Estructura de registro de auditoría de administrador en Exchange Server
Los registros de auditoría de administrador contienen un registro de todos los cmdlets y parámetros que se han ejecutado en el Shell de administración de Exchange y por el Centro de administración de Exchange (EAC). Se crean a petición al ejecutar el informe de registro de auditoría de administración en el EAC o al ejecutar el cmdlet New-AdminAuditLogSearch en el Shell de administración de Exchange. Para obtener más información sobre los registros de auditoría, consulte Registro de auditoría de administrador en Exchange Server.
Atributos y etiquetas XML del registro de auditoría
Los registros de auditoría son archivos XML y pueden contener varias entradas de registro de auditoría. La tabla siguiente describe cada etiqueta XML y sus atributos asociados.
| Elemento | Atributo | Description |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
N/D | Esta es la etiqueta de declaración del documento XML. Esta etiqueta se incluye en todos los archivos XML del registro de auditoría y contiene el número de versión XML y el valor de codificación del carácter. |
SearchResults |
N/D | Esta etiqueta contiene todas las entradas de registro de auditoría en el archivo XML. La Event etiqueta es un elemento secundario de esta etiqueta. Solo hay una SearchResults etiqueta por archivo XML. |
Event |
Esta etiqueta contiene la entrada de registro de auditoría para un cmdlet individual. Esta etiqueta contiene los Calleratributos , Cmdlet, ObjectModified, RunDateSucceeded, , Errory OriginatingServer . Las CmdletParameters etiquetas y ModifiedProperties son elementos secundarios de esta etiqueta. Hay una Event etiqueta por entrada de registro de auditoría. |
|
Caller |
Este atributo contiene la cuenta de usuario del usuario que ejecutó el cmdlet en el Cmdlet atributo . |
|
Cmdlet |
Este atributo contiene el nombre del cmdlet que ejecutó el usuario en el Caller atributo . |
|
ObjectModified |
Este atributo contiene el objeto modificado por el cmdlet especificado en el Cmdlet atributo . La ModifiedProperties etiqueta muestra qué propiedades se modificaron en este objeto. |
|
RunDate |
Este atributo contiene la fecha y hora en que se ejecutó el cmdlet del Cmdlet atributo. |
|
Succeeded |
Este atributo especifica si el cmdlet del Cmdlet atributo se ejecutó correctamente. El valor es o TrueFalse. |
|
Error |
Este atributo contiene el mensaje de error generado si el cmdlet del Cmdlet atributo no se pudo completar correctamente. Si no se encontró ningún error, el valor se establece en None. |
|
OriginatingServer |
Este atributo contiene el servidor en el que se ejecutó el cmdlet especificado en el Cmdlet atributo . |
|
CmdletParameters |
N/D | Esta etiqueta contiene todos los parámetros especificados cuando se ejecutó el cmdlet. La Parameter etiqueta es un elemento secundario de esta etiqueta. Hay una CmdletParameters etiqueta por Event etiqueta. |
Parameter |
Esta etiqueta contiene un parámetro individual que se especificó cuando se ejecutó el cmdlet. Esta etiqueta contiene los Name atributos y Value . Puede haber varias Parameter etiquetas por CmdletParameters etiqueta. |
|
Name |
Este atributo contiene el nombre del parámetro que se especificó en el cmdlet ejecutado. | |
Value |
Este atributo contiene el valor proporcionado en el parámetro especificado en el Name atributo . |
|
ModifiedProperties |
N/D | Esta etiqueta contiene todas las propiedades que el cmdlet ejecutado modificó. La Property etiqueta es un elemento secundario de esta etiqueta. Hay una ModifiedProperties etiqueta por Event etiqueta. Importante: Esta etiqueta solo se rellena si el parámetro LogLevel del cmdlet Set-AdminAuditLogConfig está establecido Verboseen . |
Property |
Esta etiqueta contiene una propiedad individual que se especificó cuando se ejecutó el cmdlet. Esta etiqueta contiene los Nameatributos , OldValuey NewValue . Puede haber varias Property etiquetas por ModifiedProperties etiqueta. |
|
Name |
Este atributo contiene el nombre de la propiedad que se modificó cuando se ejecutó el cmdlet. | |
OldValue |
Este atributo contiene el valor contenido en la propiedad especificada en el Name atributo antes de cambiarlo. |
|
NewValue |
Este atributo contiene el valor al que se cambió la propiedad del Name atributo. |
Ejemplo de una entrada de registro de auditoría de administración
Este es un ejemplo de una entrada de registro típica en el registro de auditoría de administración.
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e16.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e16.contoso.com/Users/david" RunDate="2015-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.01.0396.030)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>
Según la información de esta entrada de registro, sabemos que se ha producido lo siguiente:
El 18/10/1017 a las 3:48 p.m. hora del Pacífico (UTC-7), el usuario
Administratorejecutó el cmdlet Set-Mailbox.Cuando se ejecutó el cmdlet Set-Mailbox, se proporcionaron los dos parámetros siguientes:
Identidad con un valor de
davidProhibitSendReceiveQuota con un valor de
10GB
La propiedad ProhibitSendReceiveQuota del objeto
davidse modificó con un nuevo valor de10GB, que reemplazó al valor anterior de35GB.Nota:
Las propiedades modificadas se guardan en el registro de auditoría porque el parámetro LogLevel del
Set-AdminAuditLogConfigcmdlet se establecióVerboseen en este ejemplo.La operación se completó correctamente sin errores.