Exchange 2013 で役割グループの変更または管理者監査ログを検索する
製品: Exchange Server 2013
管理者監査ログを検索して、組織、サーバー、および受信者構成の変更者を検出できます。 これは、予期しない動作の原因を追跡したり、悪意のある管理者を識別したり、または準拠の要件に適合していることを確認する際に便利です。 管理者監査ログの詳細については、「管理者監査ログ」を参照してください。
メールボックス監査ログを検索する場合は、「メールボックスの監査ログの出力」を参照してください。
はじめに把握しておくべき情報
各手順の推定完了時間:5 分未満
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、 Exchange とシェルのインフラストラクチャのアクセス許可 に関するトピックの「表示のみの管理者監査ログ」エントリを参照してください。
既定では、管理者監査ログ出力は有効になっています。 管理者監査ログ出力が有効になっていることを確認するために、次のコマンドを実行します。
Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled
の
True
値は、管理者監査ログが有効になっていることを示します。 のFalse
値は、無効になっていることを示します。 社内 Exchange 組織の管理者監査ログ出力を有効にする必要がある場合は、次のコマンドを実行します。Set-AdminAuditLogConfig -AdminAuditLogEnabled $true
詳しくは、「管理者監査ログの管理」をご覧ください。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 2013 の Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題がある場合は、 Exchange のフォーラムで質問してください。 Exchange Serverのフォーラムにアクセスしてください。
EAC を使用して管理役割グループ変更レポートを実行するには
組織内の役割グループに対して行われた管理役割グループメンバーシップの変更を知りたい場合は、Exchange 管理センター (EAC) の管理者役割グループ レポートを使用できます。 管理者の役割グループ レポートを使用すると、指定した日付の範囲内に変更された役割グループの一覧を表示できます。 また、変更を表示する特定の役割グループを選択することもできます。
EAC で、[ コンプライアンス管理>の監査] を選択し、[ 管理者ロール グループ レポートの実行] をクリックします。
[開始日] および [終了日] フィールドを使用して、日付範囲を選択します。
[役割グループの選択] をクリックし、変更を表示する役割グループを選択するか、またはこのフィールドを空白にして、すべての役割グループにおける変更を検索します。
[検索] をクリックします。
指定した条件で変更が見つかった場合は、結果ウィンドウに変更の一覧が表示されます。 役割グループをクリックすると、その役割グループへの変更が詳細ウィンドウに表示されます。
EAP を使用して管理者監査ログをエクスポートする
組織の変更が含まれる XML ファイルを作成する場合は、EAC の管理者監査ログのエクスポート レポートを使用できます。 管理者監査ログのエクスポート レポートを使用して、指定したユーザーによる変更が含まれる監査ログ エントリを検索するための日付範囲を指定できます。 次に、XML ファイルが電子メールの添付ファイルとして受信者に送信されます。 XML ファイルの最大サイズは 10 MB です。
注:
Outlook Web App では、既定では XML の添付ファイルを開くことができません。 Outlook Web App を使用して XML 添付ファイルを表示できるように Exchange を構成するか、Microsoft Outlook など別のメール クライアントを使用して添付ファイルを表示することができます。 XML 添付ファイルを表示できるようにOutlook Web Appを構成する方法については、「仮想ディレクトリOutlook Web App表示または構成する」を参照してください。
EAC で、[ コンプライアンス管理>の監査] を選択し、[ 管理者監査ログのエクスポート] をクリックします。
[開始日] および [終了日] フィールドを使用して、日付範囲を選択します。
EAC で、 [監査レポートの送信先] フィールドで [ユーザーの選択] を選択し、レポートを送信する受信者を選択します。
[エクスポート] をクリックします。
指定した条件に合うログ エントリが見つかった場合は、XML ファイルが作成され、指定した受信者に電子メールの添付ファイルとして送信されます。
シェルを使用して監査ログ エントリを検索する
シェルを使用して、指定した条件に合う監査ログ エントリを検索することができます。 検索条件の一覧については、「管理者監査ログ」を参照してください。 この手順では、 Search-AdminAuditLog コマンドレットを使用してシェルに検索結果を表示します。 このコマンドレットは、 New-AdminAuditLogSearch コマンドレットまたは EAC 監査レポートのレポートで定義されている制限値を超える結果セットを返す必要がある場合に使用できます。
電子メールの添付ファイルで監査ログ検索結果を受信者に送信する場合は、このトピックの後半の「 シェルを使用して監査ログ エントリを検索し、受信者に結果を送信する 」セクションを参照してください。
指定した条件で監査ログを検索するには、次の構文を使用します。
Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >
注:
Search-AdminAuditLog コマンドレットを実行すると、既定で最大 1,000 個のログ エントリが返されます。
ResultSize パラメーターを使用して、最大 250,000 個のログ エントリを指定します。 または、値 Unlimited
を使用してすべてのエントリを返します。
この例では、次の条件を使用してすべての監査ログ エントリで検索を実行します。
開始日: 2012 年 8 月 4 日
終了日: 2012 年 10 月 3 日
ユーザー ID: davids、chrisd、kima
コマンドレット: Set-Mailbox
パラメーター: ProhibitSendQuota、 ProhibitSendReceiveQuota、 IssueWarningQuota、 MaxSendSize、 および MaxReceiveSize
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima
この例では、特定のメールボックスの変更を検索します。 これは、トラブルシューティングを実行している場合や、調査のために情報を入手する必要がある場合に便利です。 次の条件を使用します。
開始日: 2012 年 5 月 1 日
終了日: 2012 年 10 月 3 日
オブジェクト ID: contoso.com/Users/DavidS
Search-AdminAuditLog -StartDate 05/01/2012 -EndDate 10/03/2012 -ObjectID contoso.com/Users/DavidS
検索の結果返されるログ エントリが多い場合は、後の「シェルを使用して監査ログ エントリを検索し、結果を受信者に送信する」で説明する手順を使用することをお勧めします。 その手順を実行すると、指定した受信者に XML ファイルが電子メールの添付ファイルとして送信されるため、目的のデータをより簡単に抽出することができます。
構文およびパラメーターの詳細については、「Search-AdminAuditLog」を参照してください。
監査ログ エントリの詳細を表示する
Search-AdminAuditLog コマンドレットを実行すると、「 管理者監査ログ」の「監査ログの内容」で説明されているフィールドが返されます。 コマンドレットによって返されるフィールドのうち、 CmdletParameters と ModifiedProperties の 2 つのフィールドには、既定では表示できない追加情報が含まれます。
CmdletParameters フィールドと ModifiedProperties フィールドの内容を表示するには、次の手順を実行します。 または、後の「 シェルを使用して監査ログ エントリを検索し、結果を受信者に送信する」にある手順を使用して XML ファイルを作成できます。
この手順では、次の概念を使用します。
検索条件を決定して Search-AdminAuditLog コマンドレットを実行し、次のコマンドを使用してその結果を変数に格納します。
$Results = Search-AdminAuditLog <search criteria>
各監査ログ エントリは、変数
$Results
に配列要素として格納されます。 配列要素のインデックスを指定することで、配列要素を選択できます。 配列要素のインデックスは、最初の配列要素のゼロ (0) から始まります。 たとえば、5 番目の配列要素 (インデックスは 4) を取得するには、次のコマンドを使用します。$Results[4]
上記のコマンドを実行すると、配列要素 4 に格納されているログ エントリが返されます。 このログ エントリの CmdletParameters フィールドと ModifiedProperties フィールドの内容を表示するには、次のコマンドを使用します。
$Results[4].CmdletParameters $Results[4].ModifiedProperties
CmdletParameters フィールドや ModifiedParameters フィールドの内容を別のログ エントリに表示するには、配列要素のインデックスを変更します。
シェルを使用して監査ログ エントリを検索し、結果を受信者に送信する
シェルを使用して、指定した条件に合う監査ログ エントリを検索し、その結果を XML 添付ファイルとして指定した受信者に送信できます。 結果は 15 分以内に受信者に送信されます。 検索条件の一覧については、「管理者監査ログ」を参照してください。
注:
Outlook Web App では、既定では XML の添付ファイルを開くことができません。 Outlook Web App を使用して XML 添付ファイルを表示できるように Exchange を構成するか、Microsoft Outlook など別のメール クライアントを使用して添付ファイルを表示することができます。 XML 添付ファイルを表示できるようにOutlook Web Appを構成する方法については、「仮想ディレクトリOutlook Web App表示または構成する」を参照してください。
指定した条件で監査ログを検索するには、次の構文を使用します。
New-AdminAuditLogSearch -Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False > -StatusMailRecipients <recipient 1, recipient 2, ...> -Name <string to include in subject>
この例では、次の条件を使用してすべての監査ログ エントリで検索を実行します。
開始日: 2012 年 8 月 4 日
終了日: 2012 年 10 月 3 日
ユーザー ID: davids、chrisd、kima
コマンドレット: Set-Mailbox
パラメーター: ProhibitSendQuota、 ProhibitSendReceiveQuota、 IssueWarningQuota、 MaxSendSize、 MaxReceiveSize
コマンドは、メッセージの件名行に davids@contoso.com "メールボックス制限の変更" が含まれている SMTP アドレスに結果を送信します。
New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"
注:
New-AdminAuditLogSearch コマンドレットによって生成されるレポートのサイズは最大 10 MB です。 実行する検索で 10 MB を超えるレポートが返される場合は、指定した検索条件を変更します。 たとえば、日付範囲のサイズを小さくし、元の日付範囲の一部を持つ複数のレポートを実行します。
XML ファイルの形式の詳細については、「管理者監査ログの構造」を参照してください。
構文およびパラメーターの詳細については、「New-AdminAuditLogSearch」を参照してください。