2 votes

Exchange 2016 : Comment auditer l'accès des utilisateurs de boîtes aux lettres pour obtenir leur IP ?

J'ai un utilisateur de boîte aux lettres (Exchange 2016) qui croit que sa boîte aux lettres a été piratée.
Je veux donc vérifier l'accès à sa boîte aux lettres.
J'ai activé l'audit via Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true

Mais il semble que via ECP, je puisse vérifier quels autres utilisateurs ou administrateurs ont essayé d'accéder à cette boîte aux lettres.

Si la boîte aux lettres a été piratée, elle devrait montrer l'accès de l'utilisateur lui-même, mais il n'y a pas d'option à cet effet.

Comment puis-je auditer cette boîte aux lettres pour obtenir des statistiques d'accès telles que la dernière connexion, l'IP, le périphérique éventuel et ainsi de suite ?

3voto

Kelvin_D Points 191

Vous pouvez vérifier la réussite ou l'échec de la connexion du client pour chaque protocole via le journal IIS et le journal des événements. Trouvez d'abord les résultats de l'ouverture de session client réussie ou échouée dans le journal des événements, puis vous pouvez vérifier les informations détaillées pour les comptes d'utilisateur et les protocoles dans le journal IIS.

  1. journal des événements   Le journal des événements d'Exchange enregistre l'état de connexion du client. Vous pouvez aller dans les journaux de Windows -> section Sécurité, les journaux enregistrent l'état de connexion du client.   (a) Si un compte utilisateur se connecte au client avec succès, un événement id 4624 sera généré. (b) Si la connexion d'un compte utilisateur échoue, l'événement 4625 est généré.   enter image description here   2. journal IIS    Ensuite, nous pouvons voir le temps d'accès de l'utilisateur spécifique, le nom de l'utilisateur, le type de connexion et l'état de la connexion grâce aux journaux IIS. L'emplacement des journaux IIS est le suivant :     C:\inetpub\logs\LogFiles\W3SVC1   Pour visualiser plus clairement les logs IIS sur Exchange, je vous recommande d'utiliser Excel pour importer les logs et ensuite les analyser avec différentes colonnes. Voici les étapes spécifiques :

(a).supprimer les en-têtes commençant par un caractère # dans les journaux IIS.il est pratique de former des colonnes lorsque vous ouvrez avec Excel. enter image description here  

(b) Ouvrez une feuille de calcul Excel vide et cliquez sur Fichier> Ouvrir, sélectionnez le journal IIS. Après l'ouverture, sélectionnez le type de filtre Délimité. Ensuite, sélectionnez Espace et cliquez sur Terminer. Il y a quelques codes listés dans le journal IIS :  

- Date (date) - Heure (heure, fuseau horaire (GMT) ) - Adresse IP du client (c-ip) - Nom d'utilisateur (cs-username) - Méthode (cs-method) - Tige de l'URI (cs-uri-stem) - Requête URI (cs-uri-query) - Statut du protocole (sc-status) - Statut Win32 (sc-win32-status) - Octets envoyés (sc-bytes) - Temps écoulé (time-taken) - Hôte (cs-host) - Agent utilisateur (cs(User-Agent)) - Référent (cs(Referer))  

Dans le code "cs-status", le code de réponse de statut 200 OK indique que la demande a réussi (connexion réussie). Le code de réponse d'état "401 unauthorized client error" indique que la demande n'a pas été appliquée en raison de l'absence d'informations d'authentification valides pour la ressource cible (échec de la connexion).

  enter image description here   Pour plus de références, veuillez consulter : https://blogs.msdn.microsoft.com/friis/2014/01/09/how-to-use-excel-to-analyse-iis-logs/  

Pour Outlook Web Access, nous pouvons vérifier le journal des événements principalement, il enregistre avec précision l'heure de connexion, le nom du compte et le statut de connexion. Le journal IIS enregistre également l'état de connexion, l'heure de connexion et le type de connexion.

 enter image description here  

3-2.Pour Outlook Anywhere, dans Exchange Server 2016, MAPI sur HTTP est activé par défaut au niveau de l'organisation. Mais, les clients Outlook qui ne sont pas compatibles avec MAPI sur HTTP peuvent toujours utiliser Outlook Anywhere (RPC sur HTTP) pour accéder à Exchange via un serveur d'accès client compatible MAPI. Nous avons pu vérifier le journal des événements principalement, il a enregistré le statut de connexion, le nom du compte et l'heure de connexion. Le journal IIS enregistre également avec précision l'heure de connexion, le type de connexion et le statut de connexion.

 enter image description here  

3-3 Pour Exchange Activesync, nous avons pu vérifier le journal des événements principalement, il a enregistré le statut de connexion, le nom du compte et l'heure de connexion. Le journal IIS enregistre également avec précision l'heure de connexion, le type de connexion et le statut de connexion. enter image description here enter image description here

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X