Exchange server OWA/ActiveSync/Outlook客户端成功登录的IIS日志项_Exchange Server_Iis 8_Outlook Web App

Exchange server OWA/ActiveSync/Outlook客户端成功登录的IIS日志项

exchange-server

Exchange server OWA/ActiveSync/Outlook客户端成功登录的IIS日志项,exchange-server,iis-8,outlook-web-app,Exchange Server,Iis 8,Outlook Web App,我正在研究当用户使用OWA/Active Sync/Outlook client在prem exchange上登录以进行监视时，如何在IIS日志中找到确切的条目。有人能帮我找到正确的信息来源吗例如，对于OWA，我是否应该在URI中查找/OWA，但为了获得成功的登录条目，我还应该查找什么 #Software: Microsoft Internet Information Services 8.5 #Version: 1.0 #Date: 2018-10-24 00:19:19 #Fields:

我正在研究当用户使用OWA/Active Sync/Outlook client在prem exchange上登录以进行监视时，如何在IIS日志中找到确切的条目。有人能帮我找到正确的信息来源吗

例如，对于OWA，我是否应该在URI中查找/OWA，但为了获得成功的登录条目，我还应该查找什么

#Software: Microsoft Internet Information Services 8.5
#Version: 1.0
#Date: 2018-10-24 00:19:19
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken x-forwarded-for
2018-10-26 00:13:46 10.0.0.1 GET /owa/ layout=mouse&CorrelationID=<empty>;&ClientId=YQLYPNOFKSDKWPEHODWG&cafeReqId=d74215fd-b921-4e6b-9826-3af8bf29e4ba; 443 john.doe@example.com 8.8.8.8 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/69.0.3497.100+Safari/537.36 - 200 0 0 62 114.41.44.77
2018-10-26 00:13:47 0.0.0.1 POST /Microsoft-Server-ActiveSync/default.eas User=john.doe@example.com&DeviceId=PATM1AFVF52GBCM8U028IBAGNK&DeviceType=iPhone&Cmd=Sync&CorrelationID=<empty>;&ClientId=0DWZQBEIPKLJLMMGW&cafeReqId=9dcd908d-6404-4bbb-ae07-0ea969dd6fc6; 443 john.doe@example.com 8.8.8.8 Apple-iPhone9C4/1601.404 - 200 0 0 62 114.41.44.77

您不会说这是O365还是Prem，也不会说您是否将EAS端点配置为通过自动发现定位，或者您是否有其他EAS控件/属性，如DeviceID、MDM等

正如Lex Li指出的，从Fiddler开始。这就像网络应用程序的Wireshark。即使您不知道要查找的初始项，来自fiddler跟踪的结果也可以通过字符串进行过滤

也就是说，您可以搜索您的OWA URL或用户名/别名、设备标识（如果您正在使用）、EAS会话信息等。从那里，您可以查看IIS日志和应用程序日志，了解Fiddler为您提供的相关数据

你也可以打开

Exchange ActiveSync EAS邮箱日志是显示Exchange和EAS设备之间的通信量。这是当然，假设设备实际连接，通过IIS，并转换成交换代码。对EAS问题进行故障排除时，这是通常是最有用的信息。收集这些日志可以如果您使用PowerShell来实现这一点，那么要快速，而不是通过 ECP

另见：

此cmdlet仅在本地Exchange中可用

使用Export-ActiveSyncLog cmdlet分析Internet信息服务IIS日志并返回有关Microsoft Exchange的信息屏幕上或输出文件中的ActiveSync使用情况

根据OP的回复进行更新

好吧，我错过了你的事先声明

至于URL，不管是什么，都是你发布的。默认值是/owa，但当然可以更改。因此，请查找OWA内部/外部URL的DNS或Exchange条目。通过反向代理，您应该能够获得用户尝试点击OWA URL的机会

如果您倾向于使用Exchange版本的日志记录方法，并且可以将这些设置在何处很重要，那么您可以打开目录服务DS和信息存储is服务的日志记录，然后查找OWA生成的事件类型。每次OWA用户登录时，您都会看到记录了六到七个事件。您通常会看到事件ID 1170、1136、1137、1007和1009，并且您可能会看到其中的多个。这些事件将告诉您谁登录以及何时登录

您可以自动执行用户模拟用户OWA登录，使用此脚本。。。 …实时监控执行情况

EAS也有类似的方法。除此之外，您还需要一个3rdP解决方案，而且还有一些解决方案，例如或

请记住，任何需要登录的内容都将作为成功/失败事件显示在安全事件日志中。

使用Telerik Fiddler之类的工具捕获浏览器会话，然后您就可以轻松确定哪些对IIS的请求是您应该检查的签名。我不知道签名应该是什么。这就是问题所在。谢谢你。这是为前提。将尝试Fiddler等。然而，我正在寻找任何文档，这些文档完全描述了使用OWA/AS/Client登录时编写的实际IIS日志。

Set-CASMailbox alias -ActiveSyncDebugLogging:$true