Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os logs de auditoria do administrador contêm um registro de todos os cmdlets e parâmetros que foram executados no Shell de Gerenciamento do Exchange e pelo Centro de Administração do Exchange (EAC). Eles são criados sob demanda quando você executa o relatório de log de auditoria de administrador no EAC ou quando você executa o cmdlet New-AdminAuditLogSearch no Shell de Gerenciamento do Exchange. Para obter mais informações sobre logs de auditoria, consulte Log de auditoria do administrador no Exchange Server.
Os logs de auditoria são arquivos XML e podem conter várias entradas de log de auditoria. A tabela a seguir descreve cada marca XML e seus atributos associados.
| Elemento | Atributo | Descrição |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
N/D | Esta é a marca de declaração de documento XML. Ele está incluído em todos os arquivos XML do log de auditoria e contém o número da versão XML e o valor de codificação do caractere. |
SearchResults |
N/D | Essa marca contém todas as entradas de log de auditoria no arquivo XML. A Event marca é uma criança dessa marca. Há apenas uma SearchResults marca por arquivo XML. |
Event |
Essa marca contém a entrada de log de auditoria para um cmdlet individual. Essa marca contém os Calleratributos , Cmdlet, ObjectModified, RunDate, Succeeded, Errore OriginatingServer . As CmdletParameters marcas e ModifiedProperties são filhos dessa marca. Há uma Event marca por entrada de log de auditoria. |
|
Caller |
Esse atributo contém a conta de usuário do usuário que executou o cmdlet no Cmdlet atributo. |
|
Cmdlet |
Esse atributo contém o nome do cmdlet executado pelo usuário no Caller atributo. |
|
ObjectModified |
Esse atributo contém o objeto que foi modificado pelo cmdlet especificado no Cmdlet atributo. A ModifiedProperties marca mostra quais propriedades foram modificadas neste objeto. |
|
RunDate |
Esse atributo contém a data e a hora em que o cmdlet no Cmdlet atributo foi executado. |
|
Succeeded |
Esse atributo especifica se o cmdlet no Cmdlet atributo foi executado com êxito. O valor é True ou False. |
|
Error |
Esse atributo contém a mensagem de erro gerada se o cmdlet no Cmdlet atributo não tiver sido concluído com êxito. Se nenhum erro foi encontrado, o valor será definido como None. |
|
OriginatingServer |
Esse atributo contém o servidor no qual o cmdlet especificado no Cmdlet atributo foi executado. |
|
CmdletParameters |
N/D | Essa marca contém todos os parâmetros especificados quando o cmdlet foi executado. A Parameter marca é uma criança dessa marca. Há uma CmdletParameters marca por Event marca. |
Parameter |
Essa marca contém um parâmetro individual que foi especificado quando o cmdlet foi executado. Essa marca contém os Name atributos e Value . Pode haver várias Parameter marcas por CmdletParameters marca. |
|
Name |
Esse atributo contém o nome do parâmetro especificado no cmdlet que foi executado. | |
Value |
Esse atributo contém o valor fornecido no parâmetro especificado no Name atributo. |
|
ModifiedProperties |
N/D | Essa marca contém todas as propriedades que foram modificadas pelo cmdlet executado. A Property marca é uma criança dessa marca. Há uma ModifiedProperties marca por Event marca. Importante: essa marca só será preenchida se o parâmetro LogLevel no cmdlet Set-AdminAuditLogConfig for definido como Verbose. |
Property |
Essa marca contém uma propriedade individual especificada quando o cmdlet foi executado. Essa marca contém os Nameatributos , OldValuee NewValue . Pode haver várias Property marcas por ModifiedProperties marca. |
|
Name |
Esse atributo contém o nome da propriedade que foi modificada quando o cmdlet foi executado. | |
OldValue |
Esse atributo contém o valor contido na propriedade especificada no Name atributo antes de ser alterado. |
|
NewValue |
Esse atributo contém o valor para o qual a propriedade no Name atributo foi alterada. |
A seguir está um exemplo de uma entrada de log típica no log de auditoria de administrador.
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e16.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e16.contoso.com/Users/david" RunDate="2015-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.01.0396.030)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>
Com base nas informações nesta entrada de log, sabemos o seguinte:
Em 18/10/2017 às 15h48 horário de verão do Pacífico (UTC-7), o usuário
Administratorexecutou o cmdlet Set-Mailbox.Os dois parâmetros a seguir foram fornecidos quando o cmdlet Set-Mailbox foi executado:
Identidade com um valor de
davidProhibitSendReceiveQuota com um valor de
10GB
A propriedade ProhibitSendReceiveQuota no objeto
davidfoi modificada com um novo valor de10GB, que substituiu o valor antigo de35GB.Observação
As propriedades modificadas são salvas no log de auditoria porque o parâmetro LogLevel no
Set-AdminAuditLogConfigcmdlet foi definido comoVerboseneste exemplo.A operação foi concluída com êxito sem erros.