切换到宽版
  • 7570阅读
  • 0回复

[求助]Exchange 2007 中更强大的日志功能 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2011-08-14

概览:
  • Exchange Server 2007 日志规则
  • 新日志向导
  • 日志报告中包括的内容


您是否曾经不得不记录您与某位特定用户之间往来的电子邮件,而结果是您要连同驻留在该邮箱存储中的其他 300 个邮箱中的邮件
一起来查找这些特定的电子邮件?Microsoft Exchange Server 2007 解决了这个问题,为您提供了您所需要的精确控制。
企业“客户端访问许可证”(CAL) 提供了按收件人的日志功能,允许您将目标指向要记录的人。通过使用日志规则,现在您可以将目标仅指向您想要记录的收件人和发件人。可将焦点缩小为单个的邮箱,也可扩大到包括销售部门的全体人员(举例来说)。而且,他们的邮箱不必在同一个服务器上、同一个 Active Directory® 站点上,甚至是同一个 Exchange 组织中。通过 Active Directory 复制,您的变更会自动应用于贵组织中运行中心传输服务器角色的所有计算机。
日志原理

在 Exchange Server 2003 中,日志功能是针对每个物理服务器上的每个邮箱存储来实现的。如果想要记录组织中的所有邮箱,您需要对每个邮箱存储配置日志功能。而如果想要记录单个收件人的邮件,您必须在该用户的邮箱存储中记录每一个人或者是专门为该用户创建一个新的邮箱存储。
Exchange Server 2007 中的日志功能利用了 Exchange 中新增的基于角色的拓扑功能。如图 1 中所示,当所有邮件发送至/自邮箱和统一消息服务器、其他 Exchange 系统、第三方应用程序和 Internet 时,它们均由中心传输服务器进行处理。所有中心传输服务器都包含一个称为日志代理的传输代理,它负责将日志规则应用于邮件。由于日志代理位于中心传输服务器上,所以它会在邮件到达其收件人之前遇到每个邮件并对其进行评估。日志代理会在分类之后进行邮件操作 — 这能够确保访问邮件的所有收件人和发件人属性,并允许代理决定该邮件是直接发送给收件人的还是通过通讯组扩展接收到的。它还会指出收件人是否存在于源于 Exchange Server 2007 组织之内的邮件的“收件人”、“抄送”或“密件抄送”行上。

图 1 中心传输服务器邮件流程 (单击该图像获得较小视图)
当邮件通过中心传输服务器时,日志代理会对其应用管理员配置的日志规则。这些规则用于决定代理是否要捕捉关于某邮件的信息,从而将该信息与原始邮件一起转发到日志邮箱。该数据将以称为日志报告的邮件形式进行发送。
对于早期版本的 Exchange,您必须将配置应用于多个服务器。而当您在 Exchange Server 2007 中创建了日志规则后,该变更将通过 Active Directory 应用于贵组织中的所有中心传输服务器。所有中心传输服务器,进而所有日志代理都将从 Active Directory 读取该同一配置。因此,这一切确保了所有日志代理均应用相同的日志配置。
当您创建或修改日志规则时请牢记 Active Directory 复制时间,因为配置变更需要在您的整个组织范围内进行复制并由中心传输服务器读取。这可能会花费几个小时的时间。为帮助您确定日志配置的更新时间,Exchange 在每个服务器的安全事件日志中都记录了一个事件。
Exchange Server 2007 可确保日志报告绝不会由于日志邮箱不可用、已满、配置错误或脱机这些原因而丢失(这尤其有利于帮助您遵守各种法律法规要求,因为丢失的邮件可能导致违约)。如果日志报告无法传送到日志邮箱,则该报告将保留在中心传输服务器的队列中,直到日志邮箱可用。由于这样可导致队列迅速膨胀,因此,您应监控日志邮箱的可用性以确保其运行正确。如果日志邮箱在很长一段时间内仍不可用,您可以配置一个替代邮箱来接收队列中的报告。
确定记录内容

开始创建日志规则之前,您需要清楚地知道您想要面向的对象以及想要记录的数据类型。您可通过在日志规则中指定用户来选择要记录的特定用户。举例来说,这些用户可能受到了监管要求的制约,也可能是牵涉到了要求收集电子邮件和其他通信信息以作为证据的法律程序中。
除指定要记录的收件人之外,您还可以确定要记录的邮件范围,有“内部”、“外部”和“全局”三种选择。“内部”仅面向组织内部的邮件,“外部”面向发件人或其中一位收件人在外部的邮件,“全局”同时面向内部和外部邮件(请注意,“全局”选项将记录通过中心传输服务器的所有邮件,甚至包括那些可能已按照“内部”和“外部”范围由规则处理过的邮件)。
Exchange Server 2007 支持统一消息,因此您可将 Exchange 配置为收集用户收件箱中的所有电子邮件、语音邮件和传真。这还意味着您可以记录所有这些数据,或选择排除某些数据。
如果您运行的是具有标准 CAL 的 Exchange Server 2007,则您仍然可以使用按邮箱存储日志功能。然而,如果想要使用新增的按收件人日志功能,则必须升级到 Exchange Server 2007 Enterprise CAL。
日志邮箱的存放位置

确定了要记录的内容后,您还需要决定要将日志报告发送到何处。如果您拥有多个站点,则在决定日志邮箱的存放位置时,需要考虑您当前或计划的网络拓扑。日志可能产生大量的重复报告,这取决于贵组织的规模和邮箱的数量。
不过,您不必总是使用 Exchange 上的邮箱。您可将日志报告发送到任何有效的 SMTP 地址。该地址可以指向 Exchange Hosted Services、第三方存档解决方案或使用通讯组的这两者的任意组合。然而,请注意,可能会存在与日志报告发送到的位置相关的某些安全隐患。
不管您决定将日志邮箱存放于何处,都要必须在 Active Directory 中为其创建一个收件人对象。这可以是 Exchange Server 2007 邮箱、用于将邮件重定向到 Exchange Hosted Services 或第三方存档解决方案的启用了邮件功能的联系人,或者是同时包含邮箱和联系人的通讯列表。
日志报告中的内容

当日志代理记录邮件时,它会尽可能多地将有关原始邮件的详细信息捕获到日志报告中。然后,将该报告发送到日志邮箱。该信息在帮助您确定邮件意图、其收件人和发件人方面非常重要。例如,在何处标识收件人(是将其地址直接填写到“收件人”字段中、包括在“抄送”字段中,还是仅作为通讯列表的一部分)可帮助确定收件人在邮件讨论中的参与方式。原始邮件作为一个附件随附在其中。图 2 中的屏幕快照显示了两个日志报告,其中一个日志报告指示发送到 david@contoso.com 的邮件已转发给 christine@contoso.com,另一个日志报告指示发送到 Sales_Group@contoso.com 通讯组的邮件已被扩展,收件人 lukas@contoso.com(“销售组”通讯组的一名成员)已收到该邮件。两个报告均将原始邮件作为附件包含在内,显示原始发件人为 brian@contoso.com,主题为“Sales forecast”。

图 2 显示转发的收件人和扩展的通讯组收件人的日志报告 (单击该图像获得较小视图)
Exchange 仅对其已知为正确的信息进行分类。无法自动确定的信息将被放到日志报告的适当字段中。图 2 对日志报告正文部分包含的字段进行了说明。
所有安全性问题

默认情况下,同一 Exchange 组织中运行 Exchange Server 2007 的计算机之间的所有通信都会被加密。此加密包括日志报告。Exchange Server 会采取一系列措施以降低日志报告被篡改的风险:
  • 在 Exchange 2007 组织的中心传输服务器和邮箱服务器之间使用安全链接
  • 以“Microsoft Exchange”代表原始邮件的发件人发送日志报告。
  • 中心传输服务器与邮箱服务器之间的会话需要通过验证。
  • 在同一 Exchange 2007 组织的中心传输服务器和邮箱服务器之间发送日志报告时,仅接受通过验证的连接。


创建日志邮箱时,您必须确保其安全性,因为该邮箱包含发送至/自贵组织中收件人的那些邮件。某些邮件可能是法律程序的一部分或是受到监管要求的制约,且很多法律都要求邮件在被提交给侦查机构之前保持免篡改状态。为增强日志邮箱的安全性,您应将日志邮箱配置为仅接受来自 Microsoft Exchange 发件人的邮件并要求发送到日志邮箱的所有邮件均由通过身份验证的发件人来发送。图 3 显示了日志邮箱上所配置的邮件传送限制。您也可以使用以下“Exchange 管理外壳”命令来配置这些邮件传送限制:Set-Mailbox <Journal Mailbox Name>-AcceptMessagesOnlyFrom "Microsoft Exchange" -RequireSenderAuthenticationEnabled $True


图 3 邮件传送限制 (单击该图像获得较小视图)
如果要将日志报告发送到 Exchange Server 2007 组织之外的日志邮箱,则必须对 Exchange Server 2007 计算机与接收服务器之间的连接进行手动加密并确保其安全。您可以通过以下方法来实现:要求在两个系统之间使用传输层安全性 (TLS)、要求在接收系统上进行验证、在接收系统上仅接受来自 Microsoft Exchange 收件人 SMTP 地址的邮件(该 SMTP 地址类似于 Exchange_UMUnique GUID@contoso.com)、将用于转发邮件的 Active Directory 联系人配置为仅接受来自 Microsoft Exchange 收件人的邮件。
实现日志规则

我们已经谈论得足够多了,还是来实现一些规则吧!日志代理中的日志规则可以在“Exchange 管理外壳”或“Exchange 管理控制台”中进行配置。每种方式都可用于配置收件人、范围和日志邮箱设置。默认情况下,日志规则会在创建后即启用。您指定的日志电子邮件地址值必须是 Exchange Server 2007 组织中的现有收件人对象。该收件人对象可以是邮箱、通讯组、动态通讯组或用于将邮件发送到某个 SMTP 地址的联系人。
使用“Exchange 管理控制台”时,“新建日志规则”向导将引导您完成新日志规则的创建过程。在“组织配置”部分,选择“中心传输服务器角色”。然后,在“操作”窗格中,单击“新建日志规则”。其中,您必须提供规则名称、日志电子邮件地址和范围的值。如果想要日志规则记录组织中所有收件人的邮件,则不必指定“收件人”字段的值。您还可以选择是否希望日志规则在创建后被禁用。图 4 显示了将记录发送自/至 brian@contoso.com 的所有邮件的示例配置。已记录的邮件将发送到名为 Compliance Mailbox 的日志邮箱中。

图 4 新建日志规则向导 (单击该图像获得较小视图)
在“Exchange 管理外壳”中,您可以使用以下六个 cmdlet 来管理日志代理。
  • New-JournalRule
  • Set-JournalRule
  • Get-JournalRule
  • Remove-JournalRule
  • Enable-JournalRule
  • Disable-JournalRule


New-JournalRule cmdlet 用于新建日志规则。以这种方式新建日志规则的基本条件与使用向导时相同。您必须指定 Name、Scope 和 JournalEmailAddress 参数的值。同样,如果想要日志规则记录组织中所有收件人的邮件,则不必指定 Recipient 参数的值。如果想要在创建日志规则后将其禁用,您必须为 Enabled 参数指定值 $False。要创建配置与图 4 中所示配置相同的日志规则,请使用以下命令:New-JournalRule -Name "Brian Smith Journal Rule" -Recipient brian@contoso.com -JournalEmailAddress "Compliance Mailbox" -Scope Global

使用 Get-JournalRule cmdlet 可查看您已经创建的所有日志规则的列表。独立运行该 cmdlet 将显示贵组织中配置的所有日志规则及其配置设置的汇总列表。如果想要查看有关日志规则的所有可用信息,您可以在 Get-JournalRule cmdlet 与 Format-List cmdlet 之间建立管道。管道会将一个 cmdlet 的输出发送到下一个 cmdlet,因此第二个 cmdlet 可以对该输出进行其他处理。例如,Format-List cmdlet 将显示其接收到的所有输出。要查看可用于先前创建的日志规则的所有信息,请使用以下命令:Get-JournalRule -Identity "Brian Smith Journal Rule" | Format-List

要启用或禁用日志规则,可使用 Enable-JournalRule 和 Disable-JournalRule cmdlet。使用这两个 cmdlet 时,需要在 Identity 参数中指定日志规则名称。例如,要禁用我们刚刚创建的日志规则,请使用以下命令:Disable-JournalRule -Identity "Brian Smith Journal Rule"

Set-JournalRule cmdlet 用于修改现有日志规则。日志规则的名称与 Identity 参数结合使用,以将您要修改的规则通知给日志代理。然后,指定 Recipient、JournalEmailAddress、Scope 或这些参数的任意组合以及新值。例如,要修改存储在我们所创建的规则的 JournalEmailAddress 参数中的值,请使用以下命令:Set-JournalRule -Identity "Brian Smith Journal Rule" -JournalEmailAddress "Seattle Users Compliance Mailbox"

最后,可使用 Remove-JournalRule cmdlet 来删除现有日志规则。使用 Identity 参数来指定日志规则的名称。要删除我们的示例日志规则,请使用以下命令:Remove-JournalRule "Brian Smith Journal Rule"

当您执行此操作时,“Exchange 管理外壳”会询问您是否确实要删除该日志规则。下面是最后一个提示:几乎对于所有的 cmdlet,您都可以省略 Identity 参数标签,而仅指定参数值即可。

分享到
快速回复
限60 字节
 
上一个 下一个