Come usare la registrazione di controllo amministratore in Exchange Server
È possibile usare la registrazione di controllo amministratore in Exchange Server per accedere quando un utente o un amministratore apporta una modifica all'organizzazione. Grazie ai registri delle modifiche, è possibile associare ciascuna modifica all'utente che l'ha effettivamente effettuata, inserire nei registri stessi informazioni dettagliate sulle modifiche al momento della relativa implementazione, agire in conformità ai requisiti normativi e alle richieste di produzione di documenti, e altro ancora.
Per impostazione predefinita, la registrazione di controllo dell'amministratore è abilitata nelle nuove installazioni di Exchange Server.
Aspetti controllati
Vengono controllati i cmdlet eseguiti direttamente in Exchange Management Shell. Inoltre, vengono registrate anche le operazioni eseguite utilizzando l'Interfaccia di amministrazione di Exchange, in quanto eseguono cmdlet in background.
Indipendentemente dalla posizione da cui viene eseguito, un cmdlet viene controllato se figura nell'elenco di controllo dei cmdlet e se uno o più dei relativi parametri figurano nell'elenco di controllo dei parametri. La registrazione dei controlli è stata concepita per poter verificare le azioni eseguite per modificare i vari oggetti all'interno di un'organizzazione Exchange, piuttosto che gli oggettti che sono stati visualizzati.
Note:
È possibile che un cmdlet non venga registrato se si verifica un errore prima che il cmdlet richiami l'agente di estensione cmdlet per la registrazione dei controlli dell'amministratore. Se si verifica un errore dopo il richiamo dell'agente per la registrazione dei controlli di amministrazione, il cmdlet viene registrato con l'errore associato. Per ulteriori informazioni, vedere la sezione Agente Registro di controllo di amministrazione descritta più avanti in questo argomento.
Le modifiche alla configurazione del log di controllo vengono aggiornate ogni 60 minuti nei computer in cui Exchange Management Shell è aperto al momento di apportare una modifica alla configurazione. Se si desidera applicare immediatamente le modifiche, chiudere e aprire di nuovo Exchange Management Shell su ogni computer.
Potrebbe essere necessario aspettare fino a 15 minuti dopo l'esecuzione di un comando affinché venga visualizzato nei risultati di ricerca del registro di controllo. Questo perché le voci del registro di controllo devono essere indicizzate prima di poter essere ricercate. Se un comando non viene visualizzato nel registro di controllo dell'amministratore, attendere qualche minuto ed eseguire nuovamente la ricerca.
Configurazione della registrazione di controllo dell'amministratore
Per impostazione predefinita, quando la registrazione di controllo amministratore è abilitata, viene creata una voce di log ogni volta che viene eseguito un cmdlet. Se non si desidera controllare ogni cmdlet eseguito, è possibile configurare la registrazione di controllo per verificare solo i cmdlet e i parametri desiderati. Configurare la registrazione di controllo con il cmdlet Set-AdminAuditLogConfig. I parametri a cui viene fatto riferimento nelle sezioni seguenti vengono utilizzati con questo cmdlet.
Importante
Le modifiche apportate alla configurazione dei registri dei controlli di amministrazione vengono sempre registrate, a prescindere che il cmdlet Set-AdminAuditLogConfig sia presente nell'elenco dei cmdlet da registrare o che la registrazione dei controlli sia attivata.
Quando viene eseguito un comando, Exchange esamina il cmdlet utilizzato. Se il cmdlet eseguito corrisponde a uno dei cmdlet forniti con il parametro AdminAuditLogCmdlets , Exchange controlla i parametri specificati nel parametro AdminAuditLogParameters . Se si verifica la corrispondenza con almeno uno dei parametri presenti nell'elenco, Exchange registra il cmdlet eseguito. Nelle sezioni seguenti sono disponibili ulteriori informazioni su ogni aspetto della configurazione della registrazione di controllo.
Per ulteriori informazioni sulla gestione della configurazione della registrazione dei controlli, vedere Amministratore di gestire la registrazione di controllo.
Cmdlet
È possibile verificare quali cmdlet vengono controllati fornendo un elenco di cmdlet e dei parametri relativi che si desidera registrare. Quando si configura la registrazione di controllo, è possibile specificare di controllare ogni cmdlet oppure specificare i cmdlet che si desidera controllare utilizzando il parametro AdminAuditLogCmdlets. È possibile specificare nomi di cmdlet completi, ad esempio New-Mailbox, oppure è possibile specificare nomi di cmdlet parziali e racchiuderli in caratteri jolly, ad esempio un asterisco (*). Ad esempio, se si desidera registrare quando viene eseguito un cmdlet che contiene la stringa Transport , è possibile specificare un valore di *Transport*. È possibile utilizzare un insieme di nomi completi e parziali per i cmdlet in modo da adattare la configurazione della registrazione di controllo alle proprie esigenze.
Per controllare tutti i cmdlet, è possibile specificare solo il carattere jolly (*). Questa è l'impostazione predefinita.
Parametri
Oltre a specificare quali cmdlet si desidera registrare, è possibile indicare anche che i cmdlet devono essere registrati solo se vengono utilizzati determinati parametri su tali cmdlet. Utilizzare il parametro AdminAuditLogParameters per specificare quali parametri devono essere registrati. Come per i cmdlet, è possibile specificare nomi di parametri completi, ad Databaseesempio , o nomi di parametri parziali racchiusi in caratteri jolly (*), ad *Address*esempio , o una combinazione di entrambi.
Per controllare tutti i parametri, specificare solo il carattere jolly (*). Questa è l'impostazione predefinita.
Periodo di validità del registro di controllo dell'amministratore
Per impostazione predefinita, la registrazione di controllo dell'amministratore viene configurata in modo che ciascuna voce del registro di controllo sia memorizzata per un periodo di 90 giorni. Trascorsi 90 giorni, la voce viene eliminata. È possibile modificare il periodo di validità del registro di controllo utilizzando il parametro AdminAuditLogAgeLimit. Ad esempio, per modificare il limite di età a 180 giorni, usare il comando Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 180. Il periodo di tempo in cui si desidera che le voci del registro di controllo siano conservate può essere specificato impostando il numero di giorni, ore, minuti e secondi desiderato. Per specificare un valore, usare il formato dd.hh:mm:ss in cui si applica quanto segue:
dd: numero di giorni per mantenere la voce del log di controllo.
hh: numero di ore per mantenere la voce del log di controllo.
mm: numero di minuti per mantenere la voce del log di controllo.
ss: numero di secondi per mantenere la voce del log di controllo.
È necessario specificare più anni usando il dd campo . Ad esempio, 365 giorni corrispondono a un anno, 730 a due anni e 913 a due anni e sei mesi. Ad esempio, per impostare il limite di validità del log di controllo su due anni e sei mesi, usare il valore 913.
Note:
È possibile impostare il periodo di validità del registro di controllo dell'amministratore su un valore inferiore a quello corrente. In questo caso, qualsiasi voce del registro di controllo il cui periodo di validità superi il nuovo valore verrà eliminata.
Se si imposta il limite di validità su 0, Exchange elimina tutte le voci nel log di controllo.
Si consiglia di assegnare l'autorizzazione per configurare il periodo di validità del registro di controllo esclusivamente a utenti estremamente fidati.
Registrazione elevata
Per impostazione predefinita, il registro di controllo dell'amministratore registra solo il nome del cmdlet, i parametri del cmdlet (e i valori specificati), l'oggetto modificato, l'utente che ha eseguito il cmdlet, quando è stato eseguito il cmdlet e su quale server è stato eseguito. Il registro di controllo dell'amministratore non registra quali proprietà sono state modificate sull'oggetto. Se si desidera che il log di controllo amministratore includa anche le proprietà dell'oggetto modificato, è possibile abilitare la registrazione dettagliata impostando il parametro LogLevel su Verbose. Quando si abilita la registrazione elevata, oltre alle informazioni registrate per impostazione predefinita, vengono incluse nel registro di controllo dell'amministratore anche le proprietà modificate su un oggetto, inclusi i relativi valori vecchi e nuovi.
Cmdlet di test
Per impostazione predefinita i cmdlet che iniziano con il verbo Test non vengono registrati. È possibile indicare che i cmdlet test devono essere registrati impostando il parametro TestCmdletLoggingEnabled su $true. Sebbene l'attivazione della registrazione dei cmdlet di test sia consentita, si consiglia di avvalersene solo per brevi periodi di tempo, in quanto i cmdlet di test possono produrre un numero elevato di voci del log di controllo.
Log di controllo dell'amministratore
Ogniqualvolta viene registrato un cmdlet, si crea una voce di registro di controllo dell'amministratore. Le voci del log di controllo vengono memorizzate nel log di controllo dell'amministratore, archiviato in una cassetta postale di arbitrato nascosta dedicata e accessibile soltanto dall'interfaccia di amministrazione di Exchange, dal cmdlet Search-AdminAuditLog o da quello New-AdminAuditLogSearch. Nelle seguenti sezioni è possibile trovare informazioni sui seguenti argomenti:
Elementi inclusi nel log di controllo dell'amministratore.
Rapporti disponibili nella pagina di controllo dell'interfaccia di amministrazione di Exchange
Cmdlet di ricerca dei registri di controllo dell'amministratore.
Contenuto dei registri di controllo
Ciascuna voce del registro di controllo contiene le informazioni descritte nella tabella seguente. Il registro di controllo contiene una o più voci. Il numero di voci del log di controllo è controllato dal limite di validità del log di controllo specificato tramite il Set-AdminAuditLogConfig -AdminAuditLogAgeLimit comando . Qualsiasi voce di registro che superi il periodo di validità specificato viene eliminata.
Campi di immissione del registro di controllo
| Campo | Descrizione |
|---|---|
RunspaceId |
Questo campo viene utilizzato internamente da Exchange. |
ObjectModified |
Questo campo contiene l'oggetto modificato dal cmdlet specificato nel CmdletName campo . |
CmdletName |
Questo campo contiene il nome del cmdlet eseguito dall'utente nel Caller campo . |
CmdletParameters |
Questo campo contiene i parametri specificati durante l'esecuzione del CmdletName cmdlet nel campo. Sebbene non sia visibile nell'output predefinito, in questo campo viene memorizzato anche il valore specificato con il parametro (se presente). |
ModifiedProperties |
Questo campo contiene le proprietà modificate sull'oggetto nel ObjectModified campo . Sebbene non siano visibili nell'output predefinito, in questo campo sono presenti anche il precedente valore della proprietà e quello nuovo. Importante: questo campo viene popolato solo se il parametro LogLevel nel cmdlet Set-AdminAuditLogConfig è impostato su verbose. |
Caller |
Questo campo contiene l'account utente dell'utente che ha eseguito il cmdlet nel CmdletName campo . |
Succeeded |
Questo campo specifica se il cmdlet nel campo è CmdletName stato eseguito correttamente. Il valore è True o False. |
Error |
Questo campo contiene il messaggio di errore generato se il cmdlet nel CmdletName campo non è stato completato correttamente. |
RunDate |
Questo campo contiene la data e l'ora in cui è stato eseguito il cmdlet nel CmdletName campo. La data e l'ora vengono memorizzati in formato UTC (Coordinated Universal Time). |
OriginatingServer |
Questo campo indica il server in cui è stato eseguito il CmdletName cmdlet specificato nel campo. |
Identity |
Questo campo viene utilizzato internamente da Exchange. |
IsValid |
Questo campo viene utilizzato internamente da Exchange. |
ObjectState |
Questo campo viene utilizzato internamente da Exchange. |
Rapporti di controllo dell'interfaccia di amministrazione di Exchange
La pagina di controllodell'interfaccia di amministrazione di Exchange comprende diverse rapporti che forniscono informazioni sui vari tipi di modifiche apportate alla configurazione amministrativa e di conformità. I rapporti elencati di seguito contengono informazioni sulle modifiche di configurazione effettuate nell'organizzazione:
Report gruppo di ruoli amministratore: questo report consente di cercare le modifiche ai gruppi di ruoli di gestione specificate entro un intervallo di tempo specificato. I risultati restituiti dalla ricerca indicano quali gruppi di ruolo sono stati modificati, da quali utenti, quando e quali modifiche sono state apportate. Il numero massimo di risultati visualizzabili è 3.000. Nel caso siano restituibili più di 3.000 voci, utilizzare il rapporto Registro di controllo dell'amministratore o il cmdlet Search-AdminAuditLog.
Amministrazione report del log di controllo: questo report consente di visualizzare le voci nel log di controllo amministratore registrate entro un intervallo di tempo specificato. È anche possibile esportare le voce del log di controllo dell'amministratore in un file XML e inviarlo via e-mail a un destinatario scelto dall'utente. Per maggiori informazioni sui contenuti del file XML, vedere Struttura del Registro di controllo amministratore.
Per informazioni su come usare questi report, vedere Cercare le modifiche del gruppo di ruoli o i log di controllo dell'amministratore.
Cmdlet Search-AdminAuditLog
Quando si esegue il cmdlet Search-AdminAuditLog, vengono restituite tutte le voci del log di controllo corrispondenti ai criteri di ricerca. È possibile specificare i seguenti criteri:
Cmdlet: specifica i cmdlet da cercare nel log di controllo dell'amministratore.
Parametri: specifica i parametri, separati da virgole, che si desidera cercare nel log di controllo dell'amministratore. È possibile ricercare dei parametri solo se nella ricerca viene specificato un cmdlet.
Data di fine: definisce l'ambito dei risultati del log di controllo amministratore per le voci di log che si sono verificate in o prima della data specificata.
Data di inizio: definisce l'ambito dei risultati del log di controllo amministratore per le voci di log che si sono verificate in o dopo la data specificata.
ID oggetto: specifica che devono essere restituite solo le voci del log di controllo amministratore contenenti gli oggetti modificati specificati
ID utente: specifica che devono essere restituite solo le voci del log di controllo amministratore che contengono gli ID specificati dell'utente che ha eseguito il cmdlet.
Completamento completato: specifica se devono essere restituite solo le voci del log di controllo amministratore che indicano un esito positivo o negativo.
Ciascuna voce del registro di controllo contiene le informazioni descritte nella tabella riportata nella sezione Contenuto del log di controllo. Per impostazione predefinita, vengono restituite solo le prime 1.000 voci di registro corrispondenti ai criteri di ricerca. Per modificare questo valore e visualizzare un numero maggiore o inferiore di risultati utilizzare il parametro ResultSize. È possibile specificare un valore di Unlimited con il parametro ResultSize per restituire tutte le voci di log che corrispondono ai criteri specificati.
Per informazioni su come usare il cmdlet Search-AdminAuditLog , vedere Cercare le modifiche al gruppo di ruoli o i log di controllo dell'amministratore.
Cmdlet New-AdminAuditLogSearch
Il cmdlet New-AdminAuditLogSearch esegue la ricerca nel log di di controllo dell'amministratore esattamente come il cmdlet Search-AdminAuditLog. Tuttavia, dopo aver eseguito la ricerca, anziché mostrare i risultati in Exchange Management Shell, il cmdlet New-AdminAuditLogSearch li invia tramite messaggio di posta elettronica al destinatario specificato. I risultati sono disponibili come allegato XML del messaggio di posta elettronica.
Con il cmdlet New-AdminAuditLogSearch è possibile utilizzare gli stessi criteri di ricerca validi per il cmdlet Search-AdminAuditLog. Per un elenco dettagliato di tali criteri, vedere Cmdlet Search-AdminAuditLog.
Dall'esecuzione del cmdlet New-AdminAuditLogSearch, Exchange può impiegare fino a 15 minuti per consegnare il rapporto al destinatario specificato. Il rapporto allegato come file XML può avere le dimensioni massime di 10 MB. Il file XML contiene le informazioni descritte nella tabella riportata nella sezione Contenuto dei registri di controllo. Per ulteriori informazioni sulla struttura del file XML, vedere Struttura del Registro di controllo amministratore.
Nota
Outlook Web App non consente di aprire gli allegati XML per impostazione predefinita. È possibile configurare Exchange per consentire la visualizzazione degli allegati XML con Outlook Web App oppure è possibile usare un altro client di posta elettronica, ad esempio Microsoft Outlook, per visualizzare l'allegato. Per informazioni su come configurare Outlook Web App per consentire la visualizzazione di un allegato XML, vedere Visualizzare o configurare Outlook sul web directory virtuali in Exchange Server.
Per informazioni su come usare il cmdlet New-AdminAuditLogSearch , vedere Cercare le modifiche al gruppo di ruoli o i log di controllo dell'amministratore.
Voci del log di controllo dell'amministratore
Oltre a registrare i cmdlet di Exchange quando vengono eseguiti, Exchange Server consente di scrivere manualmente le voci di log nel log di controllo. Exchange Server supporta questa operazione usando il cmdlet Write-AdminAuditLog. I casi in cui può essere necessario l'inserimento manuale di una voce di registro sono i seguenti:
Ingresso e uscita per uno script personalizzato
Modifica delle informazioni di controllo
Orari di inizio e fine della manutenzione
Con il cmdlet Write-AdminAuditLog , è necessario specificare una stringa di testo da includere nel log di controllo usando il parametro Comment . Il parametro Comment accetta una stringa alfanumerica fino a 500 caratteri. Nella voce del registro di controllo manuale insieme alla stringa di commento sono incluse tutte le stesse informazioni ottenere quando viene registrato un cmdlet di Exchange. Per una descrizione di ciascun campo incluso nel registro di controllo, vedere la tabella in Contenuto dei registri di controllo.
È possibile richiamare le voci del registro di controllo manuali esattamente come avviene con qualsiasi altra voce di registro, ovvero utilizzando la pagina di controllo dell'interfaccia di amministrazione di Exchange o il cmdlet Search-AdminAuditLog o New-AdminAuditLogSearch.
Per visualizzare il contenuto del parametro Comment nel cmdlet Write-AdminAuditLog in una voce del log di controllo manuale, vedere Cercare le modifiche al gruppo di ruoli o i log di controllo dell'amministratore.
Replica Active Directory
La registrazione controlli dell'amministratore si basa sulla replica di Active Directory per replicare le impostazioni di configurazione specificate nei controller di dominio nell'organizzazione. In base alle impostazioni della replica, le modifiche apportate potrebbero non essere immediatamente applicate a tutti i server Exchange dell'organizzazione.
Agente Registro di controllo di amministrazione
L'agente di estensione cmdlet predefinito del log di controllo Amministrazione esegue la registrazione di controllo amministratore delle operazioni dei cmdlet in Exchange Server. Questo agente legge la configurazione del registro di controllo ed esegue una valutazione di ogni cmdlet eseguito nell'organizzazione. Se i criteri specificati nella configurazione del log di controllo dell'amministratore corrispondono al cmdlet in esecuzione, l'agente genererà una voce del log di controllo.
L'agente per la registrazione di controllo dell'amministratore è abilitato per impostazione predefinita in modo che la registrazione di controllo funzioni correttamente. Non può essere disabilitato né è possibile modificarne la priorità. Per ulteriori informazioni sugli agenti di estensione cmdlet, vedere Cmdlet Extension Agents.