Поделиться через


Просмотр журнала аудита администратора в Exchange 2013

Область применения: Exchange Server 2013 г.

В Microsoft Exchange 2013 вы можете использовать Центр администрирования Exchange (EAC) для поиска и просмотра записей в журнале аудита администратора. В этот журнал записываются определенные действия на основе командлета Командная консоль Exchange, выполняемые администраторами и пользователями с правами администратора. В записях журнала уточняется, какой командлет выполнен, какие параметры использованы, кто выполнял командлет, а также какие объекты задействованы.

Примечание.

Ведение журнала аудита действий администратора по умолчанию включено.
В журнал аудита действий администраторов не записываются действия на основе командлета Командная консоль Exchange, который начинается с глагола Get, Search или Test.
Записи журнала аудита хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения: 5 минут.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Просмотр отчетов" в разделе Политика обмена сообщениями и разрешения на соответствие требованиям .

  • Как было сказано ранее, ведение журнала аудита действий администратора по умолчанию включено. Чтобы убедиться в этом, выполните следующую команду.

    Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled
    

    Вы можете включить ведение журнала аудита администратора, если оно отключено, выполнив следующую команду.

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
    
  • Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в статье Сочетания клавиш для Центра администрирования Exchange в Exchange 2013.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Использование EAC для просмотра журнала аудита действий администратора

  1. В центре администрирования EAC перейдите в разделАудитуправления> соответствием и выберите Запустить отчет журнала аудита администратора.

  2. Выберите дату начала и дату окончания, а затем выберите Поиск. Все изменения конфигурации, внесенные за указанный период времени, отображаются и могут быть отсортированы с использованием следующих сведений:

    • Дата: дата и время изменения конфигурации. Дата и время хранятся в формате времени UTC.

    • Командлет: имя командлета, который использовался для изменения конфигурации.

    • Пользователь: имя учетной записи пользователя, который внес изменения в конфигурацию.

    На нескольких страницах отображается до 5000 записей. Укажите меньший диапазон дат, чтобы сократить число результатов. Если выбрать отдельный результат, в области сведений отображаются следующие сведения.

    • Объект изменен: объект, измененный командлетом .

    • Параметры (Parameter:Value): используемые параметры командлета и любое значение, указанное в параметре .

  3. Если вы хотите напечатать определенную запись журнала, нажмите кнопку Печать в области сведений.

Как проверить, все ли получилось?

Если вы успешно выполнили отчет для журнала аудита действий администратора, изменения, внесенные в течение заданного периода, появится в области результатов поиска. Если результатов нет, измените диапазон дат и повторно запустите отчет.

Примечание.

После внесения изменения в конфигурацию может потребоваться до 15 минут, чтобы оно появилось в результатах поиска в журнале аудита. Если изменение не появляется в журнале аудита администратора, подождите несколько минут и снова выполните поиск.