Аудит позволяет собирать и отслеживать информацию об активности в сети, на устройствах и системе в целом. По умолчанию в Windows Server 2003 включен некоторый аудит, но, несмотря на это, многие функции аудита должны быть дополнительно включены вручную. Windows Server 2003 должен быть использован вместе со средствами аудита Exchange Server 2003 для настройки в соответствие с требованиями организации, и обеспечивать сбор всесторонней информации для анализа.
Аудит обычно используется для обнаружения нарушений безопасности и подозрительной активности. Однако аудит также важен для получения внутренней информации о том, как функционирует система Exchange Server 2003 и насколько она доступна. Exchange Server 2003 предлагает три типа аудита: регистрация аудита, регистрация сетевых протоколов и отслеживание сообщений.
Регистрация аудита
Exchange Server 2003 использует политику аудита Windows Server 2003 для регистрации в журналах доступа пользователей и применения серверов Exchange, как показано на рис. 19.1. Политики аудита - это база для протоколирования событий внутри системы Windows Server 2003. В зависимости от настроек этой политики, аудит может потребовать ощутимого объема серверных ресурсов в дополнение к ресурсам, занятым обеспечением функциональности сервера. То есть, потенциально это может снизить производительность сервера. К тому же собранные объемы информации лишь настолько полезны, насколько возможно их обработать. Другими словами, если средствами аудита собран большой объем информации, а для ее обработки требуются слишком высокие затраты, то в этом случае можно говорить, что основная цель аудита не достигнута. Поэтому важно найти время, чтобы правильно спланировать, как будет выполняться аудит системы. Это позволит определить конкретно, что должно регистрироваться и почему, без чрезмерной нагрузки на систему. 
Аудит среды обмена сообщениями
Регистрация сетевых протоколов
Регистрация сетевых протоколов важна для отслеживания причин неполадок в системных почтовых протоколах - SMTP, NNTP или HTTP. Она может дать вам информацию, связанную с командами обмена сообщениями, которые пользователь отправляет в Exchange Server 2003. Эта информация включает IP-адреса, количество отправленных байтов, дату, время, протокол и доменное имя.
За исключением HTTP, протоколирование которого выполняется встроенными приложениями IIS, протоколирование SMTP и NNTP включается с помощью системного диспетчера Exchange. Выполните описанные ниже действия.
1. Запустите системный диспетчер Exchange, выбрав в меню Start (Пуск) пункт ProgramsOMicrosoft ExchangeOSystem Manager (Программы^Microsoft ExchangeOСистемный диспетчер). 
2. В левой панели системный диспетчер Exchange откройте папку необходимого сервера, затем папку Protocols (Протоколы) и найдите сетевой протокол, аудит которого необходимо включить.
3. В правой панели щелкните правой кнопкой мышки на виртуальном сервере протокола и выберите в контекстном меню пункт Properties (Свойства).
4. На вкладке General (Общие) отметьте флажок Enable Logging (Включить регистрацию).
5. Выберите в выпадающем списке формат журнального файла для регистрации протокола. Доступными форматами являются: Microsoft IIS Log File Format ( Формат журнального файла сервера Microsoft IIS), NCSA Common Log File Format (Общий формат журнального файла ассоциации NCSA), ODBC Logging (Формат регистрации ODBC) и W3C Extended Log File Format (Расширенный формат журнального файла консорциума W3C).