Visualizzare il log di controllo dell'amministratore in Exchange Online

  • Articolo
  • 3 minuti per la lettura

Nota

L'interfaccia di amministrazione di Exchange classica è in fase di deprecazione nella distribuzione mondiale. È consigliabile eseguire ricerche nel log di controllo nel portale di conformità di Microsoft Purview. Per altre informazioni, vedere Deprecation of the classic Exchange admin center in WW service (Deprecazione dell'interfaccia di amministrazione di Exchange classica nel servizio WW) e Cercare il log di controllo nel portale di conformità.

In Exchange Online organizzazioni o organizzazioni Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online, è possibile usare l'interfaccia di amministrazione di Exchange o PowerShell per cercare e visualizzare le voci nel log di controllo dell'amministratore.

Il log di controllo dell'amministratore registra azioni specifiche, basate su Exchange Online PowerShell o cmdlet autonomi Exchange Online Protection PowerShell, eseguite da amministratori e utenti a cui sono stati assegnati privilegi amministrativi. Le voci nel log di controllo amministratore forniscono informazioni sul cmdlet eseguito, sui parametri usati, sull'esecuzione del cmdlet e sugli oggetti interessati.

Note:

  • La registrazione del controllo amministratore è abilitata per impostazione predefinita e non è possibile disabilitarla.
  • Il log di controllo amministratore non registra le azioni basate sui cmdlet che iniziano con i verbi Get, Search o Test.
  • Quando viene effettuata una modifica nell'organizzazione, questa può richiedere fino a 15 minuti per essere visualizzata nei risultati di ricerca del registro di controllo. Se nel log di controllo amministratore non viene visualizzata una modifica, attendere alcuni minuti ed eseguire di nuovo la ricerca.
  • Le voci del registro di controllo vengono conservate per 90 giorni. Dopo 90 giorni, le voci vengono eliminate.

Che cosa è necessario sapere prima di iniziare?

Suggerimento

Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum all'indirizzo Exchange Online o Exchange Online Protection.

Usare EAC per visualizzare il log di controllo dell'amministratore

  1. Nell'interfaccia di amministrazione di Exchange passare a Controllo di gestione > della conformità e quindi scegliere Esegui il report del log di controllo dell'amministratore.

  2. Nella pagina Cerca modifiche ai gruppi di ruoli amministratore visualizzata scegliere una data di inizio e una data di fine (l'intervallo predefinito è le ultime due settimane) e quindi scegliere Cerca. Tutte le modifiche alla configurazione apportate durante il periodo di tempo specificato vengono visualizzate e possono essere ordinate usando le informazioni seguenti:

    • Data: data e ora in cui è stata apportata la modifica della configurazione. La data e l'ora vengono memorizzati in formato UTC (Coordinated Universal Time).

    • Cmdlet: nome del cmdlet usato per apportare la modifica della configurazione.

    • Utente: nome dell'account utente dell'utente che ha apportato la modifica alla configurazione.

      Saranno visualizzate fino a 5000 voci su più pagine. Se si desidera limitare i risultati, specificare un intervallo di date più piccolo. Se è stato selezionato un risultato di ricerca individuale, le seguenti informazioni aggiuntive vengono visualizzate nel riquadro dei dettagli:

    • Oggetto modificato: oggetto modificato dal cmdlet.

    • Parameters (Parameter:Value): parametri del cmdlet usati e qualsiasi valore specificato con il parametro .

  3. Se si desidera stampare una voce specifica del registro di controllo, selezionare il pulsante Stampa nel riquadro dei dettagli.

Usare PowerShell per visualizzare il log di controllo amministratore

È possibile usare Exchange Online PowerShell o powershell autonomo Exchange Online Protection per cercare voci del log di controllo che soddisfino i criteri specificati. Usare la sintassi seguente:

Search-AdminAuditLog [-Cmdlets <Cmdlet1,Cmdlet2,...CmdletN>] [-Parameters <Parameter1,Parameter2,...ParameterN>] [-StartDate <UTCDateTime>] [-EndDate <UTCDateTime>] [-UserIds <"User1","User2",..."UserN">] [-ObjectIds <"Object1","Object2",..."ObjectN">] [-IsSuccess <$true | $false>]

Note:

  • È possibile usare il parametro Parameters solo insieme al parametro Cmdlets .

  • Il parametro ObjectIds filtra i risultati in base all'oggetto modificato dal cmdlet. Un valore valido dipende dal modo in cui l'oggetto viene rappresentato nel log di controllo. Ad esempio:

    • Nome
    • Nome distinto canonico (ad esempio, contoso.com/Users/Akia Al-Zuhairi)

    È probabile che sia necessario usare altri parametri di filtro in questo cmdlet per restringere i risultati e identificare i tipi di oggetti a cui si è interessati.

  • Il parametro UserIds filtra i risultati dall'utente che ha apportato la modifica (che ha eseguito il cmdlet).

  • Per i parametri StartDate e EndDate , se si specifica un valore di data/ora senza un fuso orario, il valore si trova nell'ora UTC (Coordinated Universal Time). Per specificare un valore data/ora per questo parametro, utilizzare una delle opzioni seguenti:

    • Specificare il valore data/ora in UTC, ad esempio "2016-05-06 14:30:00z".
    • Specificare il valore di data/ora come formula che converte la data/ora nel fuso orario locale in formato UTC: ad esempio, (Get-Date "5/6/2016 9:30 AM").ToUniversalTime(). Per altre informazioni, vedere Get-Date.

  • Il cmdlet restituisce un massimo di 1.000 voci di log per impostazione predefinita. Usare il parametro ResultSize per specificare fino a 250.000 voci di log. In alternativa, usare il valore Unlimited per restituire tutte le voci.

In questo esempio viene eseguita la ricerca di tutte le voci del log di controllo con i seguenti criteri:

  • Data di inizio: 4 agosto 2019
  • Data di fine: 3 ottobre 2019
  • Cmdlet: Update-RoleGroupMember
Search-AdminAuditLog -Cmdlets Update-RoleGroupMember -StartDate (Get-Date "08/04/2019").ToUniversalTime() -EndDate (Get-Date "10/03/2019").ToUniversalTime()

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Search-AdminAuditLog.

Visualizzazione dei dettagli del log di controllo

Il cmdlet Search-AdminAuditLog restituisce i campi descritti nella sezione Contenuto del log di controllo più avanti in questo articolo. Dei campi restituiti dal cmdlet, due campi, CmdletParameters e ModifiedProperties, contengono informazioni aggiuntive che non vengono restituite per impostazione predefinita.

Per visualizzare il contenuto dei campi CmdletParameters e ModifiedProperties, attenersi alla procedura riportata di seguito.

  1. Scegliere i criteri in base ai quali eseguire la ricerca, eseguire il cmdlet Search-AdminAuditLog e memorizzare i risultati in una variabile utilizzando il comando seguente.

    $Results = Search-AdminAuditLog <search criteria>

  2. Ogni voce del log di controllo viene archiviata come elemento di matrice nella variabile $Results. È possibile selezionare un elemento di matrice specificandone l'indice. Gli indici degli elementi di matrice iniziano da zero (0) per il primo elemento della matrice. Ad esempio, per recuperare il quinto elemento della matrice, il cui indice è 4, utilizzare il comando seguente.

    $Results[4]

  3. Il comando precedente restituisce la voce di registro memorizzata nell'elemento 4 della matrice. Per visualizzare il contenuto nei campi CmdletParameters e ModifiedProperties per questa voce di registro, utilizzare il comando seguente.

    $Results[4].CmdletParameters
$Results[4].ModifiedProperties

  4. Per visualizzare il contenuto dei campi CmdletParameters o ModifiedParameters in un'altra voce di registro, modificare l'indice degli elementi di matrice.

Contenuto dei registri di controllo

Ciascuna voce del registro di controllo contiene le informazioni descritte nella tabella seguente. Il registro di controllo contiene una o più voci.

Campo Descrizione
RunspaceId Questo campo viene usato internamente.
ObjectModified Questo campo contiene l'oggetto modificato dal cmdlet specificato nel CmdletName campo .
CmdletName Questo campo contiene il nome del cmdlet eseguito dall'utente nel Caller campo .
CmdletParameters Questo campo contiene i parametri specificati durante l'esecuzione del CmdletName cmdlet nel campo. Sebbene non sia visibile nell'output predefinito, in questo campo viene memorizzato anche il valore specificato con il parametro (se presente).
ModifiedProperties Questo campo contiene le proprietà modificate sull'oggetto nel ObjectModified campo . Sebbene non siano visibili nell'output predefinito, in questo campo sono presenti anche il precedente valore della proprietà e quello nuovo.
Caller Questo campo contiene l'account utente dell'utente che ha eseguito il cmdlet nel CmdletName campo .
ExternalAccess Questo campo viene usato internamente.
Succeeded Questo campo specifica se il cmdlet nel campo è CmdletName stato eseguito correttamente. Il valore è True o False.
Error Questo campo contiene il messaggio di errore generato se il cmdlet nel CmdletName campo non è stato completato correttamente.
RunDate Questo campo contiene la data e l'ora in cui è stato eseguito il cmdlet nel CmdletName campo. La data e l'ora vengono memorizzati in formato UTC (Coordinated Universal Time).
OriginatingServer Questo campo indica il server in cui è stato eseguito il CmdletName cmdlet specificato nel campo.
ClientIP Questo campo viene usato internamente.
SessionId Questo campo viene usato internamente.
AppId Questo campo viene usato internamente.
ClientAppId Questo campo viene usato internamente.
Identity Questo campo viene usato internamente.
IsValid Questo campo viene usato internamente.
ObjectState Questo campo viene usato internamente.