Exchange 2016：メールボックスユーザーのアクセスを監査してIPを取得する方法

IISログとイベントログを介して、成功または失敗した各プロトコルのクライアントログオンを確認できます。まず、クライアントログオンの結果をイベントログで成功または失敗にしてから、ユーザーの詳細情報を確認できます。 IIS log。

1.イベントログExchangeのイベントログには、クライアントのログオンステータスが記録されます。 [Windowsログ]-> [セキュリティ]セクションに移動すると、ログにクライアントのログオンステータスが記録されます。 （a）ユーザーアカウントのログオンクライアントが正常に実行されると、イベントID 4624が生成されます。 （b）ユーザーアカウントのログオンクライアントが失敗した場合、イベントID 4625が生成されます。 2.IISログ次に、特定のユーザーアクセス時間、ユーザー名、ログオンタイプ、およびログオンステータスをIIS logs。IIS logs場所は次のとおりです：C：\ inetpub\logs\LogFiles\W3SVC1 ExchangeでIISのログをより明確に表示するには、Excelを使用してログをインポートし、異なる列で分析することをお勧めします。具体的な手順は次のとおりです。

（a）IISログで＃文字で始まるヘッダーを削除します。Excelで開くときに列を形成すると便利です。

（b）空のExcelスプレッドシートを開き、[ファイル]> [開く]をクリックして、[IISログ]を選択します。開いた後、区切りフィルタータイプを選択します。次に、[スペース]を選択して[完了]をクリックします。 IISログにリストされているいくつかのコードがあります：

•日付（日付）•時間（時間、タイムゾーン（GMT））•クライアントIPアドレス（c-ip）•ユーザー名（cs-username）•メソッド（cs-method）•URIステム（cs-uri-stem）• URIクエリ（cs-uri-query）•プロトコルステータス（sc-status）•Win32ステータス（sc-win32-status）•送信バイト数（sc-byte）•所要時間（time-taken）•ホスト（cs-Host） •ユーザーエージェント（cs（User-Agent））•リファラー（cs（Referer））

コード「cs-status」の200 OK成功ステータス応答コードは、リクエストが成功した（ログオンに成功した）ことを示します。 401無許可クライアントエラーステータス応答コードは、ターゲットリソースの有効な認証資格情報がないために要求が適用されなかったことを示します（ログオンに失敗しました）。

その他の参考資料、次を参照してください： https://blogs.msdn.Microsoft.com/friis/2014/01/09/how-to-use-Excel-to-analyse-iis-logs/

3-1。Outlook Web Accessの場合、主にイベントログを確認でき、ログオン時間、アカウント名、ログオンステータスを正確に記録します。 IISログには、ログオンステータス、ログオン時間、ログオンタイプも記録されました。

3-2。Outlook Anywhereの場合、Exchange Server 2016では、組織レベルでMAPI over HTTPがデフォルトで有効になっています。ただし、MAPI over HTTPに対応していないOutlookクライアントは、Outlook Anywhere（RPC over HTTP）を使用して、MAPI対応のクライアントアクセスサーバー経由でExchangeにアクセスできます。主にイベントログを確認でき、ログオンステータス、アカウント名、ログオン時間を記録しました。 IIS logは、ログオン時間、ログオンタイプ、ログインステータスも正確に記録します。

3-3。Exchange ActiveSyncの場合、主にイベントログを確認でき、ログオンステータス、アカウント名、ログオン時間を記録しました。 IISログは、ログオン時間、ログオンタイプ、およびログインステータスも正確に記録します。