Поделиться через


Ведение журнала аудита администратора в Exchange Server

Область применения: Exchange Server 2013 г.

Вы можете использовать ведение журнала аудита администратора в Microsoft Exchange Server 2013, чтобы регистрировать, когда пользователь или администратор вносит изменения в вашей организации. Вы можете отследить пользователя, который внес изменение, дополнить журналы изменений подробными сведениями о применении изменения, обеспечить соответствие нормативным требованиям и запросам на обнаружение, а также многое другое.

По умолчанию ведение журнала аудита включено в новых установках Exchange 2013.

Что подлежит аудиту

Аудиту подлежат командлеты, которые выполняются непосредственно в Командная консоль Exchange. Кроме того, операции, для выполнения которых используется Центр администрирования Exchange, также регистрируются в журнале, так как при этом запускаются командлеты в фоновом режиме.

В журнал заносятся командлеты, независимо от места их выполнения, если они находятся в списке аудита командлетов и один или несколько параметров этих командлетов находятся в списке аудита параметров. Журнал аудита в большей степени показывает, какие действия выполнялись для изменения объектов в организации Exchange, а не какие объекты были просмотрены.

Важно!

Командлет может быть не записан в журнал, если перед вызовом командлетом агента расширения командлета журнала аудита администратора произошла ошибка. Если ошибка произошла после вызова агента ведения журнала аудита администратора, командлет заносится в журнал вместе с соответствующей ошибкой. Дополнительные сведения см. далее в разделе Агент журнала аудита действий администратора.

Изменения, внесенные с помощью средств управления Microsoft Exchange Server 2010, регистрируются; однако изменения, внесенные с помощью средств управления Microsoft Exchange Server 2007, не регистрируются.

На компьютерах, на которых во время изменения конфигурации открыта командная консоль, изменения конфигурации журнала аудита обновляются каждые 60 минут. Если изменения необходимо применить немедленно, на каждом компьютере закройте и снова откройте консоль.

После запуска команды может пройти до 15 минут, прежде чем она появится в результатах поиска журнала аудита. Это связано с тем, что перед поиском необходимо выполнить индексацию записей журнала аудита. Если команда не появляется в журнале аудита администратора, подождите несколько минут и снова выполните поиск.

Конфигурация ведения журнала аудита

По умолчанию, если ведение журнала аудита включено, запись журнала создается при каждом запуске любого командлета. Если аудит всех запускаемых командлетов не требуется, можно настроить аудит только необходимых командлетов и параметров. Ведение журнала аудита настраивается с помощью командлета Set-AdminAuditLogConfig. В этом командлете используются параметры, рассматриваемые в следующих разделах.

Важно!

Изменения в конфигурации журнала аудита администратора всегда фиксируются в журнале независимо от того, находится ли командлет Set-AdministratorAuditLog в списке аудита командлетов и включено или отключено ведение журнала аудита.

При выполнении команды Exchange проверяет использованный командлет. Если выполняемый командлет соответствует любому из командлетов, предоставленных с параметром AdminAuditLogConfigCmdlets , Exchange проверяет параметры, указанные в параметре AdminAuditLogConfigParameters . Если совпадает хотя бы один или несколько параметров из списка параметров, Exchange регистрирует командлет, который был выполнен в указанном почтовом ящике с помощью параметра AdminAuditLogMailbox . В следующих разделах приведены дополнительные сведения о каждом аспекте настройки ведения журнала аудита.

Дополнительные сведения об управлении конфигурацией ведения журнала аудита см. в статье Управление ведением журнала аудита администраторов.

Командлеты

Можно указать командлеты для которых необходимо осуществлять аудит, задав список командлетов и их параметров, записи о которых необходимо вносить в журнал. При настройке ведения журнала аудита можно указать для аудита каждый командлет или указать командлеты, которые требуется выполнить аудит, с помощью параметра AdminAuditLogConfigCmdlets . Можно указать полные имена командлетов, например New-Mailbox, или указать частичные имена командлетов и заключить их в подстановочные знаки, такие как звездочка (*). Например, если требуется регистрировать при выполнении любого командлета, содержащего строку Transport , можно указать значение *Transport*. Можно использовать полные и частичные имена командлетов одновременно, чтобы настроить ведение журнала аудита необходимым образом.

Параметры

Кроме указания командлетов, записи о выполнении которых следует заносить в журнал, можно также указать, чтобы в журнал записывались командлеты, в которых используются определенные параметры. Чтобы указать, какие параметры необходимо заносить в журнал, используйте параметр AdminAuditLogConfigParameters. Как и в случае с командлетами, можно указать полные имена параметров, например Database, или частичные имена параметров, заключенные в подстановочные знаки (*), например *Address*, или сочетание обоих.

Ограничение по возрасту журнала аудита

По умолчанию записи журнала аудита хранятся в течение 90 дней. По истечении 90 дней запись журнала аудита удаляется. С помощью параметра AdminAuditLogAgeLimit можно изменить время хранения журнала аудита. Можно указать число дней, часов, минут и секунд, в течение которых необходимо хранить записи журнала аудита. Чтобы указать значение, используйте формат dd.hh:mm:ss , в котором применяется следующее:

  • dd: количество дней для хранения записи журнала аудита.

  • hh: количество часов для хранения записи журнала аудита.

  • mm: количество минут для хранения записи журнала аудита.

  • ss: количество секунд для хранения записи журнала аудита.

С помощью dd поля необходимо указать несколько лет. Например, 365 дней соответствуют одному году; 730 дней — двум годам; 913 дней — двум годам и шести месяцам. Например, чтобы установить ограничение на срок действия журнала аудита в два года и шесть месяцев, используйте синтаксис 913.00:00:00.

Предупреждение

Для времени хранения журнала аудита можно установить меньшее значение по сравнению с текущим временем хранения. При этом все записи журнала аудита, чей возраст превысит новое время хранения, будут удалены.

Если для ограничения по возрасту задано значение 0, Exchange удаляет все записи в журнале аудита.

Разрешения на настройку времени хранения журнала аудита рекомендуется предоставлять только пользователям с высоким уровнем доверия.

Ведение подробного журнала

По умолчанию журнал аудита администратора записывает только имя командлета, параметры командлета (и указанные значения), объект, который был изменен, кто выполнял командлет, когда командлет был запущен, и на каком сервере был запущен командлет. В журнале аудита администратора не регистрируется, какие свойства были изменены в объекте. Если требуется, чтобы журнал аудита также включал свойства объекта, который был изменен, можно включить подробное ведение журнала, задав для параметра LogLevel значение Verbose. При включении подробного ведения журнала в дополнение к сведениям, зарегистрированным по умолчанию, в журнал аудита включаются свойства, измененные в объекте, включая их старые и новые значения.

Командлеты с глаголом Test

По умолчанию командлеты, начинающиеся с глагола Test, не заносятся в журнал. Можно указать, что командлеты Test должны быть зарегистрированы, задав для параметра TestCmdletLoggingEnabled значение $true. Хотя вы можете включить ведение журнала тестовых командлетов, рекомендуется делать это только в течение короткого периода времени, так как тестовые командлеты могут создавать большой объем информации.

Журналы аудита

При каждой регистрации командлета в журнале создается запись журнала аудита. Журналы аудита хранятся в скрытом выделенном почтовом ящике арбитража, доступ к которому можно получить только с помощью EAC или командлета Search-AdminAuditLog или New-AdminAuditLogSearch . Его невозможно открыть с помощью Microsoft Outlook Web App или Microsoft Outlook. Следующие разделы содержат сведения на темы:

  • Сведения, содержащиеся в журналах

  • Отчеты, доступные на странице аудита EAC

  • Командлеты поиска в журнале аудита

Содержимое журнала аудита

Каждая запись журнала аудита содержит сведения, описанные в приведенной ниже таблице. Журнал аудита содержит одну или несколько записей. Количество записей журнала аудита определяется ограничением возраста журнала аудита, указанным с помощью командлета Set-AdminAuditLogConfig . Все записи журнала аудита, время хранения которых истекло, удаляются.

Поля записей журнала аудита

Поле Описание
RunspaceId Это поле предназначено для внутреннего использования системой Exchange.
ObjectModified Это поле содержит объект, измененный командлетом, указанным в CmdletName поле .
CmdletName Это поле содержит имя командлета, который был запущен пользователем в Caller поле .
CmdletParameters Это поле содержит параметры, указанные при выполнении командлета CmdletName в поле. В этом поле, при наличии, также хранится, но не отображается в выходных данных по умолчанию, значение, указанное с помощью параметра. Дополнительные сведения о том, как получить доступ к дополнительным сведениям в этом поле, см. в разделе Поиск изменений группы ролей или журналы аудита администратора.
ModifiedProperties Это поле содержит свойства, которые были изменены для объекта в ObjectModified поле . В этом поле также хранятся значения свойств — как старые, так и новые (сохраненные). Дополнительные сведения о том, как получить доступ к дополнительным сведениям в этом поле, см. в разделе Поиск изменений группы ролей или журналы аудита администратора.

Важно! Это поле заполняется только в том случае, если параметр LogLevel в командлете Set-AdminAuditLogConfig имеет значение Verbose.
Caller Это поле содержит учетную запись пользователя, который выполнил командлет в CmdletName поле .
Succeeded Это поле указывает, успешно ли выполнен командлет в CmdletName поле. Значение равно или TrueFalse.
Error Это поле содержит сообщение об ошибке, созданное в случае неудачного завершения командлета CmdletName в поле.
RunDate Это поле содержит дату и время выполнения командлета CmdletName в поле. Дата и время хранятся в формате времени UTC.
OriginatingServer Это поле указывает сервер, на котором был запущен командлет, указанный CmdletName в поле.
Identity Это поле предназначено для внутреннего использования системой Exchange.
IsValid Это поле предназначено для внутреннего использования системой Exchange.
ObjectState Это поле предназначено для внутреннего использования системой Exchange.

Отчеты аудита Центра администрирования Exchange

На странице аудита в EAC есть несколько отчетов, в которые приводятся сведения о различных типах изменений в соответствии с требованиями и административной конфигурацией. Следующие отчеты содержат сведения об изменениях конфигурации в организации:

  • Отчет о группе ролей администратора. Этот отчет позволяет искать изменения в группах ролей управления, указанные в течение указанного периода времени. Полученные результаты содержат данные об измененных группах ролей, внесенных изменениях, а также о том, кто и когда внес эти изменения. Может быть возвращено не более 3000 записей. Если в результатах поиска выведено более 3000 записей, используйте отчет Журнал аудита администратора или командлет Search-AdminAuditLog.

  • Журнал аудита администратора. Этот отчет позволяет экспортировать записи журнала аудита, записанные в течение указанного периода времени, в XML-файл, а затем отправить файл по электронной почте указанному получателю. Дополнительные сведения о содержимом XML-файла см. в разделе Структура журнала аудита администратора.

Сведения об использовании этих отчетов см. в статье Поиск изменений группы ролей или журналы аудита администратора.

Сведения о других отчетах, включенных на страницу аудита , см. в статье Отчеты аудита Exchange.

Командлет Search-AdminAuditLog

При выполнении командлета Search-AdminAuditLog возвращаются все записи журнала аудита, соответствующие указанным условиям поиска. Можно указать следующие условия поиска:

  • Командлеты. Указывает командлеты, которые нужно найти в журнале аудита администратора.

  • Параметры. Указывает параметры, разделенные запятыми, которые нужно найти в журнале аудита администратора. Поиск параметров возможен, только если указан командлет для поиска.

  • Дата окончания: ограничивает результаты журнала аудита администратора записями, которые произошли на указанную дату или раньше.

  • Дата начала: ограничивает результаты журнала аудита администратора записями журнала, которые произошли на указанную дату или позже.

  • Идентификаторы объектов. Указывает, что должны возвращаться только записи журнала аудита администратора, содержащие указанные измененные объекты.

  • Идентификаторы пользователей. Указывает, что должны возвращаться только записи журнала аудита администратора, содержащие указанные идентификаторы пользователя, запустившего командлет.

  • Успешное завершение. Указывает, должны ли возвращаться только записи журнала аудита администратора, указывающие на успешное или неудачное завершение.

Каждая возвращенная запись журнала аудита содержит сведения, описанные в таблице в разделе Audit Log Contents. По умолчанию возвращается только первая 1000 записей журнала, соответствующих заданным критериям. Однако значение по умолчанию можно изменить с помощью параметра ResultSize для вывода большего или меньшего количества записей. Можно указать значение Unlimited с помощью параметра ResultSize , чтобы вернуть все записи журнала, соответствующие указанным условиям.

Сведения об использовании командлета Search-AdminAuditLog см. в разделе Поиск изменений группы ролей или журналы аудита администратора.

Командлет New-AdminAuditLogSearch

Командлет New-AdminAuditLogSearch выполняет поиск в журнале аудита подобно командлету Search-AdminAuditLog. Однако вместо отображения результатов поиска по журналу аудита в оболочке командлет New-AdminAuditLogSearch выполняет поиск, а затем отправляет результаты поиска получателю, который вы указали в сообщении электронной почты. Результаты включаются в электронное сообщение в виде XML-вложения.

С командлетом New-AdminAuditLogSearch можно использовать такие же условия поиска, как и с командлетом Search-AdminAuditLog. Список условий поиска см. в разделе Search-AdminAuditLog Cmdlet.

После выполнения командлета New-AdminAuditLogSearch для доставки отчета указанному получателю может потребоваться до 15 минут. Максимальный размер отчета в формате XML составляет 10 мегабайт (МБ). В файле XML содержатся такие же сведения, как в таблице в разделе Audit Log Contents. Дополнительные сведения о структуре XML-файла см. в разделе Структура журнала аудита администратора.

Примечание.

Outlook Web App не позволяет открывать XML-вложения по умолчанию. Вы можете настроить Exchange, чтобы разрешить просмотр XML-вложений с помощью Outlook Web App, или использовать другой почтовый клиент, например Microsoft Outlook, для просмотра вложения. Сведения о настройке Outlook Web App для просмотра XML-вложений см. в статье Просмотр или настройка виртуальных каталогов Outlook Web App.

Сведения об использовании командлета New-AdminAuditLogSearch см. в разделе Поиск изменений группы ролей или журналы аудита администратора.

Записи журнала аудита вручную

Помимо ведения журнала командлетов Exchange при их запуске, Exchange 2013 позволяет вручную записывать записи журнала в журнал аудита. Exchange 2013 поддерживает это с помощью командлета Write-AdminAuditLog . Ниже перечислены ситуации, в которых может потребоваться добавить запись в журнал вручную.

  • Пользовательский сценарий входа и выхода

  • Сведения об изменении элемента управления

  • Время начала и окончания обслуживания

С помощью командлета Write-AdminAuditLog можно указать строку текста для включения в журнал аудита с помощью параметра Comment . Параметр Comment принимает буквенно-цифровую строку длиной до 500 символов. В записи журнала аудита вручную вместе со строкой комментария содержатся все те же сведения, которые записываются при регистрации командлета Exchange. Описание каждого поля, включенного в журнал аудита, см. в таблице статьи Содержимое журнала аудита.

Вы можете получить записи журнала аудита вручную так же, как и любые другие записи журнала, с помощью страницы аудита EAC или командлетов Search-AdminAuditLog или New-AdminAuditLogSearch .

Сведения о том, как просмотреть содержимое параметра Comment в командлете Write-AdminAuditLog в записи журнала аудита вручную, см. в статье Поиск изменений группы ролей или журналов аудита администратора.

Репликация Active Directory

При ведении журнала аудита администратора используется репликация Active Directory для выполнения репликации параметров конфигурации, указанных для контроллеров домена в организации. В зависимости от параметров репликации внесенные изменения могут быть применены не сразу ко всем серверам Под управлением Exchange 2013 или Exchange 2010 в вашей организации.

Агент журнала аудита действий администратора

Встроенный агент расширения командлетов журнала аудита Администратор выполняет ведение журнала аудита администратора для операций командлетов в Exchange 2013. Этот агент считывает конфигурацию журнала аудита и выполняет оценку каждого командлета, запускаемого в организации. Если критерий, указанный в конфигурации журнала аудита, соответствует выполняемому командлету, агент создает журнал аудита.

Агент журнала аудита администратора включен по умолчанию, что необходимо для функции ведения журнала аудита. Его невозможно отключить, и его приоритет невозможно изменить. Дополнительные сведения об агентах расширения командлетов см. в разделе Агенты расширения командлетов.