系統管理員稽核記錄檔結構
適用於:Exchange Server 2013
系統管理員稽核記錄包含 Exchange 管理命令介面和 Exchange 系統管理中心 (EAC) 執行的所有 Cmdlet 和參數記錄。 當您在 EAC 中執行系統管理員稽核記錄報告,或在殼層中執行 New-AdminAuditLogSearch Cmdlet 時,會視需要建立它們。 如需稽核記錄的詳細資訊,請參閱 系統管理員稽核記錄。
稽核記錄是 XML 檔案,可以包含多個稽核記錄專案。 下表描述每個 XML 標記及其相關聯的屬性。
尋找與系統管理員稽核記錄相關的管理工作嗎? 請參閱 管理系統管理員稽核記錄。
| 元素 | 屬性 | 描述 |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
N/A |
這是 XML 檔宣告標記。 它包含在每個稽核記錄 XML 檔案中,並包含 XML 版本號碼和字元編碼值。 |
SearchResults |
N/A |
此標籤包含 XML 檔案中的所有稽核記錄專案。 標記 Event 是這個標記的子系。 每個 XML 檔案只有一個 SearchResults 標籤。 |
Event |
此標籤包含個別 Cmdlet 的稽核記錄專案。 這個標記包含 Caller 、 Cmdlet 、 ObjectModified 、 RunDate 、 Succeeded 、 Error 和 OriginatingServer 屬性。 和 CmdletParametersModifiedProperties 標記是這個標記的子系。 每個稽核記錄專案都有一個 Event 標籤。 |
|
Caller |
此屬性包含在 屬性中執行 Cmdlet 之使用者的 Cmdlet 使用者帳戶。 |
|
Cmdlet |
這個屬性包含使用者在 屬性中 Caller 執行的 Cmdlet 名稱。 |
|
ObjectModified |
這個屬性包含屬性中指定之 Cmdlet 所修改的 Cmdlet 物件。 標記 ModifiedProperties 會顯示已在此物件上修改的屬性。 |
|
RunDate |
這個屬性包含執行 屬性中 Cmdlet 的 Cmdlet 日期和時間。 |
|
Succeeded |
這個屬性會指定屬性中的 Cmdlet Cmdlet 是否成功執行。 值為 True 或 False 。 |
|
Error |
如果屬性中的 Cmdlet Cmdlet 無法順利完成,這個屬性會包含所產生的錯誤訊息。 如果未發生錯誤,則值會設定為 None 。 |
|
OriginatingServer |
這個屬性包含執行 屬性中指定之 Cmdlet 的 Cmdlet 伺服器。 |
|
CmdletParameters |
N/A |
此標籤包含執行 Cmdlet 時指定的所有參數。 標記 Parameter 是這個標記的子系。 每個 Event 標籤都有一個 CmdletParameters 標籤。 |
Parameter |
此標記包含執行 Cmdlet 時所指定的個別參數。 此標記包含 Name 和 Value 屬性。 每個 CmdletParameters 標記可以有多個 Parameter 標籤。 |
|
Name |
這個屬性包含在執行的 Cmdlet 上指定的參數名稱。 | |
Value |
這個屬性包含在 屬性中 Name 指定的參數上提供的值。 |
|
ModifiedProperties |
N/A |
此標籤包含由執行的 Cmdlet 修改的所有屬性。 標記 Property 是這個標記的子系。 每個 Event 標籤都有一個 ModifiedProperties 標籤。 重要:只有在Set-AdminAuditLogConfig Cmdlet 上的LogLevel參數設定為 Verbose 時,才會填入此標記。 |
Property |
此標記包含執行 Cmdlet 時所指定的個別屬性。 這個標籤包含 Name 、 OldValue 和 NewValue 屬性。 每個 ModifiedProperties 標記可以有多個 Property 標籤。 |
|
Name |
這個屬性包含執行 Cmdlet 時修改的屬性名稱。 | |
OldValue |
這個屬性包含在屬性變更之前,屬性中指定之 屬性中所包含的 Name 值。 |
|
NewValue |
這個屬性包含屬性中的 屬性已變更為的 Name 值。 |
範例稽核記錄專案
以下是一般稽核記錄專案的範例。 根據記錄專案中的資訊,我們知道發生下列情況:
在 2012 年 10 月 18 日下午 3:48 太平洋日光節約時間 (UTC-7) ,使用者
Administrator執行了 Cmdlet Set-Mailbox。執行 Set-Mailbox Cmdlet 時,會提供下列兩個參數:
值為 的身分識別
davidProhibitSendReceiveQuota 的值為
10GB
修改物件
david上的下列兩個屬性:注意事項
修改過的屬性會儲存到稽核記錄檔,因為在此範例中,Cmdlet 上的
Set-AdminAuditLogConfigLogLevel參數已設定為Verbose。-
ProhibitSendReceiveQuota 的新值為
10GB,取代 的舊值35GB
-
ProhibitSendReceiveQuota 的新值為
作業順利完成,沒有任何錯誤。
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e15a.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e15a.contoso.com/Users/david" RunDate="2012-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.00.0516.032)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>