Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle in Exchange 2013

Gilt für: Exchange Server 2013

Sie können die Administratorüberwachungsprotokolle durchsuchen, um zu ermitteln, wer Änderungen an der Konfiguration von Organisation, Server und Empfänger vorgenommen hat. Dies kann hilfreich sein, wenn Sie versuchen, die Ursache für unerwartetes Verhalten nachzuverfolgen, einen böswilligen Administrator zu identifizieren oder zu überprüfen, ob die Complianceanforderungen erfüllt sind. Weitere Informationen zur Administrator-Überwachungsprotokollierung finden Sie unter Administratorüberwachungsprotokollierung.

Informationen zum Durchsuchen des Postfachüberwachungsprotokolls finden Sie unter Überwachungsprotokollierung von Postfächern.

Was sollten Sie wissen, bevor Sie beginnen?

• Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: Weniger als 5 Minuten

• Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Überwachungsprotokollierung durch Administratoren mit Leserechten" im Thema Exchange- und Shellinfrastrukturberechtigungen.

• Die Administrator-Überwachungsprotokollierung ist standardmäßig aktiviert. Führen Sie zur Sicherstellung, dass die Administrator-Überwachungsprotokollierung aktiviert wurde, folgenden Befehl aus:

  Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled
  

  Der Wert True gibt an, dass die Administratorüberwachungsprotokollierung aktiviert ist. Der Wert gibt False an, dass er deaktiviert ist. Wenn Sie die Administrator-Überwachungsprotokollierung für eine lokale Exchange-Organisation aktivieren möchten, führen Sie den folgenden Befehl aus:

  Set-AdminAuditLogConfig -AdminAuditLogEnabled $true
  

  Weitere Informationen finden Sie unter Verwalten der Administratorüberwachungsprotokollierung.

• Informationen zu Tastenkombinationen, die für die Verfahren in diesem Thema gelten können, finden Sie unter Tastenkombinationen für das Exchange Admin Center in Exchange 2013.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.

Ausführen des Berichts mit Änderungen an Verwaltungsrollengruppen über die Exchange-Verwaltungskonsole

Wenn Sie wissen möchten, welche Änderungen an der Mitgliedschaft in der Verwaltungsrollengruppe an Rollengruppen in Ihrer Organisation vorgenommen wurden, können Sie den Bericht Administratorrollengruppe im Exchange Admin Center (EAC) verwenden. Anhand dieses Berichts kann eine Liste mit Rollengruppen angezeigt werden, die innerhalb eines angegebenen Datumsbereichs geändert wurden. Zudem können die Änderungen an bestimmten Rollengruppen angezeigt werden.

1. Wählen Sie im Exchange-Verwaltungskonsole die OptionÜberwachung der Complianceverwaltung> aus, und klicken Sie dann auf Administratorrollengruppenbericht ausführen.

2. Wählen Sie über die Felder Startdatum und Enddatum einen Datumsbereich aus.

3. Klicken Sie auf Rollengruppen auswählen, und wählen Sie anschließend die Rollengruppen aus, deren Änderungen Sie prüfen möchten, oder lassen Sie dieses Feld leer, um in allen Rollengruppen nach Änderungen zu suchen.

4. Klicken Sie auf Suchen.

If any changes are found using the criteria you specified, a list of changes will be displayed in the results pane. Beim Klicken auf eine Rollengruppe werden die Änderungen an der Rollengruppe im Detailbereich angezeigt.

Exportieren des Administratorüberwachungsprotokolls mithilfe der Exchange-Verwaltungskonsole

Um eine XML-Datei mit den an Ihrer Organisation vorgenommenen Änderungen zu erstellen, können Sie in der Exchange-Verwaltungskonsole den Bericht "Administratorüberwachungsprotokoll" verwenden. Anhand dieses Berichts kann ein Datumsbereich für die Suche nach Überwachungsprotokolleinträgen mit Änderungen angegeben werden, die von bestimmten Benutzern vorgenommen wurden. Die XML-Datei wird anschließend als E-Mail-Anlage an einen Empfänger gesendet. Die maximale Größe der XML-Datei beträgt 10 MB.

Hinweis

In Outlook Web App ist es standardmäßig nicht möglich, XML-Anlagen zu öffnen. Sie können Exchange entweder so konfigurieren, dass XML-Anlagen mit Outlook Web App angezeigt werden können, oder Sie verwenden einen anderen E-Mail-Client, beispielsweise Microsoft Outlook, um die Anlage anzuzeigen. Informationen zum Konfigurieren Outlook Web App zum Anzeigen einer XML-Anlage finden Sie unter Anzeigen oder Konfigurieren Outlook Web App virtuellen Verzeichnissen.

1. Wählen Sie im Exchange-Verwaltungskonsole die Option Überwachung der Complianceverwaltung>aus, und klicken Sie dann auf Administratorüberwachungsprotokoll exportieren.

2. Wählen Sie über die Felder Startdatum und Enddatum einen Datumsbereich aus.

3. Klicken Sie im Feld Überwachungsbericht senden an auf Benutzer auswählen, und wählen Sie anschließend den Empfänger aus, an den der Bericht gesendet werden soll.

4. Klicken Sie auf Exportieren.

Wenn anhand der angegebenen Kriterien Protokolleinträge ermittelt werden, wird eine XML-Datei erstellt und als E-Mail-Anlage an den angegebenen Empfänger gesendet.

Suchen nach Überwachungsprotokolleinträgen mithilfe der Shell

Sie können die Shell zur Suche nach Überwachungsprotokolleinträgen verwenden, die mit angegebenen Kriterien übereinstimmen. Eine Liste mit Suchkriterien finden Sie unter Administratorüberwachungsprotokollierung. Bei diesem Verfahren wird das Cmdlet Search-AdminAuditLog verwendet, und die Suchergebnisse werden in der Shell angezeigt. Dieses Cmdlet kann verwendet werden, wenn eine Ergebnismenge zurückgegeben werden muss, die die im Cmdlet New-AdminAuditLogSearch oder in den Überwachungsberichten der Exchange-Verwaltungskonsole definierten Grenzwerte überschreitet.

Wenn Sie Überwachungsprotokollsuchergebnisse in einer E-Mail-Anlage an einen Empfänger senden möchten, lesen Sie den Abschnitt Verwenden der Shell zum Suchen nach Überwachungsprotokolleinträgen und Senden von Ergebnissen an einen Empfänger weiter unten in diesem Thema.

Verwenden Sie die folgende Syntax, um das Überwachungsprotokoll anhand angegebener Kriterien zu durchsuchen.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Hinweis

Das Cmdlet Search-AdminAuditLog gibt standardmäßig maximal 1.000 Protokolleinträge zurück. Verwenden Sie den ResultSize-Parameter , um bis zu 250.000 Protokolleinträge anzugeben. Oder verwenden Sie den -Wert Unlimited , um alle Einträge zurückzugeben.

In diesem Beispiel wird eine Suche nach allen Überwachungsprotokolleinträgen ausgeführt, welche die folgenden Kriterien erfüllen:

• Startdatum: 04.08.2012

• Enddatum: 03.10.2012

• Benutzer-IDs: davids, chrisd, kima

• Cmdlets: Set-Mailbox

• Parameter: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize und MaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima

In diesem Beispiel werden Änderungen an einem bestimmten Postfach ermittelt. Dies ist bei der Problembehebung nützlich, oder wenn Sie Informationen für eine Untersuchung bereitstellen müssen. Die folgenden Kriterien werden verwendet:

• Startdatum: 01.05.2012

• Enddatum: 03.10.2012

• Objekt-ID: contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2012 -EndDate 10/03/2012 -ObjectID contoso.com/Users/DavidS

Wenn bei Ihrer Suche eine Vielzahl von Protokolleinträgen zurückgegeben werden, wird die unter Suchen nach Überwachungsprotokolleinträgen und Senden der Ergebnisse an einen Empfänger mithilfe der Shell weiter unten in diesem Thema beschriebene Vorgehensweise empfohlen. Bei dieser Vorgehensweise wird eine XML-Datei als E-Mail-Anlage an die angegebenen Empfänger gesendet, sodass die relevanten Daten einfacher extrahiert werden können.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Search-AdminAuditLog.

Anzeigen der Details von Überwachungsprotokolleinträgen

Das Cmdlet Search-AdminAuditLog gibt die im Abschnitt "Inhalte von Überwachungsprotokollen" unter Administratorüberwachungsprotokollierung beschriebenen Felder zurück. Zwei der zurückgegebenen Felder, CmdletParameters und ModifiedProperties, enthalten zusätzliche Informationen, die standardmäßig nicht angezeigt werden.

Führen Sie die folgenden Schritte aus, um die Inhalte der Felder CmdletParameters und ModifiedProperties anzuzeigen. Alternativ können Sie die unter Suchen nach Überwachungsprotokolleinträgen und Senden der Ergebnisse an einen Empfänger mithilfe der Shell weiter unten in diesem Thema beschriebenen Schritte ausführen, um eine XML-Datei zu erstellen.

In dieser Vorgehensweise werden die folgenden Konzepte verwendet:

• about_Arrays

• about_Variables

1. Legen Sie die Suchkriterien fest, führen Sie das Cmdlet Search-AdminAuditLog aus, und speichern Sie die Ergebnisse über den folgenden Befehl in einer Variablen.

   $Results = Search-AdminAuditLog <search criteria>
   

2. Jeder Überwachungsprotokolleintrag wird als Arrayelement in der Variablen $Resultsgespeichert. Zur Auswahl eines Arrayelements geben Sie den Arrayelementindex an. Arrayelementindizes beginnen für das erste Arrayelement bei 0. Verwenden Sie beispielsweise den folgenden Befehl, um das fünfte Arrayelement (mit dem Index 4) abzurufen.

   $Results[4]
   

3. Der oben stehende Befehl gibt den im Arrayelement 4 gespeicherten Protokolleintrag zurück. Zum Anzeigen der Felder CmdletParameters und ModifiedProperties für diesen Protokolleintrag verwenden Sie die folgenden Befehle.

   $Results[4].CmdletParameters
   $Results[4].ModifiedProperties
   

4. Um die Inhalte der Felder CmdletParameters und ModifiedParameters in einem anderen Protokolleintrag anzuzeigen, ändern Sie den Arrayelementindex.

Suchen nach Überwachungsprotokolleinträgen und Senden der Ergebnisse an einen Empfänger mithilfe der Shell

Sie können die Shell für die Suche nach Überwachungsprotokolleinträgen verwenden, die mit angegebenen Kriterien übereinstimmen, und die Ergebnisse anschließend als XML-Dateianlage an einen angegebenen Empfänger senden. Die Ergebnisse werden innerhalb von 15 Minuten an den Empfänger gesendet. Eine Liste mit Suchkriterien finden Sie unter Administratorüberwachungsprotokollierung.

Hinweis

In Outlook Web App ist es standardmäßig nicht möglich, XML-Anlagen zu öffnen. Sie können Exchange entweder so konfigurieren, dass XML-Anlagen mit Outlook Web App angezeigt werden können, oder Sie verwenden einen anderen E-Mail-Client, beispielsweise Microsoft Outlook, um die Anlage anzuzeigen. Informationen zum Konfigurieren Outlook Web App zum Anzeigen einer XML-Anlage finden Sie unter Anzeigen oder Konfigurieren Outlook Web App virtuellen Verzeichnissen.

Verwenden Sie die folgende Syntax, um das Überwachungsprotokoll anhand angegebener Kriterien zu durchsuchen.

New-AdminAuditLogSearch -Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False > -StatusMailRecipients <recipient 1, recipient 2, ...> -Name <string to include in subject>

In diesem Beispiel wird eine Suche nach allen Überwachungsprotokolleinträgen ausgeführt, welche die folgenden Kriterien erfüllen:

• Startdatum: 04.08.2012

• Enddatum: 03.10.2012

• Benutzer-IDs: davids, chrisd, kima

• Cmdlets: Set-Mailbox

• Parameter: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Der Befehl sendet die Ergebnisse an die davids@contoso.com SMTP-Adresse mit "Postfachlimitänderungen", die in der Betreffzeile der Nachricht enthalten sind.

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

Hinweis

Für den vom Cmdlet New-AdminAuditLogSearch generierten Bericht gilt eine Höchstgröße von 10 MB. Wenn bei der Suche ein Bericht mit einer Größe von mehr als 10 MB zurückgegeben wird, ändern Sie die angegebenen Suchkriterien. Verringern Sie z. B. den Datumsbereich, und führen Sie mehrere Berichte aus (für je einen Abschnitt des ursprünglichen Datumsbereichs).

Weitere Informationen zum Format der XML-Datei finden Sie unter Administrator-Überwachungsprotokollstruktur.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-AdminAuditLogSearch.