Structure du journal d’audit administrateur dans Exchange Server
Les journaux d'audit de l'administrateur contiennent un enregistrement de toutes les cmdlets et de tous les paramètres exécutés dans l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell et par le Centre d'administration Centre d'administration Exchange (CAE). Ils sont créés à la demande lorsque vous exécutez le rapport du journal d’audit de l’administrateur dans le CAE ou lorsque vous exécutez l’applet de commande New-AdminAuditLogSearch dans Exchange Management Shell. Pour plus d’informations sur les journaux d’audit, consultez Journalisation d’audit administrateur dans Exchange Server.
Balises XML et attributs des journaux d’audit
Les journaux d’audit sont des fichiers XML et peuvent contenir plusieurs entrées de journal d’audit. Le tableau suivant décrit chaque balise XML et ses attributs associés.
| Élément | Attribut | Description |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
S/O | Il s'agit de la balise de déclaration de document XML. Elle est incluse dans chaque fichier XML de journal d'audit et contient le numéro de version XML et la valeur de codage de caractère. |
SearchResults |
S/O | Cette balise contient toutes les entrées du journal d'audit dans le fichier XML. La Event balise est un enfant de cette balise. Il n’y a qu’une SearchResults seule balise par fichier XML. |
Event |
Cette balise contient l'entrée du journal d'audit pour une cmdlet individuelle. Cette balise contient les Callerattributs , ObjectModifiedCmdlet, RunDate, Succeeded, Error, et OriginatingServer . Les CmdletParameters balises et ModifiedProperties sont des enfants de cette balise. Il existe une Event balise par entrée de journal d’audit. |
|
Caller |
Cet attribut contient le compte d’utilisateur de l’utilisateur qui a exécuté l’applet de commande dans l’attribut Cmdlet . |
|
Cmdlet |
Cet attribut contient le nom de l’applet de commande qui a été exécutée par l’utilisateur dans l’attribut Caller . |
|
ObjectModified |
Cet attribut contient l’objet qui a été modifié par l’applet de commande spécifiée dans l’attribut Cmdlet . La ModifiedProperties balise indique les propriétés qui ont été modifiées sur cet objet. |
|
RunDate |
Cet attribut contient la date et l’heure d’exécution de l’applet de commande dans l’attribut Cmdlet . |
|
Succeeded |
Cet attribut spécifie si l’applet de commande dans l’attribut s’est Cmdlet exécutée correctement. La valeur est ou TrueFalse. |
|
Error |
Cet attribut contient le message d’erreur généré si l’applet de commande dans l’attribut Cmdlet n’a pas réussi à se terminer correctement. Si aucune erreur n’a été rencontrée, la valeur est définie sur None. |
|
OriginatingServer |
Cet attribut contient le serveur sur lequel l’applet de commande spécifiée dans l’attribut Cmdlet a été exécutée. |
|
CmdletParameters |
S/O | Cette balise contient tous les paramètres spécifiés au moment de l'exécution de la cmdlet. La Parameter balise est un enfant de cette balise. Il y a une CmdletParameters balise par Event balise. |
Parameter |
Cette balise contient un paramètre individuel spécifié au moment de l'exécution de la cmdlet. Cette balise contient les Name attributs et Value . Il peut y avoir plusieurs Parameter étiquettes par CmdletParameters balise. |
|
Name |
Cet attribut contient le nom du paramètre spécifié au moment de l'exécution de la cmdlet. | |
Value |
Cet attribut contient la valeur fournie sur le paramètre spécifié dans l’attribut Name . |
|
ModifiedProperties |
S/O | Cette balise contient toutes les propriétés modifiées par la cmdlet exécutée. La Property balise est un enfant de cette balise. Il y a une ModifiedProperties balise par Event balise. Important : cette balise est remplie uniquement si le paramètre LogLevel de l’applet de commande Set-AdminAuditLogConfig a la valeur Verbose. |
Property |
Cette balise contient une propriété individuelle spécifiée au moment de l'exécution de la cmdlet. Cette balise contient les Nameattributs , OldValueet NewValue . Il peut y avoir plusieurs Property étiquettes par ModifiedProperties balise. |
|
Name |
Cet attribut contient le nom de la propriété modifiée au moment de l'exécution de la cmdlet. | |
OldValue |
Cet attribut contient la valeur contenue dans la propriété spécifiée dans l’attribut Name avant sa modification. |
|
NewValue |
Cet attribut contient la valeur à laquelle la propriété dans l’attribut Name a été modifiée. |
Exemple d’entrée de journal d’audit de l’administrateur
Vous trouverez ci-dessous un exemple type d’entrée dans le journal d’audit de l’administrateur.
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e16.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e16.contoso.com/Users/david" RunDate="2015-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.01.0396.030)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>
Selon les informations contenues dans cette entrée de journal, nous savons que les événements suivants se sont produits :
Le 18/10/2017 à 15:48 Pacific Daylight (UTC-7), l’utilisateur
Administratora exécuté l’applet de commande Set-Mailbox.Les deux paramètres suivants ont été fournis lors de l'exécution de la cmdlet Set-Mailbox:
Identité avec la valeur
davidProhibitSendReceiveQuota avec la valeur
10GB
La propriété ProhibitSendReceiveQuota sur l’objet
davida été modifiée avec une nouvelle valeur de10GB, qui a remplacé l’ancienne valeur de35GB.Remarque
Les propriétés modifiées sont enregistrées dans le journal d’audit, car le paramètre LogLevel sur l’applet
Set-AdminAuditLogConfigde commande a été définiVerbosesur dans cet exemple.L'opération s'est terminée sans erreurs.