Administratorüberwachungsprotokollierung in Exchange Server
Gilt für: Exchange Server 2013
Sie können die Administratorüberwachungsprotokollierung in Microsoft Exchange Server 2013 verwenden, um zu protokollieren, wenn ein Benutzer oder Administrator eine Änderung in Ihrer Organisation vornimmt. Indem Sie ein Protokoll der Änderungen führen, können Sie Änderungen an der Person nachverfolgen, die die Änderung vorgenommen hat, Ihre Änderungsprotokolle mit detaillierten Aufzeichnungen der Änderung bei der Implementierung erweitern, gesetzliche Anforderungen und Ermittlungsanforderungen erfüllen und vieles mehr.
Standardmäßig ist die Überwachungsprotokollierung in neuen Installationen von Exchange 2013 aktiviert.
Was wird überwacht
Cmdlets, die direkt in der Exchange-Verwaltungsshell ausgeführt werden, werden überwacht. Darüber hinaus werden auch Vorgänge protokolliert, die mit dem Exchange-Verwaltungskonsole (EAC) ausgeführt werden, da diese Vorgänge Cmdlets im Hintergrund ausführen.
Cmdlets werden überwacht, unabhängig davon, wo sie ausgeführt werden, wenn sich ein Cmdlet auf der Überwachungsliste für Cmdlets befindet und sich mindestens ein Parameter dieses Cmdlets auf der Überwachungsliste für Parameter befindet. Mit der Überwachungsprotokollierung soll gezeigt werden, welche Aktionen unternommen wurden, um Objekte in einer Exchange-Organisation zu ändern, nicht aber die angezeigten Objekte.
Wichtig
Ein Cmdlet wird möglicherweise nicht protokolliert, wenn ein Fehler auftritt, bevor das Cmdlet den Cmdlet-Erweiterungs-Agent für das Administratorüberwachungsprotokoll aufruft. Tritt ein Fehler auf, nachdem der Administratorüberwachungsprotokoll-Agent aufgerufen wurde, wird das Cmdlet zusammen mit dem zugeordneten Fehler protokolliert. Weitere Informationen finden Sie im Abschnitt Admin Überwachungsprotokoll-Agent weiter unten in diesem Thema.
Änderungen, die mit Microsoft Exchange Server 2010-Verwaltungstools vorgenommen werden, werden jedoch nicht protokolliert, wenn Microsoft Exchange Server 2007-Verwaltungstools verwendet werden.
Änderungen an der Überwachungsprotokollkonfiguration werden alle 60 Minuten auf Computern aktualisiert, deren Shell zum Zeitpunkt einer Konfigurationsänderung geöffnet ist. Wenn Sie die Änderungen sofort anwenden möchten, schließen Sie die Shell auf den einzelnen Computern, und öffnen Sie sie wieder.
Es dauert bis zu 15 Minuten nach dem Ausführen eines Befehls, bis dieser in den Suchergebnissen in des Überwachungsprotokolls angezeigt wird. Der Grund hierfür liegt darin, dass Überwachungsprotokolleinträge indiziert werden müssen, bevor sie durchsucht werden können. Wenn ein Befehl nicht im Administratorüberwachungsprotokoll aufgeführt wird, warten Sie einige Minuten, und führen Sie dann die Suche erneut aus.
Konfiguration der Überwachungsprotokollierung
Wenn die Überwachungsprotokollierung aktiviert ist, wird standardmäßig bei jeder Ausführung eines Cmdlets ein Protokolleintrag erstellt. Wenn nicht jedes ausgeführte Cmdlet überwacht werden soll, können Sie die Überwachungsprotokollierung so konfigurieren, dass nur die für Sie interessanten Cmdlets und Parameter überwacht werden. Die Überwachungsprotokollierung wird mit dem Set-AdminAuditLogConfig -Cmdlet konfiguriert. Die in den folgenden Abschnitten angegebenen Parameter werden mit diesem Cmdlet verwendet.
Wichtig
Änderungen an der Administrator-Überwachungsprotokollkonfiguration werden unabhängig davon, ob das Cmdlet Set-AdministratorAuditLog in der Liste der zu protokollierenden Cmdlets enthalten ist und ob die Überwachungsprotokollierung aktiviert oder deaktiviert ist, immer protokolliert.
Wenn ein Befehl ausgeführt wird, prüft Exchange das verwendete Cmdlet. Wenn das ausgeführte Cmdlet mit einem der Cmdlets übereinstimmt, die mit dem Parameter AdminAuditLogConfigCmdlets bereitgestellt werden, überprüft Exchange die im Parameter AdminAuditLogConfigParameters angegebenen Parameter. Wenn mindestens ein Parameter aus der Parameterliste übereinstimmen, protokolliert Exchange das Cmdlet, das im angegebenen Postfach mit dem Parameter AdminAuditLogMailbox ausgeführt wurde. Die folgenden Abschnitte enthalten weitere Informationen zu den einzelnen Aspekten der Konfiguration der Überwachungsprotokollierung.
Weitere Informationen zum Verwalten der Konfiguration der Überwachungsprotokollierung finden Sie unter Verwalten der Administratorüberwachungsprotokollierung.
Cmdlets
Sie können steuern, welche Cmdlets überwacht werden, indem Sie eine Liste der Cmdlets und deren Parameter bereitstellen, die Sie protokollieren möchten. Wenn Sie die Überwachungsprotokollierung konfigurieren, können Sie angeben, dass jedes Cmdlet überwacht werden soll, oder Sie können die Cmdlets angeben, die Sie überwachen möchten, indem Sie den Parameter AdminAuditLogConfigCmdlets verwenden. Sie können vollständige Cmdlet-Namen angeben, z. B. New-Mailbox, oder Sie können teilweise Cmdlet-Namen angeben und diese Namen in Platzhalterzeichen einschließen, z. B. ein Sternchen (*
). Wenn Sie beispielsweise protokollieren möchten, wenn ein Cmdlet ausgeführt wird, das die Zeichenfolge Transport
enthält, können Sie den Wert angeben *Transport*
. Sie können gleichzeitig eine Mischung aus vollständigen Cmdlet-Namen und teilweisen Cmdlet-Namen verwenden, um die Überwachungsprotokollierungskonfiguration an Ihre Anforderungen anzupassen.
Parameter
Neben der Angabe der Cmdlets, die Sie protokollieren möchten, können Sie auch die Cmdlets kennzeichnen, die nur protokolliert werden sollen, wenn bestimmte Parameter dieser Cmdlets verwendet werden. Verwenden Sie den Parameter AdminAuditLogConfigParameters, um anzugeben, welche Parameter protokolliert werden sollen. Wie bei Cmdlets können Sie vollständige Parameternamen angeben, z Database
. B. , oder Teilparameternamen, die in Wildcardzeichen () eingeschlossen sind,*
z *Address*
. B. oder eine Kombination aus beidem.
Altersbeschränkung für Überwachungsprotokolle
Standardmäßig ist die Überwachungsprotokollierung so konfiguriert, dass Überwachungsprotokolleinträge 90 Tage lang gespeichert werden. Nach 90 Tagen wird der Überwachungsprotokolleintrag gelöscht. Sie können die Verfallszeit für Überwachungsprotokolle mithilfe des Parameters AdminAuditLogAgeLimit ändern. Sie können die Anzahl der Tage, Stunden, Minuten und Sekunden angeben, die Überwachungsprotokolleinträge gespeichert werden. Um einen Wert anzugeben, verwenden Sie das Format dd.hh:mm:ss
, in dem Folgendes zutrifft:
dd: Die Anzahl der Tage, die der Überwachungsprotokolleintrag gespeichert werden soll.
hh: Die Anzahl der Stunden, die der Überwachungsprotokolleintrag gespeichert werden soll.
mm: Die Anzahl der Minuten, die der Überwachungsprotokolleintrag gespeichert werden soll.
ss: Die Anzahl der Sekunden, die der Überwachungsprotokolleintrag gespeichert werden soll.
Sie müssen mehrere Jahre mithilfe des Felds dd
angeben. So ergeben beispielsweise 365 Tage ein Jahr, 730 Tage zwei Jahre und 913 Tage zwei Jahre und sechs Monate. Um beispielsweise die Altersgrenze des Überwachungsprotokolls auf zwei Jahre und sechs Monate festzulegen, verwenden Sie die Syntax 913.00:00:00
.
Warnung
Sie können die Verfallszeit für Überwachungsprotokolle auch auf einen Wert unter der derzeitigen Verfallszeit festlegen. In diesem Fall wird jeder Überwachungsprotokolleintrag, der die neue Verfallszeit überschreitet, gelöscht.
Wenn Sie die Verfallszeit auf 0 festlegen, löscht Exchange alle Einträge im Überwachungsprotokoll.
Es wird empfohlen, nur äußerst vertrauenswürdigen Benutzern die Berechtigung zur Konfiguration der Verfallszeit für Überwachungsprotokolle zu erteilen.
Ausführliche Protokollierung
Standardmäßig zeichnet das Administratorüberwachungsprotokoll nur den Cmdlet-Namen, die Cmdlet-Parameter (und die angegebenen Werte), das geänderte Objekt auf, wer das Cmdlet ausgeführt hat, wann das Cmdlet ausgeführt wurde und auf welchem Server das Cmdlet ausgeführt wurde. Das Administratorüberwachungsprotokoll protokolliert nicht, welche Eigenschaften für das Objekt geändert wurden. Wenn das Überwachungsprotokoll auch die Eigenschaften des geänderten Objekts enthalten soll, können Sie die ausführliche Protokollierung aktivieren, indem Sie den LogLevel-Parameter auf Verbose
festlegen. Wenn Sie die ausführliche Protokollierung aktivieren, werden zusätzlich zu den standardmäßig protokollierten Informationen auch die für ein Objekt geänderten Eigenschaften, einschließlich der alten und neuen Werte, in das Überwachungsprotokoll aufgenommen.
Test-Cmdlets
Cmdlets, die mit dem Verb Test beginnen, werden nicht standardmäßig protokolliert. Sie können angeben, dass Test-Cmdlets protokolliert werden sollen, indem Sie den Parameter TestCmdletLoggingEnabled auf $true
festlegen. Obwohl Sie die Protokollierung von Test-Cmdlets aktivieren können, wird empfohlen, dies nur für kurze Zeiträume zu tun, da Test-Cmdlets eine große Menge an Informationen erzeugen können.
Überwachungsprotokolle
Jedes Mal, wenn ein Cmdlet protokolliert wird, wird ein Überwachungsprotokoll erstellt. Überwachungsprotokolle werden in einem ausgeblendeten, dedizierten Vermittlungspostfach gespeichert, auf das nur über das EAC oder das Cmdlet Search-AdminAuditLog oder New-AdminAuditLogSearch zugegriffen werden kann. Es kann nicht mit Microsoft Outlook Web App oder Microsoft Outlook geöffnet werden. In den folgenden Abschnitten finden Sie weitere Informationen zu folgenden Themen:
Was ist in den Protokollen enthalten?
Berichte, die auf der Überwachungsseite des EAC verfügbar sind
Cmdlets "Audit log search"
Inhalte des Überwachungsprotokolls
Jeder Überwachungsprotokolleintrag enthält die Informationen, die in der folgenden Tabelle beschrieben sind. Das Überwachungsprotokoll enthält mindestens einen Überwachungsprotokolleintrag. Die Anzahl der Überwachungsprotokolleinträge wird durch die Altersgrenze des Überwachungsprotokolls gesteuert, die mit dem Cmdlet Set-AdminAuditLogConfig angegeben wird. Alle Überwachungsprotokolleinträge, die die Verfallszeit überschreiten, werden gelöscht.
Felder für Überwachungsprotokolleinträge
Feld | Beschreibung |
---|---|
RunspaceId |
Dieses Feld wird intern von Exchange verwendet. |
ObjectModified |
Dieses Feld enthält das Objekt, das durch das im CmdletName Feld angegebene Cmdlet geändert wurde. |
CmdletName |
Dieses Feld enthält den Namen des Cmdlets, das vom Benutzer im Caller Feld ausgeführt wurde. |
CmdletParameters |
Dieses Feld enthält die Parameter, die beim Ausführen des Cmdlets im CmdletName Feld angegeben wurden. In diesem Feld wird auch, falls vorhanden, der in diesem Parameter angegebene Wert gespeichert, er wird jedoch nicht in der Standardausgabe angezeigt. Weitere Informationen zum Zugriff auf die zusätzlichen Informationen in diesem Feld finden Sie unter Durchsuchen von Rollengruppenänderungen oder Administratorüberwachungsprotokollen. |
ModifiedProperties |
Dieses Feld enthält die Eigenschaften, die für das -Objekt im ObjectModified Feld geändert wurden. In diesem Feld werden auch der alte Wert der Eigenschaft und der neue gespeicherte Wert gespeichert, sie werden jedoch nicht in der Standardausgabe angezeigt. Weitere Informationen zum Zugriff auf die zusätzlichen Informationen in diesem Feld finden Sie unter Durchsuchen von Rollengruppenänderungen oder Administratorüberwachungsprotokollen. Wichtig: Dieses Feld wird nur ausgefüllt, wenn der LogLevel-Parameter im Cmdlet Set-AdminAuditLogConfig auf Verbose festgelegt ist. |
Caller |
Dieses Feld enthält das Benutzerkonto des Benutzers, der das Cmdlet im CmdletName Feld ausgeführt hat. |
Succeeded |
Dieses Feld gibt an, ob das Cmdlet im CmdletName Feld erfolgreich ausgeführt wurde. Der Wert ist entweder True oder False . |
Error |
Dieses Feld enthält die Fehlermeldung, die generiert wird, wenn das Cmdlet im CmdletName Feld nicht erfolgreich abgeschlossen werden konnte. |
RunDate |
Dieses Feld enthält das Datum und die Uhrzeit der Ausführung des Cmdlets CmdletName im Feld. Datum und Uhrzeit werden im UTC-Format (Coordinated Universal Time, koordinierte Weltzeit) gespeichert. |
OriginatingServer |
Dieses Feld gibt den Server an, auf dem das im CmdletName Feld angegebene Cmdlet ausgeführt wurde. |
Identity |
Dieses Feld wird intern von Exchange verwendet. |
IsValid |
Dieses Feld wird intern von Exchange verwendet. |
ObjectState |
Dieses Feld wird intern von Exchange verwendet. |
Überwachungsberichte der Exchange-Verwaltungskonsole
Die Überwachungsseite im EAC enthält mehrere Berichte, die Informationen zu verschiedenen Arten von Konformitäts- und Administrativen Konfigurationsänderungen enthalten. Die folgenden Berichte enthalten Informationen zu Konfigurationsänderungen in der Organisation:
Bericht "Administratorrollengruppe": Mit diesem Bericht können Sie nach Änderungen an Verwaltungsrollengruppen suchen, die Sie innerhalb eines angegebenen Zeitrahmens angeben. Die zurückgegebenen Ergebnisse umfassen Informationen zu geänderten Rollengruppen, dazu wer sie geändert hat, zum Zeitpunkt sowie zur Art der Änderungen. Es können maximal 3.000 Einträgen zurückgegeben werden. Wenn Ihre Suche möglicherweise mehr als 3.000 Einträge zurückgibt, verwenden Sie den Bericht Administrator-Überwachungsprotokoll oder das Cmdlet Search-AdminAuditLog.
Administratorüberwachungsprotokoll: Mit diesem Bericht können Sie die Überwachungsprotokolleinträge, die innerhalb eines angegebenen Zeitrahmens aufgezeichnet wurden, in eine XML-Datei exportieren und die Datei dann per E-Mail an einen von Ihnen angegebenen Empfänger senden. Weitere Informationen zum Inhalt der XML-Datei finden Sie unter Administratorüberwachungsprotokollstruktur.
Informationen zur Verwendung dieser Berichte finden Sie unter Durchsuchen von Rollengruppenänderungen oder Administratorüberwachungsprotokollen.
Informationen zu den anderen Berichten, die auf der Überwachungsseite enthalten sind, finden Sie unter Exchange-Überwachungsberichte.
Cmdlet "Search-AdminAuditLog"
Wenn Sie das Cmdlet Search-AdminAuditLog ausführen, werden alle Überwachungsprotokolleinträge zurückgegeben, die den von Ihnen angegebenen Suchkriterien entsprechen. Sie können folgende Suchkriterien festlegen:
Cmdlets: Gibt die Cmdlets an, nach den Sie im Administratorüberwachungsprotokoll suchen möchten.
Parameter: Gibt die Durch Kommas getrennten Parameter an, nach den Sie im Administratorüberwachungsprotokoll suchen möchten. Sie können nur nach Parametern suchen, wenn Sie ein Cmdlet, nach dem gesucht werden soll, angeben.
Enddatum: Definiert die Ergebnisse des Administratorüberwachungsprotokolls auf Protokolleinträge, die am oder vor dem angegebenen Datum aufgetreten sind.
Startdatum: Definiert die Ergebnisse des Administratorüberwachungsprotokolls auf Protokolleinträge, die am oder nach dem angegebenen Datum aufgetreten sind.
Objekt-IDs: Gibt an, dass nur Administratorüberwachungsprotokolleinträge zurückgegeben werden sollen, die die angegebenen geänderten Objekte enthalten.
Benutzer-IDs: Gibt an, dass nur die Administratorüberwachungsprotokolleinträge zurückgegeben werden sollen, die die angegebenen IDs des Benutzers enthalten, der das Cmdlet ausgeführt hat.
Erfolgreicher Abschluss: Gibt an, ob nur Administratorüberwachungsprotokolleinträge zurückgegeben werden sollen, die auf einen Erfolg oder Fehler hindeuten.
Jeder zurückgegebene Überwachungsprotokolleintrag enthält die Informationen, die in der Tabelle Audit Log Contents beschrieben sind. Standardmäßig werden nur die ersten 1.000 Protokolleinträge, die den angegebenen Suchergebnissen entsprechen, zurückgegeben. Sie können diesen Standardwert jedoch überschreiben und mehr oder weniger Einträge mithilfe des Parameters ResultSize zurückgeben lassen. Sie können mit dem Parameter ResultSize einen Wert von Unlimited
angeben, um alle Protokolleinträge zurückzugeben, die den angegebenen Kriterien entsprechen.
Informationen zur Verwendung des Cmdlets Search-AdminAuditLog finden Sie unter Durchsuchen von Rollengruppenänderungen oder Administratorüberwachungsprotokollen.
Cmdlet "New-AdminAuditLogSearch"
Das Cmdlet New-AdminAuditLogSearch durchsucht das Überwachungsprotokoll wie das Cmdlet Search-AdminAuditLog. Anstatt jedoch die Ergebnisse der Überwachungsprotokollsuche in der Shell anzuzeigen, führt das Cmdlet New-AdminAuditLogSearch die Suche aus und sendet dann die Ergebnisse der Suche über eine E-Mail-Nachricht an einen von Ihnen angegebenen Empfänger. Die Ergebnisse werden als XML-Anlage in die E-Mail aufgenommen.
Sie können dieselben Suchkriterien beim Cmdlet New-AdminAuditLogSearch verwenden, die im Cmdlet Search-AdminAuditLog verwendet werden. Eine Liste der Suchkriterien finden Sie unter Search-AdminAuditLog Cmdlet.
Nach dem Ausführen des Cmdlets New-AdminAuditLogSearch dauert es möglicherweise bis zu 15 Minuten, bis Exchange einen Bericht an den angegebenen Empfänger übermittelt. Die an den Bericht angehängte XML-Datei ist maximal 10 MB (Megabyte) groß. Die XML-Datei enthält die gleichen Informationen, die in der Tabelle unter Inhalt des Überwachungsprotokolls beschrieben sind. Weitere Informationen zur Struktur der XML-Datei finden Sie unter Administrator-Überwachungsprotokollstruktur.
Hinweis
In Outlook Web App ist es standardmäßig nicht möglich, XML-Anlagen zu öffnen. Sie können Exchange entweder so konfigurieren, dass XML-Anlagen mit Outlook Web App angezeigt werden können, oder Sie verwenden einen anderen E-Mail-Client, beispielsweise Microsoft Outlook, um die Anlage anzuzeigen. Informationen zum Konfigurieren Outlook Web App zum Anzeigen einer XML-Anlage finden Sie unter Anzeigen oder Konfigurieren Outlook Web App virtuellen Verzeichnissen.
Informationen zur Verwendung des Cmdlets New-AdminAuditLogSearch finden Sie unter Durchsuchen von Rollengruppenänderungen oder Administratorüberwachungsprotokollen.
Manuelle Überwachungsprotokolleinträge
Zusätzlich zur Protokollierung von Exchange-Cmdlets bei deren Ausführung ermöglicht Exchange 2013 ihnen das manuelle Schreiben von Protokolleinträgen in das Überwachungsprotokoll. Exchange 2013 unterstützt dies mithilfe des Cmdlets Write-AdminAuditLog . In folgenden Situationen werden Sie möglicherweise einen manuellen Protokolleintrag hinzufügen:
Benutzerdefinierter Skripteingang und -ausgang
Ändern von Steuerinformationen
Anfangs- und Endzeiten für Wartung
Mit dem Cmdlet Write-AdminAuditLog geben Sie mithilfe des Comment-Parameters eine Textzeichenfolge an, die in das Überwachungsprotokoll eingeschlossen werden soll. Der Comment-Parameter akzeptiert eine alphanumerische Zeichenfolge mit bis zu 500 Zeichen. Im manuellen Überwachungsprotokolleintrag werden dieselben Informationen zusammen mit der Kommentarzeichenfolge erfasst, wie bei der Protokollierung eines Exchange-Cmdlets. Eine Beschreibung der einzelnen Felder, die im Überwachungsprotokoll enthalten sind, finden Sie in der Tabelle unter Inhalt des Überwachungsprotokolls.
Sie können manuelle Überwachungsprotokolleinträge auf die gleiche Weise wie jeder andere Protokolleintrag abrufen, indem Sie die EAC-Überwachungsseite oder die Cmdlets Search-AdminAuditLog oder New-AdminAuditLogSearch verwenden.
Informationen zum Anzeigen des Inhalts des Comment-Parameters für das Cmdlet Write-AdminAuditLog in einem manuellen Überwachungsprotokolleintrag finden Sie unter Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle.
Active Directory-Replikation
Die Administrator-Überwachungsprotokollierung verwendet die Active Directory-Replikation für die Replikation von Konfigurationseinstellungen, die Sie für die Domänencontroller in der Organisation festlegen. Abhängig von Ihren Replikationseinstellungen werden die von Ihnen vorgenommenen Änderungen möglicherweise nicht sofort auf alle Server angewendet, auf denen Exchange 2013 oder Exchange 2010 in Ihrer Organisation ausgeführt wird.
Administrator-Überwachungsprotokoll-Agent
Der Admin integrierte Cmdleterweiterungs-Agent für das Überwachungsprotokoll führt die Administratorüberwachungsprotokollierung von Cmdlet-Vorgängen in Exchange 2013 aus. Dieser Agent liest die Konfiguration der Überwachungsprotokolle und führt eine Bewertung der einzelnen Cmdlets aus, die in der Organisation ausgeführt werden. Wenn die Kriterien, die Sie in der Konfiguration des Überwachungsprotokolls angegeben haben, mit dem ausgeführten Cmdlet übereinstimmen, generiert der Agent ein Überwachungsprotokoll.
Der Admin Überwachungsprotokoll-Agent ist standardmäßig aktiviert. Dies ist erforderlich, damit die Überwachungsprotokollierung funktioniert. Sie kann nicht deaktiviert werden, und ihre Priorität kann nicht geändert werden. Weitere Informationen zu Cmdlet-Erweiterungs-Agents finden Sie unter Cmdlet-Erweiterungs-Agents.