Manchmal ist es wünschenswert, Zugriffe auf Postfächer zu loggen, um bei Bedarf feststellen zu können, ob unberechtigte Zugriffe stattgefunden haben. Das Auditing für Exchange 2007 kann per Powershell-Befehl aktiviert werden:
Set-EventLogLevel "MSExchangeIS\9000 Private\Logons" -Level Low
Die Anmeldeereignisse werden dann im Applicationlog (Anwendungsprotokoll) protokolliert. Folgende Event IDs werden verwendet:
- Event ID 1009 – Anmeldung mit primärem Konto für das Postfach
- Event ID 1016 – Anmeldung mit einem anderen Konto, als dem primären Windows-Konto für das Postfach
- Event ID 1011 – Anmeldung mit Administratorprivilegien
- Event ID 1013 – {Benutzername} wurde als {Benutzername} bestätigt und bei {Servername} für Datenbank “{Name}” angemeldet.
Für eine Auswertung dürfte die Event ID 1016 am spannendsten sein.
Quelle: Microsoft Technet Forum
Loading ...
Kommentare