管理者監査ログを構成する

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Microsoft Exchange Server 2010 では、管理者監査ログを使用して、ユーザーまたは管理者が組織において変更を行った際にログを記録することができます。変更のログを記録することによって、変更を行った担当者に対する変更の追跡ができます。また、変更の詳細レコードによる変更ログの拡張、規制要件や証拠開示要求の遵守などが可能となります。

既定では、監査ログは Microsoft Exchange Server 2010 Service Pack 1 (SP1) の新規インストールで有効になっています。

監査対象

Exchange 管理シェル で直接実行されるコマンドレットが監査されます。さらに、Exchange 管理コンソール (EMC) および Exchange Web 管理インターフェイスを使用して実行する操作もログ記録されます。これらの操作は、バックグラウンドでコマンドレットを実行するためです。

コマンドレットは、実行する場所にかかわらず、コマンドレットがコマンドレット監査リストにあり、そのコマンドレットの 1 つまたは複数のパラメーターがパラメーター監査リストにある場合に、監査の対象となります。Get- および Search- コマンドレットはログ記録されません。監査ログは、どのオブジェクトが参照されたかよりも、Exchange 組織のオブジェクトを変更するためにどのような操作が行われたかを示すことを目的としています。

重要

コマンドレットが管理監査ログ コマンドレット拡張エージェントを呼び出す前にエラーが発生した場合、コマンドレットはログ記録されない可能性があります。管理監査ログ エージェントが呼び出された後にエラーが発生した場合、コマンドレットは関連するエラーとともにログ記録されます。詳細については、このトピックに記載されている「管理監査ログ エージェント」を参照してください。
Microsoft Exchange Server 2007 管理ツールを使用して行われた変更はログ記録されません。
監査ログ構成への変更は、構成変更の実行時にシェルを開いたコンピューター上で 60 分ごとに更新されます。変更を直ちに適用するには、各コンピューター上でシェルを閉じてから再度開きます。

監査ログの構成

既定では、監査ログが有効な場合、Get- および Search- 以外のコマンドレットが実行されるたびに、ログ エントリが作成されます。コマンドレットの実行のたびに監査しないのであれば、対象とするコマンドレットとパラメーターのみを監査するように監査ログを構成できます。Set-AdminAuditLogConfig コマンドレットで監査ログを構成します。次のセクションで説明するパラメーターは、このコマンドレットと一緒に使用します。

重要

管理者監査ログの構成に対する変更は、Set-AdministratorAuditLog コマンドレットが監査対象のコマンドレット一覧に含まれているかどうか、または監査ログが有効か無効かにかかわらず、常にログ記録されます。

コマンドを実行すると、Exchange は使用されたコマンドレットを検査します。実行されたコマンドレットが、AdminAuditLogConfigCmdlets パラメーターが入力されているコマンドレットのいずれかと一致すると、Exchange は AdminAuditLogConfigParameters パラメーターに指定されているパラメーターを確認します。パラメーター一覧のパラメーターが 1 つ以上一致した場合は、AdminAuditLogMailbox パラメーターを使用して指定されたメールボックスで実行されたコマンドレットが Exchange により記録されます。

注意

Exchange 2010 RTM (release to manufacturing) 版では、ユーザーが管理者監査ログのメールボックスを指定します。Exchange 2010 SP1 の管理者監査ログでは、専用のメールボックスを使用します。この専用のメールボックスを変更または構成することはできません。

以降のセクションでは、監査ログ構成に関する各側面の詳細を説明します。

監査ログ構成を管理する方法の詳細については、「管理者監査ログを構成する」を参照してください。

コマンドレット

ログ対象とするコマンドレットとそのパラメーターの一覧を入力することにより、監査対象となるコマンドレットを制御できます。監査ログを構成するとき、すべてのコマンドレットを監査するように指定したり、AdminAuditLogConfigCmdlets パラメーターを使用して監査するコマンドレットを指定できます。New-Mailbox のような完全なコマンドレット名を入力できます。また、部分的なコマンドレット名を指定して、アスタリスク (*) などのワイルドカード文字でその名前を囲むことができます。たとえば、文字列 Transport を含むあらゆるコマンドレットをログ記録する場合、*Transport* の値を指定できます。同時に完全コマンドレット名と部分コマンドレット名との混合を使用することで、監査ログ構成をニーズに合わせることができます。

パラメーター

ログ対象のコマンドレットを指定することに加え、それらのコマンドレットで特定パラメーターが使用された場合にのみ、コマンドレットをログ記録するように指定することもできます。AdminAuditLogConfigParameters パラメーターを使用して、ログの対象とするパラメーターを指定します。コマンドレットと同様、Database のような完全なパラメーター名、およびワイルドカード文字 (*) で囲んだ部分的なパラメーター名 (*Address* など)、またはそれらの組み合わせを指定できます。

監査ログ有効期限

既定では、監査ログはログ エントリを 90 日間保存するように構成されています。監査ログ エントリは 90 日後に削除されます。AdminAuditLogAgeLimitパラメーターを使用して、監査ログの有効期限を変更できます。監査ログ エントリを保存しておく日数、時間数、分数、秒数を指定できます。値を指定するには、dd.hh:mm:ss (各項の意味は以下を参照) の形式を使用します。

  • dd   監査ログ エントリを保持する日数

  • hh   監査ログ エントリを保持する時間数

  • mm   監査ログ エントリを保持する分数

  • ss   監査ログ エントリを保持する秒数

複数年を指定するには dd フィールドを使用する必要があります。たとえば、365 日は 1 年、730 日は 2 年であるため、913 日は 2 年 6 か月になります。監査ログの有効期限を 2 年 6 か月に設定するには、913.00:00:00 という構文を使用します。

注意

監査ログの有効期限は、現在の有効期限よりも小さく指定できます。この場合、新たに指定した有効期限を超えている監査ログ エントリは削除されます。
有効期限を 0 に設定すると、Exchange により監査ログのエントリがすべて削除されます。
監査ログの有効期限を構成するためのアクセス許可は、十分に信頼できるユーザーのみに付与することをお勧めします。

Test コマンドレット

動詞 Test で始まるコマンドレットは、既定ではログ記録されません。TestCmdletLoggingEnabled パラメーターを $true に設定することにより、Test コマンドレットをログ記録するように指定できます。Test コマンドレットのログ記録を有効にすることは可能ですが、短時間のみにとどめることをお勧めします。これは、Test コマンドレットにより莫大な量の情報が生成されることがあるためです。

監査ログ

コマンドレットがログ記録されるたびに、監査ログ エントリが作成されます。監査ログは、非表示の専用の調停メールボックスに格納されます。このメールボックスには、Exchange コントロール パネル (ECP) の [監査レポート] ページ、あるいは Search-AdminAuditLog コマンドレットまたは New-AdminAuditLogSearch コマンドレットを使用してのみアクセスできます。Microsoft Office Outlook Web App や、Microsoft Outlook を使用して監査ログを開くことはできません。以降のセクションでは、次の情報を提供します。

  • ログに含まれる内容

  • ECP の [監査レポート] ページで使用可能なレポート

  • 監査ログ検索のコマンドレット

注意

Exchange 2010 RTM (release to manufacturing) 版では、ユーザーが管理者監査ログのメールボックスを指定します。Exchange 2010 SP1 の管理者監査ログでは、専用のメールボックスを使用します。この専用のメールボックスを変更または構成することはできません。
ECP の [監査レポート] ページ、Search-AdminAuditLog コマンドレットおよび New-AdminAuditLogSearch コマンドレットは、Exchange 2010 SP1 の管理者監査ログでのみ動作します。Exchange 2010 RTM 版の監査ログ メールボックスの内容を表示するには、Outlook Web App、または Outlook などの電子メールクライアントを使用してメールボックスを開く必要があります。

監査ログの内容

それぞれの監査ログ エントリには、次の表に記載されている情報が含まれます。監査ログには、1 つまたは複数の監査ログ エントリが含まれています。監査ログ エントリの数は、Set-AdminAuditLog コマンドレットを使用して指定された監査ログ有効期限によって制御されます。有効期限を過ぎた監査ログ エントリは削除されます。

監査ログ エントリのフィールド

フィールド 説明

RunspaceId

このフィールドは、Exchange によって内部で使用されます。

ObjectModified

このフィールドには、CmdletName フィールドで指定されたコマンドレットにより変更されたオブジェクトが含まれます。

CmdletName

このフィールドには、Caller フィールドのユーザーによって実行されたコマンドレットの名前が含まれます。

CmdletParameters

このフィールドには、CmdletName フィールドのコマンドレットが実行されたときに指定されたパラメーターが含まれます。パラメーターで指定された値があれば、それもこのフィールドに格納されます (既定の出力では表示されません)。このフィールドの追加情報にアクセスする方法の詳細については、「管理者監査ログを検索する」を参照してください。

ModifiedProperties

このフィールドには、ObjectModified フィールドのオブジェクトで変更されたプロパティが含まれます。プロパティの以前の値と格納された新しい値も、このフィールドに格納されます (既定の出力では表示されません)。このフィールドの追加情報にアクセスする方法の詳細については、「管理者監査ログを検索する」を参照してください。

Caller

このフィールドには、CmdletName フィールドのコマンドレットを実行したユーザーのユーザー アカウントが含まれます。

Succeeded

このフィールドは、CmdletNameフィールドのコマンドレットが正常に実行されたかどうかを示します。値は、True または False のどちらかです。

Error

このフィールドには、CmdletName フィールドのコマンドレットが正常に完了しなかった場合に生成されるエラー メッセージが含まれます。

RunDate

このフィールドには、CmdletName フィールドのコマンドレットが実行された日時が含まれます。日時は、世界協定時刻 (UTC) 形式で格納されます。

Identity

このフィールドは、Exchange によって内部で使用されます。

IsValid

このフィールドは、Exchange によって内部で使用されます。

ECP 監査レポート

ECP の [監査レポート] ページには、さまざまな種類の規制準拠および管理構成の変更についての情報を提供する、いくつかのレポートがあります。以下のレポートは、組織のおける構成の変更についての情報を提供します。

  • 管理者の役割の変更   このレポートでは、指定されたた期間内の指定した管理役割グループに対する変更を検索できます。返される結果には、変更された役割グループ、変更を行った担当者、日時、および変更の内容が含まれます。最大で 3,000 エントリまで返すことができます。検索の結果として 3,000 を超えるエントリが返される場合は、[構成の変更のエクスポート] レポートまたは Search-AdminAuditLog コマンドレットを使用します。

  • 構成の変更のエクスポート   このレポートでは、指定された期間内に記録された監査ログ エントリを XML ファイルにエクスポートし、ファイルを指定した受信者に電子メールで送信できます。XML ファイルの内容の詳細については、「管理者監査ログの構造」を参照してください。

これらのレポートを使用する方法については、「管理者監査ログを検索する」を参照してください。

訴訟ホールド、構成の変更、および所有者以外によるメールボックスへのアクセスのレポートも、[監査レポート] ページに含まれます。これらのレポートの詳細については、以下を参照してください。

Search-AdminAuditLog コマンドレット

Search-AdminAuditLog コマンドレットを実行すると、指定した検索条件に一致する監査ログ エントリがすべて返されます。以下の検索条件を指定できます。

  • コマンドレット   管理者監査ログで検索するコマンドレットを指定します。

  • パラメーター   管理者監査ログで検索するパラメーターを指定します。検索するコマンドレットを指定した場合のみ、パラメーターを検索できます。

  • 終了日   管理者監査ログの結果の範囲を、指定の日付以前に発生したログ エントリに限定します。

  • 開始日   管理者監査ログの結果の範囲を、指定の日付以後に発生したログ エントリに限定します。

  • オブジェクト ID   指定された変更済みオブジェクトを含む管理者監査ログ エントリのみを返すように指定します。

  • ユーザー ID   コマンドレットを実行したユーザーの指定された ID を含む管理者監査ログ エントリのみを返すように指定します。

  • 正常完了   成功または失敗を示した管理者監査ログ エントリのみを返すかどうかを指定します。

それぞれの監査ログ エントリには、「監査ログの内容」の表に記載されている情報が含まれます。既定では、指定した条件に一致するログ エントリのうち、最初の 1,000 エントリのみが返されます。しかし、ResultSize パラメーターを使用してこの既定値を変更し、より多くのエントリまたはより少ないエントリを返すようにすることも可能です。Unlimited の値を ResultSize パラメーターと共に指定し、指定した条件に一致するログ エントリをすべて返すことができます。

Search-AdminAuditLog コマンドレットを使用する方法については、「管理者監査ログを検索する」を参照してください。

New-AdminAuditLogSearch コマンドレット

New-AdminAuditLogSearch コマンドレットは、Search-AdminAuditLog コマンドレットと同様に、監査ログを検索します。しかし、監査ログの検索結果をシェルに表示する代わりに、New-AdminAuditLogSearch コマンドレットでは、検索を実行してその結果を指定した受信者に電子メールで送信します。結果は、電子メール メッセージに XML 添付ファイルとして含まれます。

Search-AdminAuditLog コマンドレットで使用した検索条件と同じ条件を New-AdminAuditLogSearch コマンドレットで使用できます。検索条件の一覧については、「Search-AdminAuditLog コマンドレット」を参照してください。

New-AdminAuditLogSearch コマンドレットの実行後に、Exchange から指定された送信者にレポートが配信されるまで、最大で 15 分かかる場合があります。XML ファイルとして添付されたレポートは、最大で 10 MB になることがあります。この XML ファイルには、「監査ログの内容」の表に記載された情報と同じものが含まれます。XML ファイルの構造の詳細については、「管理者監査ログの構造」を参照してください。

注意

Outlook Web App は、既定では XML の添付ファイルを開くよう許可しません。Outlook Web App を使用して XML 添付ファイルを表示できるよう Exchange を構成するか、Microsoft OfficeOutlook などその他の電子メール クライアントを使用して添付ファイルを表示することができます。XML の添付ファイルを表示できるように Outlook Web App を構成する方法については、「Outlook Web App 仮想ディレクトリの表示または構成」を参照してください。

New-AdminAuditLogSearch コマンドレットを使用する方法については、「管理者監査ログを検索する」を参照してください。

手動による監査ログ エントリ

Exchange コマンドレットの実行時のログ記録に加えて、Exchange 2010 SP1 では、手動で監査ログにログ エントリを書き込むことができます。Exchange 2010SP1 では、Write-AdminAuditLog コマンドレットを使用してこれをサポートします。手動でログ エントリを追加する必要が生じる状況は以下のとおりです。

  • カスタム スクリプトの開始と終了

  • 制御情報の変更

  • メンテナンスの開始時刻および終了時刻

Write-AdminAuditLog コマンドレットでは、Comment パラメーターを使用して、監査ログに含めるテキスト文字列を指定します。Comment パラメーターは、最大 500 文字までの英数字を指定できます。手動による監査ログ エントリとコメント文字列には、Exchange コマンドレットのログ記録時にキャプチャされた情報と同じ情報がすべて含まれています。監査ログに含まれる各フィールドの説明については、「監査ログの内容」のテーブルを参照してください。

手動による監査ログ エントリは、ECP の [監査レポート] ページ、Search-AdminAuditLog コマンドレットまたは New-AdminAuditLogSearch コマンドレットを使用して、他のログ エントリと同様の方法で取得できます。

手動による監査ログエントリで、Write-AdminAuditLog コマンドレットの Comment パラメーターの内容を確認するには、「管理者監査ログを検索する」を参照してください。

Active Directory のレプリケーション

管理者の監査ログは、Active Directory レプリケーションに依存して、組織内のドメイン コントローラーに指定する構成設定をレプリケートします。レプリケーション設定によっては、加えた変更が組織内の Exchange 2010 を実行するすべてのサーバーに直ちに適用されない場合もあります。

管理監査ログ エージェント

管理監査ログ ビルトイン拡張エージェントは、Exchange 2010 内でコマンドレット操作の管理者監査ログを実行します。このエージェントは監査ログ構成を読み取り、組織内で実行される各コマンドレットの評価を実行します。監査ログ構成で指定した条件が実行中のコマンドレットと一致する場合は、エージェントにより監査ログが生成されます。

管理監査ログ エージェントは既定で有効 (監査ログが機能するのに必要な状態) となっています。これを無効にすることはできません。また、その優先度は変更できません。コマンドレット拡張エージェントの詳細については、「コマンドレット拡張エージェントについて」を参照してください。

管理者監査ログによってデータベースが急速に肥大化する可能性

既定では、管理者監査ログは Exchange Server 2010 で有効になっています。ログの結果は AdminAuditLogs フォルダ内の調停メールボックスに格納されています。Exchange 管理シェル でコマンドレットが頻繁に実行されている場合は、複数のログ エントリが生成され、データベースのサイズが急速に肥大化する可能性があります。ユーザーのメールボックスが存在しない場合でも、この現象が発生することがあります。

AdminAuditLogs フォルダのサイズを決定するには、Exchange 管理シェル で次のコマンドレットを実行します。Get-MailboxFolderstatistics 調停メールボックスの GUID-FolderScope RecoverableItems –IncludeAnalysis次に、AdminAuditLogs フォルダのアイテム数とサイズを表示します。

AdminAuditLogs フォルダのアイテム数とサイズが大きい場合は、フォルダからアイテムを削除するために次のコマンドレットを実行します。Search-Mailbox 調停メールボックスの GUID-Dumpsteronly -deletecontent

頻繁に実行されているコマンドレットは、データベースの肥大化を引き起こす可能性があります。一般的に、コマンドレットは定期的に実行するようにスケジュールされたスクリプトになっています。管理者監査ログが肥大化する原因となっているコマンドレットを識別します。管理者監査ログからコマンドレットを除外できることを確認した後に、Exchange 管理シェル で次のコマンドレットを実行しますSet-AdminAuditLogConfig AdminAuditLogExcludedCmdlets コマンドレット名たとえば、次のコマンドレットを実行します。Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets Add-DistributionGroupMember 。コマンドレットを実行した後、レプリケーションが完了するのを待つ必要があります。