Vue d'ensemble de l'enregistrement d'audit d'administrateur
S'applique à : Exchange Server 2010
Dernière rubrique modifiée : 2009-11-30
Vous pouvez utiliser l’enregistrement d’audit par un administrateur dans Exchange Server 2010 pour journaliser les exécutions d’une cmdlet par un utilisateur ou un administrateur de votre organisation. En tenant un journal des cmdlets exécutées, vous pouvez suivre les modifications et connaître leurs auteurs, enrichir vos journaux des modifications par l’ajout de détails sur les modifications opérées, vous conformer aux obligations réglementaires, répondre aux demandes de détection, etc.
Objets de l’audit
Les cmdlets exécutées directement dans l’environnement de ligne de commande Exchange Management Shell sont auditées. En outre, les opérations effectuées à l’aide la console de gestion Exchange (EMC) et de l’interface de gestion Web d’Exchange sont également enregistrées puisque ces opérations exécutent des cmdlets en arrière-plan.
Indifféremment de leur lieu d’exécution, les cmdlets seront auditées si l’une d’elles est répertoriée dans la liste d’audit et si un ou plusieurs paramètres de cette cmdlet sont contenus dans la liste d’audit des paramètres. Les cmdlets Get ne sont pas enregistrées. L’enregistrement d’audit a pour objet de montrer quelles actions ont été prises pour modifier des objets dans une organisation Exchange plutôt que de montrer les objets qui ont été consultés.
.gif "Dd335052.important(fr-fr,EXCHG.140).gif") Important : |
|---|
| Une cmdlet peut ne pas être enregistrée si une erreur s’est produite avant que la cmdlet appelle l’agent d’extension du journal d’audit d’administration. Si une erreur se produit après l’appel de l’agent du journal d’audit d’administration, la cmdlet sera enregistrée avec l’erreur associée. Pour plus d’informations, consultez « Agent du journal d’audit d’administration » plus loin dans cette rubrique. Les modifications apportées à la configuration de l’enregistrement d’audit sont actualisées toutes les 60 minutes sur les ordinateurs ayant l’environnement de ligne de commande Exchange Management Shell ouvert au moment de la modification de la configuration. Si vous souhaitez appliquer les modifications immédiatement, fermez et rouvrez l’environnement de ligne de commande Exchange Management Shell sur chaque ordinateur. |
Configuration de l’enregistrement d’audit
Par défaut, si l’enregistrement d’audit est activé, une entrée de journal est créée à chaque fois qu’une cmdlet est exécutée (à l’exception de la cmdlet Get). Lorsque vous configurez l’enregistrement d’audit, vous devez spécifier la boîte aux lettres dans laquelle les journaux seront stockés. Si vous ne souhaitez pas que chaque cmdlet soit auditée, vous pouvez configurer l’enregistrement d’audit en le limitant aux cmdlets et paramètres de votre choix. La cmdlet Set-AdminAuditLogConfig vous permet de configurer l’enregistrement d’audit. Les paramètres référencés dans les sections suivantes sont utilisés avec cette cmdlet.
Lorsqu’une commande est exécutée, Exchange inspecte la cmdlet utilisée. Si la cmdlet exécutée correspond à une des cmdlets fournies avec le paramètre AdminAuditLogConfigCmdlets, Exchange contrôle ensuite les paramètres spécifiés dans le paramètre AdminAuditLogConfigParameters. Si une correspondance est trouvée avec au moins un des paramètres de la liste, Exchange enregistre la cmdlet exécutée dans la boîte aux lettres spécifiée à l’aide du paramètre AdminAuditLogMailbox. Les sections suivantes contiennent d’autres informations sur chaque aspect de la configuration de l’enregistrement d’audit.
Pour plus d’informations, voir Configurer une connexion au service d’audit administrateur.
Cmdlets
Vous pouvez contrôler quelles cmdlets sont audités en fournissant une liste de cmdlets et leurs paramètres associés que vous souhaitez enregistrer. Lorsque vous configurez l’enregistrement d’audit, vous pouvez opter pour un audit de chaque cmdlet ou désigner des cmdlets spécifiques à auditer à l’aide du paramètre AdminAuditLogConfigCmdlets. Vous pouvez spécifier les noms complets des cmdlets, par exemple New-Mailbox, ou les noms partiels des cmdlets et placer ces noms entre des caractères génériques tels qu’un astérisque (*). Par exemple, pour tenir le journal de chaque exécution d’une cmdlet contenant la chaîne Transport, vous pouvez spécifier une valeur de*Transport*. Vous pouvez mélanger des noms complets et partiels de cmdlets pour personnaliser la configuration de l’enregistrement d’audit en fonction de vos besoins.
Paramètres
En plus de spécifier quelles cmdlets doivent être enregistrées dans le journal, vous pouvez également indiquer que les cmdlets ne seront enregistrés que si certains paramètres associés sont utilisés. Utilisez le paramètre AdminAuditLogConfigParameters pour spécifier quels paramètres doivent être enregistrés. Comme pour les cmdlets, vous pouvez spécifier les noms complets des paramètres, par exemple Database, ou utiliser des noms partiels placés entre des caractères génériques (*), tels que *Address*, ou une combinaison des deux.
Boîte aux lettres d’audit
Pour cette version d’Exchange 2010, les entrées du journal d’audit sont stockées dans une boîte aux lettres que vous spécifiez à l’aide du paramètre AdminAuditLogMailbox. La boîte aux lettres d’audit doit être accessible uniquement à un groupe restreint d’administrateurs. Cette restriction est nécessaire car des informations confidentielles pourraient être dévoilées par l’enregistrement d’audit. Toutes les valeurs spécifiées dans les paramètres appliqués aux cmdlets soumises à l’enregistrement d’audit, à l’exception des mots de passe, sont stockées dans les journaux d’audit.
Puisque l’enregistrement d’audit a le potentiel d’enregistrer chaque commande exécutée dans votre organisation par vos utilisateurs et vos administrateurs, vous devriez consulter la boîte aux lettres d’audit. Si la boîte aux lettres est pleine, les nouveaux journaux envoyés à cette boîte aux lettres seront irrémédiablement perdus.
Pour garantir que la boîte aux lettres stocke uniquement les entrées des journaux d’audit, vous pourriez restreindre les expéditeurs autorisés à envoyer des messages électroniques à cette boîte aux lettres. Pour plus d’informations sur la procédure de restriction des expéditeurs pouvant envoyer des messages à une boîte aux lettres, consultez la rubrique Configurer des restrictions de remise de messages.
Journaux d’audit
Les journaux d’audit sont stockés sous forme de messages électroniques dans la boîte aux lettres désignée pendant la configuration de l’enregistrement d’audit. Vous pouvez accéder aux journaux en ouvrant cette boîte aux lettres via n’importe client de messagerie électronique, comme Microsoft Outlook ou Microsoft Office Outlook Web App.
À chaque enregistrement d’une commande, un message de journal d’audit est créé et déposé dans la boîte aux lettres d’audit. Chaque journal contient les informations décrites dans le tableau suivant.
Champs d’entrée de journal d’audit
| Champ | Description |
|---|---|
Objet du message |
Compte de l’utilisateur qui a exécuté la cmdlet et libellé de cette cmdlet. |
Nom de la cmdlet |
Cmdlet exécutée par l’appelant. |
Objet modifié |
Objet modifié par la cmdlet. |
Paramètre |
Les paramètres spécifiés lorsque la cmdlet a été exécutée et les valeurs fournies. Si plusieurs paramètres ont été spécifiés, plusieurs champs Paramètre sont affichés. |
Appelant |
Compte de l’utilisateur ayant exécuté la cmdlet. |
Réussie |
Indique si la cmdlet a été exécutée avec succès. La valeur est True ou False. |
Erreur |
Message d’erreur généré en cas d’échec d’exécution de la cmdlet. |
Date d’exécution |
Date et heure d’exécution de la cmdlet. La date et l’heure sont enregistrées au format temps universel coordonné (UTC). |
.gif "Dd335052.note(fr-fr,EXCHG.140).gif") Remarque : |
|---|
| Chaque champ d’entrée de journal d’audit contient un GUID. Ce GUID est réservé à un usage interne et ne doit pas être utilisé comme référence pendant l’interprétation ou le traitement des journaux d’audit. |
Réplication Active Directory
L’enregistrement d’audit par un administrateur s’appuie sur la réplication Active Directory pour répliquer les paramètres de configuration que vous spécifiez pour les contrôleurs de domaine de votre organisation. Selon vos paramètres de réplication, les modifications que vous apportez ne prendront peut-être pas immédiatement effet sur l’ensemble des serveurs Exchange 2010 de votre organisation.
Agent du journal d’audit d’administration
L’agent d’extension de la cmdlet intégré au Journal d’audit d’administration effectue les enregistrements d’audit des opérations des cmdlets dans Exchange 2010. Cet agent lit la configuration de l’enregistrement d’audit, puis effectue une évaluation de chaque cmdlet exécutée dans votre organisation. Si les critères que vous avez spécifiés dans la configuration de l’enregistrement d’audit correspondent à la cmdlet en cours d’exécution, l’agent génère un journal d’audit qui est envoyé à la boîte aux lettres d’audit.
Les agents d’extension de cmdlets peuvent être activés ou désactivés. L’agent du journal d’audit d’administration est activé par défaut afin que l’enregistrement d’audit puisse fonctionner. Les états d’activation et de désactivation sont séparés pour l’agent du journal d’audit d’administrateur et pour la fonction d’enregistrement d’audit par un administrateur. Les deux doivent être activés pour que l’enregistrement ait lieu. Si l’un ou l’autre est désactivé, l’enregistrement n’aura pas lieu.
Étant donné que l’agent du journal d’audit d’administration est activé par défaut, vous ne devriez pas avoir besoin de modifier la configuration de cet agent. Au cas où vous devriez activer ou désactiver cet agent ou obtenir plus d’informations sur les agents d’extension de cmdlets, consultez les rubriques suivantes :