Anzeigen des Administratorüberwachungsprotokolls in Exchange 2013

  • Artikel

Gilt für: Exchange Server 2013

In Microsoft Exchange 2013 können Sie das Exchange Admin Center (EAC) verwenden, um einträge im Administratorüberwachungsprotokoll zu suchen und anzuzeigen. Im Administratorüberwachungsprotokoll werden bestimmte Aktionen aufgezeichnet, die basierend auf dem jeweiligen Exchange-Verwaltungsshell-Cmdlet von Administratoren und Benutzern mit Administratorrechten ausgeführt werden. In Einträgen im Administratorüberwachungsprotokoll finden Sie Informationen dazu, welches Cmdlet ausgeführt wurde, welche Parameter verwendet wurden, wer das Cmdlet ausgeführt hat und welche Objekte betroffen sind.

Hinweis

Die Administratorüberwachungsprotokollierung ist standardmäßig aktiviert.
Im Administratorüberwachungsprotokoll werden keine Aktionen aufgezeichnet, die auf einem Exchange-Verwaltungsshell-Cmdlet basieren, das mit dem Verb Get, Search oder Test beginnt.
Die Überwachungsprotokolleinträge werden 90 Tage lang aufbewahrt. Wenn ein Eintrag älter als 90 Tage ist, wird er gelöscht.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten

  • Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie im Thema Messagingrichtlinie und Complianceberechtigungen im Eintrag "Berichte anzeigen".

  • Wie bereits erwähnt, ist die Administratorüberwachungsprotokollierung standardmäßig aktiviert. Führen Sie zur Sicherstellung, dass die Administratorüberwachungsprotokollierung aktiviert wurde, folgenden Befehl aus:

    Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled

    Sie können die Administratorüberwachungsprotokollierung aktivieren, wenn sie deaktiviert ist, indem Sie den folgenden Befehl ausführen.

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

  • Informationen zu Tastenkombinationen, die für die Verfahren in diesem Thema gelten können, finden Sie unter Tastenkombinationen für das Exchange Admin Center in Exchange 2013.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.

Anzeigen des Administratorüberwachungsprotokolls mithilfe der Exchange-Verwaltungskonsole

  1. Wechseln Sie im EAC zu Überwachung der Complianceverwaltung>, und wählen Sie Administratorüberwachungsprotokollbericht ausführen aus.

  2. Legen Sie Startdatum und Enddatum fest, und klicken Sie dann auf Suchen. Sämtliche Konfigurationsänderungen, die im angegebenen Zeitraum erfolgt sind, werden angezeigt und können anhand der folgenden Informationen sortiert werden:

    • Datum: Das Datum und die Uhrzeit, zu dem die Konfigurationsänderung vorgenommen wurde. Datum und Uhrzeit werden im UTC-Format (Coordinated Universal Time, koordinierte Weltzeit) gespeichert.

    • Cmdlet: Der Name des Cmdlets, mit dem die Konfigurationsänderung vorgenommen wurde.

    • Benutzer: Der Name des Benutzerkontos des Benutzers, der die Konfigurationsänderung vorgenommen hat.

    Es können bis zu 5000 Einträge auf mehreren Seiten angezeigt werden. Geben Sie einen kürzeren Datumsbereich ein, wenn Sie Ihre Ergebnisse eingrenzen möchten. Wenn Sie ein einzelnes Suchergebnis auswählen, werden im Detailbereich die folgenden weiteren Informationen angezeigt:

    • Objekt geändert: Das Objekt, das vom Cmdlet geändert wurde.

    • Parameter (Parameter:Value): Die verwendeten Cmdlet-Parameter und alle mit dem Parameter angegebenen Werte.

  3. Wenn Sie einen bestimmten Überwachungsprotokolleintrag drucken möchten, klicken Sie im Detailbereich auf die Schaltfläche Drucken.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Wenn Sie einen Administrator-Überwachungsprotokollbericht erfolgreich ausgeführt haben, werden im angegebenen Datumsbereich erfolgte Konfigurationsänderungen im Suchergebnisbereich angezeigt. Wenn keine Ergebnisse vorhanden sind, ändern Sie den Datumsbereich, und führen Sie den Bericht erneut aus.

Hinweis

Wenn eine Änderung in Ihrer Organisation erfolgt, kann es bis zu 15 Minuten dauern, bis diese in den Suchergebnissen des Überwachungsprotokolls angezeigt wird. Wenn eine Änderung nicht im Administratorüberwachungsprotokoll aufgeführt wird, warten Sie einige Minuten, und führen Sie dann die Suche erneut aus.