В предыдущей статье на MSExchange.org я рассказывал о том, как осуществлять базовый аудит доступа к почтовым ящикам в Exchange 2003 с помощью Exchange System Manager и средства отображения событий. Если вы прочитали ту статью, вы уже знаете, что этот процесс аудита наталкивается на некоторые ограничения. Например, колонка Last Logged On By в Exchange System Manager часто ссылается на аккаунт в Windows, отличающийся от того аккаунта, которому принадлежит почтовый ящик. Более того, если уровень журнала диагностики для контроля доступа увеличивается, будут часто появляться записи в журнале событий, говорящие о том, что определенный пользователь получает доступ к почтовому ящику, не являющимся аккаунтом первичной Active Directory. Хотя все это может сначала показаться подозрительным, часто случалось так, что кто-то просто просматривал календарь другого пользователя, вызывая таким образом создание записи в журнале событий или обновление колонки Last Logged On By соответственно. Эта проблема также часто происходила с аккаунтами служб для приложений вроде антивирусного средства или средства резервного копирования, которым необходимо заходить во все почтовые ящики. Поэтому полный глубокий аудит Exchange представлял собой довольно трудную задачу.
При появлении Exchange 2007 Service Pack 2 появилась и новая функция аудита доступа. Это совершенно новая функция, позволяющая администратору организации Exchange воплотить новый набор категорий в журнале диагностики, благодаря которому появляется возможность делать подробные записи в журнале событий аудита при запросах доступа к различным ресурсам. Ресурсы, доступ к которым можно отразить в журнале, включают сообщения, папки и возможность для пользователей отправлять письма от имени другого пользователя, напрямую либо с помощью функции send on behalf of. В этом двухчастном цикле статей мы посмотрим, как включить эту новую функцию, и приведем примеры того, что может появиться в журнале событий.
Журнал событий аудита Exchange
Вместо того, чтобы делать эти записи нового журнала событий прямо в журнал событий приложения, функция аудита доступа к почтовым ящикам делает записи в новом журнале событий под названием Exchange Auditing. Этот новый журнал событий показан на Рисунке 1, и хотя он сейчас пуст, мы еще увидим, как будут выглядеть в нем все события. В моей тестовой среде, управляемой Exchange 2007 SP2, файл нового журнала событий называется ExchangeAuditing.evtx и хранится в папке \Program Files\Exchange Server\Logs\AuditLogs.
Рисунок 1: Журнал событий аудита в Exchange
Включение функции аудита доступа к почтовым ящикам
Давайте посмотрим, как получить доступ к области конфигурации для функции аудита доступа к почтовым ящикам. Воспользуемся сначала Exchange Management Console, а затем перейдем к использованию Exchange Management Shell во второй статье этого цикла. Если вы запустите Exchange Management Console после установки Exchange 2007 Service Pack 2, вы, скорее всего, заметите несколько небольших изменений, позволяющие вам узнать о том, что Service Pack 2 установлен. Например, дополнительный элемент меню в панели задач при выделении одного из ваших серверов Exchange 2007. На Рисунке 2 вы видите новую опцию Manage Diagnostic Logging Properties.
Увеличить
Рисунок 2: Опция Manage Diagnostics Logging Properties
Чтобы настроить аудит доступа к почтовым ящикам на конкретном почтовом сервере, сначала выберите этот сервер в Exchange Management Console, а затем выберите опцию Manage Diagnostics Logging Properties в панели action. При этом появится экран Manage Diagnostics Logging Properties(см. Рисунок 3). На этом экране разверните категорию MSExchangeIS, после чего разверните категорию 9000 Private.
Рисунок 3: Экран настроек Manage Diagnostics Logging Properties
В категории MSExchangeIS\9000 Private вы увидите много разных областей, для которых можно настроить уровень журнала диагностики. Поскольку в нашей статье мы концентрируемся на функции аудита доступа к почтовым ящикам, нас интересуют такие категории (в порядке, в котором они представлены на экране настройки): Extended Send As, Extended Send On Behalf Of, Folder Access и Message Access. Для начала давайте взглянем на категорию Folder Access, чтобы увидеть, что случиться, когда пользователь получает доступ к папке inbox другого пользователя. Сначала выберите категорию Folder Access на экране настроек, а затем выберите желаемый уровень журнала диагностики. Мы установим уровень Medium (см. Рисунок 4). Обсуждение смысла различных уровней диагностики будет позже, а сейчас вам нужно осознать, что установка среднего уровня означает, что в журнал будут попадать основные события, когда пользователь получает доступ к папкам на своем почтовом ящике, либо на почтовом ящике кого-то другого. После выбора уровня щелкните кнопку Configure.
Рисунок 4: Изменение уровня журнала диагностики доступа к файлам
Если все в порядке, у вас должен появится экран completion, означающий, что уровень журнала событий успешно установлен. Однако настройка еще не завершена, так как вам еще нужно перезапустить службу Microsoft Exchange Information Store перед тем, как изменения вступят в силу.
Аудит доступа к папкам
Давайте теперь рассмотрим ситуацию, когда один пользователь по имени Mark сначала заходит в свой собственный ящик, а затем открывает папку inbox другого пользователя по имени Rob. В данном конкретном примере Mark уже получил разрешение от администратора открыть почтовый ящик Rob'а, и, соответственно, уже имеет доступ Full Access к ящику Rob'а. То есть, доступ Mark’а к почтовому ящику Rob'а ожидаемо, но все равно запись о доступе должна быть сделана. Сейчас, когда мы настроили категорию Folder Access на экране настройки Manage Diagnostics Logging Properties, давайте рассмотрим, какая информация попадает в журнал событий Exchange Auditing. В тот момент, когда Mark заходит в свой собственный почтовый ящик, вы увидите множество новых записей в журнале событий Exchange Auditing (см. Рисунок 5). На Рисунке 5 вы видите, что у всех новых записей есть ID 10100, источник MSExchangeIS Auditing и категория Mailbox Access Auditing.
Увеличить
Рисунок 5: Записи в журнале событий Exchange Auditing
Один из примеров подобных записей в журнале событий показан ниже на Рисунке 6, где дано описание, говорящее, что Mark получил доступ к своему собственному почтовому ящику. Другие поля, включенные в описание события, как вы видите, содержат отображаемое имя папки, которое показывается в Outlook или в OWA, определенное имя пользователя, получившего доступ, производился ли доступ с администраторскими правами, и в самом низу - дополнительная информация клиента. Подробнее дополнительную клиентскую информацию мы рассмотрим во второй части этого цикла.
Рисунок 6: Event ID 10100 ' Own Mailbox Access
Когда Mark получает доступ к папке inbox Rob'а, вносится новая запись в журнале событий и, очевидно, имеющая тот же ID события, источник и категорию, что и запись, сделанную, когда Mark получал доступ к собственному почтовому ящику. Дополнительную запись в журнале событий можно увидеть на Рисунке 7. Конечно, имея доступ Full Mailbox Access к почтовому ящику Rob'а, Mark может получать доступ к любой нужной ему папке, и, как и следовало ожидать, аудит заносит в журнал запись о доступе к любой папке, включая пользовательские папки, созданные Rob’ом.
Рисунок 7: Event ID 10100 ' Different Mailbox Access
Заключение
Этим мы завершаем первую статью данного цикла, в которой мы рассмотрели доступные для записи категории аудита в Exchange, а также примеры записей в журнале событий, которые делаются при доступе пользователя к своему почтовому ящику, либо к почтовому ящику другого пользователя. В следующей статье мы завершим обзор этой новой функции в Exchange 2007 Service Pack 2 рассмотрением способа управления этой функцией с помощью Exchange Management Shell плюс журналов событий, записанных с помощью категорий Message Access и Send As.