Структура журнала аудита администратора в Exchange Server
Журналы аудита администратора содержат запись всех командлетов и параметров, которые были запущены в командной консоли Exchange и в Центре администрирования Exchange (EAC). Они создаются по запросу при запуске отчета журнала аудита администратора в Центре администрирования Exchange или при выполнении командлета New-AdminAuditLogSearch в командной консоли Exchange. Дополнительные сведения о журналах аудита см. в разделе Ведение журнала аудита администратора в Exchange Server.
Теги XML и атрибуты журнала аудита
Журналы аудита хранятся в файлах XML и могут содержать записи нескольких журналов. В следующей таблице описаны все теги XML и связанные с ними атрибуты.
| Элемент | Атрибут | Описание |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
Недоступно | Это тег объявления документа XML. Он включается в каждый файл XML журнала аудита и содержит номер версии XML и значение типа кодировки символов. |
SearchResults |
Недоступно | В этом теге содержатся все записи журнала аудита в файле XML. Тег Event является дочерним для этого тега. Для КАЖДОГО XML-файла существует только один SearchResults тег. |
Event |
В этом теге содержится запись журнала аудита для отдельного командлета. Этот тег содержит атрибуты Caller, Cmdlet, ObjectModified, RunDate, Succeeded, Errorи OriginatingServer . Теги CmdletParameters и ModifiedProperties являются дочерними элементами этого тега. Существует один Event тег для каждой записи журнала аудита. |
|
Caller |
Этот атрибут содержит учетную запись пользователя, который выполнил командлет в атрибуте Cmdlet . |
|
Cmdlet |
Этот атрибут содержит имя командлета, который был запущен пользователем в атрибуте Caller . |
|
ObjectModified |
Этот атрибут содержит объект, измененный командлетом, указанным в атрибуте Cmdlet . Тег ModifiedProperties показывает, какие свойства были изменены для этого объекта. |
|
RunDate |
Этот атрибут содержит дату и время выполнения командлета в атрибуте Cmdlet . |
|
Succeeded |
Этот атрибут указывает, успешно ли выполнен командлет в атрибуте Cmdlet . Значение равно или TrueFalse. |
|
Error |
Этот атрибут содержит сообщение об ошибке, созданное в случае неудачного завершения командлета в атрибуте Cmdlet . Если ошибка не обнаружена, значение задается в None. |
|
OriginatingServer |
Этот атрибут содержит сервер, на котором был запущен командлет, указанный в атрибуте Cmdlet . |
|
CmdletParameters |
Недоступно | В этом теге содержатся все параметры, заданные при запуске командлета. Тег Parameter является дочерним для этого тега. На каждый тег приходится по одному CmdletParameters тегу Event . |
Parameter |
В этом теге содержится отдельный параметр, заданный при запуске командлета. Этот тег содержит атрибуты Name и Value . На тег CmdletParameters может быть несколько Parameter тегов. |
|
Name |
В этом атрибуте содержится имя параметра, заданного в командлете при его запуске. | |
Value |
Этот атрибут содержит значение, указанное в параметре, указанном в атрибуте Name . |
|
ModifiedProperties |
Недоступно | В этом теге содержатся все свойства, которые были изменены в результате выполнения командлета. Тег Property является дочерним для этого тега. На каждый тег приходится по одному ModifiedProperties тегу Event . Важно! Этот тег заполняется только в том случае, если параметр LogLevel в командлете Set-AdminAuditLogConfig имеет значение Verbose. |
Property |
В этом теге содержится отдельное свойство, заданное при запуске командлета. Этот тег содержит атрибуты Name, OldValueи NewValue . На тег ModifiedProperties может быть несколько Property тегов. |
|
Name |
В этом атрибуте содержится имя свойства, измененного в результате выполнения командлета. | |
OldValue |
Этот атрибут содержит значение, которое содержалось в свойстве, указанном в атрибуте Name до его изменения. |
|
NewValue |
Этот атрибут содержит значение, на которое было изменено свойство в атрибуте Name . |
Пример записи в журнале аудита действий администратора
Ниже приведен пример типичной записи в журнала аудита действий администратора.
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e16.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e16.contoso.com/Users/david" RunDate="2015-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.01.0396.030)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>
На основе данных в этой записи журнала мы знаем, что произошло следующее:
18.10.2017 в 15:48 по тихоокеанскому времени (UTC-7) пользователь
Administratorвыполнил командлет Set-Mailbox.При запуске командлета Set-Mailbox было задано два следующих параметра:
Удостоверение со значением
davidProhibitSendReceiveQuota со значением
10GB
Свойство ProhibitSendReceiveQuota объекта
davidбыло изменено новым значением10GB, которое заменило старое значение35GB.Примечание.
Измененные свойства сохраняются в журнале аудита, так как в этом примере параметру LogLevel в командлете
Set-AdminAuditLogConfigбыло присвоено значениеVerbose.Операция успешно завершена без ошибок.