管理者監査ログの構造
製品: Exchange Server 2013
管理者監査ログには、Exchange 管理シェル および Exchange 管理センター (EAC) で実行されたコマンドレットとパラメーターがすべて記録されます。 これらは、EAC で管理者監査ログ レポートを実行するとき、またはシェルで New-AdminAuditLogSearch コマンドレットを実行するときにオンデマンドで作成されます。 監査ログの詳細については、「 管理者監査ログ」を参照してください。
監査ログは XML ファイルで、監査ログには複数の監査ログ エントリを含むことができます。 次の表に、各 XML タグおよび関連付けられている属性ついての説明を示します。
管理者監査ログに関連する管理タスクをお探しですか? 「 管理者監査ログの管理」を参照してください。
| 要素 | 属性 | 説明 |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
N/A |
これは、XML ドキュメントの宣言タグです。 この宣言タグはすべての監査ログ XML ファイルに含まれており、この宣言タグには XML バージョン番号と文字のエンコード値が含まれます。 |
SearchResults |
N/A |
このタグには、XML ファイル内のすべての監査ログ エントリが含まれています。 タグは Event 、このタグの子です。 XML ファイルごとに 1 つの SearchResults タグのみが存在します。 |
Event |
このタグには、各コマンドレッドの監査ログ エントリが含まれます。 このタグには、Caller、Cmdlet、、ObjectModifiedErrorRunDateSucceededおよび OriginatingServer 属性が含まれています。
CmdletParametersタグと ModifiedProperties タグは、このタグの子です。 監査ログ エントリごとに 1 つの Event タグがあります。 |
|
Caller |
この属性には、 属性でコマンドレットを実行したユーザーのユーザー アカウントが Cmdlet 含まれます。 |
|
Cmdlet |
この属性には、 属性内のユーザーによって実行されたコマンドレットの名前が Caller 含まれています。 |
|
ObjectModified |
この属性には、 属性で指定されたコマンドレットによって変更されたオブジェクトが Cmdlet 含まれています。 タグは ModifiedProperties 、このオブジェクトで変更されたプロパティを示します。 |
|
RunDate |
この属性には、属性のコマンドレットが実行された日時が Cmdlet 含まれます。 |
|
Succeeded |
この属性は、属性内 Cmdlet のコマンドレットが正常に実行されたかどうかを指定します。 値は または FalseですTrue。 |
|
Error |
この属性には、属性の Cmdlet コマンドレットが正常に完了しなかった場合に生成されたエラー メッセージが含まれます。 エラーが発生しなかった場合、値は に None設定されます。 |
|
OriginatingServer |
この属性には、属性で指定されたコマンドレットが実行されたサーバーが Cmdlet 含まれます。 |
|
CmdletParameters |
N/A |
このタグには、コマンドレットが実行されたときに指定されるすべてのパラメーターが含まれます。 タグは Parameter 、このタグの子です。 タグごとに 1 つの CmdletParameters タグがあります Event 。 |
Parameter |
このタグには、コマンドレットが実行されたときに指定された各パラメーターが含まれます。 このタグには、 属性と Value 属性がName含まれています。 タグごとに複数の Parameter タグを CmdletParameters 指定できます。 |
|
Name |
この属性には、実行されたコマンドレットで指定されたパラメーターの名前が含まれます。 | |
Value |
この属性には、 属性で指定されたパラメーターで指定された値が Name 含まれます。 |
|
ModifiedProperties |
N/A |
このタグには、実行されたコマンドレットによって変更されたすべてのプロパティが含まれます。 タグは Property 、このタグの子です。 タグごとに 1 つの ModifiedProperties タグがあります Event 。 重要: このタグは、Set-AdminAuditLogConfig コマンドレットの LogLevel パラメーターが に Verbose設定されている場合にのみ設定されます。 |
Property |
このタグには、コマンドレットが実行されたときに指定された各プロパティが含まれます。 このタグには、NameOldValueおよび NewValue 属性が含まれています。 タグごとに複数の Property タグを ModifiedProperties 指定できます。 |
|
Name |
この属性には、コマンドレットが実行されたときに変更されたプロパティの名前が含まれます。 | |
OldValue |
この属性には、変更前に 属性で指定されたプロパティに Name 含まれていた値が含まれています。 |
|
NewValue |
この属性には、 属性の プロパティが変更された値が Name 含まれています。 |
監査ログ エントリの例
一般的な監査ログ エントリの例を次に示します。 ログ エントリの情報に基づいて、次のことが発生したことがわかっています。
2012 年 10 月 18 日午後 3 時 48 分 (UTC-7) に、ユーザー
Administratorはコマンドレット Set-Mailbox を実行しました。Set-Mailbox コマンドレットを実行した際、次の 2 つのパラメーターが指定されていました。
値が の ID
davidの値を持つ ProhibitSendReceiveQuota
10GB
オブジェクト
davidの次の 2 つのプロパティが変更されました。注:
この例では、コマンドレットの LogLevel パラメーター
Set-AdminAuditLogConfigが にVerbose設定されているため、変更されたプロパティは監査ログに保存されます。-
ProhibitSendReceiveQuota を の新しい値に置き換え、 の
10GB古い値を置き換えた35GB
-
ProhibitSendReceiveQuota を の新しい値に置き換え、 の
操作は、エラーなしで正常に完了しました。
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e15a.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e15a.contoso.com/Users/david" RunDate="2012-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.00.0516.032)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>