如果您运行的是 Exchange 2010,则应查看管理员审核日志概述。您告诉 Exchange 它应该审核哪些 cmdlet,它会记录各种相关的信息。它也支持 cmdlet 名称的通配符匹配。由于 Exchange 2010 中的所有内容(包括 GUI)都使用 cmdlet,因此您无法绕过审核。
如果您安装了 Exchange 2010 SP1(而不是从 Exchange 2010 RTM 升级),则默认情况下已启用管理员审核日志记录。如果您需要打开它,请运行Set-AdminAuditLogConfig -AdminAuditLogCmdlets *。
至于你的第二个问题,我认为你无法做到这一点。仅 Outlook 就创建了比其公平份额更多的连接到您的邮箱,而一些狡猾的 Outlook 插件创建的甚至更多,如果您曾经遇到过“32 个最大连接数”问题,您可能知道这一点。即使您确实设法找出属于特定“会话”的连接,您是否曾在 Outlook 已经打开的情况下意外打开它?那会触发你的闹钟。
您也不指望 Exchange 允许您访问邮箱的多种方式。我有一台笔记本电脑,但我经常发现自己在我们建造室的一个单独的桌面上待了几个小时,我也希望我的电子邮件在那里。我还通过 ActiveSync 连接了我的手机,当我懒得启动我的工作笔记本电脑并连接 VPN 以便在晚上快速回复电子邮件时,我会从我的个人笔记本电脑检查 OWA。不太常见但确实发生了,我还编写了一个实用程序,它使用 Exchange Web 服务访问我邮箱中的内容。如果已启用 POP3 或 IMAP 访问,则还有另外 2 种访问您的邮箱的方法,这可能会触发您的警报。
编辑:我完全忘记了代表和共享项目。例如,如果某人的秘书具有对邮箱的委托访问权限,这将显示为与特定邮箱的更多连接。Exchange 还允许用户在他们之间共享内容,而无需管理员干预。您正在进行的所有共享联系人和共享日历将使监控成为绝对的噩梦。
| 归档时间: |
|
| 查看次数: |
324 次 |
| 最近记录: |