관리자 감사 로그 구조
적용 대상: Exchange Server 2013
관리자 감사 로그에는 Exchange 관리 셸 및 Exchange 관리 센터(EAC)에서 실행된 모든 cmdlet 및 매개 변수의 레코드가 포함됩니다. EAC에서 관리자 감사 로그 보고서를 실행하거나 셸에서 New-AdminAuditLogSearch cmdlet을 실행하면 필요에 따라 로그가 만들어집니다. 감사 로그에 대한 자세한 내용은 관리자 감사 로깅를 참조하십시오.
감사 로그는 XML 파일이며 여러 감사 로그 항목을 포함할 수 있습니다. 다음 표에서는 각 XML 태그와 관련 특성을 설명합니다.
관리자 감사 로그와 관련된 관리 작업을 찾고 있나요? 관리자 감사 로깅 관리를 참조하세요.
| 요소 | 특성 | 설명 |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
N/A |
XML 문서 선언 태그입니다. 모든 감사 로그 XML 파일에 포함되며 XML 버전 번호와 문자 인코딩 값을 포함합니다. |
SearchResults |
N/A |
이 태그는 XML 파일의 모든 감사 로그 항목을 포함합니다. 태그는 Event 이 태그의 자식입니다. XML 파일당 하나의 태그만 SearchResults 있습니다. |
Event |
이 태그는 개별 cmdlet의 감사 로그 항목을 포함합니다. 이 태그에는 Caller, , Cmdlet, ObjectModified, RunDate, Succeeded및 Error특성이 OriginatingServer 포함됩니다.
CmdletParameters 및 ModifiedProperties 태그는 이 태그의 자식입니다. 감사 로그 항목당 하나의 Event 태그가 있습니다. |
|
Caller |
이 특성에는 특성에서 cmdlet Cmdlet 을 실행한 사용자의 사용자 계정이 포함됩니다. |
|
Cmdlet |
이 특성에는 특성에서 사용자가 실행한 cmdlet의 Caller 이름이 포함됩니다. |
|
ObjectModified |
이 특성에는 특성에 지정된 cmdlet에 의해 수정된 개체가 Cmdlet 포함됩니다. 태그에는 ModifiedProperties 이 개체에서 수정된 속성이 표시됩니다. |
|
RunDate |
이 특성에는 특성의 cmdlet Cmdlet 이 실행된 날짜와 시간이 포함됩니다. |
|
Succeeded |
이 특성은 특성의 cmdlet이 Cmdlet 성공적으로 실행되었는지 여부를 지정합니다. 값은 또는 False입니다True. |
|
Error |
이 특성에는 특성의 cmdlet Cmdlet 이 성공적으로 완료되지 않은 경우 생성된 오류 메시지가 포함됩니다. 오류가 발생하지 않으면 값이 로 None설정됩니다. |
|
OriginatingServer |
이 특성에는 특성에 지정된 cmdlet이 실행된 서버가 Cmdlet 포함됩니다. |
|
CmdletParameters |
N/A |
이 태그에는 cmdlet을 실행할 때 지정된 매개 변수가 모두 포함됩니다. 태그는 Parameter 이 태그의 자식입니다. 태그당 Event 하나의 CmdletParameters 태그가 있습니다. |
Parameter |
이 태그에는 cmdlet을 실행할 때 지정된 개별 매개 변수가 포함됩니다. 이 태그에는 및 Value 특성이 Name 포함됩니다. 태그당 CmdletParameters 여러 Parameter 태그가 있을 수 있습니다. |
|
Name |
이 특성에는 실행한 cmdlet에 지정된 매개 변수의 이름이 포함됩니다. | |
Value |
이 특성에는 특성에 지정된 매개 변수에 제공된 값이 Name 포함됩니다. |
|
ModifiedProperties |
N/A |
이 태그에는 실행된 cmdlet에 의해 수정된 모든 속성이 포함됩니다. 태그는 Property 이 태그의 자식입니다. 태그당 Event 하나의 ModifiedProperties 태그가 있습니다. 중요: Set-AdminAuditLogConfig cmdlet의 LogLevel 매개 변수가 로 설정된 Verbose경우에만 이 태그가 채워집니다. |
Property |
이 태그에는 cmdlet을 실행할 때 지정된 개별 속성이 포함됩니다. 이 태그에는 , OldValue및 NewValue 특성이 Name포함됩니다. 태그당 ModifiedProperties 여러 Property 태그가 있을 수 있습니다. |
|
Name |
이 특성에는 cmdlet을 실행할 때 수정된 속성의 이름이 포함됩니다. | |
OldValue |
이 특성은 변경되기 전에 특성에 지정된 속성에 Name 포함된 값을 포함합니다. |
|
NewValue |
이 특성에는 특성의 속성 Name 이 변경된 값이 포함됩니다. |
감사 로그 항목 예
다음은 일반적인 감사 로그 항목의 예입니다. 로그 항목의 정보를 기반으로 다음이 발생한 것을 알 수 있습니다.
2012년 10월 18일 오후 3시 48분 태평양 일광 절약 시간(UTC-7)에 사용자가
Administratorcmdlet Set-Mailbox를 실행했습니다.Set-Mailbox cmdlet을 실행할 때 다음의 두 매개 변수가 제공되었습니다.
값이 인 ID
david값이 인 ProhibitSendReceiveQuota
10GB
개체
david의 다음 두 속성이 수정되었습니다.참고
이 예제에서는 cmdlet의 LogLevel 매개 변수가 로 설정
Verbose되었으므로 수정된 속성이 감사 로그에Set-AdminAuditLogConfig저장됩니다.-
ProhibitSendReceiveQuota 를 의
10GB새 값으로 사용하여 의 이전 값을 대체했습니다.35GB
-
ProhibitSendReceiveQuota 를 의
작업이 오류 없이 완료되었습니다.
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e15a.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e15a.contoso.com/Users/david" RunDate="2012-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.00.0516.032)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>