Rechercher les modifications du groupe de rôles ou les journaux d’audit des administrateurs dans Exchange 2013

S’applique à : Exchange Server 2013

Vous pouvez effectuer des recherches dans les journaux d'audit de l'administrateur pour savoir qui a apporté des changements de configuration à l'organisation, aux serveurs et aux destinataires. Ceci peut s'avérer utile lorsque vous tentez d'identifier la cause d'un comportement inattendu, de confondre un administrateur malveillant ou bien de vous assurer que les exigences en matière de conformité sont respectées. Pour plus d'informations sur l'enregistrement dans des journaux d'audit de l'administrateur, consultez la rubrique Connexion au service d'audit administrateur.

Pour effectuer des recherches dans le journal d'audit d'une boîte aux lettres, consultez la rubrique Enregistrement d'audit dans les boîtes aux lettres.

Ce qu'il faut savoir avant de commencer

• Durée d'exécution estimée de chaque procédure : moins de 5 minutes

• Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Enregistrement d'audit d'administrateur en affichage seul » dans la rubrique Autorisations d'infrastructure Exchange et Shell.

• La journalisation d'audit de l'administrateur est activée par défaut. Pour vérifier qu'elle a été activée, exécutez la commande suivante :

  Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled
  

  La valeur indique que la journalisation d’audit de l’administrateur True est activée. La valeur indique False qu’elle est désactivée. Si vous devez activer la journalisation d'audit de l'administrateur pour une organisation Exchange locale, exécutez la commande suivante :

  Set-AdminAuditLogConfig -AdminAuditLogEnabled $true
  

  Pour plus d'informations, consultez la rubrique Gestion de la journalisation d'audit de l'administrateur.

• Pour plus d’informations sur les raccourcis clavier qui peuvent s’appliquer aux procédures décrites dans cette rubrique, voir Raccourcis clavier pour le Centre d’administration Exchange dans Exchange 2013.

Conseil

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums de Exchange Server.

Utiliser le Centre d’administration Exchange (EAC) pour lancer le rapport des modifications des groupes de rôles de gestion

Si vous souhaitez savoir quelles modifications ont été apportées à l’appartenance aux groupes de rôles de gestion dans votre organisation, vous pouvez utiliser le rapport Groupe de rôles Administrateur dans le Centre d’administration Exchange (EAC). Dans ce rapport, vous pouvez afficher la liste des groupes de rôles qui ont été modifiés dans une plage de dates précise. Vous pouvez aussi sélectionner les groupes de rôles spécifiques dont vous souhaitez afficher les changements.

1. Dans le CENTRE d’administration Exchange, sélectionnezAuditde gestion de la> conformité, puis cliquez sur Exécuter un rapport de groupe de rôles d’administrateur.

2. Sélectionnez une plage de dates à l'aide des champs Date de début et Date de fin.

3. Cliquez sur Sélectionner les groupes de rôles, puis sélectionnez les groupes de rôles pour lesquels vous souhaitez afficher les modifications ou laissez ce champ vide pour rechercher les modifications apportées à tous les groupes de rôles.

4. Cliquez sur Rechercher.

Si vous trouvez des modifications selon les critères que vous avez spécifiés, la liste des modifications s'affiche dans le volet des résultats. Lorsque vous cliquez sur un groupe de rôles, les modifications de ce dernier s’affichent dans le volet d’informations.

Utiliser le Centre d’administration Exchange (EAC) pour exporter le journal d’audit de l’administrateur

Pour créer un fichier XML qui contient des modifications apportées à votre organisation, utilisez le rapport « Exporter le journal d’audit de l’administrateur » du Centre d’administration Exchange (EAC). Dans ce rapport, vous pouvez spécifier une plage de dates pour rechercher des entrées du journal d'audit contenant des modifications apportées par des utilisateurs que vous avez spécifiés. Le fichier XML est alors transmis à un destinataire sous la forme d'une pièce jointe à un message électronique. La taille maximale du fichier XML est de 10 mégaoctets (Mo).

Remarque

Outlook Web App ne vous permet pas d'ouvrir des pièces jointes au format XML par défaut. Vous pouvez soit configurer Exchange de façon à autoriser l'affichage des pièces jointes au format XML à l'aide d'Outlook Web App, soit utiliser un autre client de messagerie électronique, tel que Microsoft Outlook, de façon à afficher la pièce jointe. Pour plus d’informations sur la configuration d’Outlook Web App pour vous permettre d’afficher une pièce jointe XML, voir Afficher ou configurer des répertoires virtuels Outlook Web App.

1. Dans le CENTRE d’administration Exchange, sélectionnezAuditde gestion de la> conformité, puis cliquez sur Exporter le journal d’audit de l’administrateur.

2. Sélectionnez une plage de dates à l'aide des champs Date de début et Date de fin.

3. Dans le champ Envoyer le rapport d'audit à, cliquez sur Sélectionner des utilisateurs, puis sélectionnez le destinataire auquel vous voulez envoyer le rapport.

4. Cliquez sur Exporter.

Si des entrées du journal sont retrouvées selon les critères que vous avez spécifiés, un fichier XML est créé et envoyé sous forme de pièce jointe à un message électronique au destinataire que vous avez précisé.

Utiliser l’environnement de ligne de commande Exchange Management Shell pour rechercher des entrées du journal d’audit

Vous pouvez faire appel à l'environnement de ligne de commande Exchange Management Shell pour rechercher des entrées du journal d'audit qui correspondent aux critères définis. Pour obtenir une liste des critères de recherche, consultez la rubrique Connexion au service d'audit administrateur. Cette procédure utilise la cmdlet Search-AdminAuditLog et affiche les résultats dans l'environnement de ligne de commande Exchange Management Shell. Vous pouvez utiliser cette cmdlet si vous devez renvoyer un ensemble de résultats au-delà des limites définies dans la cmdlet New-AdminAuditLogSearch ou dans les rapports d'audit du Centre d'administration Exchange.

Si vous souhaitez envoyer des résultats de recherche dans le journal d’audit dans une pièce jointe à un destinataire, consultez la section Utiliser l’interpréteur de commandes pour rechercher des entrées de journal d’audit et envoyer les résultats à un destinataire plus loin dans cette rubrique.

Pour effectuer une recherche dans le journal d'audit d'après les critères que vous avez définis, utilisez la syntaxe suivante.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Remarque

Par défaut, la cmdlet Search-AdminAuditLog renvoie un maximum de 1 000 entrées du journal. Utilisez le paramètre ResultSize pour spécifier jusqu’à 250 000 entrées de journal. Vous pouvez également utiliser la valeur Unlimited pour renvoyer toutes les entrées.

Cet exemple effectue une recherche portant sur toutes les entrées du journal d'audit avec les critères suivants :

• Date de début : 04/08/2012

• Date de fin : 03/10/2012

• ID d’utilisateur : davids, chrisd, kima

• Applets de commande : Set-Mailbox

• Paramètres : ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize et MaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima

Cet exemple recherche les modifications apportées à une boîte aux lettres spécifique. Ceci est utile si vous effectuez des opérations de dépannage ou devez fournir des informations à des fins d'investigation. Les critères suivants sont définis :

• Date de début : 01/05/2012

• Date de fin : 03/10/2012

• ID d’objet : contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2012 -EndDate 10/03/2012 -ObjectID contoso.com/Users/DavidS

Si vos recherches renvoient un nombre important d'entrées du journal, nous vous recommandons de suivre la procédure décrite à la section Utiliser l'environnement de ligne de commande Exchange Management Shell pour rechercher des entrées du journal d'audit et envoyer les résultats à un destinataire plus loin dans cette rubrique. La procédure décrite dans cette section a pour objet d'envoyer aux destinataires que vous spécifiez un fichier XML sous forme de pièce jointe à un message électronique, ce qui vous permet d'extraire plus aisément les données qui vous intéressent.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Search-AdminAuditLog.

Afficher le détail des entrées du journal d’audit

La cmdlet Search-AdminAuditLog renvoie les champs décrits dans la section « Contenu des journaux d'audit » de la rubrique Connexion au service d'audit administrateur. Parmi les champs renvoyés par la cmdlet, deux champs ( CmdletParameters et ModifiedProperties ) comportent des données supplémentaires qu'il est impossible de visualiser par défaut.

Pour afficher le contenu des champs CmdletParameters et ModifiedProperties, suivez la procédure ci-après. Ou bien exécutez la procédure décrite à la section Utiliser l'environnement de ligne de commande Exchange Management Shell pour rechercher des entrées du journal d'audit et envoyer les résultats à un destinataire plus loin dans cette rubrique pour créer un fichier XML.

Cette procédure exploite les concepts suivants :

• about_Arrays

• about_Variables

1. Déterminez les critères sur lesquels doivent porter vos recherches, exécutez la cmdlet Search-AdminAuditLog et stockez les résultats dans une variable au moyen de la commande suivante.

   $Results = Search-AdminAuditLog <search criteria>
   

2. Chaque entrée de journal d’audit est stockée en tant qu’élément de tableau dans la variable $Results. Vous pouvez sélectionner un élément de tableau en précisant son index. Les index des éléments de tableau commencent à zéro (0) pour le premier élément du tableau. Par exemple, pour extraire le cinquième élément de tableau dont l'index est 4, utilisez la commande suivante.

   $Results[4]
   

3. La commande précédente renvoie l'entrée du journal stockée dans l'élément de tableau 4. Pour afficher le contenu des champs CmdletParameters et ModifiedProperties pour cette entrée du journal, utilisez les commandes suivantes.

   $Results[4].CmdletParameters
   $Results[4].ModifiedProperties
   

4. Pour afficher le contenu des champs CmdletParameters ou ModifiedParameters dans une autre entrée du journal, modifiez l'index de l'élément de tableau.

Utiliser l’environnement de ligne de commande Exchange Management Shell pour rechercher des entrées du journal d’audit et envoyer les résultats à un destinataire

Vous pouvez faire appel à l’environnement de ligne de commande Exchange Management Shell pour rechercher des entrées du journal d’audit qui correspondent aux critères définis, puis transmettre ces résultats à un destinataire de votre choix sous forme de fichier XML en pièce jointe. Les résultats sont envoyés au destinataire dans un délai de 15 minutes. Pour obtenir une liste des critères de recherche, consultez la rubrique Connexion au service d'audit administrateur.

Remarque

Outlook Web App ne vous permet pas d'ouvrir des pièces jointes au format XML par défaut. Vous pouvez soit configurer Exchange de façon à autoriser l'affichage des pièces jointes au format XML à l'aide d'Outlook Web App, soit utiliser un autre client de messagerie électronique, tel que Microsoft Outlook, de façon à afficher la pièce jointe. Pour plus d’informations sur la configuration d’Outlook Web App pour vous permettre d’afficher une pièce jointe XML, voir Afficher ou configurer des répertoires virtuels Outlook Web App.

Pour effectuer une recherche dans le journal d'audit d'après les critères que vous avez définis, utilisez la syntaxe suivante.

New-AdminAuditLogSearch -Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False > -StatusMailRecipients <recipient 1, recipient 2, ...> -Name <string to include in subject>

Cet exemple effectue une recherche portant sur toutes les entrées du journal d'audit avec les critères suivants :

• Date de début : 04/08/2012

• Date de fin : 03/10/2012

• ID d’utilisateur : davids, chrisd, kima

• Applets de commande : Set-Mailbox

• Paramètres : ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

La commande envoie les résultats à l’adresse davids@contoso.com SMTP avec les « modifications de la limite de boîte aux lettres » incluses dans la ligne d’objet du message.

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

Remarque

Le rapport créé par la cmdlet New-AdminAuditLogSearch peut avoir une taille de 10 Mo au maximum. Si la recherche que vous effectuez émet un rapport d'une taille supérieure à 10 Mo, modifiez les critères de votre recherche. Vous pouvez notamment réduire la taille de la plage de dates et exécuter plusieurs rapports en attribuant à chacun une portion de la plage de dates d'origine.

Pour plus d'informations sur le format du fichier XML, consultez la rubrique Structure du journal d'audit de l'administrateur.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-AdminAuditLogSearch.