共用方式為

在 Exchange 2013 中搜尋角色群組變更或系統管理員稽核記錄

  • 發行項

適用於:Exchange Server 2013

您可以搜尋系統管理員稽核記錄,以查明是誰變更組織、伺服器和收件者組態。 在嘗試追蹤意外行為的原因時,這有助於識別惡意的系統管理員,或驗證是否符合規範需求。 如需有關系統管理員稽核記錄的詳細資訊,請參閱系統管理員稽核記錄

如果您想要搜尋信箱稽核記錄,請參閱 信箱稽核記錄

開始之前有哪些須知?

  • 每項程序的預估完成時間:不到 5 分鐘

  • 您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱 Exchange 和 Shell 基礎 結構許可權主題中的專案。

  • 系統管理員稽核記錄依預設已啟用。 若要驗證是否已將其啟用,請執行下列命令:

    Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled

    True 值表示已啟用系統管理員稽核記錄。 的 False 值表示已停用。 如果您需要啟用內部部署 Exchange 組織的系統管理員稽核記錄,請執行下列命令:

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $true

    如需詳細資訊,請參閱 管理系統管理員稽核記錄

  • 如需可能適用于本主題中程式的鍵盤快速鍵相關資訊,請參閱 Exchange 2013 中 Exchange 系統管理中心的鍵盤快速鍵

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。

使用 EAC 執行管理角色群組變更報告

如果您想要知道對組織中的角色群組所做的管理角色群組成員資格變更,您可以使用 Exchange 系統管理中心內的系統管理員角色群組報告, (EAC) 。 您可以使用「系統管理員角色群組」報告來檢視指定日期範圍內已變更的角色群組清單。 您也可以選取想要檢視變更的特定角色群組。

  1. 在 EAC 中,選取 [合規性管理>稽核],然後按一下 [執行系統管理員角色群組報告]

  2. Select a date range using the Start date and End date fields.

  3. Click Select role groups, and then select the role groups you want to show changes for or leave this field blank to search for changes in all role groups.

  4. Click Search.

如果使用您指定的準則找到任何變更,結果窗格中會顯示變更清單。 按一下角色群組會在詳細資料窗格中顯示角色群組的變更。

Use the EAC to export the administrator audit log

如果您要建立 XML 檔案,其中包含組織的變更,您可以在 ECP 中使用 [匯出系統管理員稽核記錄] 報告。 您可以使用 [匯出系統管理員稽核記錄] 報告來指定日期範圍,以搜尋包含您指定之使用者所做變更的稽核記錄項目。 然後,XML 檔案會以電子郵件附件形式傳送給收件者。 XML 檔案的大小上限為 10 MB。

注意事項

Outlook Web App預設不允許您開啟 XML 附件。 您可以設定 Exchange 以允許使用Outlook Web App檢視 XML 附件,或使用另一個電子郵件用戶端,例如 Microsoft Outlook 來檢視附件。 如需如何設定Outlook Web App以允許您檢視 XML 附件的資訊,請參閱檢視或設定Outlook Web App虛擬目錄

  1. 在 EAC 中,選取 [合規性管理>稽核],然後按一下 [匯出系統管理員稽核記錄]

  2. Select a date range using the Start date and End date fields.

  3. In the Send the auditing report to field, click Select users and then select the recipient you want to send the report to.

  4. Click Export.

如果使用您指定的準則找到任何記錄項目,將會建立 XML 檔案,並以電子郵件附件形式傳送給您指定的收件者。

使用命令介面來搜尋稽核記錄項目

您可以使用命令介面來搜尋符合指定準則的稽核記錄項目。 如需搜尋準則的清單,請參閱系統管理員稽核記錄。 此程序使用 Search-AdminAuditLog 指令程式並在命令介面中顯示搜尋結果。 當您需要傳回的一組結果超過 New-AdminAuditLogSearch Cmdlet 或 EAC「稽核報告」報告中所定義的限制時,就可以使用這個 Cmdlet。

如果您想要將電子郵件附件中的稽核記錄搜尋結果傳送給收件者,請參閱本主題稍後 的使用 Shell 搜尋稽核記錄專案,並將結果傳送給收件者一 節。

若要搜尋指定準則的稽核記錄,請使用下列語法。

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

注意事項

根據預設, Search-AdminAuditLog 指令程式最多會傳回 1,000 個記錄項目。 使用 ResultSize 參數最多可指定 250,000 個記錄專案。 或者,使用 值 Unlimited 傳回所有專案。

此範例使用下列準則,執行所有稽核記錄項目的搜尋:

  • 開始日期:08/04/2012

  • 結束日期:2012/10/03

  • 使用者識別碼:davids、chrisd、kia

  • CmdletSet-Mailbox

  • 參數ProhibitSendQuotaProhibitSendReceiveQuotaIssueWarningQuotaMaxSendSizeMaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima

此範例搜尋特定信箱的變更。 如果您在進行疑難排解或需要提供調查的資訊,這會很有用。 使用下列準則:

  • 開始日期:2012/05/01

  • 結束日期:2012/10/03

  • 物件標識符:contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2012 -EndDate 10/03/2012 -ObjectID contoso.com/Users/DavidS

如果搜尋傳回許多記錄項目,建議您使用本主題稍後的使用命令介面搜尋稽核記錄項目並將結果傳送給收件者中提供的程序。 該章節中的程序會以電子郵件附件形式將 XML 檔案傳送給您指定的收件者,讓您更輕鬆擷取感興趣的資料。

如需詳細的語法及參數資訊,請參閱 Search-AdminAuditLog

檢視稽核記錄項目的詳細資料

Search-AdminAuditLog Cmdlet 會傳回 系統管理員稽核記錄的「稽核記錄內容」一節所描述的欄位。 在此指令程式傳回的欄位中, CmdletParametersModifiedProperties 兩個欄位包含依預設無法檢視的其他資訊。

若要檢視 CmdletParametersModifiedProperties 欄位的內容,請使用下列步驟。 或者,您可以使用本主題稍後的 使用命令介面搜尋稽核記錄項目並將結果傳送給收件者中的程序來建立 XML 檔案。

此程序採用下列概念:

  1. 決定您要搜尋的準則、執行 Search-AdminAuditLog 指令程式,然後使用下列命令將結果儲存在變數中。

    $Results = Search-AdminAuditLog <search criteria>

  2. 每個稽核記錄專案都會儲存為變數 中的陣列 $Results 專案。 您可以指定陣列項目索引來選取陣列元素。 陣列元素索引從零 (0) 開始,表示第一個陣列元素。 例如,若要擷取第 5 個陣列元素,其索引為 4,請使用下列命令。

    $Results[4]

  3. 上一個命令會傳回儲存在陣列元素 4 中的記錄項目。 若要查看此記錄項目的 CmdletParametersModifiedProperties 欄位的內容,請使用下列命令。

    $Results[4].CmdletParameters
$Results[4].ModifiedProperties

  4. 若要檢視另一個記錄項目的 CmdletParametersModifiedParameters 欄位,請變更陣列元素索引。

使用命令介面搜尋稽核記錄項目並將結果傳送給收件者

您可以使用命令介面來搜尋符合指定準則的稽核記錄項目,然後以 XML 檔案附件形式將這些結果傳送給您指定的收件者。 結果會在 15 分鐘內傳送給收件者。 如需搜尋準則的清單,請參閱系統管理員稽核記錄

注意事項

Outlook Web App預設不允許您開啟 XML 附件。 您可以設定 Exchange 以允許使用Outlook Web App檢視 XML 附件,或使用另一個電子郵件用戶端,例如 Microsoft Outlook 來檢視附件。 如需如何設定Outlook Web App以允許您檢視 XML 附件的資訊,請參閱檢視或設定Outlook Web App虛擬目錄

若要搜尋指定準則的稽核記錄,請使用下列語法。

New-AdminAuditLogSearch -Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False > -StatusMailRecipients <recipient 1, recipient 2, ...> -Name <string to include in subject>

此範例使用下列準則,執行所有稽核記錄項目的搜尋:

  • 開始日期:08/04/2012

  • 結束日期:2012/10/03

  • 使用者識別碼:davids、chrisd、kia

  • CmdletSet-Mailbox

  • 參數ProhibitSendQuotaProhibitSendReceiveQuotaIssueWarningQuotaMaxSendSizeMaxReceiveSize

命令會將結果傳送至 SMTP 位址, davids@contoso.com 並在郵件的主旨行中包含「信箱限制變更」。

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

注意事項

New-AdminAuditLogSearch 指令程式產生的報告以 10 MB 為大小上限。 如果您執行的搜尋傳回大於 10 MB 的報告,請變更您指定的搜尋準則。 例如,縮小日期範圍並執行多個報告,各報告為原始日期範圍的一部分。

如需 XML 檔案格式的相關資訊,請參閱系統管理員稽核記錄檔結構

如需詳細的語法及參數資訊,請參閱 New-AdminAuditLogSearch