Jump to content

Exchange 2013 Postfachprotokollierung

missinglink

Von missinglink
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

missinglink Explorer

missinglink   0

Geschrieben
Geschrieben

Hallo zusammen,

 

Folgendes Szenario :
Windows Server 2012 R2 -Deutsch- (aktuelles Patchlevel) 
Exchange Server 2013 –Deutsch- CU18 Vers. 15.00.1347.003 (CU 19 wird dieses Wochenende gemacht)

 

Anforderung der GF :
Protokollierung der Postfachzugriffe auf bestimmte User

 

Umgesetzt durch die IT :

Audit Enabled = true (erfolgreich)

Postfach als „Nicht Besitzer“ (zu Testzwecken) eingebunden

ECP / Verwaltung der Richtlinientreue / Überwachung / Bericht für Nicht-Besitzer … > Postfach < „Keine Überwachungseinträge vorhanden“

Neustart der Dienste

Neustart des Server

„Keine Überwachungseinträge vorhanden“

---

 

Wo kann ich eurer Meinung nach, mit dem Troubleshooting ansetzen? Das Technet gibt mir leider nicht die passenden Antworten.

 

Vielen Dank.

 

Missinglink

Link zu diesem Kommentar
missinglink Explorer

missinglink   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo Norbert,

 

in der Tat komme ich aus Bremen. ;) 

Vielen Dank für Deinen Link. Mit dem kann ich leider nichts anfangen, da ich dieses bereits umgesetzt habe.

 

Get-Mailbox zeigt mir auch an, das Audit Enabled = true ist. (AuditAdmin/-Delegate) <- alles hübsch

Der Auditor ist auch Mitglied der Organization -und RecordsManagement 

 

Vielen Dank

bearbeitet von missinglink
Link zu diesem Kommentar
missinglink Explorer

missinglink   0

Geschrieben
  • Autor
Geschrieben

Moin!

Ich helfe mir vorerst mit :
Search-AdminAuditLog -StartDate "3/1/2018" -EndDate 5/1/2018"
$AdminAuditLog = Search-AdminAuditLog -StartDate "3/1/2018" -EndDate 5/1/2018"

 

Habe aber ein Problem beim Filtern. Ich würde gerne nur ein spezielles Postfach nun auswerten. (ObjectModified) Mit "Filter" und "where"/"like" komme ich leider nicht weit.

Hat jemand eine Idee?

 

Danke

Link zu diesem Kommentar
missinglink Explorer

missinglink   0

Geschrieben
  • Autor
Geschrieben
vor 14 Stunden schrieb tesso:

Ich werde aus deinen Berichten nicht ganz schlau. Mir kommt es so vor als sucht du nicht search-adminauditlog, sondern search-mailboxauditlog.

Guten Morgen tesso,

Du hast Recht. Diese Ausgabe suche ich. Nur leider ist das Ergebnis genauso wenig hilfreich, wie die ECP Ausgabe. Daher versuchte ich den Umweg über das AdminAuditLog.

BG

Ich gehe zZt wie folgt vor :

$Log = Search-AdminAuditLog -StartDate "3/1/2018" -EndDate "3/6/2018"

#Lasse mir die Ergebnisse anzeigen und picke mir den GF mit dem Timestamp raus. Reduziere die TimeRange auf das Ereignis des Zugriffs, bzw des Set-MailboxPermission
$Log[0].CmdletParameters.GetType()
$Log[0].CmdletParameters.
#Nun bekomme ich die Ausgabe die ich "haben möchte"
Name                                     Value
Identity                                  Geschäftsführer

User                                       missinglink (ich)
AccesRights                          FullAccess
InheritanceType                  All

#ich hatte mir FullAccess auf das Postfach erteilt

Link zu diesem Kommentar
  • 1 Monat später...
Philipp.Brand Rookie

Philipp.Brand   0

Geschrieben
Geschrieben

Hallo zusammen,

die Thematik ist auch für mich derzeit aktuell, Exchange Server 2013 Standard CU19.


Ich "spiele" mit verschiedenen Einstellungen auf einer shared Mailbox (Test.Postfach) rum.
Anfangs wurde kein Log erstellt, dies hat ca. 1 Stunde nach Aktivierung vom [Set-Mailbox Test.Postfach -AuditEnabled $true] gedauert.
Testweise habe ich auch sämtliche Optionen aktiviert ..

 

AuditEnabled     : True
AuditLogAgeLimit : 90.00:00:00
AuditAdmin       : {Update, Copy, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, MessageBind, Create}
AuditDelegate    : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
AuditOwner       : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, Create}

 

Doch leider gibt die Suche auch nach mehreren Tagen kein Ergebnis ...
Irgendwann bin ich über den Hinweis gestolpert, dass es bekannte Probleme mit der deutschen Version gibt:

https://social.technet.microsoft.com/Forums/lync/en-US/71589324-06f3-428e-a5f9-72d3de217c50/exchange-2013-mailbox-audit-no-results-german-language?forum=exchangesvradmin

https://social.technet.microsoft.com/Forums/en-US/efdd4706-bcd3-4d96-a835-e6a21a50f67b/searchmailboxauditlog-is-empty-mailbox-audit-logging-not-working-in-exchange-2013-cu6-environment?forum=exchangesvradmin

 

Ich habe für meinen Exchange folgende Einstellungen geändert (https://support.microsoft.com/en-us/help/3054391/search-adminauditlog-or-search-mailboxauditlog-with-parameter-returns),
doch seit 2 Wochen hatte ich keine Zeit für das Problem - diese werde ich nun wieder haben.

 

Vielleicht hilft diese Erkenntnis bereits weiter?

 

 

Viele Grüße, Philipp

Link zu diesem Kommentar
  • 1 Monat später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...