使用审核日志来记录用户操作
适用于: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu
上一次修改主题: 2011-03-19
审核日志可记录特定用户执行的特定操作。启用审核日志记录时,管理员可以使用该功能维护包含对收件人对象所做的所有更改的记录。审核日志记录可帮助您的组织符合法规要求。通过仔细配置审核日志记录的范围,您可以精确控制记录的操作,从而可使审核日志更易于检查和管理。
在本主题中,我们介绍了以下内容:
- 记录哪些操作?
- 如何记录用户操作?
- 配置审核日志记录
- 启用审核日志记录
- 精确配置记录的内容
- 禁用审核日志记录
- 查看审核日志记录设置
记录哪些操作?
默认情况下,审核日志将记录基于 Windows PowerShell cmdlet 且不以谓词 Get 或 Test 开头的所有操作。操作不必直接在 Windows PowerShell 中执行。Exchange 控制面板和“Outlook Web App”>“选项”中的所有操作都基于 Windows PowerShell cmdlet 构建。因此,只要用户使用 Windows PowerShell、Exchange 控制面板或“Outlook Web App”>“选项”来执行创建、修改或删除对象的任何操作,就会记录该操作。
如何记录用户操作?
审核日志记录数据存储在发送到审核邮箱的电子邮件中。当用户执行要记录的某个操作时,会有一封电子邮件发送到指定为审核邮箱的邮箱,在其中存储审核日志。如果一个操作涉及多个 cmdlet,则会将每个 cmdlet 分别记录在单独电子邮件中。如果对多个对象使用同一个 cmdlet,则会将每个对象分别记录在单独电子邮件中。
在您规划审核日志记录策略时,请务必确定要用于对发送到审核邮箱的审核日志电子邮件进行存档的方式。邮箱配额**(即允许的最大邮箱大小)为 10 GB,但当某个邮箱中的内容达到“禁止接收”**限制指定的大小(即 9.668 GB)时,电子邮件服务会停止向该邮箱传递电子邮件。为此,当您运行 Outlook Live 目录同步 (OLSync) 时,如果没有仔细配置审核日志记录以缩小其记录的用户操作的范围,则不应运行审核日志记录。否则,审核日志电子邮件可能很快将审核邮箱填满。
若要查看审核日志,可以使用任何电子邮件客户端(如 Microsoft Office Outlook 或 Microsoft Office Outlook Web App)访问指定的审核邮箱。
每封电子邮件中都包含下列信息。
| 项目 | 描述 |
|---|---|
Message subject |
电子邮件主题的格式为 <Caller> : <Cmdlet Name>。Caller 是用于运行 cmdlet 的用户帐户。Cmdlet Name 是用户运行的 cmdlet 的名称。 |
Cmdlet Name |
用户运行的 cmdlet 的名称。每封电子邮件只能包含一个 Cmdlet Name 值。 |
Object Modified |
通过 cmdlet 修改的对象的名称。每封电子邮件只能包含一个 Object Modified 值。 |
Parameter |
用于 cmdlet 的参数以及为这些参数指定的值。如果使用了多个参数,则会显示多个 Parameter 字段。 |
Property Modified |
修改的属性的名称以及修改的属性的值。如果修改了多个属性,则会显示多个 Property Modified 字段。 |
Caller |
运行 cmdlet 的用户帐户。 调用者可以用安全标识符 (SID) GUID 表示。若要将 SID 映射到特定用户,请运行下面的命令: 例如,如果 SID |
Succeeded |
指定 cmdlet 是否成功运行。值为 |
Error |
cmdlet 未能成功完成时生成的错误消息。如果 cmdlet 成功完成,则值为 |
Run Date |
显示运行 cmdlet 的日期和时间。日期和时间以协调世界时代码 (UTC) 格式存储。 |
返回页首
配置审核日志记录
使用 Windows PowerShell 可配置审核日志记录设置。
若要了解如何安装和配置 Windows PowerShell 以及如何连接到服务,请参阅使用 Windows PowerShell。
启用审核日志记录
运行以下命令:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogMailbox <mailbox e-mail address>
例如,若要启用审核日志记录并指定现有邮箱 logging@contoso.edu 用于存储审核日志,请运行下面的命令:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogMailbox logging@contoso.edu
注意 如果不指定用于存储审核日志的邮箱,则不能启用审核日志记录。指定为审核邮箱的邮箱不需要进行任何其他配置。只需创建常规邮箱即可。如果以前使用 AdminAuditLogMailbox 参数指定了邮箱,则不必再次使用 AdminAuditLogEnabled 参数指定邮箱来打开审核日志记录。
返回页首
精确配置记录的内容
如前所述,默认情况下,审核日志记录会捕获除了以谓词 Get 或 Test 开头的所有 cmdlet。如果您要限制记录的 cmdlet 或参数,则可以在 Set-AdminAuditLogConfig cmdlet 中使用 AdminAuditLogCmdlets 和 AdminAuditLogParameters 参数。
指定记录的 cmdlet 和参数
默认情况下,AdminAuditLogCmdlets 和 AdminAuditLogParameters 参数的值为 *,这表示记录所有 cmdlet 和所有参数。若要限制记录的内容,可以指定 cmdlet 名称和参数名称。通过用逗号分隔名称,可以指定多个 cmdlet 或参数。也可以在 cmdlet 或参数名称中使用通配符 (*)。下面是一些将通配符用于 cmdlet 名称和参数名称的示例:
*-Mailbox*Address*Custom*
例如,若要将审核日志记录限制为以谓词 Remove 开头的 cmdlet,请运行下面的命令:
Set-AdminAuditLogConfig -AdminAuditLogCmdlets Remove-* -AdminAuditLogParameters *
为 Test cmdlet 启用审核日志记录
默认情况下不记录以谓词 Get 或 Test 开头的 cmdlet。在 Set-AdminAuditLogConfig cmdlet 中使用 TestCmdletLoggingEnabled 参数可为以谓词 Test 开头的 cmdlet 启用或关闭日志记录。
若要为 Test cmdlet 启用日志记录,请运行下面的命令:
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $true
若要为 Test cmdlet 关闭日志记录,请运行下面的命令:
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $false
注意 Test cmdlet 可能会返回大量数据。因此,您只应考虑在短时间内为 Test cmdlet 启用日志记录。
返回页首
禁用审核日志记录
运行以下命令:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $false
查看审核日志记录设置
运行以下命令:
Get-AdminAuditLogConfig
返回页首