Enabled kısmı False yani aktif değil. Bu user üzerinde Audit Searching işlemi yapılamaz anlamına geliyor.
Peki, Ufuk.Tatlidil user’ ı için Audit Logunu aktif edelim.
Komutumuz:
Set-Mailbox ufuk.tatlidil -AuditEnabled:$true
Komut sonrası bakalım user’ da Audit kısmı True olmuş mu?
Komutumuz:
get-mailbox ufuk.tatlidil | fl *audit*
Aynı kullanıcıya hangi Audit adımlarının set edileceğini belirtiyoruz.
Komutumuz:
Set-Mailbox ufuk.tatlidil -AuditOwner “HardDelete,SoftDelete,MoveToDeletedItems”
Kullanıcının sahipliğini, başlangıç ve bitiş tarihlerini set ediyoruz.
Komutumuz:
Search-MailboxAuditLog -Identity ufuk.tatlidil -LogonTypes Owner -StartDate (Get-Date).AddHours(-1) –ShowDetails
İşlemlerden sonra owa veya Iphone, Android gibi Active Sync bağlantı kuran telefonlardan Deneme konulu maili siliyorum. Silme işleminden sonra Audit logları yansımış mı aşağıda ki PowerShell komutu ile test ediyorum.
Komutumuz:
Search-MailboxAuditLog -Identity ufuk.tatlidil -LogonTypes Owner -StartDate (Get-Date).AddHours(-1) -ShowDetails | fl operation*,logonuserdisplayname,sourceitemsubject*,sourceitemfolder*
Log’ da gördüğünüz gibi Deneme konulu sildiğim mail, User belirtilerek M.Ufuk TATLIDIL silindiği bilgisi yansımış.
Peki, bu logu farklı bir formata export edip, okuyabilir miyiz?
Komutumuz:
Search-MailboxAuditLog -Identity ufuk.tatlidil -LogonTypes Owner -StartDate (Get-Date).AddHours(-1) -ShowDetails | fl operation*,logonuserdisplayname,sourceitemsubject*,sourceitemfolder* > c:\test.txt
Komutta ki > c:\test.txt parametresi bu raporu bir .txt formatında belirttiğiniz path’e atacağı anlamına gelir.
Son olarak Inbox’ a düşen bir maili Delete Items’ e move ediyorum. Logumuza göz atalım.
Sarı renk ile belirttiğim gibi loğumuz başarılı bir şekilde yansıdı.
Ayrıca organizasyon bazında Audit loglarını açmak istersek, aşağıda ki komutu kullanabilirsiniz.
Komutumuz:
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled:$true
Farklı bir user’ da aktif olmuşmu bakalım.
get-mailbox ilkim.ada | fl *audit*
Audit Enabled True görünmekte.
Audit Log’u user bazında disable etmek istersek:
Set-Mailbox UserName -AuditEnabled $false
Faydalı olması dileğiyle…
http://technet.microsoft.com/en-us/library/ff459237%28v=exchg.150%29.aspx
Eline sağlık.