Mailbox Auditing defaults
Hallo zusammen,
Beim Mailbox Auditing werden gewisse Aktionen aufgezeichnet und in der Mailbox gespeichert. Mehr zum Mailbox Audit Log habe ich schon mal hier beschrieben Mailbox Audit Log.
Seit Januar 2019 ist das Mailbox Audit Log standardmässig aktiviert. Allerdings gilt das nur für UserMailbox, SharedMailbox und Office365 Group.
Auf einer Mailbox kann man das MailboxAuditing mit folgenden Befehlen anschauen.
Get-Mailbox -Identity <Identity> | fl *audit*
Get-Mailbox -Identity <Identity> | Select -ExpandProperty AuditAdmin
Get-Mailbox -Identity <Identity> | Select -ExpandProperty AuditDelegate
Get-Mailbox -Identity <Identity> | Select -ExpandProperty AuditOwner
Nachfolgend die Default Audit Actions
| AuditAdmin | AuditDelegate | AuditOwner |
| Update MoveToDeletedItems SoftDelete HardDelete SendAs SendOnBehalf Create UpdateFolderPermissions UpdateInboxRules UpdateCalendarDelegation |
Update |
Update MoveToDeletedItems SoftDelete HardDelete UpdateFolderPermissions UpdateInboxRules UpdateCalendarDelegation |
Wie man sieht, gibt es kein "Send" für den Mailbox Owner. Man findet also keine Events für gesendete Mails vom Owner der Mailbox.
Mit folgendem Befehl kann man die Mailbox Audit Settings für alle Mailboxen anzeigen
Get-Mailbox -Resultsize Unlimited | ft DisplayName, RecipientTypeDetails, AuditEnabled, AuditLogAgeLimit, DefaultAuditSet
Um die Default Audit settings nur für den Admin anzuwenden, benutzt man folgenden Befehl
Get-Mailbox -Identity <IdentityA -DefaultAuditSet Admin,Delegate,Owner
Um die Default Audit Settings auf eine Mailbox anzuwenden, benutzt man folgenden Befehl
Get-Mailbox -Identity <IdentityA -DefaultAuditSet Admin,Delegate,Owner
