Exchange OWA ve ActiveSync Erişim IP Adreslerini Nasıl Tespit Ederim? Exchange Server’ a OWA ve Active Sync Üzerinden Kimler Bağlanmış?

Exchange OWA ve ActiveSync Erişim IP Adreslerini Nasıl Tespit Ederim? Exchange Server’ a OWA ve Active Sync Üzerinden Kimler Bağlanmış?

Bazı kritik durumlarda günlük olarak ihtiyaç duymadığınız bu bilgiye acil olarak ihtiyaç duyabilirsiniz. Böyle anlarsa bu makale size çok yardımcı olacaktır. Amacım OWA yani IIS üzerinden sunulan web tabalı e-posta hizmeti için kimlerin erişim sağladığını tespit etmektedir.

Varsayılan olarak Exchange Server OWA için IIS kullanır ve yine IIS varsayılan olarak hizmet verdiği web siteleri için log tutar. Bu log dizini siz değiştirmediyseniz eğer aşağıdaki gibidir;

C:\inetpub\logs\LogFiles

Burada her bir web sitesi için ayrı klasörler görebilirsiniz. Hangi web sitesinin log klasörü hangisi olduğunu IIS manager üzerinden kontrol edebilirsiniz

Site ID ne ise klasörün de sonunda benzer bir numara göreceksiniz

İlk olarak amacımız burada incelemek istediğiniz logları c:\log gibi kolay bir dizine alalım

Daha sonra aşağıdaki link üzerinden ücretsiz ola log parser yazılımını indirelim ve kuralım

https://www.microsoft.com/en-us/download/details.aspx?id=24659

Kurulum sonrasındaki ilk komutumuz log dizinindeki logları birleştirmektir. Bunun için c:\log klasörü içerisine bir klasör daha açalım ve ismi “mergedlog” olsun

Daha sonra aşağıdaki komut ile birleştirme işlemini tamamlayalım

logparser.exe -i:iisw3c “select * into c:\log\mergedlog\merge.log from c:\log\*” -o:csv

Not: komutu log parser exe olan dizinde çalıştırın, ek olarak eğer hata alırsanız lütfen bu komutu not defterine yapıştırıp tırnak işaretlerini silip tekrar ekleyin

Dosyanın oluştuğunu kontrol edelim

1.5GB lık tek bir dosya oldu.

Şimdi ise artık sorgu zamanı, ister OWA, iste Active Sync veya farklı komut setleri ile sonuç alabiliriz

İlk olarak OWA ile başlayalım

LogParser -i:csv “SELECT cs-username, date, time, c-ip, cs-uri-stem, cs(User-Agent) FROM C:\log\mergedlog\merge.log TO C:\log\Output.csv WHERE cs-method LIKE ‘%post%’ and cs-uri-stem LIKE ‘%owa%'”

Çıktıyı kontrol edelim

Active Sync bağlantıları için komutumuz aşağıdaki gibidir;

LogParser -i:csv “SELECT cs-username, date, time, c-ip, cs-uri-stem, cs(User-Agent) FROM C:\log\mergedlog\merge.log TO C:\log\Output.csv WHERE cs-method LIKE ‘%post%’ and cs-uri-stem LIKE ‘%Microsoft-Server-ActiveSync%'”

Benzer şekilde bir dosya oluştuğunu görüyoruz. Dosya ismi aynı olduğu için eski dosyanın üzerine yazar, eğer siz ikisini ayrı ayrı tutmak istiyorsanız komutun TO bölümünden sonrasındaki dosya ismini activesync olarak değiştirebilirsiniz

Excel dosyasını açınca ise sonuç aşağıdaki gibidir;

Biraz küçükte olsa aslında her şey net, kimin hangi telefondan ne zaman hangi ip zerinden bağlandığını görebiliyoruz.

Aslında makalemde anlatmak istediklerim bu kadar, ancak son olarak bundan daha fazlası için sizlerin de komutları istediği gibi geliştirebileceğini hatırlatmak isterim. Örneğin sadece Mac client bağlantılarını mı görmek istiyorsunuz örnek aşağıdaki gibidir;

LogParser -i:csv “SELECT cs-username, date, time, c-ip, cs-uri-stem, cs(User-Agent) FROM C:\log\mergedlog\merge.log TO C:\log\Output.csv WHERE cs-method LIKE ‘%post%’ and cs(user-agent) LIKE ‘%Macoutlook%'”

Ya da bir kullanıcıyı mı arıyorsunuz?

LogParser “SELECT date, time, c-ip, cs-uri-stem, cs-username, cs(User-Agent), cs-uri-query FROM C:\log\mergedlog\merge.log TO c:\temp\Output.csv WHERE cs-username LIKE ‘%huzuner%'”

Gerisi size kalmış, kolay gelsin.

Kaynak

https://myriadofthings.com/outlook-web-access-owa-and-activesync-reporting-using-iis-logs/

https://www.msexchange.org/articles-tutorials/exchange-server-2003/tools/Using-Logparser-Utility-Analyze-ExchangeIIS-Logs.html

https://forums.iis.net/t/1145506.aspx