Решено не работает audit log

kerberos

Случайный прохожий
Добрый день! Есть exchange и почтовый ящик со включенным audit log
AuditEnabled : True
AuditLogAgeLimit : 90.00:00:00
AuditAdmin : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
AuditDelegate : {Move, MoveToDeletedItems, SoftDelete, HardDelete, SendAs, SendOnBehalf}
AuditOwner : {Move, MoveToDeletedItems, SoftDelete, HardDelete}

Как посмотреть журнал действий этого почтового ящика ? Как узнать например кто удалил письмо в почтовом ящике ?
Проблема в том что журнал аудита ничего не выводит.
 
Последнее редактирование:
Смотрю такой командой - пусто ничего не выводится, пробовал другие и тоже все бестолку
Search-MailboxAuditLog -Identity user@domen.ru -LogonType Owner -StartDate 01/01/2020 -ShowDetails | fl Operation, OperationResult,LastAccessed, LogonUserDisplayName,*path, *subj*
 
Еще пара примеров - попробуйте с ними

Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2016 -EndDate 3/1/2016 | Where-Object {$_.Operation -eq "HardDelete"}

Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000
 
Попробую спасибо.
Попробовал подключить почтовый ящик exchange к себе но outlook теперь выдает ошибку
Невозможно показать папку. Приложению Microsoft Outlook не удается получить доступ к указанной папке. Сбой операции. Невозможно найти объект.
 
С аутлуком разобрался - нужно было просто подождать. Но вот проблема с Search-MailboxAuditLog остается. Пробую такой командлет, с верными датами - результат пусто. Пробовал включать аудит для своего ящика - тоже ничего, пробовал более общие параметры - без временного интервала и тд - все пофигу, не работает и все
Search-MailboxAuditLog -Identity Krishna.kumar -LogonTypes Owner -ShowDetails -StartDate 4/1/2014 -EndDate 3/1/2012 | Where-Object {$_.Operation -eq “HardDelete”}

Пробовал проверять Test-ServiceHealth (подумал что Exchange плохо) но там все запущено и работает.
 
Попробуйте вот это

Симптомы
При выполнении командлетов Search-AdminAuditLog или Search-MailBoxAuditLog в командной консоли Exchange вместе с командлетами или параметрами для фильтрации результатов возвращается пустой результирующий набор. Даже если вы выполняете Search-AdminAuditLog командлет без параметров, полные результаты могут не возвращаться должным образом.

Эта проблема возникает в Microsoft Exchange Server 2013 и Exchange Server 2016.

Обходной путь
Чтобы обойти эту проблему, задайте язык и региональные параметры для учетных записей System и Network Service на английском (США) сервере, где находится почтовый ящик поиска (активная копия базы данных с почтовым ящиком, для которого выполняется поиск).

  1. В качестве основного языка установите Английский (США).
    1. На панели управления откройте язык.
    2. Добавление языка " Английский (США)".
    3. Нажмите кнопку Параметры для добавленного языка.
    4. В случае появления нажмите кнопку скачать и установить языковой пакет .
    5. Щелкните сделать основным языком.
  2. Скопируйте региональные параметры.
    1. На панели управления откройте область.
    2. В раскрывающемся списке "формат:" выберите Английский (США), как Format (США) .
    3. Перейдите на вкладку Администрирование .
    4. На вкладке Администрирование нажмите кнопку Копировать параметры.
    5. На экране приветствия и в диалоговом окне новые параметры учетных записей пользователей выберите пункт приветствия и системные учетные записи, а затем нажмите кнопку ОК.
1609138961605.png

  1. Щелкните изменить язык системы... и задайте для него значение Английский (США).
  2. Перезапустите сервер Exchange Server.
Чтобы убедиться, что язык и региональные параметры заданы правильно, откройте окно Windows PowerShell и выполните Get-UICulture команду. Команда должна вернуть en – US в столбец имя .

Примечание
Служба MSExchangeDelivery не может начаться с Exchange Server. Если служба не запускается, выполните указанные ниже действия.
  1. Измените учетную запись для входа в службу на локальную систему.
  2. Возврат учетной записи входа в сетевую службу.
  3. Запустите службу.
 
Последнее редактирование:
Епт:confused:. А если сервера в DAG нужно на каждый сервер ставить language pack ??
 
Спасибо, буду пробовать. Блин ну надо же было так вляпаться..
 
Назад
Верх Низ