The working behind Exchange Auditing


尽管Windows系统提供了事件查看器这个程序,利用它可以查看系统生成的事件日志,但是,仅仅依靠它,想从海量的事件日志中找到与Exchange相关的数据,还是非常困难而且耗时巨大。并且,由于日志文件大小的限制,事件日志通常都会被新的事件不断地滚动覆盖,使得无法长期维护日志数据,以便进行进一步分析和取证。因此,非常有必要设计一种新的机制,定期自动将Exchange相关的事件日志数据收集、整理、分析、存储,已形成易于理解报表、方便维护和查找。这就是Exchange Reporter Plus中有关Exchange审计的设计初衷。下图,可以简单说明它的工作机制。

 

Exchange Auditing Architecture Diagram

首先,由事件日志收集器,从各个Exchange服务器上,采集实时的事件数据,通过定制的动作配置,对采集的数据进行分析、解析、整理,存储到本产品的数据库中,再加上定制的报表配置,将数据以各种图表的方式,呈现给用户。

在动作配置中,可以定义一系列的规则。在报表配置中,可以设计各种过滤器和文本转换器,以便将日志中不宜理解的数据,转换为便于用户理解的数据。


版权所有© 2022, 卓豪(北京)技术有限公司,保留一切权利。