Wednesday, October 22nd, 2014

Важность аудита вашего сервера Exchange 2003

Published on Январь 15, 2009 by   ·   Комментариев нет

Как многие из вас уже знают, обмен сообщениями – одна из наиболее критичных служб в организации. В этой статье я объясню, почему так важен аудит в вашей среде обмена сообщениями в Exchange 2003 Server.

Вступление

Аудит использования Exchange сейчас очень важен, поэтому если вы еще не проводите аудит вашего сервера Exchange,  то вы можете даже не осознавать проблемы, которые испытывает ваш сервер! Еще хуже, вы может и поймете, что у вас есть проблемы, но не сможите их отследить. Аудит может быть разбит на три различные кактегории:  существует аудит событий на сервере Windows, журналы диагностики Exchange и, наконец, продукты сторонних производителей, которые могут решить эту задачу для вас.

Аудит журнала событий сервера Windows/Exchange

Event Log Service – это служба, которая заботится об аудите на сервере Windows, многие из вас достаточно неплохо знакомы с Event Log Service, и поэтому я не буду углубляться в детали для ее описания и показа того, как она работает. Вместо этого, я приведу несколько подсказок на тему того, как необходимо выполнять аудит среды вашего сервера Exchange.

Примечание:
Служба журнала событий записывает все типы событий, происходящих в системе (на сервере), она включает несколько различных журналов – журнал приложений, журнал безопасности, системный журнал, журнал службы директорий, журнал сервера DNS и журнал репликации файлов. Когда вы имеет дело с аудитом сервера Exchange, то наиболее интересным является журнал безопасности, который производит аудит всего того, что указано в политике аудита, расположенной в локальных политиках или политиках домена.

Одним из основных инструментов для аудита безопасности, является встроенный в сервер Windows Server event auditing, который можно включить с помощью локальной политики безопасности и при помощи шаблонов безопасности. Рисунок 1 ниже показывает типичное событие аудита безопасности, которое вам необходимо настроить.

Протоколирование все сообщений в exchange 2013

Рисунок 1: MMC консоль локальной политики безопасности

Событие, которое вам необходимо выбрать для аудита, должно быть тем, которое расскажет вам о доступе к серверу, об изменениях в настройках безопасности или учетных записях и о перезагрузках сервера.

Примечание:
Со временем журнал событий Windows может вырасти до значительных размеров, поэтому вы должны выделить место на диске необходимого размера для журнала аудита. Но помните, что не существует единого правила для определения этого пространства, т.к. оно меняется от сервера к серверу (зависит от количества почтовых ящиков, активности и т.п.)

Аудит изменений в конфигурации Exchange

Важно знать, где вы производите аудит, чтобы потом вы смогли отследить изменения, сделанные на вашем сервере Exchange. Exchange. Чтобы понять, где необходимо подключить аудит, для того чтобы отслеживать изменения, вы должны понимать, по крайней мере, где хранятся конфигурационные данные, а также, где они изменяются.

Практически вся конфигурационная информация Exchange хранится в конфигурационном разделе Active Directory. Конфигурационный раздел размещается на всех контроллерах домена организации и может быть изменен на любом из контроллеров домена в дереве.

Аудит изменений на сервере Exchange требует подключения аудита для объекта политики группы (обычно это Default Domain Controller Policy), который затрагивает контроллеры домена в каждом домене. Вы должны подключить опцию политика аудит под названием ”Audit Directory Service Access” для контроллеров домена, НЕ для серверов Exchange. Если вы все успешно подключите, вы сможете отследить все успешные изменения, касающиеся конфигурационного раздела, включая конфигурацию Exchange.

После того как аудит подключен, вы сможете обнаружить соответствующие события в журнале событий контроллера домена.

Журнал диагностики Exchange

Существуют также несколько категорий, которые вы должны подключить для журнализации диагностики Exchange. Вы можете найти закладку Diagnostics Logging в свойствах каждого объекта сервера Exchange в System Manager.

Уровни журнализации диагностики определяют, какие события на сервере Exchange 2003 необходимо записывать в журнал событий для приложений (Windows Server application event log). Обычно в журнал заносятся только критические события, но когда появляются проблемы, вам разрешается изменить уровень журнализации, чтобы вы могли получить более понятную и детализированную картину происшедшего. Уровни событий включают в себя значительные события (аварийное завершение приложений), события средней важности (получение сообщений), события относящиеся только к отладке.

Для того чтобы подключить любой из типов журнала диагностики для сервера Exchange 2003, вы должны настроить службы и категории в закладке Diagnostics Logging для каждого необходимого сервера индивидуально. Рисунок 2 показывает службы и категории в закладке Diagnostics Logging для сервера Exchange 2003.

Аудит серверов

Рисунок 2: Журнализация диагностики Exchange 2003

Примечание:
Будьте осторожны при указании уровня журнализации – средний и особенно максимальный уровень могут сильно снизить производительность вашего сервера Exchange. Для большинства сетей достаточно минимального уровня журнализации, если только у вас не возникают специфические проблемы.

Продукты для аудита Exchange сторонних организаций

Давайте взглянем на продукты сторонних организаций, в независимости от того, насколько хорошо вы настроили аудит с использованием встроенных инструментов, т.к. они могут быстро стать сложными и неудобными. Поэтому не должно стать сюрпризом существование на рынке нескольких более мощных и богатых по возможностям продуктов сторонних производителей, сделанных специально для управления и аудита вашего сервера Exchange. Один из таких продуктов — StealthAUDIT for Exchange.

StealthAUDIT for Exchange – это быстрый и гибкий продукт, который устанавливается за несколько минут. Он предоставляет вам обзор вашего Microsoft Exchange Server и основной архитектуры, благодаря ему вы легко можете управлять тысячей настроек Exchange. Вы можете даже создавать базовые линии и управлять изменениями и документами, а также диагностировать все аспекты сервера Exchange. Вы можете создавать отчеты и идентифицировать изменения настроек, аномалии, не обновленные системы и любые другие проблемы в управлении сервером и операционной системы. Также существует много других великолепных продуктов сторонних производителей, способных выполнять подобные задачи среди них Operation Manager 2005 (MOM 2005) и Exchange Administrator от NetIQ.

Источник  http://www.msexchange.org





Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]