Exchange Serverでの管理者監査ログ記録
製品: Exchange Server 2013
2013 Microsoft Exchange Serverで管理者監査ログを使用して、ユーザーまたは管理者が組織で変更を加えたときにログを記録できます。 変更のログを記録することによって、変更を行った担当者に対する変更の追跡、変更の詳細レコードによる変更ログの拡張、規制要件や証拠開示要求の遵守などが可能となります。
既定では、Exchange 2013 の新しいインストールでは監査ログが有効になります。
監査対象
Exchange 管理シェル で直接実行されるコマンドレットが監査されます。 さらに、Exchange 管理センター (EAC) を使用して実行する操作もバックグラウンドでコマンドレットを実行するため、ログに記録されます。
コマンドレットは、実行する場所にかかわらず、コマンドレットがコマンドレット監査リストにあり、そのコマンドレットの 1 つまたは複数のパラメーターがパラメーター監査リストにある場合に、監査の対象となります。 監査ログは、どのオブジェクトが参照されたかよりも、Exchange 組織のオブジェクトを変更するためにどのような操作が行われたかを示すことを目的としています。
重要
コマンドレットが管理監査ログ コマンドレット拡張エージェントを呼び出す前にエラーが発生した場合、コマンドレットはログ記録されない可能性があります。 管理監査ログ エージェントが呼び出された後にエラーが発生した場合、コマンドレットは関連するエラーとともにログ記録されます。 詳細については、このトピックの後半の「監査ログ エージェントの管理」セクションを参照してください。
Microsoft Exchange Server 2010 管理ツールを使用して行われた変更はログに記録されますが、Microsoft Exchange Server 2007 管理ツールを使用した変更はログに記録されません。
監査ログ構成の変更は、構成の変更が行われた時点でシェルが開いているコンピューターで 60 分ごとに更新されます。 変更をすぐに適用する場合は、閉じてから、各コンピューターでもう一度シェルを開きます。
コマンドは、実行してから監査ログの検索結果に表示されるまで、最大 15 分かかることがあります。 そのため、監査ログのエントリをインデックス処理してから検索してください。 管理者監査ログにコマンドが表示されない場合は、数分待機してから検索を再実行してください。
監査ログの構成
既定では、監査ログが有効になっている場合、コマンドレットが実行されるたびにログ エントリが作成されます。 コマンドレットの実行のたびに監査しないのであれば、対象とするコマンドレットとパラメーターのみを監査するように監査ログを構成できます。 Set-AdminAuditLogConfig コマンドレットで監査ログを構成します。 次のセクションで説明するパラメーターは、このコマンドレットと一緒に使用します。
重要
管理者監査ログの構成に対する変更は、Set-AdministratorAuditLog コマンドレットが監査対象のコマンドレット一覧に含まれているかどうか、および監査ログが有効か無効かにかかわらず、常にログ記録されます。
コマンドを実行すると、Exchange は使用されたコマンドレットを検査します。 実行されたコマンドレットが AdminAuditLogConfigCmdlets パラメーターで指定されたコマンドレットのいずれかと一致する場合、Exchange は AdminAuditLogConfigParameters パラメーターで指定されたパラメーターを確認します。 パラメーター 一覧の少なくとも 1 つ以上のパラメーターが一致する場合、Exchange は AdminAuditLogMailbox パラメーターを使用して指定されたメールボックスで実行されたコマンドレットをログに記録します。 以降のセクションでは、監査ログ構成に関する各側面の詳細を説明します。
監査ログ構成の管理の詳細については、「管理者監査ログの管理」を参照してください。
コマンドレット
ログに記録するコマンドレットとそのパラメーターの一覧を指定することで、監査されるコマンドレットを制御できます。 監査ログを構成するときは、すべてのコマンドレットを監査するように指定するか、 AdminAuditLogConfigCmdlets パラメーターを使用して監査するコマンドレットを指定できます。
New-Mailbox などの完全なコマンドレット名を指定することも、コマンドレットの部分的な名前を指定し、それらの名前をアスタリスク (*) などのワイルドカード文字で囲むことができます。 たとえば、文字列 Transport を含むコマンドレットが実行されたときにログを記録する場合は、 の *Transport*値を指定できます。 完全なコマンドレット名と部分的なコマンドレット名の組み合わせを同時に使用して、監査ログの構成をニーズに合わせて調整できます。
パラメーター
ログ対象のコマンドレットを指定することに加え、それらのコマンドレットで特定パラメーターが使用された場合にのみ、コマンドレットをログ記録するように指定することもできます。
AdminAuditLogConfigParameters パラメーターを使用して、ログに記録するパラメーターを指定します。 コマンドレットと同様に、、 などの Database完全なパラメーター名や、ワイルドカード文字 () で囲まれた部分パラメーター名 (*など *Address*)、または両方の組み合わせを指定できます。
監査ログの有効期間の制限
既定では、監査ログは 90 日間監査ログ エントリを格納するように構成されています。 監査ログ エントリは 90 日後に削除されます。 監査ログの有効期間の制限は 、AdminAuditLogAgeLimit パラメーターを使用して変更できます。 監査ログ エントリを保持する日数、時間、分、秒を指定できます。 値を指定するには、次の形式 dd.hh:mm:ss を使用します。
dd: 監査ログ エントリを保持する日数
hh: 監査ログ エントリを保持する時間数
mm: 監査ログ エントリを保持する分数
ss: 監査ログ エントリを保持する秒数
フィールドを使用して複数の年を指定する dd 必要があります。 たとえば、365 日は 1 年、730 日は 2 年であるため、913 日は 2 年 6 か月になります。 たとえば、監査ログの有効期間の制限を 2 年 6 か月に設定するには、 構文 を使用します 913.00:00:00。
警告
監査ログの有効期限は、現在の有効期限よりも小さく指定できます。 この場合、新たに指定した有効期限を超えている監査ログ エントリは削除されます。
有効期限を 0 に設定すると、Exchange により監査ログのエントリがすべて削除されます。
監査ログの有効期限を構成するためのアクセス許可は、十分に信頼できるユーザーのみに付与することをお勧めします。
詳細ログ
既定では、管理者監査ログには、コマンドレット名、コマンドレット パラメーター (および指定された値)、変更されたオブジェクト、コマンドレットを実行したユーザー、コマンドレットの実行時、およびコマンドレットが実行されたサーバーのみが記録されます。 管理者監査ログは、オブジェクトで変更されたプロパティをログに記録しません。 監査ログに変更されたオブジェクトのプロパティも含める場合は、 LogLevel パラメーターを に Verbose設定して詳細ログを有効にすることができます。 詳細ログを有効にすると、既定でログに記録される情報に加えて、オブジェクトで変更されたプロパティ (古い値や新しい値を含む) が監査ログに含まれます。
Test コマンドレット
動詞 Test で始まるコマンドレットは、既定ではログに記録されません。
TestCmdletLoggingEnabled パラメーターを に設定することで、Test コマンドレットをログに$true記録する必要があることを示すことができます。 テスト コマンドレットのログ記録を有効にすることはできますが、テスト コマンドレットでは大量の情報が生成される可能性があるため、これを短時間だけ実行することをお勧めします。
監査ログ
コマンドレットがログに記録されるたびに、監査ログ エントリが作成されます。 監査ログは、EAC または Search-AdminAuditLog または New-AdminAuditLogSearch コマンドレットを使用してのみアクセスできる、非表示 の 専用の仲裁メールボックスに格納されます。 Microsoft Outlook Web Appまたは Microsoft Outlook を使用して開くすることはできません。 次のセクションでは、次の情報を提供します。
ログに含まれる内容
EAC 監査 ページで使用できるレポート
監査ログ検索のコマンドレット
監査ログの内容
それぞれの監査ログ エントリには、次の表に記載されている情報が含まれます。 監査ログには、1 つまたは複数の監査ログ エントリが含まれています。 監査ログ エントリの数は、 Set-AdminAuditLogConfig コマンドレットを使用して指定された監査ログの有効期間制限によって制御されます。 有効期限を過ぎた監査ログ エントリは削除されます。
監査ログ エントリのフィールド
| フィールド | 説明 |
|---|---|
RunspaceId |
このフィールドは、Exchange によって内部で使用されます。 |
ObjectModified |
このフィールドには、 フィールドに指定されたコマンドレットによって変更されたオブジェクトが CmdletName 含まれます。 |
CmdletName |
このフィールドには、ユーザーがフィールドで実行したコマンドレットの名前が Caller 含まれています。 |
CmdletParameters |
このフィールドには、フィールド内のコマンドレットの実行時に指定されたパラメーターが CmdletName 含まれます。 パラメーターで指定された値があれば、それもこのフィールドに格納されますが、既定の出力では表示されません。 このフィールドの追加情報にアクセスする方法の詳細については、「 役割グループの変更または管理者監査ログを検索する」を参照してください。 |
ModifiedProperties |
このフィールドには、フィールド内の オブジェクトで変更されたプロパティが ObjectModified 含まれます。 プロパティの以前の値と格納された新しい値も、このフィールドに格納されますが、既定の出力では表示されません。 このフィールドの追加情報にアクセスする方法の詳細については、「 役割グループの変更または管理者監査ログを検索する」を参照してください。 重要: このフィールドは、Set-AdminAuditLogConfig コマンドレットの LogLevel パラメーターが に Verbose設定されている場合にのみ設定されます。 |
Caller |
このフィールドには、フィールドでコマンドレットを実行したユーザーのユーザー アカウントが CmdletName 含まれます。 |
Succeeded |
このフィールドは、フィールド内 CmdletName のコマンドレットが正常に実行されたかどうかを指定します。 値は または FalseですTrue。 |
Error |
このフィールドには、フィールド内のコマンドレット CmdletName が正常に完了しなかった場合に生成されたエラー メッセージが含まれます。 |
RunDate |
このフィールドには、フィールド内のコマンドレットが実行された日時が CmdletName 含まれます。 日時は、世界協定時刻 (UTC) 形式で格納されます。 |
OriginatingServer |
このフィールドは、フィールドで指定されたコマンドレットが実行されたサーバーを CmdletName 示します。 |
Identity |
このフィールドは、Exchange によって内部で使用されます。 |
IsValid |
このフィールドは、Exchange によって内部で使用されます。 |
ObjectState |
このフィールドは、Exchange によって内部で使用されます。 |
EAC 監査レポート
EAC の 監査 ページには、さまざまな種類のコンプライアンスと管理構成の変更に関する情報を提供するいくつかのレポートがあります。 以下のレポートは、組織における構成の変更についての情報を提供します。
管理者ロール グループ レポート: このレポートを使用すると、指定した期間内に指定した管理役割グループに対する変更を検索できます。 返される結果には、変更された役割グループ、変更を行った担当者、日時、および変更の内容が含まれます。 最大で 3,000 エントリまで返すことができます。 検索の結果として 3,000 を超えるエントリが返される場合は、 [管理者監査ログ] レポートまたは Search-AdminAuditLog コマンドレットを使用します。
管理者監査ログ: このレポートを使用すると、指定した期間内に記録された監査ログ エントリを XML ファイルにエクスポートし、指定した受信者に電子メールでファイルを送信できます。 XML ファイルの内容の詳細については、「 管理者監査ログの構造」を参照してください。
これらのレポートの使用方法については、「 役割グループの変更または管理者監査ログを検索する」を参照してください。
監査ページに含まれるその他のレポートについては、「Exchange 監査レポート」を参照してください。
Search-AdminAuditLog コマンドレット
Search-AdminAuditLog コマンドレットを実行すると、指定した検索条件に一致するすべての監査ログ エントリが返されます。 以下の検索条件を指定できます。
コマンドレット: 管理者監査ログで検索するコマンドレットを指定します。
パラメーター: 管理者監査ログで検索するパラメーターをコンマで区切って指定します。 検索するコマンドレットを指定した場合のみ、パラメーターを検索できます。
終了日: 管理者監査ログの結果を、指定した日付以前に発生したログ エントリにスコープを設定します。
開始日: 管理者監査ログの結果を、指定した日付以降に発生したログ エントリにスコープを設定します。
オブジェクト ID: 指定された変更されたオブジェクトを含む管理者監査ログ エントリのみを返すように指定します
ユーザー ID: コマンドレットを実行したユーザーの指定された ID を含む管理者監査ログ エントリのみを返すように指定します。
成功: 成功または失敗を示す管理者監査ログ エントリのみを返す必要があるかどうかを指定します。
返される各監査ログ エントリには、「監査ログの内容」の表に記載されている情報が含まれています。 既定では、指定した条件に一致する最初の 1,000 個のログ エントリのみが返されます。 ただし、この既定値をオーバーライドし、 ResultSize パラメーターを使用して複数または少ないエントリを返すことができます。 の値 Unlimited を ResultSize パラメーターで指定すると、指定した条件に一致するすべてのログ エントリを返すことができます。
Search-AdminAuditLog コマンドレットの使用方法については、「役割グループの変更または管理者監査ログを検索する」を参照してください。
New-AdminAuditLogSearch コマンドレット
New-AdminAuditLogSearch コマンドレットは、Search-AdminAuditLog コマンドレットと同様に監査ログを検索します。 ただし、シェルに監査ログ検索の結果を表示する代わりに、 New-AdminAuditLogSearch コマンドレットによって検索が実行され、電子メール メッセージを介して指定した受信者に検索結果が送信されます。 結果は、電子メール メッセージに XML 添付ファイルとして含められます。
Search-AdminAuditLog コマンドレットで使用した検索条件と同じ条件を New-AdminAuditLogSearch コマンドレットで使用できます。 検索条件の一覧については、「コマンドレットのSearch-AdminAuditLog」を参照してください。
New-AdminAuditLogSearch コマンドレットの実行後に、Exchange から指定された送信者にレポートが配信されるまで、最大で 15 分かかる場合があります。 XML ファイル添付レポートには、最大 10 メガバイト (MB) を指定できます。 XML ファイルには、「監査ログの内容」の表で説明されているのと同じ情報が含まれています。 XML ファイルの構造の詳細については、「管理者監査ログの構造」を参照してください。
注:
Outlook Web App では、既定では XML の添付ファイルを開くことができません。 Outlook Web App を使用して XML 添付ファイルを表示できるように Exchange を構成するか、Microsoft Outlook など別のメール クライアントを使用して添付ファイルを表示することができます。 XML 添付ファイルを表示できるようにOutlook Web Appを構成する方法については、「仮想ディレクトリOutlook Web App表示または構成する」を参照してください。
New-AdminAuditLogSearch コマンドレットの使用方法については、「ロール グループの変更または管理者監査ログを検索する」を参照してください。
手動監査ログ エントリ
Exchange コマンドレットの実行時にログを記録するだけでなく、Exchange 2013 を使用すると、ログ エントリを監査ログに手動で書き込めます。 Exchange 2013 では 、Write-AdminAuditLog コマンドレットを使用してこれをサポートしています。 手動でログ エントリを追加する必要が生じる状況は以下のとおりです。
カスタム スクリプトの開始と終了
制御情報の変更
メンテナンスの開始時刻および終了時刻
Write-AdminAuditLog コマンドレットでは、Comment パラメーターを使用して、監査ログに含める文字列を指定します。 Comment パラメーターは、最大 500 文字の英数字文字列を受け取ります。 手動による監査ログ エントリとコメント文字列には、Exchange コマンドレットのログ記録時にキャプチャされた情報と同じ情報がすべて含まれています。 監査ログに含まれる各フィールドの説明については、「監査ログの内容」の表を参照してください。
EAC 監査ページを使用するか、Search-AdminAuditLog コマンドレットまたは New-AdminAuditLogSearch コマンドレットを使用して、他のログ エントリと同じ方法で手動監査ログ エントリを取得できます。
手動監査ログ エントリの Write-AdminAuditLog コマンドレットの Comment パラメーターの内容を表示するには、「ロール グループの変更または管理者監査ログを検索する」を参照してください。
Active Directory のレプリケーション
管理者監査ログは、Active Directory レプリケーションに依存して、組織内のドメイン コントローラーに指定する構成設定をレプリケートします。 レプリケーション設定によっては、組織内の Exchange 2013 または Exchange 2010 を実行しているすべてのサーバーに対して行った変更がすぐに適用されない場合があります。
管理監査ログ エージェント
管理監査ログ組み込みのコマンドレット拡張エージェントは、Exchange 2013 でコマンドレット操作の管理者監査ログを実行します。 このエージェントは監査ログ構成を読み取り、組織内で実行される各コマンドレットの評価を実行します。 監査ログ構成で指定した条件が、実行されているコマンドレットと一致する場合、エージェントは監査ログを生成します。
管理監査ログ エージェントは既定で有効になっており、監査ログを機能させるために必要です。 無効にすることも、優先順位を変更することもできません。 コマンドレット拡張エージェントの詳細については、「 コマンドレット拡張エージェント」を参照してください。