Как многие из вас уже знают, обмен сообщениями – одна из наиболее критичных служб в организации. В этой статье я объясню, почему так важен аудит в вашей среде обмена сообщениями в Exchange 2003 Server.
Вступление
Аудит использования Exchange сейчас очень важен, поэтому если вы еще не проводите аудит вашего сервера Exchange, то вы можете даже не осознавать проблемы, которые испытывает ваш сервер! Еще хуже, вы может и поймете, что у вас есть проблемы, но не сможите их отследить. Аудит может быть разбит на три различные кактегории: существует аудит событий на сервере Windows, журналы диагностики Exchange и, наконец, продукты сторонних производителей, которые могут решить эту задачу для вас.
Аудит журнала событий сервера Windows/Exchange
Event Log Service – это служба, которая заботится об аудите на сервере Windows, многие из вас достаточно неплохо знакомы с Event Log Service, и поэтому я не буду углубляться в детали для ее описания и показа того, как она работает. Вместо этого, я приведу несколько подсказок на тему того, как необходимо выполнять аудит среды вашего сервера Exchange.
Примечание:
Служба журнала событий записывает все типы событий, происходящих в системе (на сервере), она включает несколько различных журналов – журнал приложений, журнал безопасности, системный журнал, журнал службы директорий, журнал сервера DNS и журнал репликации файлов. Когда вы имеет дело с аудитом сервера Exchange, то наиболее интересным является журнал безопасности, который производит аудит всего того, что указано в политике аудита, расположенной в локальных политиках или политиках домена.
Одним из основных инструментов для аудита безопасности, является встроенный в сервер Windows Server event auditing, который можно включить с помощью локальной политики безопасности и при помощи шаблонов безопасности. Рисунок 1 ниже показывает типичное событие аудита безопасности, которое вам необходимо настроить.
Событие, которое вам необходимо выбрать для аудита, должно быть тем, которое расскажет вам о доступе к серверу, об изменениях в настройках безопасности или учетных записях и о перезагрузках сервера.
Примечание:
Со временем журнал событий Windows может вырасти до значительных размеров, поэтому вы должны выделить место на диске необходимого размера для журнала аудита. Но помните, что не существует единого правила для определения этого пространства, т.к. оно меняется от сервера к серверу (зависит от количества почтовых ящиков, активности и т.п.)
Аудит изменений в конфигурации Exchange
Важно знать, где вы производите аудит, чтобы потом вы смогли отследить изменения, сделанные на вашем сервере Exchange. Exchange. Чтобы понять, где необходимо подключить аудит, для того чтобы отслеживать изменения, вы должны понимать, по крайней мере, где хранятся конфигурационные данные, а также, где они изменяются.
Практически вся конфигурационная информация Exchange хранится в конфигурационном разделе Active Directory. Конфигурационный раздел размещается на всех контроллерах домена организации и может быть изменен на любом из контроллеров домена в дереве.
Аудит изменений на сервере Exchange требует подключения аудита для объекта политики группы (обычно это Default Domain Controller Policy), который затрагивает контроллеры домена в каждом домене. Вы должны подключить опцию политика аудит под названием ”Audit Directory Service Access” для контроллеров домена, НЕ для серверов Exchange. Если вы все успешно подключите, вы сможете отследить все успешные изменения, касающиеся конфигурационного раздела, включая конфигурацию Exchange.
После того как аудит подключен, вы сможете обнаружить соответствующие события в журнале событий контроллера домена.
Журнал диагностики Exchange
Существуют также несколько категорий, которые вы должны подключить для журнализации диагностики Exchange. Вы можете найти закладку Diagnostics Logging в свойствах каждого объекта сервера Exchange в System Manager.
Уровни журнализации диагностики определяют, какие события на сервере Exchange 2003 необходимо записывать в журнал событий для приложений (Windows Server application event log). Обычно в журнал заносятся только критические события, но когда появляются проблемы, вам разрешается изменить уровень журнализации, чтобы вы могли получить более понятную и детализированную картину происшедшего. Уровни событий включают в себя значительные события (аварийное завершение приложений), события средней важности (получение сообщений), события относящиеся только к отладке.
Для того чтобы подключить любой из типов журнала диагностики для сервера Exchange 2003, вы должны настроить службы и категории в закладке Diagnostics Logging для каждого необходимого сервера индивидуально. Рисунок 2 показывает службы и категории в закладке Diagnostics Logging для сервера Exchange 2003.
Примечание:
Будьте осторожны при указании уровня журнализации – средний и особенно максимальный уровень могут сильно снизить производительность вашего сервера Exchange. Для большинства сетей достаточно минимального уровня журнализации, если только у вас не возникают специфические проблемы.
Продукты для аудита Exchange сторонних организаций
Давайте взглянем на продукты сторонних организаций, в независимости от того, насколько хорошо вы настроили аудит с использованием встроенных инструментов, т.к. они могут быстро стать сложными и неудобными. Поэтому не должно стать сюрпризом существование на рынке нескольких более мощных и богатых по возможностям продуктов сторонних производителей, сделанных специально для управления и аудита вашего сервера Exchange. Один из таких продуктов - StealthAUDIT for Exchange.
StealthAUDIT for Exchange – это быстрый и гибкий продукт, который устанавливается за несколько минут. Он предоставляет вам обзор вашего Microsoft Exchange Server и основной архитектуры, благодаря ему вы легко можете управлять тысячей настроек Exchange. Вы можете даже создавать базовые линии и управлять изменениями и документами, а также диагностировать все аспекты сервера Exchange. Вы можете создавать отчеты и идентифицировать изменения настроек, аномалии, не обновленные системы и любые другие проблемы в управлении сервером и операционной системы. Также существует много других великолепных продуктов сторонних производителей, способных выполнять подобные задачи среди них Operation Manager 2005 (MOM 2005) и Exchange Administrator от NetIQ.
