我在哪里可以find交换2010的日志数据,这将显示数据,如用户访问数据库,或失败的login尝试。
谢谢!
login尝试与安全事件日志中的正常Windowslogin入口日志一起提交。 我不认为有一种方法可以消除来自正常Windowslogin的Exchangelogin,但是您的客户端访问服务器无论如何都不应该看到任何简单的Windowslogin,因此可以假定所有与Exchange有关的东西都是安全的。
我不相信,虽然可能是错误的,但有一种方法来审计数据库访问。 这种日志会在任何规模的组织中疯狂地发送垃圾邮件,因为Outlook只是坐在那里显然没有任何作用。 默认的Outlook连接模式基于拉式模式,因此Outlook会定期轮询Exchange服务器(间隔可以调整,但默认情况下非常短),这将是logging的事情。
据我所知,没有办法审计对邮箱数据库的访问。 如果用户login并连接到Exchange(通过OWA,Outlook客户端或具有ActiveSync的移动设备),则基本上可以假设他们与邮箱服务器连接。
Exchange的用户身份validation由Active Directory处理。 客户端访问服务器中的安全日志可能包含一些安全审核信息,但是最好的地方是域控制器上的安全日志。 这只会告诉你什么时候进行身份validation(可能是他们连接的客户端)。 但是,如果您有多个域控制器,那么跟踪用户login的时间/地点可能会比较困难,因为您需要search每个域控制器上的安全日志以查找所需的信息。 有一些第三方程序会为你做这个。
假设您正在运行Exchange 2010 SP1,则可能正在查找邮箱审核日志logging 。 您必须打开它,并将其configuration为您正在查找的内容。 一旦你这样做,你一定要注意这个增长,因为它可以很快得到大量的信息。
至于在哪里可以find日志,您需要运行该文章中find的powershell命令来查看日志,但是我相信这些信息存储在各个邮箱中。 我不能指出那个文档,所以我可能会误解它们的存储位置。