Exchange Serverで管理者監査ログを管理する

  • [アーティクル]

Exchange Serverの管理者監査ログを使用すると、指定したコマンドレットが実行されるたびにログ エントリを作成できます。 ログ エントリには、実行されたコマンドレット、使用されたパラメーター、コマンドレットを実行したユーザー、および影響を受けたオブジェクトに関する情報が記録されます。 管理者監査ログの詳細については、Exchange Serverでの管理者監査ログに関するページを参照してください。

はじめに把握しておくべき情報

  • 各手順の推定完了時間:5 分未満

  • この手順を実行するには、PowerShell を使用する必要があります。 オンプレミスの Exchange 組織で Exchange 管理シェルを開く方法については、「 Open the Exchange Management Shell」をご覧ください。

  • この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、 Exchange インフラストラクチャと PowerShell のアクセス許可 に関するトピックの「管理者監査ログ」エントリを参照してください。

  • 管理者の監査ログは、Active Directory レプリケーションに依存して、組織内のドメイン コントローラーに指定する構成設定をレプリケートします。 レプリケーションの設定によっては、行った変更が組織内のすべての Exchange 2016 および Exchange 2019 サーバーにすぐに適用されない場合があります。

  • 監査ログ構成への変更は、構成変更の実行時にExchange 管理シェルを開いたコンピューター上で 60 分ごとに更新されます。 変更を直ちに適用するには、各コンピューター上で Exchange 管理シェル を閉じてから再度開きます。

  • コマンドは、実行してから監査ログの検索結果に表示されるまで、最大 15 分かかることがあります。 そのため、監査ログのエントリをインデックス処理してから検索してください。 管理者監査ログにコマンドが表示されない場合は、数分待機してから検索を再実行してください。

監査の対象となるコマンドレットを指定する

既定では、監査ログによって実行されるすべてのコマンドレットのログ エントリが作成されます。 初めて監査ログを有効にしてこの動作を望む場合、コマンドレットの監査リストを変更する必要はありません。 以前は監査するコマンドレットを指定していて、今回はすべてのコマンドレットを監査する場合、次のコマンドで示すように、Set-AdminAuditLogConfig コマンドレットの AdminAuditLogCmdlets パラメーターでアスタリスク (*) ワイルドカード文字を指定すると、すべてのコマンドレットを監査できます。

Set-AdminAuditLogConfig -AdminAuditLogCmdlets *

監査するコマンドレットを指定するには、AdminAuditLogCmdlets パラメーターを使用してコマンドレットの一覧を提供する必要があります。 監査するコマンドレットの一覧を提供する場合、単一のコマンドレット、アスタリスク (*) ワイルドカード文字を指定したコマンドレット、またはその両方が混在したものを提供できます。 一覧の各エントリはコンマで区切られています。 次の値はすべて有効です。

  • New-Mailbox

  • *TransportRule

  • *Management*

  • Set-Transport*

この例では、上記の一覧で指定されたコマンドレットを監査します。

Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*

構文およびパラメーターの詳細については、「Set-AdminAuditLogConfig」を参照してください。

監査の対象となるパラメーターを指定する

既定では、監査ログによって、指定されたパラメーターに無関係に実行されるすべてのコマンドレットのログ エントリが作成されます。 初めて監査ログを有効にしてこの動作を望む場合、パラメーターの監査リストを変更する必要はありません。 以前は監査するパラメーターを指定していて、今回はすべてのパラメーターを監査する場合、次のコマンドで示すように、Set-AdminAuditLogConfig コマンドレットの AdminAuditLogParameters パラメーターでアスタリスク (*) ワイルドカード文字を指定すると、すべてのパラメーターを監査できます。

Set-AdminAuditLogConfig -AdminAuditLogParameters *

AdminAuditLogParameters パラメーターを使用すると、監査するパラメーターを指定できます。 監査するパラメーターの一覧を提供する場合、単一のパラメーター、アスタリスク (*) ワイルドカード文字を指定したパラメーター、またはその両方が混在したものを提供できます。 一覧の各エントリはコンマで区切られています。 次の値はすべて有効です。

  • Database

  • *Address*

  • Custom*

  • *Region

注:

コマンドの実行時に監査ログ エントリを作成するには、 AdminAuditLogCmdlets パラメーターで指定された少なくとも 1 つ以上のコマンドレットに存在する少なくとも 1 つ以上のパラメーターを含める必要があります。

この例では、上記の一覧で指定されたパラメーターを監査します。

Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region

構文およびパラメーターの詳細については、「Set-AdminAuditLogConfig」を参照してください。

管理者監査ログの有効期限を指定する

監査ログ有効期限は、監査ログ エントリを保持する期間を指定します。 有効期限を過ぎると、ログ エントリは削除されます。 既定値は 90 日です。

保存期間は日単位で指定できます。 または、監査ログ エントリを保存しておく日数、時間数、分数、秒数を指定できます。 日数より具体的に値を指定するには、dd.hh.mm:ss (各項の意味は以下を参照) の形式を使用します。

  • dd: 監査ログ エントリを保持する日数

  • hh: 監査ログ エントリを保持する時間数

  • mm: 監査ログ エントリを保持する分数

  • ss: 監査ログ エントリを保持する秒数

注意

監査ログの有効期限は、現在の有効期限よりも小さく指定できます。 この場合、新たに指定した有効期限を超えている監査ログ エントリは削除されます。 > 年齢制限を 0 に設定すると、Exchange は監査ログ内のすべてのエントリを削除します。 > 監査ログの有効期間の制限を構成するアクセス許可は、高い信頼されたユーザーにのみ割り当てることをお勧めします。

この例では、有効期限を 2 年 6 か月に指定します。

Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913

構文およびパラメーターの詳細については、「Set-AdminAuditLogConfig」を参照してください。

Test コマンドレットのログ記録を有効または無効にする

動詞 Test で始まるコマンドレットは、既定ではログ記録されません。 これは、 Test コマンドレットが短時間で膨大なデータを生成できるためです。 Test コマンドレットのログ記録を有効にする場合は短時間のみにとどめてください。

このコマンドは、 Test コマンドレットを有効にします。

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $true

このコマンドは、 Test コマンドレットを無効にします。

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $false

構文およびパラメーターの詳細については、「Set-AdminAuditLogConfig」を参照してください。

管理者監査ログを無効にする

管理者監査ログを無効にするには、次のコマンドを使用します。

Set-AdminAuditLogConfig -AdminAuditLogEnabled $false

管理者監査ログを有効にする

管理者監査ログを有効にするには、次のコマンドを使用します。

Set-AdminAuditLogConfig -AdminAuditLogEnabled $true

管理者監査ログの設定を表示する

組織に対して既に設定した、管理者の監査ログ構成の設定を表示するには、次のコマンドを使用します。

Get-AdminAuditLogConfig