Exchange Serverの管理者監査ログ構造
管理者監査ログには、Exchange 管理シェル および Exchange 管理センター (EAC) で実行されたコマンドレットとパラメーターがすべて記録されます。 EAC で管理者監査ログ レポートを実行するとき、または Exchange 管理シェルで New-AdminAuditLogSearch コマンドレットを実行すると、オンデマンドで作成されます。 監査ログの詳細については、「Exchange Serverでの管理者監査ログ」を参照してください。
監査ログ XML タグと属性
監査ログは XML ファイルで、監査ログには複数の監査ログ エントリを含むことができます。 次の表に、各 XML タグおよび関連付けられている属性ついての説明を示します。
| 要素 | 属性 | 説明 |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
該当なし | これは、XML ドキュメントの宣言タグです。 この宣言タグはすべての監査ログ XML ファイルに含まれており、この宣言タグには XML バージョン番号と文字のエンコード値が含まれます。 |
SearchResults |
該当なし | このタグには、XML ファイル内のすべての監査ログ エントリが含まれています。 タグは Event 、このタグの子です。 XML ファイルごとに 1 つの SearchResults タグのみが存在します。 |
Event |
このタグには、各コマンドレッドの監査ログ エントリが含まれます。 このタグには、Caller、Cmdlet、、ObjectModifiedErrorRunDateSucceededおよび OriginatingServer 属性が含まれています。 CmdletParametersタグと ModifiedProperties タグは、このタグの子です。 監査ログ エントリごとに 1 つの Event タグがあります。 |
|
Caller |
この属性には、 属性でコマンドレットを実行したユーザーのユーザー アカウントが Cmdlet 含まれます。 |
|
Cmdlet |
この属性には、 属性内のユーザーによって実行されたコマンドレットの名前が Caller 含まれています。 |
|
ObjectModified |
この属性には、 属性で指定されたコマンドレットによって変更されたオブジェクトが Cmdlet 含まれています。 タグは ModifiedProperties 、このオブジェクトで変更されたプロパティを示します。 |
|
RunDate |
この属性には、属性のコマンドレットが実行された日時が Cmdlet 含まれます。 |
|
Succeeded |
この属性は、属性内 Cmdlet のコマンドレットが正常に実行されたかどうかを指定します。 値は または FalseですTrue。 |
|
Error |
この属性には、属性の Cmdlet コマンドレットが正常に完了しなかった場合に生成されたエラー メッセージが含まれます。 エラーが発生しなかった場合、値は に None設定されます。 |
|
OriginatingServer |
この属性には、属性で指定されたコマンドレットが実行されたサーバーが Cmdlet 含まれます。 |
|
CmdletParameters |
該当なし | このタグには、コマンドレットが実行されたときに指定されるすべてのパラメーターが含まれます。 タグは Parameter 、このタグの子です。 タグごとに 1 つの CmdletParameters タグがあります Event 。 |
Parameter |
このタグには、コマンドレットが実行されたときに指定された各パラメーターが含まれます。 このタグには、 属性と Value 属性がName含まれています。 タグごとに複数の Parameter タグを CmdletParameters 指定できます。 |
|
Name |
この属性には、実行されたコマンドレットで指定されたパラメーターの名前が含まれます。 | |
Value |
この属性には、 属性で指定されたパラメーターで指定された値が Name 含まれます。 |
|
ModifiedProperties |
該当なし | このタグには、実行されたコマンドレットによって変更されたすべてのプロパティが含まれます。 タグは Property 、このタグの子です。 タグごとに 1 つの ModifiedProperties タグがあります Event 。 重要: このタグは、Set-AdminAuditLogConfig コマンドレットの LogLevel パラメーターが に Verbose設定されている場合にのみ設定されます。 |
Property |
このタグには、コマンドレットが実行されたときに指定された各プロパティが含まれます。 このタグには、NameOldValueおよび NewValue 属性が含まれています。 タグごとに複数の Property タグを ModifiedProperties 指定できます。 |
|
Name |
この属性には、コマンドレットが実行されたときに変更されたプロパティの名前が含まれます。 | |
OldValue |
この属性には、変更前に 属性で指定されたプロパティに Name 含まれていた値が含まれています。 |
|
NewValue |
この属性には、 属性の プロパティが変更された値が Name 含まれています。 |
管理者監査ログ エントリの例
以下に、管理者監査ログの一般的なログ エントリの例を示します。
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e16.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e16.contoso.com/Users/david" RunDate="2015-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.01.0396.030)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>
マイクロソフトでは、このログ エントリ内の情報に基づいて、以下の事象が発生したことを認識します。
2017 年 10 月 18 日午後 3 時 48 分 (UTC-7) に、ユーザー
Administratorはコマンドレット Set-Mailbox を実行しました。Set-Mailbox コマンドレットを実行した際、次の 2 つのパラメーターが指定されていました。
値が の ID
davidの値を持つ ProhibitSendReceiveQuota
10GB
オブジェクト
davidの ProhibitSendReceiveQuota プロパティが、 の新しい値に変更されました。これは、 の10GB古い値35GBを置き換えた です。注:
この例では、コマンドレットの LogLevel パラメーター
Set-AdminAuditLogConfigが にVerbose設定されているため、変更されたプロパティは監査ログに保存されます。操作は、エラーなしで正常に完了しました。