Поиск изменений группы ролей или журналов аудита администратора в Exchange 2013
Область применения: Exchange Server 2013 г.
Поиск по журналу административного аудита позволяет определить автора изменений организации, сервера и сведений получателя. Это может помочь при определении причины неожиданного поведения, для выявления недобросовестного администратора или для проверки соблюдения всех требований. Дополнительные сведения о ведении журнала аудита администратора см. в разделе Administrator audit logging.
Чтобы выполнить поиск по почтовому ящику журнала аудита, обратитесь к разделу Ведение журнала аудита почтового ящика.
Что нужно знать перед началом работы
Предполагаемое время для завершения каждой процедуры: менее 5 минут
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Просмотр журнала аудита только администратора" в разделе Разрешения инфраструктуры Exchange и оболочки .
Ведение журнала аудита действий администратора по умолчанию включено. Чтобы убедиться, что резервная непрерывная репликация включена, выполните следующую команду:
Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled
Значение
True
указывает, что ведение журнала аудита администратора включено. ЗначениеFalse
указывает, что он отключен. Чтобы включить ведение журнала аудита действий администратора для локальной организации Exchange, используйте следующую команду:Set-AdminAuditLogConfig -AdminAuditLogEnabled $true
Дополнительные сведения см. в разделе Управление ведением журнала аудита администраторов.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в статье Сочетания клавиш для Центра администрирования Exchange в Exchange 2013.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.
Использование EAC для запуска отчета об изменениях группы ролей управления
Если вы хотите узнать, какие изменения в членстве в группах ролей управления были внесены в группы ролей в вашей организации, можно использовать отчет группа ролей администратора в Центре администрирования Exchange (EAC). Отчет «Группы ролей администраторов» позволяет просмотреть список групп ролей, которые были изменены в течение указанного периода. Также можно просмотреть изменения для определенных групп ролей.
В EAC выберитеАудит управления >соответствиеми щелкните Запуск отчета группы ролей администратора.
Выберите диапазон дат с помощью полей Дата начала и Дата окончания.
Щелкните Выбрать группы ролей, а затем выберите группы ролей, для которых требуется показать изменения, или оставьте это поле пустым, чтобы найти изменения во всех группах ролей.
Нажмите кнопку Поиск.
При нахождении изменений, соответствующих указанным критериям, они будут отображены в результатах поиска. Щелкните группу ролей, чтобы отобразить изменения группы ролей в области сведений.
Использование EAC для экспорта журнала административного аудита
Чтобы создать XML-файл, который содержит изменения, внесенные в организацию, можно воспользоваться отчетом экспорта журнала аудита администраторов EAC. Этот отчет позволяет указать диапазон дат для поиска записей журнала аудита, которые содержат изменения, выполненные указанными пользователями. После этого XML-файл отправляется получателю в виде вложения в сообщение электронной почты. Максимальный размер XML-файла составляет 10 мегабайт (МБ).
Примечание.
Outlook Web App не позволяет открывать XML-вложения по умолчанию. Вы можете настроить Exchange, чтобы разрешить просмотр XML-вложений с помощью Outlook Web App, или использовать другой почтовый клиент, например Microsoft Outlook, для просмотра вложения. Сведения о настройке Outlook Web App для просмотра XML-вложений см. в статье Просмотр или настройка виртуальных каталогов Outlook Web App.
В EAC выберитеАудит управления >соответствиеми щелкните Экспорт журнала аудита администратора.
Выберите диапазон дат с помощью полей Дата начала и Дата окончания.
В поле Отправить отчет аудита нажмите кнопку Выбрать пользователей и укажите получателя отчета.
Нажмите кнопку Экспорт.
Если указанным критериям соответствуют записи журнала, то XML-файл будет создан и отправлен указанному получателю в виде вложения.
Использование командной строки для поиска записей журнала аудита
Вы можете использовать оболочку для поиска записей журнала аудита, соответствующих заданным критериям. Список условий поиска см. в разделе Ведение журнала аудита администратора. В этой процедуре используется командлет Search-AdminAuditLog и отображаются результаты поиска в оболочке. Этот командлет можно использовать, если необходимо вернуть набор результатов, превышающий ограничения, определенные в командлете New-AdminAuditLogSearch или в отчетах об аудите EAC.
Если вы хотите отправить получателю результаты поиска в журнале аудита во вложении электронной почты, см . раздел Использование оболочки для поиска записей журнала аудита и отправки результатов получателю далее в этом разделе.
Чтобы выполнить поиск по указанному критерию журнала аудита, используйте следующий синтаксис.
Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >
Примечание.
Командлет Search-AdminAuditLog по умолчанию возвращает максимум 1000 записей журнала. Используйте параметр ResultSize , чтобы указать до 250 000 записей журнала. Или используйте значение Unlimited
для возврата всех записей.
В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:
Дата начала: 04.08.2012
Дата окончания: 03.10.2012
Идентификаторы пользователей: davids, chrisd, kima
Командлеты: Set-Mailbox
Параметры: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize и MaxReceiveSize
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima
В этом примере выполняется поиск изменений определенных почтовых ящиков. Это позволяет определить неполадку или предоставить сведения для диагностики. Используются следующие критерии:
Дата начала: 01.05.2012
Дата окончания: 03.10.2012
Идентификатор объекта: contoso.com/Users/DavidS
Search-AdminAuditLog -StartDate 05/01/2012 -EndDate 10/03/2012 -ObjectID contoso.com/Users/DavidS
Если поиск возвращает слишком много записей журнала, рекомендуется выполнить действия, описанные в разделе Использование командной строки для поиска записей журнала аудита и отправки результатов получателям этого документа. Действия в этом разделе позволяют отправить XML-файл в виде вложения сообщения электронной почты указанным отправителям, чтобы быстрее извлечь интересующие данные.
Дополнительные сведения о синтаксисе и параметрах см. в разделе Search-AdminAuditLog.
Просмотр подробных сведений о записях журнала аудита
Командлет Search-AdminAuditLog возвращает поля, описанные в разделе «Содержимое журнала аудита» в Ведение журнала аудита администратора. Поля CmdletParameters и ModifiedProperties, возвращаемые командлетом, содержат дополнительные сведения, которые невозможно просмотреть по умолчанию.
Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties, выполните указанные ниже действия. Кроме того, можно также использовать процедуру в разделе Использование командной строки для поиска записей журнала аудита и отправки результатов получателям этого документа для создания XML-файла.
В этой процедуре используются следующие основные понятия:
Определите критерии поиска, запустите командлет Search-AdminAuditLog и сохраните результаты в переменной с помощью следующей команды.
$Results = Search-AdminAuditLog <search criteria>
Каждая запись журнала аудита хранится как элемент массива в переменной
$Results
. Чтобы выбрать элемент массива, укажите его индекс. Индексы элементов массива начинаются с 0 для первого элемента массива. Например, чтобы получить пятый элемент массива с индексом 4, используйте следующую команду.$Results[4]
Предыдущая команда возвращает запись журнала, хранящуюся в элементе массива 4. Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties для этой записи журнала, используйте следующие команды.
$Results[4].CmdletParameters $Results[4].ModifiedProperties
Чтобы просмотреть содержимое полей CmdletParameters и ModifiedParameters в другой записи журнала, измените индекс элемента массива.
Использование командной строки для поиска записей журнала аудита и отправки результатов получателям
Вы можете использовать оболочку для поиска записей журнала аудита, которые соответствуют заданным критериям, а затем отправить эти результаты получателю, который вы указали в виде вложения XML-файла. Результаты отправляются получателю в течение 15 минут. Список условий поиска см. в разделе Ведение журнала аудита администратора.
Примечание.
Outlook Web App не позволяет открывать XML-вложения по умолчанию. Вы можете настроить Exchange, чтобы разрешить просмотр XML-вложений с помощью Outlook Web App, или использовать другой почтовый клиент, например Microsoft Outlook, для просмотра вложения. Сведения о настройке Outlook Web App для просмотра XML-вложений см. в статье Просмотр или настройка виртуальных каталогов Outlook Web App.
Чтобы выполнить поиск по указанному критерию журнала аудита, используйте следующий синтаксис.
New-AdminAuditLogSearch -Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False > -StatusMailRecipients <recipient 1, recipient 2, ...> -Name <string to include in subject>
В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:
Дата начала: 04.08.2012
Дата окончания: 03.10.2012
Идентификаторы пользователей: davids, chrisd, kima
Командлеты: Set-Mailbox
Параметры: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize
Команда отправляет результаты на davids@contoso.com SMTP-адрес с параметром "Изменения ограничения почтового ящика", включенным в строку темы сообщения.
New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"
Примечание.
Отчет, создаваемый командлетом New-AdminAuditLogSearch, имеет максимальный размер в 10 МБ. Если выполняемый поиск возвращает отчет больше 10 МБ, следует изменить критерии поиска. Например, можно сократить размер диапазона данных и выполнить несколько отчетов, каждый из которых будет содержать часть исходного диапазона данных.
Дополнительные сведения о формате XML-файла см. в разделе Структура журнала аудита администратора.
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-AdminAuditLogSearch.