次の方法で共有

管理者監査ログを管理する

  • [アーティクル]

製品: Exchange Server 2013

Microsoft Exchange Server 2013 の管理者監査ログを使用すると、指定したコマンドレットが実行されるたびにログ エントリを作成できます。 ログ エントリには、実行されたコマンドレット、使用されたパラメーター、コマンドレットを実行したユーザー、および影響を受けたオブジェクトに関する情報が記録されます。 管理者監査ログの詳細については、「管理者監査ログ」を参照してください。

はじめに把握しておくべき情報

  • 各手順の推定完了時間:5 分未満

  • この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、 Exchange とシェルのインフラストラクチャのアクセス許可 に関するトピックの「管理者監査ログ」エントリを参照してください。

  • 管理者監査ログは、Active Directory レプリケーションに依存して、組織内のドメイン コントローラーに指定する構成設定をレプリケートします。 レプリケーション設定によっては、行った変更が組織内のすべての Exchange 2013 サーバーにすぐに適用されない場合があります。

  • 監査ログ構成の変更は、構成の変更が行われた時点でシェルが開いているコンピューターで 60 分ごとに更新されます。 変更をすぐに適用する場合は、閉じてから、各コンピューターでもう一度シェルを開きます。

  • コマンドは、実行してから監査ログの検索結果に表示されるまで、最大 15 分かかることがあります。 そのため、監査ログのエントリをインデックス処理してから検索してください。 管理者監査ログにコマンドが表示されない場合は、数分待機してから検索を再実行してください。

  • これらの手順を実行するには、シェルを使用する必要があります。

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。

ヒント

問題がある場合は、 Exchange のフォーラムで質問してください。 Exchange Serverのフォーラムにアクセスしてください。

監査の対象となるコマンドレットを指定する

既定では、監査ログによって実行されるすべてのコマンドレットのログ エントリが作成されます。 初めて監査ログを有効にしてこの動作を望む場合、コマンドレットの監査リストを変更する必要はありません。 以前は監査するコマンドレットを指定していて、今回はすべてのコマンドレットを監査する場合、次のコマンドで示すように、Set-AdminAuditLogConfig コマンドレットの AdminAuditLogCmdlets パラメーターでアスタリスク (*) ワイルドカード文字を指定すると、すべてのコマンドレットを監査できます。

Set-AdminAuditLogConfig -AdminAuditLogCmdlets *

監査するコマンドレットを指定するには、AdminAuditLogCmdlets パラメーターを使用してコマンドレットの一覧を提供する必要があります。 監査するコマンドレットの一覧を提供する場合、単一のコマンドレット、アスタリスク (*) ワイルドカード文字を指定したコマンドレット、またはその両方が混在したものを提供できます。 一覧の各エントリはコンマで区切られています。 次の値はすべて有効です。

  • New-Mailbox
  • *TransportRule
  • *Management*
  • Set-Transport*

この例では、上記の一覧で指定されたコマンドレットを監査します。

Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*

構文およびパラメーターの詳細については、「Set-AdminAuditLogConfig」を参照してください。

監査の対象となるパラメーターを指定する

既定では、監査ログによって、指定されたパラメーターに無関係に実行されるすべてのコマンドレットのログ エントリが作成されます。 初めて監査ログを有効にしてこの動作を望む場合、パラメーターの監査リストを変更する必要はありません。 以前は監査するパラメーターを指定していて、今回はすべてのパラメーターを監査する場合、次のコマンドで示すように、Set-AdminAuditLogConfig コマンドレットの AdminAuditLogParameters パラメーターでアスタリスク (*) ワイルドカード文字を指定すると、すべてのパラメーターを監査できます。

Set-AdminAuditLogConfig -AdminAuditLogParameters *

AdminAuditLogParameters パラメーターを使用すると、監査するパラメーターを指定できます。 監査するパラメーターの一覧を提供する場合、単一のパラメーター、アスタリスク (*) ワイルドカード文字を指定したパラメーター、またはその両方が混在したものを提供できます。 一覧の各エントリはコンマで区切られています。 次の値はすべて有効です。

  • Database
  • *Address*
  • Custom*
  • *Region

注:

コマンドの実行時に監査ログ エントリを作成するには、 AdminAuditLogCmdlets パラメーターで指定された少なくとも 1 つ以上のコマンドレットに存在する少なくとも 1 つ以上のパラメーターを含める必要があります。

この例では、上記の一覧で指定されたパラメーターを監査します。

Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region

構文およびパラメーターの詳細については、「Set-AdminAuditLogConfig」を参照してください。

監査ログの有効期間の制限を指定する

監査ログ有効期限は、監査ログ エントリを保持する期間を指定します。 有効期限を過ぎると、ログ エントリは削除されます。 既定値は 90 日です。

監査ログ エントリを保持する日数、時間、分、秒を指定できます。 値を指定するには、dd.hh.mm:ss という形式を使用します。ここで、以下が適用されます。

  • dd: 監査ログ エントリを保持する日数
  • hh: 監査ログ エントリを保持する時間数
  • mm: 監査ログ エントリを保持する分数
  • ss: 監査ログ エントリを保持する秒数

警告

監査ログの有効期限は、現在の有効期限よりも小さく指定できます。 この場合、新たに指定した有効期限を超えている監査ログ エントリは削除されます。

有効期限を 0 に設定すると、Exchange により監査ログのエントリがすべて削除されます。

監査ログの有効期限を構成するためのアクセス許可は、十分に信頼できるユーザーのみに付与することをお勧めします。

この例では、有効期限を 2 年 6 か月に指定します。

Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913.00:00:00

構文およびパラメーターの詳細については、「Set-AdminAuditLogConfig」を参照してください。

Test コマンドレットのログ記録を有効または無効にする

動詞 Test で始まるコマンドレットは、既定ではログ記録されません。 これは、 Test コマンドレットが短時間で膨大なデータを生成できるためです。 Test コマンドレットのログ記録を有効にする場合は短時間のみにとどめてください。

このコマンドは、 Test コマンドレットを有効にします。

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $True

このコマンドは、 Test コマンドレットを無効にします。

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False

構文およびパラメーターの詳細については、「Set-AdminAuditLogConfig」を参照してください。

管理者監査ログを無効にする

管理者監査ログを無効にするには、次のコマンドを使用します。

Set-AdminAuditLogConfig -AdminAuditLogEnabled $False

管理者監査ログを有効にする

管理者監査ログを有効にするには、次のコマンドを使用します。

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

管理者監査ログ設定を表示する

組織用に構成した管理者監査ログ設定を表示するには、次のコマンドを使用します。

Get-AdminAuditLogConfig