メールボックス監査ログの活用


こんにちは。Exchange サポートの山木です。

オンプレミス Exchange、Exchange Online をご利用のお客様よりメールが勝手に削除されたとか知らない内に意図しない変更がアイテム対して行われたというお問合せをよく頂きます。
原因が特定できないままになるケースが多いですが、一般的には該当ユーザーが意図せず削除してしまった、第三者ユーザーが削除していたり、あるアプリケーションがメールボックスにアクセスして変更を行っていたりということが考えられますが、このような事象の調査に有益な情報としてメールボックス監査ログというものがあります。
今回は実際にこのメールボックス監査ログの採取手順から出力方法、ログの確認方法を皆さまにご案内したいと思います。

なお、メールが意図せず削除される事象の調査方針やメールボックス監査ログの使用については下記ブログでも案内しておりますので併せてご参照下さい。

Title : 突然アイテムが消えた!場合の対策
URL : http://blogs.technet.com/b/exchangeteamjp/archive/2015/04/15/3648071.aspx

メールボックス監査ログは既定で出力が無効になっておりますが、設定変更によってメールボックス単位で出力することが可能です。
メールボックス監査ログを有効化することによって文字通り、そのメールボックスに行われた操作 (移動、変更、削除など) を監査することが可能です。メールボックス監査ログのメリットとしてメールボックスの所有者が行った操作だけではなく、該当メールボックスにアクセス権限のある第 3 者ユーザー (代理ユーザーと言います。) の操作についてもログ上で確認することができる点が挙げられます。
所有者の操作であればエンド ユーザー様にヒアリングすることで原因が分かることもありますが、代理ユーザーが大勢いた場合はだれがメールボックスに対して操作を行ったかをヒアリングだけで調査することはとても大変な作業となります。

ログの採取手順
では早速ログの採取手順を見ていきましょう。
下記例はアイテムが勝手に削除されたシチュエーションを想定し、代理ユーザーおよび所有者の削除関連の操作 (HardDelete, SoftDelete, MoveToDeletedItems) をログに記録するように設定しています。
ログの保存期間は既定 (90 日) のままでもかまいませんが、下記例では 3 日 (03.00:00:00) を指定しています。ログを長く保管しておく必要がなければサーバー リソースの観点からも保存期間を短めに変更頂くことをお勧めいたします。

<設定例>
Set-Mailbox -Identity test01 -AuditEnabled $true -AuditLogAgeLimit 03.00:00:00 -AuditOwner HardDelete, SoftDelete, MoveToDeletedItems -AuditDelegate HardDelete, SoftDelete, MoveToDeletedItems

パラメーターの意味はそれぞれ以下の通りです。

AuditEnabled : メールボックス監査ログの有効 / 無効 (既定は無効)
AuditLogAgeLimit : メールボックス監査ログの保存期間 (既定は 90 日間)
AuditAdmin : ログに記録する管理者の操作を指定
AuditDelegate : ログに記録する代理ユーザーの操作を指定
AuditOwner : ログに記録する所有者の操作を指定 ((既定は null)

メールボックス監査ログの取得後、出力を無効化するためには以下のコマンドを実行します。

Set-Mailbox -Identity <ユーザー名> -AuditEnabled $false

- 参考情報
Title : Set-Mailbox
URL : https://technet.microsoft.com/ja-jp/library/bb123981(v=exchg.150).aspx

ログの出力手順
メールボックス監査ログを有効にした後は現象が発生するまで待ちます。ログを有効にする以前に発生した操作に関するログは記録されませんのでご注意下さい。メールボックス監査ログを採取する場合は現象に再現性があることが前提となります。
現象が発生しましたら、下記コマンドを実行してログを出力します。ログの出力量が多い場合は後者の csv 形式で出力して頂くことをお勧めいたします。

<ログの出力手順>
Search-MailboxAuditLog -Identity <ユーザー名> -ShowDetails > C:\MailboxAudit.log
もしくは
Search-MailboxAuditLog -Identity <ユーザー名> -ShowDetails | Export-Csv -Encoding UTF8 –NoTypeInformation -Path "c:\MailboxAudit.log"

Title : Search-MailboxAuditLog
URL : https://technet.microsoft.com/ja-jp/library/ff522360(v=exchg.150).aspx

ログの確認方法
下記はメールボックス監査ログの出力例です。
アクセス ユーザー名、クライアントプロセス名 (Outlook など)、クライアント IP アドレス、対象アイテム名、変更日時などをログから確認することが可能です。

例 ) 所有者 (test01) の受信トレイのアイテムを代理ユーザー (test02) が SoftDelete (Shift + Delete) した際の監査エントリー
-------------------------------
RunspaceId                    : bb605aec-6006-4763-8ba2-7fc46a43cb3c
Operation                     : SoftDelete
OperationResult               : Succeeded
LogonType                     : Delegate
ExternalAccess                : False
DestFolderId                  :
DestFolderPathName            :
FolderId                      : LgAAAAAjSbMuHxXaRaIB12ryrCX5AQAi+lvvQK61Q6ql16e4GV8YAAAAAAEMAAAB
FolderPathName                : \受信トレイ
ClientInfoString              : Client=MSExchangeRPC
ClientIPAddress               : 192.168.8.2
ClientMachineName             :
ClientProcessName             : OUTLOOK.EXE
ClientVersion                 : 15.0.4420.1017
InternalLogonType             : Owner
MailboxOwnerUPN               : test01@contoso.com
MailboxOwnerSid               : S-1-5-21-3114524796-843076583-3159535552-1159
DestMailboxOwnerUPN           :
DestMailboxOwnerSid           :
DestMailboxGuid               :
CrossMailboxOperation         : False
LogonUserDisplayName          : test02
LogonUserSid                  : S-1-5-21-3114524796-843076583-3159535552-1150
SourceItems                   : {RgAAAAAjSbMuHxXaRaIB12ryrCX5BwAi+lvvQK61Q6ql16e4GV8YAAAAAAEMAAAi+lvvQK61Q6ql16e4GV8YAA
                                BNRuofAAAA}
SourceFolders                 : {}
SourceItemIdsList             : RgAAAAAjSbMuHxXaRaIB12ryrCX5BwAi+lvvQK61Q6ql16e4GV8YAAAAAAEMAAAi+lvvQK61Q6ql16e4GV8YAAB
                                NRuofAAAA
SourceItemSubjectsList        : テストイベント
SourceItemFolderPathNamesList : 受信トレイ
SourceFolderIdsList           :
SourceFolderPathNamesList     :
ItemId                        :
ItemSubject                   :
DirtyProperties               :
OriginatingServer             : EX-SV01 (15.00.1104.002)
MailboxGuid                   : 0f708510-5837-4aac-af02-bd367bd04821
MailboxResolvedOwnerName      : test01
LastAccessed                  : 2015/11/09 20:30:59
Identity                      : AAMkADQ5NTU2NWE3LThjMWQtNGNjZi04Nzg0LTgzYjVhYjRjMTI5MQBGAAAAAAAjSbMuHxXaRaIB12ryrCX5BwA
                                i+lvvQK61Q6ql16e4GV8YAABNRtabAAAi+lvvQK61Q6ql16e4GV8YAABNRu4HAAA=
IsValid                       : True
ObjectState                   : New
-------------------------------

パラメーターの意味はそれぞれ以下の通りです。

Operation : 操作の内容
OperationResult : 操作の成否
LogonType : 操作を行ったユーザーが所有者 (Owner) か代理ユーザー (Delegate) か
FolderPathName : 該当アイテムが格納されているフォルダ名
ClientIPAddress : クライアントの IP アドレス
ClientProcessName : クライアント プロセス名
LogonUserDisplayName : オペレーションを実行したユーザー名
SourceItemSubjectsList :メッセージアイテムの件名
LastAccessed : オペレーションを実行した日時

Title : メールボックスの監査ログの出力
URL : https://technet.microsoft.com/ja-jp/library/ff459237(v=exchg.150).aspx

一つの操作に対して上記の結果が出力されますので、ログが大量に出力されると関連するエントリーを探すだけで時間を要することがあります。
そのような場合には、メールボックス監査ログを csv 形式で出力してログを見やすいように Excel でフィルターしながら確認することが可能です。ぜひご活用下さい。

Search-MailboxAuditLog -Identity <ユーザー名> -ShowDetails | Export-Csv -Encoding UTF8 –NoTypeInformation -Path "c:\MailboxAudit.log"

- 確認方法
1. メールボックス監査ログのファイル (ファイル名 : MailboxAudit.log) の内容をコピーして Excel にカンマ (,) 区切りで貼り付ける。
2. 1 行目に対してフィルター設定を行う。
3.上記パラメーターを参考に確認したいログをフィルターする。例えば、“Operation” 列でフィルターより “SoftDelete”  を選択することで、該当のメールボックスのメッセージアイテムを SoftDelete したログのみが抽出されます。

その他
メールボックス監査ログは監査対象メールボックスの [回復可能なアイテム] フォルダー配下の [監査] サブフォルダーに指定した期間保存されます。
監査ログが出力されているかどうかは下記コマンドの出力結果で確認が可能です。下記出力例では監査 (Audits) フォルダー配下にアイテムが 1 つあり、合計容量が 3 KB であることが分かります。
ログを 1 エントリ出力させると数 KB の容量を消費することになります。そのため、監査ログを多くのユーザーで有効にし、かつログが大量に出力されるとその分サーバーのディスク容量を消費することになりますので予めご注意下さい。
そのため、ログを有効にするユーザーは調査のための必要最低限のユーザーに限定し、ログの保存期間なども既定 (90 日) から短くして頂くことをお勧めいたします。

<確認コマンド>
Get-MailboxFolderStatistics -Identity <ユーザー名> | ft

<出力例>
---------------------
RunspaceId  Date        Name        FolderPath  FolderId    FolderType  ItemsInFold DeletedItem FolderSize  ItemsInFold
                                                                                 er   sInFolder             erAndSubfol
                                                                                                                   ders
----------  ----        ----        ----------  --------    ----------  ----------- ----------- ----------  -----------
bb605aec... 2015/11/... Audits      /Audits     LgAAAAAj... Audits                1           0 3.052 KB...           1
---------------------

なお、上記の [回復可能なアイテム] フォルダー配下のアイテムについては通常のメールボックスのクォータ制限は適用されず、[回復可能なアイテム] フォルダーのクォータ制限が適用されます。
そのため、[回復可能なアイテム] フォルダーのクォータ容量を超過しないようにクォータ容量の範囲内で運用して下さい。クォータ容量を超過した場合はメールボックス監査ログが保存されなくなります。

[回復可能なアイテム] フォルダーの詳細につきましては下記 TechNet を併せてご参照下さい。

Title : [回復可能なアイテム] フォルダー
URL : https://technet.microsoft.com/ja-jp/library/ee364755(v=exchg.150).aspx

Skip to main content