https://www.cnblogs.com/wanglin2016/p/6013010.html

【前言】

上个月客户处由于特殊原因，需要在Exchange服务器端查找用户登录邮件系统时的时间和客户端IP。当时，我的第一反应时通过get-logonstatistics命令查询登录时的信息。结果并不理想，最后通过微软论坛多方整合找到可以查找用户登录时的信息，不过不便于直接审计，需要结合日志工具实现。本文对相关日志记录点作简要说明。

【正文】

环境：Exchange2010 SP3 CU8

1. 使用get-logonstatistics命令无法查找用户登录的IP信息

如上图所示ClientIPAddress项值为空。因为这个属性在邮件系统层面被标记为Personally Identifiable Information (PII)，个人身份信息，不会直接显示在检索结果里面。

1. 用户在使用Outlook登录时的日志信息

可以在CAS服务器上获取找到对应时间节点的日志后进行检索。日志存储位置：\Program Files\Microsoft\Exchange Server\v14\Logging\RPC Client Access

通常，日志会被命名为RAC_date-#.log，其中date时日志开始收集的时间，#是日志从1开始的***。从中可以查询用户在登录邮件系统时Outlook版本和客户端源IP。这个日志默认时开启状态，不需要额外更改邮件服务器的配置来记录此信息。

1. 用户在使用OWA登录时的日志信息

用户不仅会使用Outlook方式登录，还会使用OWA方式收发邮件。当使用OWA时，日志信息不会存储在\Program Files\Microsoft\Exchange Server\v14\Logging\RPC Client Access目录下。

通过对这个问题的进一步研究，可以在iis log中查找到用户使用OWA登录的ip记录信息。日志路径为C:\inetpub\logs\LogFiles\W3SVC1。

该日志信息读取方式和RAC日志相似。

【总结】

客户端IP地址等属性可以被视为个人身份信息，Exchange 2010上无法获取到。可以通过服务器上存储的日志文件手工检索或者结合日志审计工具使用。其中Outlook登录时产生日志存储在：\Program Files\Microsoft\Exchange Server\v14\Logging\RPC Client Access；OWA登录时产生日志存储在：C:\inetpub\logs\LogFiles\W3SVC1。