Fosco 10 Geschrieben 6. Januar 2015 Melden Teilen Geschrieben 6. Januar 2015 Hallo Leute, aus leider aktuellem Anlass muss ich mich mit dem Thema Überwachungserweiterung auf Servern und Protokollierungen von Zugriffen auf Exchange-Postfächer beschäftigen. Situation: Mein Chef fordert von mir eine Log-Datei, in der ALLE AKTIVITÄTEN (wer, wann, was und wo bzw. von welchem Rechner aus) bestimmter User protokoliert sind, sowie ein Log mit einer Auflistung von allen Zugriffen auf alle Exchange-Postfächer (also wer, wann auf welches Postfach). Unabhängig der rechtlichen Situation (Mitarbeiterüberwachung, BR etc.) ist für mich nun gerade die technische Machbarkeit wichtig. Vorab, wir nutzen als Server 2008R2, Exchange 2010 und als Clients primär noch XP sowie ein Teil Windows 7 (ich sag nur stockende Umstellung). 1. Protokolieren der Useraktionen Wenn ich mir den 2008R2 ansehe, so werden Standardmäßig lediglich die üblichen Eventlogs ( Anwendung, Installation, Sicherheit, System und weitergeleitet Ereigniss) geführt. Dabei finde ich ja im Log Sicherheit zumindest die An- und Abmeldedaten eines Users. Mehr wird ja nicht eingerichtet, oder? Darüber hinaus haben wir über die GPO ja die Möglichkeit erweiterte Überwachung zu aktivieren (Voraussetzung dafür wohl 8R2 Server und Win7 Clients). Bei diesen ist mir aber nicht klar, ob da wirklich jede Aktivität eines Users protokoliert wird, oder ob diese nur in einem Datenbereich (Fileserver) aktiv genutzt werden. Bzw. ist es überhaupt möglich eine so lückenlose mit den Standardmäßig vorhandenen Mitteln durchzuführen? 2. Zugriffe auf Postfächern Zudem soll es über den Exchange-Server zu Zugriffe auf bestimmte Postfächer gekommen sein. Ich wüsste nicht, das es auf dem Exchange 2010 eine Möglichkeit zu Überwachung gibt, die protokolliert wann welcher User auf welches Postfach zugegriffen hat. Bzw. habe ich bisher nur für den Exchange 2013 eine entprechende (bestimmt nicht standardmäßig aktivierte) Funktion finden können. Wäre toll, wenn Ihr mir da helfen könntet. LG Alex Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 6. Januar 2015 Melden Teilen Geschrieben 6. Januar 2015 Kein Problem - aktiviere die Objektüberwachung auf allen Servern für alle freigegebenen Ordner und aktiviere die Prozessüberwachung auf allen Clientcomputern. Dazu noch das Security Auditing für alle Server (Member und DCs) und Clients. Viel Spaß beim Abholen und Auswerten der Logs... "Daß man etwas kann, heißt nicht, daß man es machen sollte". Egal was hinter der Anforderung steckt: Sie ist unsinnig. Zitieren Link zu diesem Kommentar
Fosco 10 Geschrieben 7. Januar 2015 Autor Melden Teilen Geschrieben 7. Januar 2015 Danke für die Info, Martin.... Also über die Objektüberwachung und Security Auditing für die Server, sowie Prozessüberwachung und Security Auditing auf den Clients kann ich komplett erfassen was auf den Geräten von wem getan wird. Die (reichlichen) Daten landen dann im Security-Log des entsprechenden Server/Clients. Soweit richtig verstanden, oder? Aber alle diese Einstellungen sind bei einer normalen Installation (egal ob Server oder Clients) deaktiviert und müssen (auf Wunsch) gezielt aktiviert werden? Bzw. gibt es außer im Event log noch weitere Stellen, an denen Zugriffe geloggt werden? Und kann mir jemand sagen, ob es im Exchange 2010 eine Überwachung der Zugriffen auf die Postfächer gibt, und ob diese immer aktiv ist? Oder ob diese auch gezielt nachträglich aktiviert werden muss?? Und wo/wie ich evtl. auf entsprechende Logs zugreifen kann? Thx und Gruß Alex Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 7. Januar 2015 Melden Teilen Geschrieben 7. Januar 2015 Nein, die Sachen werden nur im Security-Log geschrieben. Schau dir für Exchange das Mailbox Auditlog an. Das muß erst aktiviert werden, kann aber dann evtl. alles/einen Teil deiner Anforderungen abbilden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.