Consulter le journal d'audit de l'administrateurView the administrator audit log

Dans Microsoft Exchange Online Protection (EOP), Microsoft Exchange Online et Microsoft Exchange Server, vous pouvez utiliser le centre d’administration Exchange (EAC) pour rechercher et afficher les entrées dans le journal d’audit d’administrateur. Le journal d’audit administrateur enregistre des actions spécifiques, en fonction de l’applet de commande Exchange Management Shell, effectuée par les administrateurs et les utilisateurs qui ont été attribués les privilèges d’administrateur. Entrées dans le journal d’audit administrateur fournissent des informations sur les applets de commande a été exécutée, quels paramètres ont été utilisés, qui a exécuté l’applet de commande et les objets qui ont été affectées.In Microsoft Exchange Online Protection (EOP), Microsoft Exchange Online, and Microsoft Exchange Server, you can use the Exchange admin center (EAC) to search for and view entries in the administrator audit log. The administrator audit log records specific actions, based on Exchange Management Shell cmdlet, performed by administrators and users who have been assigned administrative privileges. Entries in the administrator audit log provide you with information about what cmdlet was run, which parameters were used, who ran the cmdlet, and what objects were affected.

Note

La journalisation d'audit de l'administrateur est activée par défaut. > Le journal d'audit de l'administrateur n'enregistre aucune action basée sur une cmdlet Environnement de ligne de commande Exchange Management Shell qui commence avec le verbe Get, Search ou Test. > Les entrées du journal d'audit sont conservées pendant 90 jours. Lorsqu'une entrée remonte à plus de 90 jours, elle est supprimée.Administrator auditing logging is enabled by default. > The administrator audit log doesn't record any action that is based on an Exchange Management Shell cmdlet that begins with the verbs Get, Search, or Test. > Audit log entries are kept for 90 days. When an entry is older than 90 days, it's deleted.

Ce qu’il faut savoir avant de commencerWhat do you need to know before you begin?

  • Durée d'exécution estimée : 5 minutesEstimated time to complete: 5 minutes

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Afficher les rapports » dans la rubrique Feature Permissions in EOP.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View reports" entry in the Feature Permissions in EOP topic.

  • Comme indiqué précédemment, la journalisation d'audit de l'administrateur est activée par défaut. Pour vérifier qu'elle a été activée, vous pouvez exécuter la commande suivante :As previously stated, administrator audit logging is enabled by default. To verify that it's enabled, you can run the following command.

    Get-AdminAuditLogConfig | FL AdminAuditLogEnabled
    

    Dans Exchange Server, vous pouvez activer administrateur l’enregistrement d’audit si elle est désactivée en exécutant la commande suivante.In Exchange Server, you can enable administrator audit logging if it's disabled by running the following command.

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
    

    Dans Exchange Online Protection et Exchange Online, la journalisation d'audit de l'administrateur est toujours activée. Elle ne peut pas être désactivée.In Exchange Online Protection and Exchange Online, administrator audit logging is always enabled. It can't be disabled.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Conseil

Vous rencontrez des difficultés ? Demandez de l'aide en participant aux forums Exchange. Visitez les forums sur les pages Exchange Server,Exchange Online, et Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection.

Utiliser le Centre d'administration Exchange (CAE) pour consulter le journal d'audit de l'administrateurUse the EAC to view the administrator audit log

  1. Dans le CAE, accédez à Gestion de la conformité > Audit, puis sélectionnez Exécuter le rapport du journal d'audit de l'administrateur.In the EAC, go to Compliance management > Auditing, and choose Run the admin audit log report.

  2. Choisissez une date de début et une date de fin, puis choisissez Rechercher. Toutes les modifications de configuration effectuées pendant la période spécifiée sont affichées et peuvent être triées, avec les informations suivantes :Choose a Start date and End date, and then choose Search. All configuration changes made during the specified time period are displayed, and can be sorted, using the following information:

    • Date Date et heure auxquelles la modification de configuration a été effectuée. La date et l'heure sont enregistrées au format temps universel coordonné (UTC).Date The date and time that the configuration change was made. The date and time are stored in Coordinated Universal Time (UTC) format.

    • Cmdlet Nom de la cmdlet qui a été utilisée pour la modification de configuration.Cmdlet The name of the cmdlet that was used to make the configuration change.

    • Utilisateur Nom du compte de l'utilisateur qui a effectué la modification de configuration.User The name of the user account of the user who made the configuration change.

      Jusqu'à 5 000 entrées s'affichent sur plusieurs pages. Si vous devez affiner vos résultats, spécifiez une plage de dates plus courte. Si vous sélectionnez un seul résultat de recherche, l'information supplémentaire suivante s'affiche dans le volet de détails :Up to 5000 entries will be displayed on multiple pages. Specify a smaller date range if you need to narrow your results. If you select an individual search result, the following additional information is displayed in the details pane:

    • Objet modifié Objet qui a été modifié par la cmdlet.Object modified The object that was modified by the cmdlet.

    • Paramètres (Parameter:Value) Paramètres de cmdlet qui ont été utilisés et valeurs indiquées avec ces paramètres.Parameters (Parameter:Value) The cmdlet parameters that were used, and any value specified with the parameter.

  3. Si vous souhaitez imprimer une entrée du journal d'audit spécifique, choisissez le bouton Imprimer dans le volet de détails.If you want to print a specific audit log entry, choose the Print button in the details pane.

Comment savoir si cela a fonctionné ?How do you know this worked?

Si vous avez exécuté avec succès un rapport de journal d'audit de l'administrateur, les modifications de configuration effectuées dans la plage de dates indiquée sont affichées dans le volet des résultats de la recherche. Si aucun résultat n'apparaît, modifiez la plage de dates et réexécutez le rapport.If you've successfully run an administrator audit log report, configuration changes made within the date range you specify are displayed in the search results pane. If there are no results, change the date range and then run the report again.

Note

Lorsqu’une modification est apportée à votre organisation, cela peut prendre jusqu’à 15 minutes avant qu’elle n’apparaisse dans les résultats de recherche du journal d’audit. Si une modification n’apparaît pas dans le journal d’audit de l’administrateur, patientez quelques minutes, puis réeffectuez la recherche.When a change is made in your organization, it may take up to 15 minutes to appear in audit log search results. If a change doesn't appear in the administrator audit log, wait a few minutes and run the search again.