Compartir a través de


Estructura del registro de auditoría de administrador

Se aplica a: Exchange Server 2013

Los registros de auditoría de administrador contienen un registro de todos los cmdlets y parámetros que se han ejecutado en el Shell de administración de Exchange y por el Centro de administración de Exchange (EAC). Se crean a petición al ejecutar el informe de registro de auditoría de administrador en el EAC o al ejecutar el cmdlet New-AdminAuditLogSearch en el shell. Para más información sobre los registros de auditoría, vea Registro de auditoría de administrador.

Los registros de auditoría son archivos XML y pueden contener varias entradas de registro de auditoría. La tabla siguiente describe cada etiqueta XML y sus atributos asociados.

¿Busca tareas de administración relacionadas con los registros de auditoría de administrador? Consulte Administración del registro de auditoría de administrador.

Elemento Atributo Description
<?xml version="1.0" encoding="utf-8"?> N/A Esta es la etiqueta de declaración del documento XML. Esta etiqueta se incluye en todos los archivos XML del registro de auditoría y contiene el número de versión XML y el valor de codificación del carácter.
SearchResults N/A Esta etiqueta contiene todas las entradas de registro de auditoría en el archivo XML. La Event etiqueta es un elemento secundario de esta etiqueta.

Solo hay una SearchResults etiqueta por archivo XML.
Event Esta etiqueta contiene la entrada de registro de auditoría para un cmdlet individual. Esta etiqueta contiene los Calleratributos , Cmdlet, ObjectModified, RunDateSucceeded, , Errory OriginatingServer . Las CmdletParameters etiquetas y ModifiedProperties son elementos secundarios de esta etiqueta.

Hay una Event etiqueta por entrada de registro de auditoría.
Caller Este atributo contiene la cuenta de usuario del usuario que ejecutó el cmdlet en el Cmdlet atributo .
Cmdlet Este atributo contiene el nombre del cmdlet que ejecutó el usuario en el Caller atributo .
ObjectModified Este atributo contiene el objeto modificado por el cmdlet especificado en el Cmdlet atributo . La ModifiedProperties etiqueta muestra qué propiedades se modificaron en este objeto.
RunDate Este atributo contiene la fecha y hora en que se ejecutó el cmdlet del Cmdlet atributo.
Succeeded Este atributo especifica si el cmdlet del Cmdlet atributo se ejecutó correctamente. El valor es o TrueFalse.
Error Este atributo contiene el mensaje de error generado si el cmdlet del Cmdlet atributo no se pudo completar correctamente. Si no se encontró ningún error, el valor se establece en None.
OriginatingServer Este atributo contiene el servidor en el que se ejecutó el cmdlet especificado en el Cmdlet atributo .
CmdletParameters N/A Esta etiqueta contiene todos los parámetros especificados cuando se ejecutó el cmdlet. La Parameter etiqueta es un elemento secundario de esta etiqueta.

Hay una CmdletParameters etiqueta por Event etiqueta.
Parameter Esta etiqueta contiene un parámetro individual que se especificó cuando se ejecutó el cmdlet. Esta etiqueta contiene los Name atributos y Value .

Puede haber varias Parameter etiquetas por CmdletParameters etiqueta.
Name Este atributo contiene el nombre del parámetro que se especificó en el cmdlet ejecutado.
Value Este atributo contiene el valor proporcionado en el parámetro especificado en el Name atributo .
ModifiedProperties N/A Esta etiqueta contiene todas las propiedades que el cmdlet ejecutado modificó. La Property etiqueta es un elemento secundario de esta etiqueta.

Hay una ModifiedProperties etiqueta por Event etiqueta.

Importante: Esta etiqueta solo se rellena si el parámetro LogLevel del cmdlet Set-AdminAuditLogConfig está establecido Verboseen .
Property Esta etiqueta contiene una propiedad individual que se especificó cuando se ejecutó el cmdlet. Esta etiqueta contiene los Nameatributos , OldValuey NewValue .

Puede haber varias Property etiquetas por ModifiedProperties etiqueta.
Name Este atributo contiene el nombre de la propiedad que se modificó cuando se ejecutó el cmdlet.
OldValue Este atributo contiene el valor contenido en la propiedad especificada en el Name atributo antes de cambiarlo.
NewValue Este atributo contiene el valor al que se cambió la propiedad del Name atributo.

Entrada de registro de auditoría de ejemplo

A continuación se muestra un ejemplo de una entrada de registro de auditoría típica. En función de la información de la entrada de registro, sabemos que se ha producido lo siguiente:

  • El 18/10/10/2012 a las 3:48 p.m. hora del Pacífico (UTC-7), el usuario Administrator ejecutó el cmdlet Set-Mailbox.

  • Cuando se ejecutó el cmdlet Set-Mailbox, se proporcionaron los dos parámetros siguientes:

    • Identidad con un valor de david

    • ProhibitSendReceiveQuota con un valor de 10GB

  • Se modificaron las dos propiedades siguientes en el objeto david :

    Nota:

    Las propiedades modificadas se guardan en el registro de auditoría porque el parámetro LogLevel del Set-AdminAuditLogConfig cmdlet se estableció Verbose en en este ejemplo.

    • ProhibitSendReceiveQuota con un nuevo valor de 10GB, que reemplazó al valor anterior de 35GB
  • La operación se completó correctamente sin errores.

<?xml version="1.0" encoding="utf-8"?>
<SearchResults>

  <Event Caller="corp.e15a.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e15a.contoso.com/Users/david" RunDate="2012-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.00.0516.032)">
    <CmdletParameters>
      <Parameter Name="Identity" Value="david" />
      <Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
    </CmdletParameters>
    <ModifiedProperties>
      <Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
    </ModifiedProperties>
  </Event>
</SearchResults>