Запись журнала IIS для успешного входа клиента OWA / ActiveSync / Outlook

Question

Я занимаюсь поиском точной записи в журналах IIS при входе пользователя в локальный обмен с использованием клиента OWA / Active Sync / Outlook для целей мониторинга. Может ли кто-нибудь помочь ИЛИ указать мне правильный источник, чтобы получить эту информацию?

Например, для OWA я должен искать / owa в URI, но что еще я должен искать, чтобы получить успешную запись при входе?

#Software: Microsoft Internet Information Services 8.5
#Version: 1.0
#Date: 2018-10-24 00:19:19
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken x-forwarded-for
2018-10-26 00:13:46 10.0.0.1 GET /owa/ layout=mouse&CorrelationID=<empty>;&ClientId=YQLYPNOFKSDKWPEHODWG&cafeReqId=d74215fd-b921-4e6b-9826-3af8bf29e4ba; 443 john.doe@example.com 8.8.8.8 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/69.0.3497.100+Safari/537.36 - 200 0 0 62 114.41.44.77
2018-10-26 00:13:47 0.0.0.1 POST /Microsoft-Server-ActiveSync/default.eas User=john.doe@example.com&DeviceId=PATM1AFVF52GBCM8U028IBAGNK&DeviceType=iPhone&Cmd=Sync&CorrelationID=<empty>;&ClientId=0DWZQBEIPKLJLMMGW&cafeReqId=9dcd908d-6404-4bbb-ae07-0ea969dd6fc6; 443 john.doe@example.com 8.8.8.8 Apple-iPhone9C4/1601.404 - 200 0 0 62 114.41.44.77

Answer 1

Вы не говорите, является ли это O365 или On-Prem, или вы настроили конечные точки EAS для обнаружения с помощью автообнаружения, или у вас есть другие элементы управления / атрибуты EAS, такие как DeviceID, MDM и т. Д. ...

Как отмечает Лекс Ли, начните с Фиддлера. Это как Wireshark для веб-приложений. Даже если вы не знаете начальный элемент, который вам нужен, результаты трассировки скрипача фильтруются по строкам.

Это означает, что вы можете просто искать свой URL OWA или имя пользователя / псевдоним, идентификатор устройства (если вы его используете), информацию о сеансе EAS и т. Д. Оттуда вы просматриваете журналы IIS и журналы приложений для корреляции. данные о том, что Fiddler дает вам.

Вы также можете включить ведение журнала EAS .

Set-CASMailbox alias -ActiveSyncDebugLogging:$true

Журналы почтовых ящиков Exchange ActiveSync (EAS) - это журналы уровня протокола, которые показать трафик между Exchange и устройством EAS. Это при условии, конечно, что устройство на самом деле подключается, проходит через IIS, и в код биржи. При устранении неполадок EAS это часто самая полезная часть информации. Сбор этих журналов может будьте быстры, если вы используете PowerShell для этого, а не собирать их через ECP.

Смотрите также: Экспорт-Active Sync Log

Этот командлет доступен только в локальной Exchange.

Используйте командлет Export-ActiveSyncLog для анализа информации в Интернете Службы (IIS) регистрируют и возвращают информацию о Microsoft Exchange Использование ActiveSync на экране или в выходном файле.

Обновление согласно ответу ОП

ОК, я пропустил ваше предварительное заявление.

Что касается URL, то все, что вы опубликовали. по умолчанию используется / owa, но, конечно, это можно изменить. Итак, найдите запись DNS или Exchange для вашего внутреннего / внешнего URL OWA. Со своего обратного прокси вы сможете получать попытки доступа к URL OWA пользователями.

Если вы склоняетесь к подходу к ведению журнала (важно, чтобы версия Exchange и где их можно было установить), то вы можете включить ведение журнала для служб каталогов (DS) и служб хранилища информации (IS), а затем искать типы события OWA генерирует. вы увидите шесть или семь событий, которые регистрируются каждый раз, когда пользователь OWA входит в систему. Обычно вы видите идентификаторы событий 1170, 1136, 1137, 1007 и 1009, и вы можете увидеть более одного из них. Эти события сообщат вам, кто вошел в систему и когда.

Вы можете автоматизировать пользовательский вход в OWA, используйте этот скрипт ... Сценарий PowerShell для симуляции URL-адреса Outlook Web Access. Вход пользователя в систему ... мониторинг этого выполнения в режиме реального времени.

Аналогичные подходы существуют и для EAS. Кроме того, вам нужно решение 3rdP, и есть несколько таких, например Exoprise или manageengine ..

помните, что все, что требует входа, будет отображаться в журналах событий безопасности как события успеха / сбоя.