在 Exchange Online 中檢視系統管理員稽核記錄
注意事項
傳統 Exchange 系統管理中心正在全球部署中淘汰。 建議您在Microsoft Purview 合規性入口網站中搜尋稽核記錄。 如需詳細資訊,請參閱在 WW 服務中淘汰傳統 Exchange 系統管理中心 和 在合規性入口網站中搜尋稽核記錄。
在Exchange Online組織或獨立Exchange Online Protection (EOP) 沒有Exchange Online信箱的組織中,您可以使用 Exchange 系統管理中心 (EAC) 或 PowerShell 來搜尋及檢視系統管理員稽核記錄中的專案。
系統管理員稽核記錄會根據Exchange Online PowerShell 或獨立Exchange Online Protection PowerShell Cmdlet 記錄特定動作,這些動作是由系統管理員和已獲指派系統管理許可權的使用者所完成。 系統管理員稽核記錄中的專案會提供執行哪些 Cmdlet、使用哪些參數、執行 Cmdlet 的人員,以及哪些物件受到影響的相關資訊。
附註:
- 管理員預設會啟用稽核記錄,而且您無法加以停用。
- 系統管理員稽核記錄不會根據以動詞動詞 Get、 Search或 Test開頭的 Cmdlet 來記錄動作。
- 在組織中所進行的變更最長可能需要 15 分鐘才會出現在稽核記錄搜尋結果中。 如果系統管理員稽核記錄中未出現變更,請等候幾分鐘,然後再次執行搜尋。
- 稽核記錄項目會保留 90 天的時間。 超過 90 天的項目就會遭到刪除。
開始之前有哪些須知?
如需開啟 Exchange 系統管理中心 (EAC),請參閱 Exchange Online 中的 Exchange 系統管理中心。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連線到獨立Exchange Online Protection請參閱連線到 Exchange Online Protection PowerShell。
您必須已獲指派權限,才能執行此程序或這些程序。 To see what permissions you need, see the "View-only administrator audit logging" entry in the Feature permissions in Exchange Online topic.
如需本文中可能套用至程式的鍵盤快速鍵相關資訊,請參閱Exchange Online 中 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 請造訪論壇:Exchange Online 或 Exchange Online Protection。
使用 EAC 檢視系統管理員稽核記錄
在 EAC 中,移至 [合規性管理>稽核],然後選擇 [執行系統管理員稽核記錄報告]。
在開啟 的 [搜尋系統管理員角色群組的變更 ] 頁面中,選擇 [ 開始日期 ] 和 [ 結束日期 (預設範圍是過去兩周) ,然後選擇 [ 搜尋]。 All configuration changes made during the specified time period are displayed, and can be sorted, using the following information:
日期:進行組態變更的日期和時間。 日期和時間會以格林威治標準時間 (UTC) 格式儲存。
Cmdlet:用來變更組態的 Cmdlet 名稱。
使用者:進行組態變更之使用者的使用者帳戶名稱。
可在多個頁面上顯示最多 5000 個項目。 如果需要縮小搜尋結果,請指定較小的日期範圍。 如果您選取個別的搜尋結果,下列其他資訊會顯示在詳細資料窗格中:
修改的物件:Cmdlet 修改的物件。
Parameters (Parameter:Value) :使用的 Cmdlet 參數,以及使用 參數指定的任何值。
如果您要列印特定的稽核記錄項目,請選擇詳細資料窗格中的 [ 列印] 按鈕。
使用 PowerShell 檢視系統管理員稽核記錄
您可以使用 Exchange Online 或獨立Exchange Online Protection PowerShell 來搜尋符合您指定準則的稽核記錄專案。 使用下列語法:
Search-AdminAuditLog [-Cmdlets <Cmdlet1,Cmdlet2,...CmdletN>] [-Parameters <Parameter1,Parameter2,...ParameterN>] [-StartDate <UTCDateTime>] [-EndDate <UTCDateTime>] [-UserIds <"User1","User2",..."UserN">] [-ObjectIds <"Object1","Object2",..."ObjectN">] [-IsSuccess <$true | $false>]
附註:
您只能搭配Cmdlet 參數使用Parameters參數。
ObjectIds參數會依 Cmdlet 修改的物件來篩選結果。 有效的值取決於物件在稽核記錄中的表示方式。 例如:
- 名稱
- 例如,contoso.com/Users/Akia Al-Zuhairi) (正式辨別名稱
您可能需要在此 Cmdlet 上使用其他篩選參數來縮小結果範圍,並識別您感興趣的物件類型。
UserIds參數會依 (執行 Cmdlet) 的使用者篩選結果。
對於 StartDate 和 EndDate 參數,如果您指定不含時區的日期/時間值,該值會以國際標準時間 (UTC) 。 若要指定這個參數的日期/時間值,請使用下列其中一個選項︰
- 指定 UTC 的日期/時間值:例如,"2016-05-06 14:30:00z"。
- 將日期/時間值指定為公式,將您當地時區的日期/時間轉換成 UTC:例如。
(Get-Date "5/6/2016 9:30 AM").ToUniversalTime()
如需詳細資訊,請參閱 Get-Date。
根據預設,此 Cmdlet 會傳回最多 1,000 個記錄專案。 使用 ResultSize 參數最多可指定 250,000 個記錄專案。 或者,使用 值
Unlimited
傳回所有專案。
此範例使用下列準則,執行所有稽核記錄項目的搜尋:
- 開始日期:2019 年 8 月 4 日
- 結束日期:2019 年 10 月 3 日
- Cmdlet:Update-RoleGroupMember
Search-AdminAuditLog -Cmdlets Update-RoleGroupMember -StartDate (Get-Date "08/04/2019").ToUniversalTime() -EndDate (Get-Date "10/03/2019").ToUniversalTime()
如需詳細的語法及參數資訊,請參閱 Search-AdminAuditLog。
檢視稽核記錄項目的詳細資料
The Search-AdminAuditLog cmdlet returns the fields described in the Audit log contents section later in this article. 在 Cmdlet 傳回的欄位中, CmdletParameters 和 ModifiedProperties這兩個欄位包含預設不會傳回的其他資訊。
若要檢視 CmdletParameters 和 ModifiedProperties 欄位的內容,請使用下列步驟。
決定您要搜尋的準則、執行 Search-AdminAuditLog 指令程式,然後使用下列命令將結果儲存在變數中。
$Results = Search-AdminAuditLog <search criteria>
每個稽核記錄專案都會儲存為變數 中的陣列
$Results
專案。 您可以指定陣列項目索引來選取陣列元素。 陣列元素索引從零 (0) 開始,表示第一個陣列元素。 例如,若要擷取第 5 個陣列元素,其索引為 4,請使用下列命令。$Results[4]
上一個命令會傳回儲存在陣列元素 4 中的記錄項目。 若要查看此記錄項目的 CmdletParameters 和 ModifiedProperties 欄位的內容,請使用下列命令。
$Results[4].CmdletParameters $Results[4].ModifiedProperties
若要檢視另一個記錄項目的 CmdletParameters 或 ModifiedParameters 欄位,請變更陣列元素索引。
稽核記錄內容
每個稽核記錄專案都包含下表所述的資訊。 稽核記錄包含一或多個稽核記錄專案。
欄位 | 描述 |
---|---|
RunspaceId |
此欄位會在內部使用。 |
ObjectModified |
此欄位包含欄位中指定之 Cmdlet 所修改的 CmdletName 物件。 |
CmdletName |
此欄位包含使用者在 欄位中 Caller 執行的 Cmdlet 名稱。 |
CmdletParameters |
此欄位包含執列欄位中的 Cmdlet 時所指定的 CmdletName 參數。 此外,如果是使用 參數指定的值,則會儲存在此欄位中,但預設輸出中看不到。 |
ModifiedProperties |
此欄位包含欄位中物件上已修改的 ObjectModified 屬性。 同時儲存在此欄位中,但預設輸出中看不到的是 屬性的舊值和儲存的新值。 |
Caller |
此欄位包含在 欄位中執行 Cmdlet 之使用者的 CmdletName 使用者帳戶。 |
ExternalAccess |
此欄位會在內部使用。 |
Succeeded |
此欄位會指定欄位中的 CmdletName Cmdlet 是否成功執行。 值為 True 或 False 。 |
Error |
如果欄位中的 CmdletName Cmdlet 無法順利完成,此欄位會包含所產生的錯誤訊息。 |
RunDate |
此欄位包含執列欄位中 Cmdlet 的 CmdletName 日期和時間。 日期和時間會以格林威治標準時間 (UTC) 格式儲存。 |
OriginatingServer |
此欄位指出執列欄位中指定之 Cmdlet 的 CmdletName 伺服器。 |
ClientIP |
此欄位會在內部使用。 |
SessionId |
此欄位會在內部使用。 |
AppId |
此欄位會在內部使用。 |
ClientAppId |
此欄位會在內部使用。 |
Identity |
此欄位會在內部使用。 |
IsValid |
此欄位會在內部使用。 |
ObjectState |
此欄位會在內部使用。 |