Afficher le journal d’audit administrateur dans Exchange Online

Notes

Le Centre d’administration Exchange classique est en cours de dépréciation dans le déploiement mondial. Nous vous recommandons de rechercher dans le journal d’audit dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Dépréciation du centre d’administration Exchange classique dans le service WW et recherchez le journal d’audit dans le portail de conformité.

Dans Exchange Online organisations ou organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, vous pouvez utiliser le Centre d’administration Exchange (EAC) ou PowerShell pour rechercher et afficher des entrées dans le journal d’audit administrateur.

Le journal d’audit administrateur enregistre des actions spécifiques, basées sur Exchange Online PowerShell ou des applets de commande PowerShell autonomes Exchange Online Protection, effectuées par les administrateurs et les utilisateurs auxquels des privilèges d’administration ont été attribués. Les entrées du journal d’audit de l’administrateur vous fournissent des informations sur l’applet de commande exécutée, les paramètres utilisés, l’utilisateur qui a exécuté l’applet de commande et les objets affectés.

Remarques :

  • La journalisation de l’audit administrateur est activée par défaut et vous ne pouvez pas la désactiver.
  • Le journal d’audit administrateur n’enregistre pas les actions basées sur les applets de commande qui commencent par les verbes Get, Search ou Test.
  • Lorsqu'une modification est apportée à votre organisation, cela peut prendre jusqu'à 15 minutes avant qu'elle n'apparaisse dans les résultats de recherche du journal d'audit. Si une modification n’apparaît pas dans le journal d’audit de l’administrateur, patientez quelques minutes et réexéminez la recherche.
  • Les entrées du journal d'audit sont conservées pendant 90 jours. Lorsqu'une entrée remonte à plus de 90 jours, elle est supprimée.

Ce qu'il faut savoir avant de commencer

Conseil

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums à Exchange Online ou Exchange Online Protection.

Utiliser le centre d’administration pour afficher le journal d’audit administrateur

  1. Dans le CaE, accédez à l’audit de gestion de la conformité>, puis choisissez Exécuter le rapport du journal d’audit administrateur.

  2. Dans la page Rechercher les modifications apportées aux groupes de rôles d’administrateur qui s’ouvre, choisissez une date de début et une date de fin (la plage par défaut est les deux dernières semaines), puis choisissez Rechercher. Toutes les modifications de configuration effectuées pendant la période spécifiée sont affichées et peuvent être triées, avec les informations suivantes :

    • Date : date et heure auxquelles la modification de configuration a été apportée. La date et l'heure sont enregistrées au format temps universel coordonné (UTC).

    • Applet de commande : nom de l’applet de commande utilisée pour modifier la configuration.

    • Utilisateur : nom du compte d’utilisateur de l’utilisateur qui a effectué la modification de configuration.

      Jusqu'à 5 000 entrées s'affichent sur plusieurs pages. Si vous devez affiner vos résultats, spécifiez une plage de dates plus courte. Si vous sélectionnez un seul résultat de recherche, l'information supplémentaire suivante s'affiche dans le volet de détails :

    • Objet modifié : objet qui a été modifié par l’applet de commande.

    • Paramètres (Parameter:Value) : paramètres d’applet de commande qui ont été utilisés et toute valeur spécifiée avec le paramètre.

  3. Si vous souhaitez imprimer une entrée du journal d'audit spécifique, choisissez le bouton Imprimer dans le volet de détails.

Utiliser PowerShell pour afficher le journal d’audit de l’administrateur

Vous pouvez utiliser Exchange Online PowerShell ou Exchange Online Protection PowerShell autonome pour rechercher des entrées de journal d’audit qui répondent aux critères que vous spécifiez. Utilisez la syntaxe suivante :

Search-AdminAuditLog [-Cmdlets <Cmdlet1,Cmdlet2,...CmdletN>] [-Parameters <Parameter1,Parameter2,...ParameterN>] [-StartDate <UTCDateTime>] [-EndDate <UTCDateTime>] [-UserIds <"User1","User2",..."UserN">] [-ObjectIds <"Object1","Object2",..."ObjectN">] [-IsSuccess <$true | $false>]

Remarques :

  • Vous pouvez uniquement utiliser le paramètre Parameters avec le paramètre Cmdlets .

  • Le paramètre ObjectIds filtre les résultats par l’objet qui a été modifié par l’applet de commande. Une valeur valide dépend de la façon dont l’objet est représenté dans le journal d’audit. Par exemple :

    • Nom
    • Nom unique canonique (par exemple, contoso.com/Users/Akia Al-Zuhairi)

    Vous devrez probablement utiliser d’autres paramètres de filtrage sur cette applet de commande pour affiner les résultats et identifier les types d’objets qui vous intéressent.

  • Le paramètre UserIds filtre les résultats par l’utilisateur qui a effectué la modification (qui a exécuté l’applet de commande).

  • Pour les paramètres StartDate et EndDate , si vous spécifiez une valeur de date/heure sans fuseau horaire, la valeur est en temps universel coordonné (UTC). Pour spécifier une valeur date/heure pour ce paramètre, utilisez l’une des options suivantes :

    • Spécifier la valeur de date/heure au format UTC : par exemple, "06/05/2016 14:30:00z".
    • Spécifiez la valeur de date/heure en tant que formule qui convertit la date/heure dans votre fuseau horaire local en UTC : par exemple, (Get-Date "5/6/2016 9:30 AM").ToUniversalTime(). Pour plus d’informations, consultez Get-Date.
  • L’applet de commande retourne un maximum de 1 000 entrées de journal par défaut. Utilisez le paramètre ResultSize pour spécifier jusqu’à 250 000 entrées de journal. Vous pouvez également utiliser la valeur Unlimited pour renvoyer toutes les entrées.

Cet exemple effectue une recherche portant sur toutes les entrées du journal d'audit avec les critères suivants :

  • Date de début : 4 août 2019
  • Date de fin : 3 octobre 2019
  • Applets de commande : Update-RoleGroupMember
Search-AdminAuditLog -Cmdlets Update-RoleGroupMember -StartDate (Get-Date "08/04/2019").ToUniversalTime() -EndDate (Get-Date "10/03/2019").ToUniversalTime()

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Search-AdminAuditLog.

Afficher le détail des entrées du journal d’audit

L’applet de commande Search-AdminAuditLog retourne les champs décrits dans la section Contenu du journal d’audit plus loin dans cet article. Parmi les champs retournés par l’applet de commande, deux champs, CmdletParameters et ModifiedProperties, contiennent des informations supplémentaires qui ne sont pas retournées par défaut.

Pour afficher le contenu des champs CmdletParameters et ModifiedProperties, suivez la procédure ci-après.

  1. Déterminez les critères sur lesquels doivent porter vos recherches, exécutez la cmdlet Search-AdminAuditLog et stockez les résultats dans une variable au moyen de la commande suivante.

    $Results = Search-AdminAuditLog <search criteria>
    
  2. Chaque entrée de journal d’audit est stockée en tant qu’élément de tableau dans la variable $Results. Vous pouvez sélectionner un élément de tableau en précisant son index. Les index des éléments de tableau commencent à zéro (0) pour le premier élément du tableau. Par exemple, pour extraire le cinquième élément de tableau dont l'index est 4, utilisez la commande suivante.

    $Results[4]
    
  3. La commande précédente renvoie l'entrée du journal stockée dans l'élément de tableau 4. Pour afficher le contenu des champs CmdletParameters et ModifiedProperties pour cette entrée du journal, utilisez les commandes suivantes.

    $Results[4].CmdletParameters
    $Results[4].ModifiedProperties
    
  4. Pour afficher le contenu des champs CmdletParameters ou ModifiedParameters dans une autre entrée du journal, modifiez l'index de l'élément de tableau.

Contenu des journaux d'audit

Chaque entrée du journal d’audit contient les informations décrites dans le tableau suivant. Le journal d’audit contient une ou plusieurs entrées de journal d’audit.

Champ Description
RunspaceId Ce champ est utilisé en interne.
ObjectModified Ce champ contient l’objet qui a été modifié par l’applet de commande spécifiée dans le CmdletName champ.
CmdletName Ce champ contient le nom de l’applet de commande exécutée par l’utilisateur dans le Caller champ.
CmdletParameters Ce champ contient les paramètres qui ont été spécifiés lors de l’exécution de l’applet de commande dans le CmdletName champ. La valeur spécifiée avec le paramètre est également stockée dans ce champ, mais invisible dans la sortie par défaut, le cas échéant.
ModifiedProperties Ce champ contient les propriétés qui ont été modifiées sur l’objet dans le ObjectModified champ. L’ancienne valeur de la propriété et la nouvelle valeur stockée sont également stockées dans ce champ, mais sont invisibles dans la sortie par défaut.
Caller Ce champ contient le compte d’utilisateur de l’utilisateur qui a exécuté l’applet de commande dans le CmdletName champ.
ExternalAccess Ce champ est utilisé en interne.
Succeeded Ce champ spécifie si l’applet de commande du champ s’est CmdletName exécutée correctement. La valeur est soit True False.
Error Ce champ contient le message d’erreur généré si l’applet de commande du CmdletName champ n’a pas réussi.
RunDate Ce champ contient la date et l’heure d’exécution de l’applet de commande dans le CmdletName champ. La date et l'heure sont enregistrées au format temps universel coordonné (UTC).
OriginatingServer Ce champ indique le serveur sur lequel l’applet de commande spécifiée dans le CmdletName champ a été exécutée.
ClientIP Ce champ est utilisé en interne.
SessionId Ce champ est utilisé en interne.
AppId Ce champ est utilisé en interne.
ClientAppId Ce champ est utilisé en interne.
Identity Ce champ est utilisé en interne.
IsValid Ce champ est utilisé en interne.
ObjectState Ce champ est utilisé en interne.