Exchange Server 2007 日志规则
新日志向导
日志报告中包括的内容
您是否曾经不得不记录您与某位特定用户之间往来的电子邮件,而结果是您要连同驻留在该邮箱存储中的其他 300 个邮箱中的邮件一起来查找这些特定的电子邮件?Microsoft Exchange Server 2007 解决了这个问题,为您提供了您所需要的精确控制。
企业“客户端访问许可证”(CAL) 提供了按收件人的日志功能,允许您将目标指向要记录的人。通过使用日志规则,现在您可以将目标仅指向您想要记录的收件人和发件人。可将焦点缩小为单个的邮箱,也可扩大到包括销售部门的全体人员(举例来说)。而且,他们的邮箱不必在同一个服务器上、同一个 Active Directory 站点上,甚至是同一个 Exchange 组织中。通过 Active Directory 复制,您的变更会自动应用于贵组织中运行中心传输服务器角色的所有计算机。
日志原理
在 Exchange Server 2003 中,日志功能是针对每个物理服务器上的每个邮箱存储来实现的。如果想要记录组织中的所有邮箱,您需要对每个邮箱存储配置日志功能。而如果想要记录单个收件人的邮件,您必须在该用户的邮箱存储中记录每一个人或者是专门为该用户创建一个新的邮箱存储。
Exchange Server 2007 中的日志功能利用了 Exchange 中新增的基于角色的拓扑功能。如图 1 中所示,当所有邮件发送至/自邮箱和统一消息服务器、其他 Exchange 系统、第三方应用程序和 Internet 时,它们均由中心传输服务器进行处理。所有中心传输服务器都包含一个称为日志代理的传输代理,它负责将日志规则应用于邮件。由于日志代理位于中心传输服务器上,所以它会在邮件到达其收件人之前遇到每个邮件并对其进行评估。日志代理会在分类之后进行邮件操作 — 这能够确保访问邮件的所有收件人和发件人属性,并允许代理决定该邮件是直接发送给收件人的还是通过通讯组扩展接收到的。它还会指出收件人是否存在于源于 Exchange Server 2007 组织之内的邮件的“收件人”、“抄送”或“密件抄送”行上。
图 1 中心传输服务器邮件流程
当邮件通过中心传输服务器时,日志代理会对其应用管理员配置的日志规则。这些规则用于决定代理是否要捕捉关于某邮件的信息,从而将该信息与原始邮件一起转发到日志邮箱。该数据将以称为日志报告的邮件形式进行发送。
对于早期版本的 Exchange,您必须将配置应用于多个服务器。而当您在 Exchange Server 2007 中创建了日志规则后,该变更将通过 Active Directory 应用于贵组织中的所有中心传输服务器。所有中心传输服务器,进而所有日志代理都将从 Active Directory 读取该同一配置。因此,这一切确保了所有日志代理均应用相同的日志配置。
当您创建或修改日志规则时请牢记 Active Directory 复制时间,因为配置变更需要在您的整个组织范围内进行复制并由中心传输服务器读取。这可能会花费几个小时的时间。为帮助您确定日志配置的更新时间,Exchange 在每个服务器的安全事件日志中都记录了一个事件。
Exchange Server 2007 可确保日志报告绝不会由于日志邮箱不可用、已满、配置错误或脱机这些原因而丢失(这尤其有利于帮助您遵守各种法律法规要求,因为丢失的邮件可能导致违约)。如果日志报告无法传送到日志邮箱,则该报告将保留在中心传输服务器的队列中,直到日志邮箱可用。由于这样可导致队列迅速膨胀,因此,您应监控日志邮箱的可用性以确保其运行正确。如果日志邮箱在很长一段时间内仍不可用,您可以配置一个替代邮箱来接收队列中的报告。