Ezgi Can

Office 365 Mailbox Audit Log

Posta kutuları, hassas ve yüksek öneme sahip bilgileri ve kişisel olarak tanımlanabilen bilgileri içerebileceğinden, firmaların posta kutularına kimlerin girdiğini ve hangi işlemleri gerçekleştirildiğini izlemek önemlidir. Posta kutusuna sahibi dışındaki posta kutularına erişim ayrıca önem taşımaktadır.

Posta kutusu denetim günlüğü kullanarak posta kutusu sahipleri, temsilci (posta kutuları için tam erişim izinlerine sahip yöneticiler de dahil) ve yöneticiler tarafından posta kutusu erişim günlüğünü kaydedilebilir.

Posta kutusu için denetim günlüğünü etkinleştirildiğinde, oturum açma türü (yönetici, temsilci kullanıcısı veya sahip) için kullanıcı eylemlerini (örneğin, iletiye erişilmesi, taşınması veya silinmesi) loglar. Audit log, istemci IP adresi, ana makine adı ve posta kutusuna erişmek için kullanılan işlem veya istemci gibi önemli bilgileri de içerir. Taşınan öğelerin de taşındığı klasörün bilgilerini kayıt altında tutar.

Mailbox Audit Logları, her kullanıcının posta kutusu için etkinleştirilmelidir. Audit logları tutulan mail kutusunun Recoverable Items folder kutusunda tutulur. Varsayılan olarak, posta kutusu Audit logları 90 gün boyunca tutulur ve sonra silinir. Set-Mailbox cmdlet’iyle AuditLogAgeLimit parametresini kullanarak, bu saklama süresini değiştirilebilir.

 

Aşağıdaki tabloda, posta kutusu Audit Log’ları tarafından kaydedilen işlemler listelenmiştir:

 

Action Description Admin Delegate*** Owner
Copy A message was copied to another folder. Yes No No
Create An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Note that creating, sending, or receiving a message isn’t audited. Also, creating a mailbox folder is not audited. Yes* Yes* Yes
FolderBind A mailbox folder was accessed. This action is also logged when the admin or delegate opens the mailbox. Yes* Yes** No
HardDelete A message was purged from the Recoverable Items folder. Yes* Yes* Yes
MailboxLogin The user signed in to their mailbox. No No Yes
MessageBind A message was viewed in the preview pane or opened. Yes No No
Move A message was moved to another folder. Yes* Yes Yes
MoveToDeletedItems A message was deleted and moved to the Deleted Items folder. Yes* Yes Yes
SendAs A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner. Yes* Yes* No
SendOnBehalf A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message. Yes* Yes No
SoftDelete A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Yes* Yes* Yes
Update A message or its properties was changed. Yes* Yes* Yes
UpdateFolderPermissions A folder permission was changed. Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders. Yes* Yes* Yes*

Notes:

  • *  Audited by default if auditing is enabled for a mailbox.
  • **  Entries for folder bind actions performed by delegates are consolidated. One log entry is generated for individual folder access within a time span of 24 hours.
  • ***  An administrator who has been assigned the Full Access permission to a user’s mailbox is considered a delegate user.

Refererans: https://support.office.com/en-us/article/enable-mailbox-auditing-in-office-365-aaca8987-5b62-458b-9882-c28476a66918#ID0EABAAA=Mailbox_auditing_actions

 
Comments

No comments yet.