使用 SharePoint 2016 中記錄的系統管理動作
適用於:
2019 Subscription Edition SharePoint in Microsoft 365
系統管理動作記錄功能包含在 SharePoint Server 2016 的 2016 年 11 月公開更新 (功能套件 1) 中。 此功能可讓您記錄 SharePoint Server 2016 系統管理動作。
概觀
SharePoint Server 設定的系統管理變更有時可能會造成錯誤或產生非預期的影響。 為了協助針對系統管理變更進行疑難解答,功能套件 1 中提供 SharePoint 重要系統管理動作的記錄。 記錄適用於管理中心和 Windows PowerShell 動作。
開啟系統管理動作記錄
當您安裝 SharePoint Server 2016 2016 年 11 月公開更新 for SharePoint Server 2016 (Feature Pack 1) 時,預設會開啟系統管理動作記錄。
安裝功能套件 1 之後,系統管理動作會在 SharePoint 2016 管理中心的 [ 設定使用狀況和健康情況數據收集 ] 頁面的 [要記錄的事件] 底下顯示為已核取的選項。
如何尋找系統管理動作本機記錄檔位置
系統管理動作記錄檔會儲存在您的伺服器上。 若要檢視這些記錄的本機位置:
在 SharePoint 2016 管理中心首頁上,按兩下 [ 監視]。
在 [報告] 區段中,按兩下 [設定使用情況和健康情況數據收集]。
您會看到記錄檔位置列在 [ 使用量資料收集設定] 底下。
如何尋找系統管理動作使用量資料庫記錄檔
系統管理動作記錄會寫入 SharePoint 使用量資料庫。 若要尋找記錄資料庫伺服器:
在 SharePoint 2016 管理中心首頁上,按兩下 [監視] ** 。
在 [報告] 區段中,按兩下 [設定使用情況和健康情況數據收集]。
您會在 [記錄資料庫伺服器設定] 底下找到記錄 資料庫伺服器和資料庫名稱。
從 SharePoint 使用量資料庫擷取記錄
系統管理動作記錄會保留在 SharePoint 使用量資料庫中最多 31 天。
開啟 Microsoft SQL Server Management Studio。 ** 注意: ** 您必須以系統管理員身分登入。
在上述的記錄資料庫伺服器設定中,連接到表示為「資料庫伺服器」 的伺服器 名稱。
線上到適用的記錄資料庫。 這是您在記錄資料庫 伺服器設定中指定為「資料庫名稱」的資料庫,通常WSS_Logging。
查詢 「AdministrativeActions」 分割區。
注意事項
選取適用的 「AdministrativeActions」 分割區數目。 應該建立 32 個分割區,分割區 0 到 31。 WSS_logging是預設的記錄 資料庫名稱。 如果您的記錄 資料庫名稱 不同,請修改查詢。
範例查詢
SELECT TOP 1000 [PartitionId]
,[RowId]
,[LogTime]
,[MachineName]
,[FarmId]
,[SiteSubscriptionId]
,[UserLogin]
,[CorrelationId]
,[Action]
,[Target]
,[Details]
,[RowCreatedTime]
FROM (
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition0]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition1]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition2]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition3]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition4]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition5]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition6]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition7]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition8]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition9]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition10]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition11]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition12]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition13]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition14]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition15]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition16]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition17]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition18]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition19]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition20]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition21]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition22]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition23]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition24]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition25]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition26]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition27]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition28]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition29]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition30]
union
select * from [WSS_Logging].[dbo].[AdministrativeActions_Partition31]
) as A
使用 Windows PowerShell 來擷取記錄
您也可以使用 Windows PowerShell Cmdlet ** Merge-SPUsageLog ** 來擷取系統管理動作記錄檔。
重要事項
必須啟用遠端 Cmdlet 執行,才能使用 Merge-SPUsageLog。 若要設定電腦接收遠端命令,請參閱 Enable-PSRemoting。
Merge-SPUsageLog Cmdlet 會根據指定的準則來收集、篩選和匯總記錄。 建議您使用 StartTime 與 EndTime 參數加以篩選,將此 Cmdlet 的效能最佳化。
Merge-SPUsageLog 會從符合準則的記錄檔,將對象產生至 PowerShell 管線。 您至少應該指定使用類型,例如「系統管理動作」。
Merge-SPUsageLog -Identity <SPUsageDefinitionPipeBind> [-AssignmentCollection <SPAssignmentCollection>] [-DiagnosticLogPath <String>] [-EndTime <DateTime>] [-OverWrite <SwitchParameter>] [-Servers <String[]>] [-StartTime <DateTime>]
| 參數 | 必要 | 類型 | 描述 |
|---|---|---|---|
| 身分識別 |
必要項目 |
Microsoft.SharePoint.PowerShell.SPUsageDefinitionPipeBind |
指定使用記錄檔名稱。 |
| AssignmentCollection |
選用 |
Microsoft.SharePoint.PowerShell.SPAssignmentCollection |
管理物件以適當處置它們。 使用 SPWeb 或 SPSite 等物件可能會耗用大量的記憶體,因此在 Windows PowerShell 指令碼中使用這些物件時,必須適當地管理記憶體。 您可以使用 SPAssignment 物件將物件指派給變數,並在不需要時處置這些物件,以釋放記憶體。 使用 SPWeb、SPSite 或 SPSiteAdministration 物件時,若未使用指派集合或 Global 參數,將會自動處置這些物件。 > [!注意]> 使用 Global 參數時,所有物件都會包含在全域存放區中。 若未立即使用物件,或未使用 Stop-SPAssignment 命令處置物件,將會發生記憶體不足的狀況。 |
| DiagnosticLogPath |
選用 |
System.String |
指定要寫入診斷資訊的檔案。 支援相對路徑。 |
| EndTime |
選用 |
System.DateTime |
指定記錄項目傳回的結束時間。 此類型必須是符合管理語言文化的有效 DateTime 格式,如美國英文的 2/16/2007 12:15:12。 預設值是目前時間。 如果您想要指定 UTC 時間,必須將「Z」加入至參數結尾。 例如「2016-06-15 03:29:18.199 Z」。 如果未指定「Z」,則會顯示本機電腦時間而不是 UTC。 |
| 覆蓋 |
選用 |
System.Management.Automation.SwitchParameter |
診斷記錄檔若位在指定的路徑,即予以覆寫。 |
| 伺服器 |
選用 |
System.String[] |
要篩選的伺服器位址。 若要取得伺服器陣列中的有效位址清單,請使用 Get-SPServer 選取 [位址]。 |
| StartTime |
選用 |
System.DateTime |
指定記錄項目傳回的開始時間。 此類型必須是符合管理語言文化的有效 DateTime 格式,如美國英文的「2/16/2007 12:15:12」。 預設值為本機電腦目前時間的一小時前。 如果您想要指定 UTC 時間,必須將「Z」加入至參數結尾。 例如「2016-06-15 03:29:18.199 Z」。 如果未指定「Z」,則會顯示本機電腦時間而不是 UTC。 |
範例 1: 此範例會合併所有伺服器數位電腦上「系統管理動作」使用提供者的最後一小時記錄數據。
Merge-SPUsageLog -Identity "Administrative Actions"
範例 2: 本範例會將 「Administrative Actions」 使用提供者的記錄專案從 “06/09/2016 16:00” 合併到現在,從名為 “A-0606” 和 “A-0505” 的伺服器。
Merge-SPUsageLog -Identity "Administrative Actions" -Servers "A-0606","A-0505" -StartTime "06/09/2008 16:00"
範例 3: 此範例會從 8 月 11 日開始擷取 [系統管理動作] 記錄,然後選取要顯示的下列字段:[使用者]、[ActionName] 和 [TimeStamp]。 結果按時間戳記分類。 本範例使用 Windows PowerShell 管線。 如需如何使用管線的詳細資訊,請參閱 關於_管線
Get-SPUsageDefinition -Identity "Administrative Actions" | Merge-SPUsagelog -StartTime "08/11/2016 3:50 AM" | Select User, ActionName, Timestamp | Sort Timestamp
記錄的系統管理動作類型
下表詳細說明記錄中擷取的系統管理動作類型。
| 動作類別 | 動作子類別 | 記錄動作 () | 描述 |
|---|---|---|---|
| 設定帳戶 |
新增、移除、更新 |
Administration.Security.User.Add Administration.Security.User.Remove Administration.Security.User.Update Administration.Security.User.Role.Update |
記錄系統管理帳戶設定和資訊變更,包括伺服器數位和網站集合系統管理員的新增、移除和更新。 此外,記錄角色更新。 |
| 設定受管理的帳戶 |
新增、移除、更新 |
Administration.Security.ManagedAccount.New Administration.Security.ManagedAccount.Remove Administration.Security.ManagedAccount.Update |
記錄受管理帳戶設定中的變更、受管理帳戶的建立和移除,以及現有受管理帳戶的更新。 |
| 設定服務帳戶 |
更新 |
Administration.Security.ServiceAccount.Update |
記錄伺服器陣列中所指定服務帳戶的更新。 |
| 設定密碼變更設定 |
更新 |
Administration.Security.AccountPasswordSetting.Update |
記錄密碼管理設定的更新。 |
| 指定驗證提供者 |
更新 |
Administration.Security.AuthenticationProviderSetting.Update |
記錄驗證提供者設定的更新。 |
| 管理信任 |
編輯、移除、更新 |
Administration.Security.ManageTrust.SPTrustedRootAuthority.Edit Administration.Security.ManageTrust.SPTrustedRootAuthority.New Administration.Security.ManageTrust.SPTrustedRootAuthority.Remove Administration.Security.ManageTrust.SPTrustedSecurityTokenIssuer.Edit Administration.Security.ManageTrust.SPTrustedSecurityTokenIssuer.New Administration.Security.ManageTrust.SPTrustedSecurityTokenIssuer.Remove |
Administration.Security.ManageTrust.SPTrustedRootAuthority 記錄會編輯和移除伺服器陣列中的信任關係設定,以及建立新的信任關係。 Administration.Security.ManageTrust.SPTrustedSecurityTokenIssuer 會記錄令牌簽發者設定的編輯和移除,以及新令牌簽發者信任關係的建立。 |
| 管理網頁元件安全性 |
更新 |
Administration.Security.WebPart.Update |
記錄所選取 Web 應用程式上網頁元件頁面和網頁元件的更新。 |
| 伺服器陣組備份和還原作業 |
備份、還原、更新 |
Administration.Farm.BackupRestore.Backup Administration.Farm.BackupRestore.Restore Administration.Farm.BackupRestore.Settings.Update |
記錄伺服器陣列還原和備份作業,包括預設備份和還原設定的更新。 |
| 伺服器管理 |
新增、移除、更新 |
Administration.Farm.Server.Add Administration.Farm.Server.Remove Administration.Farm.Server.Role.Update |
將伺服器移除和新增的記錄檔移除至伺服器數位,包括伺服器數位伺服器的角色更新。 |
| 設定資料庫變更 |
新增、移除 |
Administration.Farm.ConfigurationDatabase.New Administration.Farm.ConfigurationDatabase.Remove |
記錄新增組態資料庫或移除現有組態資料庫的記錄。 |
| 網站集合管理 |
新增、備份、匯出、匯入、移除、還原、更新 |
Administration.SiteCollection.Add Administration.SiteCollection.Remove Administration.SiteCollection.BackupRestore.Backup Administration.SiteCollection.BackupRestore.Restore Administration.SiteCollection.Owner.Update Administration.SiteCollection.SecondContact.Update Administration.SiteCollection.Quota.Update Administration.SiteCollection.ImportExport.Export Administration.SiteCollection.ImportExport.Import |
記錄有關網站集合管理的最常見作業,包括新增和移除網站集合、網站集合的備份和還原作業、擁有權變更、次要聯繫人和配額,以及網站集合的匯入和導出作業。 |
| 網站集合內容資料庫 |
新增、新增、移除、設定 |
Administration.ContentDatabase.Add Administration.ContentDatabase.New Administration.ContentDatabase.Remove Administration.ContentDatabase.Set |
記錄常見的 SharePoint 內容資料庫作業,例如:將內容資料庫新增至伺服器陣列、建立新的內容資料庫、移除內容資料庫,以及設定內容資料庫的全域屬性。 |
| 配額變更 |
新增、移除、更新 |
Administration.Quota.New Administration.Quota.Remove Administration.Quota.Update |
記錄檔會設定網站新的集合配額、更新現有的網站集合配額,以及移除網站集合配額。 |
| 功能管理 |
安裝、停用、卸載、啟用 |
Administration.Feature.Disable Administration.Feature.Enable Administration.Feature.Install Administration.Feature.Uninstall |
記錄網站集合功能管理動作,以停用、啟用、安裝和卸載功能。 |
| Web 應用程式管理 |
編輯、新增、移除 |
Administration.WebApplication.Edit Administration.WebApplication.New Administration.WebApplication.Remove |
記錄常見的 Web 應用程式管理動作,包括編輯現有的 Web 應用程式、建立新的 Web 應用程式,以及移除現有的 Web 應用程式。 |
| Web 應用程式管理用戶原則 |
新增、新增、移除、更新 |
Administration.WebApplication.UserPolicy.Add Administration.WebApplication.UserPolicy.New Administration.WebApplication.UserPolicy.Remove Administration.WebApplication.UserPolicy.Update |
記錄與管理 Web 應用程式使用者權力原則相關的作業,包括:將使用者新增至現有的 Web 應用程式用戶原則、建立新的用戶原則、從現有的使用者原則移除使用者,以及更新使用者權力原則。 |
| 服務應用程式 |
編輯、新增、移除 |
Administration.ServiceApplication.Edit Administration.ServiceApplication.New Administration.ServiceApplication.Remove |
記錄會編輯至服務應用程式、建立新的服務應用程式,以及移除現有的服務應用程式。 |
| 表單 & 功能範本管理 |
Convert、Disable、Enable、Install、New、Set、Start、Stop、Test、Update、Upgrade、Uninstall |
Administration.FormTemplate.Convert Administration.FormTemplate.Disable Administration.FormTemplate.Enable Administration.FormTemplate.Install Administration.FormTemplate.New Administration.FormTemplate.Set Administration.FormTemplate.. 啟動 Administration.FormTemplate.Stop Administration.FormTemplate.Update Administration.FormTemplate.Test Administration.FormTemplate.Upgrade Administration.FormTemplate.Uninstall Administration.Feature.FormTemplate.InstallAdministration.Feature.FormTemplate.Uninstall |
與網站集合中 InfoPath 範本管理相關的記錄作業,包括:範本轉換、停用 (停用) 、啟用、安裝、建立新範本、設定範本、啟動和停止範本、更新、測試、升級和卸載範本。 |
| 內容資料庫 |
新增、新增、移除、設定 |
Administration.ContentDatabase.Add Administration.ContentDatabase.New Administration.ContentDatabase.Remove Administration.ContentDatabase.Set |
|
| 設定群組 |
新增、移除、更新 |
Administration.Security.Group.Add Administration.Security.Group.Remove Administration.Security.Group.Update |
記錄與群組建立、刪除和管理相關的動作,例如:新增、移除和更新群組。 |
| 使用者 & 群組移轉 |
Move |
Administration.Security.User.Move Administration.Security.Group.Move |
記錄與群組和使用者登入移轉相關的活動。 |