Administratorüberwachungsprotokollstruktur in Exchange Server
Administrator-Überwachungsprotokolle enthalten eine Aufzeichnung aller Cmdlets und Parameter, die in der Exchange-Verwaltungsshell und vom Exchange-Verwaltungskonsole (EAC) ausgeführt wurden. Sie werden bei Bedarf erstellt, wenn Sie den Administratorüberwachungsprotokollbericht im EAC ausführen oder wenn Sie das Cmdlet New-AdminAuditLogSearch in der Exchange-Verwaltungsshell ausführen. Weitere Informationen zu Überwachungsprotokollen finden Sie unter Administratorüberwachungsprotokollierung in Exchange Server.
Überwachungsprotokoll-XML-Tags und Attribute
Überwachungsprotokolle sind XML-Dateien und können mehrere Überwachungsprotokolleinträge enthalten. Die folgende Tabelle beschreibt die einzelnen XML-Tags und die zugeordneten Attribute.
| Element | Attribut | Beschreibung |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
Nicht zutreffend | Dies ist das XML-Dokumentdeklarations-Tag. Es ist in jeder Überwachungsprotokoll-XML-Datei enthalten und enthält die XML-Versionsnummer und den Zeichencodierungswert. |
SearchResults |
Nicht zutreffend | Dieses Tag enthält alle Überwachungsprotokolleinträge in der XML-Datei. Das Event Tag ist ein untergeordnetes Element dieses Tags. Pro XML-Datei gibt es nur ein SearchResults Tag. |
Event |
Dieses Tag enthält den Überwachungsprotokolleintrag für ein einzelnes Cmdlet. Dieses Tag enthält die CallerAttribute , Cmdlet, ObjectModified, SucceededRunDate, und ErrorOriginatingServer . Die CmdletParameters Tags und ModifiedProperties sind untergeordnete Elemente dieses Tags. Pro Überwachungsprotokolleintrag ist ein Event Tag vorhanden. |
|
Caller |
Dieses Attribut enthält das Benutzerkonto des Benutzers, der das Cmdlet im Cmdlet -Attribut ausgeführt hat. |
|
Cmdlet |
Dieses Attribut enthält den Namen des Cmdlets, das vom Benutzer im Caller -Attribut ausgeführt wurde. |
|
ObjectModified |
Dieses Attribut enthält das Objekt, das durch das im Cmdlet -Attribut angegebene Cmdlet geändert wurde. Das ModifiedProperties Tag zeigt an, welche Eigenschaften für dieses Objekt geändert wurden. |
|
RunDate |
Dieses Attribut enthält das Datum und die Uhrzeit der Ausführung des Cmdlets Cmdlet im Attribut. |
|
Succeeded |
Dieses Attribut gibt an, ob das Cmdlet im Cmdlet Attribut erfolgreich ausgeführt wurde. Der Wert ist entweder True oder False. |
|
Error |
Dieses Attribut enthält die Fehlermeldung, die generiert wird, wenn das Cmdlet im Cmdlet Attribut nicht erfolgreich abgeschlossen werden konnte. Wenn kein Fehler aufgetreten ist, wird der Wert auf Nonefestgelegt. |
|
OriginatingServer |
Dieses Attribut enthält den Server, auf dem das im Cmdlet Attribut angegebene Cmdlet ausgeführt wurde. |
|
CmdletParameters |
Nicht zutreffend | Dieses Tag enthält alle Parameter, die beim Ausführen des Cmdlets angegeben wurden. Das Parameter Tag ist ein untergeordnetes Element dieses Tags. Pro Tag gibt es ein CmdletParameters Tag Event . |
Parameter |
Dieses Tag enthält jeden einzelnen Parameter, der beim Ausführen des Cmdlets angegeben wurde. Dieses Tag enthält die Name Attribute und Value . Pro CmdletParameters Tag können mehrere Parameter Tags vorhanden sein. |
|
Name |
Dieses Attribut enthält den Namen des Parameters, der im ausgeführten Cmdlet angegeben wurde. | |
Value |
Dieses Attribut enthält den Wert, der für den im Name -Attribut angegebenen Parameter angegeben wurde. |
|
ModifiedProperties |
Nicht zutreffend | Dieses Tag enthält alle Eigenschaften, die vom ausgeführten Cmdlet geändert wurden. Das Property Tag ist ein untergeordnetes Element dieses Tags. Pro Tag gibt es ein ModifiedProperties Tag Event . Wichtig: Dieses Tag wird nur aufgefüllt, wenn der LogLevel-Parameter im Cmdlet Set-AdminAuditLogConfig auf Verbosefestgelegt ist. |
Property |
Dieses Tag enthält eine einzelne Eigenschaft, die beim Ausführen des Cmdlets angegeben wurde. Dieses Tag enthält die NameAttribute , OldValueund NewValue . Pro ModifiedProperties Tag können mehrere Property Tags vorhanden sein. |
|
Name |
Dieses Attribut enthält den Namen der Eigenschaft, die beim Ausführen des Cmdlets geändert wurde. | |
OldValue |
Dieses Attribut enthält den Wert, der in der im Name Attribut angegebenen Eigenschaft enthalten war, bevor es geändert wurde. |
|
NewValue |
Dieses Attribut enthält den Wert, in den die -Eigenschaft im Name -Attribut geändert wurde. |
Beispiel für einen Administrator-Überwachungsprotokolleintrag
Das folgende Beispiel zeigt einen typischen Administrator-Überwachungsprotokolleintrag.
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e16.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e16.contoso.com/Users/david" RunDate="2015-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.01.0396.030)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>
Basierend auf diesem Protokolleintrag sind folgende Informationen bekannt:
Am 18.10.2017 um 15:48 Uhr Pacific Daylight Time (UTC-7) führte der Benutzer
Administratordas Cmdlet Set-Mailbox aus.Beim Ausführen der Cmdlets Set-Mailbox wurden die beiden folgenden Parameter bereitgestellt:
Identität mit dem Wert
davidProhibitSendReceiveQuota mit dem Wert
10GB
Die ProhibitSendReceiveQuota-Eigenschaft für das Objekt
davidwurde mit dem neuen Wert10GBvon geändert, wodurch der alte Wert von35GBersetzt wurde.Hinweis
Die geänderten Eigenschaften werden im Überwachungsprotokoll gespeichert, da der LogLevel-Parameter für das
Set-AdminAuditLogConfigCmdlet in diesem Beispiel aufVerbosefestgelegt wurde.Der Vorgang wurde erfolgreich ohne Fehler abgeschlossen.