log di exchange
Alessandro
Potete gentilmente spiegarmi come posso attivare i log di exchange?
accessi, posta consegnata, owa...
Gabriele Tansini [MSFT]
news:ufUF8ywp...@TK2MSFTNGP06.phx.gbl...
> Salve
> Potete gentilmente spiegarmi come posso attivare i log di exchange?
> accessi, posta consegnata, owa...
>
>
In questo vecchio post trovi tutti possibili logging e come abilitarli:
Come al solito mi sono dimenticato la domanda più importante perciò ti darò
le opzioni su 2003 e 2007.
Il problema della compliance è sentito dal gruppo di prodotto e stanno
rendendola più facile di versione in versione :-)
Il Message Tracking Log non è un DB ma un file .log.
In ogni Exchange c'è una share che contiene il tracking di TUTTE le
operazioni che quel messaggio ha subito sul server (Giusto per chiarire: non
è 1 messaggio = 1 riga ma 1 messaggio = più righe)
Ogni server Exchange ha il suo file di log. Questo vuol dire che se il
messaggio va dal server al server B vedrò operazioni sullo stesso messaggio
da entrambe le parti.
Questi file sono tab-delimited per cui te li puoi gestire un po' come vuoi
(potresti anche importarli in un DB SQL e fare le query su quello). Dato che
il suffisso MSFT sul mio alias non è un caso sono sicuro che userai SQL
Server.
In allegato trovi un esempio di un log se importato in un foglio Excel
(molto semplificato perchè una local delivery tra 2 utenti dello stesso
server) e salvato come txt.
I file di log sono divisi per giorni e si trovano in share dal nome
specifico (i.e. C:\Program Files\Exchsrvr\STUDENT.log\200901276.log)
Di default solo gli amministratori hanno accesso alla share (ma si può
cambiare e aggiungere gli auditor oppure aggiungere l'account usato dal DB
per raccogliere i file e poi gestire l'autenticazione attraverso il DB)
Il corrispondente di cron in windows è at (oppure gli scheduled tasks nel
pannello di controllo :-)) ma credo che con un DB server minimamente decente
tu possa schedulare l'import direttamente dal prodotto.
Possibile Parser "semplice e free":
Advanced Exchange 2007 Transport Logs Troubleshooting using Log Parser -
Part 1
http://msexchangeteam.com/archive/2007/11/12/447515.aspx
Log Parser and Microsoft Exchange Server, the Perfect Blend!
http://download.microsoft.com/download/a/7/c/a7ca2818-d784-4b91-a77c-16d46d74e9b6/v2/ITPRO_Log_Parser_and_Microsoft_Exchange_Server_the_Perfect_Blend_Ilse_Van_Criekinge.ppt
Using the Logparser Utility to Analyze Exchange/IIS Logs (N.B. Tra gli IIS
Logs ci sono anche gli SMTP Logs di cui parlo dopo)
http://www.msexchange.org/tutorials/Using-Logparser-Utility-Analyze-ExchangeIIS-Logs.html
In Exchange 2007 il routing è stato completamente cambiato (non ti annoio
coi dettagli) ma il bello è che puoi fare tutto con Powershell (se usi Unix
vedrai che ti piacerà)
Per questo tracking ti do un link che dovrebbe chiarire il funzionamento del
tracking e la creazione di filtri.
http://www.exchangepedia.com/blog/2006/10/exchange-server-2007-message-tracking.html
I filtri nel blog sono esempi ma con un po' di pazienza gli puoi far fare
quello che vuoi.
> - ex ante: all'atto dell'invio della mail di X (div. A) con Y(Div. B)
> sarebbe utile tramite una regola lato server eseguire delle operazioni,
> come
> ad esempio raccogliere la mail in una cartella il cui accesso in lettura
> venga dato a tali auditor. credi si possa fare?
Più che una cartella userei il Journaling che spedisce "lato server" una
copia del messaggio a una casella di posta di tua scelta.
L'accesso alla casella lo gestisci tramite i permessi in AD (ti basta dare
l'accesso al gruppo degli auditor e nessun altro potrà aprire la mailbox)
Per quanto riguarda la velocizzazione della ricerca all'interno della
mailbox (dipende dal traffico ma è probabile che diventi grande in fretta)
io penserei ad un Desktop Search Engine (preferibilemente MSN Desktop Search
che si integra meglio col servizio di indicizzazione automatica di Exchange
2007.
Anche qui non mi metto a dirti la rava e la fava (termine tecnico) ma ti
lascio una serie di link che dovrebbero chiarirne il funzionamento (come al
solito in Exchange 2007 è più facile che in 2003 :-))
Implementing Exchange 2003 Message Journaling
http://www.msexchange.org/tutorials/Implementing-Exchange-2003-Message-Journaling.html
Journaling with Microsoft Exchange Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyID=d357e733-0e22-477c-b884-0c38fbb51533&DisplayLang=en
Overview of Exchange Server 2003 Journaling
http://technet.microsoft.com/en-us/library/aa996699(EXCHG.65).aspx
Understanding Journaling in a Mixed Exchange 2003 and Exchange 2007
Environment
http://technet.microsoft.com/en-us/library/aa997918.aspx
Overview of journaling in Exchange 2007
http://msexchangeteam.com/archive/2007/06/22/444296.aspx
> - altro: sulla base del contesto applicativo che ti ho descritto e sulla
> base della tua conoscenza di Exchange, ci sono altre funzionalità che
> potrebbero essere utili allo scopo sopra descritto?
In base alla mia esperienza (e ti prego di non considerare la lista come
completa) Io farei le seguenti cose (tutte dovrebbero essere nel documento
che ti ho dato nella mia prima risposta):
1) Abilitare il logging del "Send As" (Se io ho il permesso Send As sulla
tua mailbox di default non c'è modo di sapere se a spedire una mail sono
stato io o tu se abilito il logging a ogni utilizzo viene loggato un evento
nell'Application log coi dettagli)
Questo lo fai con il Diagnostic Logging di Exchange (vedi doc del mio primo
post) Ricordati di incrmentare la dimensione dell'Application e di evitare
la sovrscrittura altrimenti ti perdi gli eventi :-)
2) Abilitare l'SMTP Protocol Logging (questo è diverso dal message tracking
perchè contiene i dettagli della sessione SMTP e non del percorso del
messaggio (anche questo è un txt importabile dove vuoi)
Exchange 2003
http://exchangepedia.com/blog/2006/09/logging-smtp-protocol-activity.html
Exchange 2007
http://exchangepedia.com/blog/2007/05/exchange-server-2007-logging-smtp.html
3) Obbligare l'autenticazione. Questa sembra un'idiozia ma non lo è. Outlook
in MAPI mode ed OWA sono sessioni autenticate mentre Outlook Express,
Outlook in Internet Mode, Eudora, Pegasus Mail, etc... sono sessioni SMTP
anonime. Tu puoi configurare Exchange per obbligare i client SMTP ad
autenticarsi invece di usare sessioni anonime. Outlook in MAPI mode ed non
usano "direttamente" l'SMTP per inviare un messaggio.
How to help secure SMTP client message delivery in Exchange 2003
http://support.microsoft.com/kb/823019/en-us
4) Filtrare i messaggi i cui recipient non sono nella directory. Qui però
devi stare attento perchè se abiliti l'opzione Exchange droppa la sessione
subito dopo l'RCPT TO per cui non avresti una copia del messaggio ed è
praticamente obbligatorio applicare il TarpitTime per evitare attacchi di
tipo Directory Harvesting
SMTP tar pit feature for Microsoft Windows Server 2003
http://support.microsoft.com/kb/842851/en-us
How to configure connection filtering to use Realtime Block Lists (RBLs) and
how to configure recipient filtering in Exchange 2003
http://support.microsoft.com/kb/823866/en-us
Varie ed Eventuali:
NSA Guide to the Secure Configuration and Administration of Microsoft
Exchange 2000 (di sicuro non è aggiornata ma fornisce qualche idea
interessante)
http://www.nsa.gov/ia/_files/app/I33-003-2005.pdf
Microsoft Exchange Server 2003 Security Hardening Guide
http://www.microsoft.com/downloads/details.aspx?FamilyID=6A80711F-E5C9-4AEF-9A44-504DB09B9065&displaylang=en
Exchange 2007 Security Guide
http://technet.microsoft.com/en-us/library/bb691338.aspx
Se riesci a trovarlo il libro "Secure Messaging with Microsoft Exchange
Server 2003" di Paul Robichaux fornisce molti spunti e varie checklist
Ciao
Gabriele
--
Gabriele Tansini [MSFT]
Microsoft Certified Master: Exchange 2007
gtan...@online.microsoft.com
Please do not send mail directly to this alias.
This alias is for Newsgroup purposes only.
"This posting is provided "AS IS" with no warranties, and confers no
rights"