Использование ведения журнала аудита администратора в Exchange Server
Вы можете использовать ведение журнала аудита администратора в Exchange Server, чтобы регистрировать, когда пользователь или администратор вносит изменения в вашей организации. Вы можете отследить пользователя, который внес изменение, дополнить журналы изменений подробными сведениями о применении изменения, обеспечить соответствие нормативным требованиям и запросам на обнаружение, а также многое другое.
По умолчанию ведение журнала аудита администратора включено в новых установках Exchange Server.
Что подлежит аудиту
Аудиту подлежат командлеты, которые выполняются непосредственно в Командная консоль Exchange. Кроме того, операции, для выполнения которых используется Центр администрирования Exchange, также регистрируются в журнале, так как при этом запускаются командлеты в фоновом режиме.
В журнал заносятся командлеты, независимо от места их выполнения, если они находятся в списке аудита командлетов и один или несколько параметров этих командлетов находятся в списке аудита параметров. Журнал аудита в большей степени показывает, какие действия выполнялись для изменения объектов в организации Exchange, а не какие объекты были просмотрены.
Примечания.
Командлет может быть не записан в журнал, если перед вызовом командлетом агента расширения командлета журнала аудита администратора произошла ошибка. Если ошибка произошла после вызова агента ведения журнала аудита администратора, командлет заносится в журнал вместе с соответствующей ошибкой. Дополнительные сведения см. в разделе агента журнала аудита Администратор далее в этом разделе.
На компьютерах, на которых во время изменения конфигурации открыта Командная консоль Exchange, изменения конфигурации журнала аудита обновляются каждые 60 минут. Если изменения необходимо применить немедленно, Командная консоль Exchange на каждом компьютере должна быть закрыта и снова открыта.
После запуска команды может пройти до 15 минут, прежде чем она появится в результатах поиска журнала аудита. Это связано с тем, что перед поиском необходимо выполнить индексацию записей журнала аудита. Если команда не появляется в журнале аудита администратора, подождите несколько минут и снова выполните поиск.
Как настроить ведение журнала аудита действий администратора
По умолчанию, когда ведение журнала аудита администратора включено, запись журнала создается при каждом запуске любого командлета. Если аудит всех запускаемых командлетов не требуется, можно настроить аудит только необходимых командлетов и параметров. Ведение журнала аудита настраивается с помощью командлета Set-AdminAuditLogConfig. В этом командлете используются параметры, рассматриваемые в следующих разделах.
Важно!
Изменения, вносимые в конфигурацию журнала аудита действий администратора, всегда фиксируются в журнале. Это происходит независимо от того, присутствует ли Set-AdminAuditLogConfig в списке командлетов для аудита и включено ли ведение журнала аудита.
При выполнении команды Exchange проверяет использованный командлет. Если выполняемый командлет соответствует любому из командлетов, предоставленных с параметром AdminAuditLogCmdlets , Exchange проверяет параметры, указанные в параметре AdminAuditLogParameters . Если в списке параметров найдено по крайней мере одно соответствие, Exchange заносит выполненный командлет в журнал. В следующих разделах приведены дополнительные сведения о каждом аспекте настройки ведения журнала аудита.
Дополнительные сведения об управлении конфигурацией ведения журнала аудита см. в статье Управление ведением журнала аудита администраторов.
Командлеты
Можно указать командлеты для которых необходимо осуществлять аудит, задав список командлетов и их параметров, записи о которых необходимо вносить в журнал. При настройке ведения журнала аудита можно указать для аудита каждый командлет или указать командлеты, которые требуется выполнить аудит, с помощью параметра AdminAuditLogCmdlets . Можно указать полные имена командлетов, например New-Mailbox, или указать частичные имена командлетов и заключить их в подстановочные знаки, такие как звездочка (*). Например, если требуется регистрировать при выполнении любого командлета, содержащего строку Transport , можно указать значение *Transport*. Можно использовать полные и частичные имена командлетов одновременно, чтобы настроить ведение журнала аудита необходимым образом.
Для аудита всех командлетов укажите только подстановочный знак (*). Это параметр по умолчанию.
Параметры
Кроме указания командлетов, записи о выполнении которых следует заносить в журнал, можно также указать, чтобы в журнал записывались командлеты, в которых используются определенные параметры. Используйте параметр AdminAuditLogParameters , чтобы указать, какие параметры следует регистрировать. Как и в случае с командлетами, можно указать полные имена параметров, например Database, или частичные имена параметров, заключенные в подстановочные знаки (*), например *Address*, или сочетание обоих.
Для аудита всех параметров укажите только подстановочный знак (*). Это параметр по умолчанию.
Срок хранения для журнала аудита действий администратора
По умолчанию записи в журнале аудита действий администратора хранятся в течение 90 дней. Через 90 дней запись удаляется. Ограничение на возраст журнала аудита можно изменить с помощью параметра AdminAuditLogAgeLimit . Например, чтобы изменить возрастной предел на 180 дней, используйте команду Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 180. Кроме того, вы можете указать количество дней, часов, минут и секунд, в течение которых необходимо хранить записи журнала аудита. Чтобы указать значение, используйте формат dd.hh:mm:ss , в котором применяется следующее:
dd: количество дней для хранения записи журнала аудита.
hh: количество часов для хранения записи журнала аудита.
mm: количество минут для хранения записи журнала аудита.
ss: количество секунд для хранения записи журнала аудита.
С помощью dd поля необходимо указать несколько лет. Например, 365 дней соответствуют одному году; 730 дней двум годам; 913 дней двум годам и шести месяцам. Например, чтобы задать предельный срок действия журнала аудита в два года и шесть месяцев, используйте значение 913.
Примечания.
Вы можете сократить срок, в течение которого хранится журнал аудита действий администратора. В этом случае все записи журнала аудита, чей возраст превысит новое значение времени, будут удалены.
Если для ограничения по возрасту задано значение 0, Exchange удаляет все записи в журнале аудита.
Рекомендуем назначить разрешения, гарантирующие, что изменять время хранения журнала аудита могут только пользователи с высоким уровнем доверия.
Ведение подробного журнала
По умолчанию в журнал аудита действий администратора записываются только имя и параметры командлета (вместе с указанными значениями), сведения об измененном объекте, пользователе, который выполнил командлет, времени его выполнения и сервере, на котором он выполнен. В журнале аудита действий администратора не регистрируются сведения об измененных свойствах объекта. Если вы хотите, чтобы журнал аудита администратора также включал свойства объекта, который был изменен, можно включить подробное ведение журнала, задав для параметра LogLevel значение Verbose. В этом случае помимо сведений по умолчанию будут регистрироваться старые и новые значения измененных свойств объекта.
Командлеты с глаголом Test
По умолчанию командлеты, начинающиеся с глагола Test, не заносятся в журнал. Можно указать, что командлеты Test должны быть зарегистрированы, задав для параметра TestCmdletLoggingEnabled значение $true. Рекомендуем включать ведение журнала аудита для командлетов проверки только на короткие периоды времени, так как при этом значительно увеличивается количество записей.
Журнал аудита действий администратора
При каждой регистрации командлета в журнале аудита действий администратора создается запись. Журнал аудита действий администратора хранится в выделенном почтовом ящике разрешения конфликтов, который скрыт и доступен только с помощью Центра администрирования Exchange, командлетов Search-AdminAuditLog и New-AdminAuditLogSearch. Содержание следующих разделов:
Содержание журнала аудита действий администратора.
Отчеты, доступные на странице Аудит в Центре администрирования Exchange.
Командлеты поиска в журнале аудита действий администратора.
Содержимое журнала аудита
Каждая запись журнала аудита содержит сведения, описанные в приведенной ниже таблице. Журнал аудита содержит одну или несколько записей. Количество записей журнала аудита определяется ограничением по возрасту журнала аудита, указанным с помощью Set-AdminAuditLogConfig -AdminAuditLogAgeLimit команды . Все записи журнала аудита, время хранения которых истекло, удаляются.
Поля записей журнала аудита
| Поле | Описание |
|---|---|
RunspaceId |
Это поле предназначено для внутреннего использования системой Exchange. |
ObjectModified |
Это поле содержит объект, измененный командлетом, указанным в CmdletName поле . |
CmdletName |
Это поле содержит имя командлета, который был запущен пользователем в Caller поле . |
CmdletParameters |
Это поле содержит параметры, указанные при выполнении командлета CmdletName в поле. В этом поле, при наличии, также хранится, но не отображается в выходных данных по умолчанию, значение, указанное с помощью параметра. |
ModifiedProperties |
Это поле содержит свойства, которые были изменены для объекта в ObjectModified поле . В этом поле также хранятся значения свойств как старые, так и новые (сохраненные). Важно! Это поле заполняется только в том случае, если параметр LogLevel в командлете Set-AdminAuditLogConfig имеет значение verbose. |
Caller |
Это поле содержит учетную запись пользователя, который выполнил командлет в CmdletName поле . |
Succeeded |
Это поле указывает, успешно ли выполнен командлет в CmdletName поле. Значение равно или TrueFalse. |
Error |
Это поле содержит сообщение об ошибке, созданное в случае неудачного завершения командлета CmdletName в поле. |
RunDate |
Это поле содержит дату и время выполнения командлета CmdletName в поле. Дата и время хранятся в формате времени UTC. |
OriginatingServer |
Это поле указывает сервер, на котором был запущен командлет, указанный CmdletName в поле. |
Identity |
Это поле предназначено для внутреннего использования системой Exchange. |
IsValid |
Это поле предназначено для внутреннего использования системой Exchange. |
ObjectState |
Это поле предназначено для внутреннего использования системой Exchange. |
Отчеты аудита Центра администрирования Exchange
На странице Аудит в Центре администрирования Exchange представлено несколько отчетов, содержащих сведения о различных типах изменений, касающийся соответствия требованиям и конфигурации администрирования. Следующие отчеты содержат сведения об изменениях конфигурации в организации:
Отчет о группе ролей администратора. Этот отчет позволяет искать изменения в группах ролей управления, указанные в течение указанного периода времени. Полученные результаты содержат данные об измененных группах ролей, внесенных изменениях, а также о том, кто и когда внес эти изменения. Может быть возвращено не более 3000 записей. Если в результатах поиска выведено более 3000 записей, используйте отчет Журнал аудита администратора или командлет Search-AdminAuditLog.
Администратор отчет по журналу аудита. Этот отчет позволяет просматривать записи в журнале аудита администратора, записанные в течение указанного периода времени. Вы также можете экспортировать их в XML-файл, а затем отправить этот файл по электронной почте указанному получателю. Дополнительные сведения о содержимом XML-файла см. в разделе Структура журнала аудита администратора.
Сведения об использовании этих отчетов см. в статье Поиск изменений группы ролей или журналы аудита администратора.
Командлет Search-AdminAuditLog
При запуске командлета Search-AdminAuditLog возвращаются все записи журнала аудита, которые соответствуют условиям поиска. Можно указать следующие условия поиска:
Командлеты. Указывает командлеты, которые нужно найти в журнале аудита администратора.
Параметры. Указывает параметры, разделенные запятыми, которые нужно найти в журнале аудита администратора. Поиск параметров возможен, только если указан командлет для поиска.
Дата окончания: ограничивает результаты журнала аудита администратора записями, которые произошли на указанную дату или раньше.
Дата начала: ограничивает результаты журнала аудита администратора записями, которые произошли на указанную дату или позже.
Идентификаторы объектов. Указывает, что должны возвращаться только записи журнала аудита администратора, содержащие указанные измененные объекты.
Идентификаторы пользователей. Указывает, что должны возвращаться только записи журнала аудита администратора, содержащие указанные идентификаторы пользователя, запустившего командлет.
Успешное завершение. Указывает, должны ли возвращаться только записи журнала аудита администратора, указывающие на успех или сбой.
Каждая запись журнала аудита содержит сведения, описанные в таблице в разделе Содержимое журнала аудита. По умолчанию возвращается только первая 1000 записей журнала, которые соответствуют условиям поиска. Однако значение по умолчанию можно изменить с помощью параметра ResultSize. Можно указать значение Unlimited с помощью параметра ResultSize , чтобы вернуть все записи журнала, соответствующие указанным условиям.
Сведения об использовании командлета Search-AdminAuditLog см. в разделе Поиск изменений группы ролей или журналы аудита администратора.
Командлет New-AdminAuditLogSearch
Командлет New-AdminAuditLogSearch выполняет поиск в журнале аудита действий администратора подобно командлету Search-AdminAuditLog. Однако вместо того, чтобы выводить результаты поиска в Командная консоль Exchange, командлет New-AdminAuditLogSearch выполняет поиск и отправляет результаты по электронной почте указанному получателю. Результаты включаются в электронное сообщение в виде XML-вложения.
С командлетом New-AdminAuditLogSearch можно использовать такие же условия поиска, как и с командлетом Search-AdminAuditLog. Список условий поиска см. в разделе Командлет Search-AdminAuditLog.
После выполнения командлета New-AdminAuditLogSearch для доставки отчета указанному получателю может потребоваться до 15 минут. Максимальный размер отчета в формате XML составляет 10 МБ. XML-файл содержит такие же сведения, что и таблица в разделе Содержимое журнала аудита. Дополнительные сведения о структуре XML-файла см. в разделе Структура журнала аудита администратора.
Примечание.
Outlook Web App не позволяет открывать XML-вложения по умолчанию. Вы можете настроить Exchange, чтобы разрешить просмотр XML-вложений с помощью Outlook Web App, или использовать другой почтовый клиент, например Microsoft Outlook, для просмотра вложения. Сведения о настройке Outlook Web App для просмотра XML-вложений см. в статье Просмотр и настройка виртуальных каталогов Outlook в Интернете в Exchange Server.
Сведения об использовании командлета New-AdminAuditLogSearch см. в разделе Поиск изменений группы ролей или журналы аудита администратора.
Как вносить записи в журнал аудита действий администратора вручную
Помимо ведения журнала командлетов Exchange при их запуске, Exchange Server позволяет вручную записывать записи журнала в журнал аудита. Exchange Server поддерживает это с помощью командлета Write-AdminAuditLog. Ниже перечислены ситуации, в которых может потребоваться добавить запись в журнал вручную.
Пользовательский сценарий входа и выхода
Сведения об изменении элемента управления
Время начала и окончания обслуживания
С помощью командлета Write-AdminAuditLog можно указать строку текста для включения в журнал аудита с помощью параметра Comment . Параметр Comment принимает буквенно-цифровую строку длиной до 500 символов. В записи журнала аудита вручную вместе со строкой комментария содержатся все те же сведения, которые записываются при регистрации командлета Exchange. Описание полей, включенных в журнал аудита, см. в таблице из раздела Содержимое журнала аудита.
Записи журнала аудита, внесенные вручную, можно извлекать так же, как и любые другие записи журнала с помощью страницы аудита Центра администрирования Exchange или командлетов Search-AdminAuditLog и New-AdminAuditLogSearch.
Сведения о том, как просмотреть содержимое параметра Comment в командлете Write-AdminAuditLog в записи журнала аудита вручную, см. в статье Поиск изменений группы ролей или журналов аудита администратора.
Репликация Active Directory
При ведении журнала аудита администратора используется репликация Active Directory для выполнения репликации параметров конфигурации, указанных для контроллеров домена в организации. В зависимости от параметров репликации выполненные изменения не сразу применяются ко всем серверам Exchange в организации.
Агент журнала аудита действий администратора
Встроенный агент расширения командлета журнала аудита Администратор выполняет ведение журнала аудита администратора для операций командлетов в Exchange Server. Этот агент считывает конфигурацию журнала аудита и выполняет оценку каждого командлета, запускаемого в организации. Если критерий, указанный в конфигурации журнала аудита действий администратора, соответствует запускаемому командлету, агент создает запись.
Агент журнала аудита администратора включен по умолчанию, что необходимо для функции ведения журнала аудита действий администратора. Его невозможно отключить, и его приоритет невозможно изменить. Дополнительные сведения об агентах расширения командлета см. в статье Cmdlet Extension Agents.