Журнал аудита администратора в Exchange Server

Вы можете использовать журнал аудита администратора в Exchange Server для входа, когда пользователь или администратор вносит изменения в организации. Вы можете отследить пользователя, который внес изменение, дополнить журналы изменений подробными сведениями о применении изменения, обеспечить соответствие нормативным требованиям и запросам на обнаружение, а также многое другое.

По умолчанию журнал аудита администратора включен в новых установках Exchange Server.

Что подлежит аудиту

Аудиту подлежат командлеты, которые выполняются непосредственно в Командная консоль Exchange. Кроме того, операции, для выполнения которых используется Центр администрирования Exchange, также регистрируются в журнале, так как при этом запускаются командлеты в фоновом режиме.

В журнал заносятся командлеты, независимо от места их выполнения, если они находятся в списке аудита командлетов и один или несколько параметров этих командлетов находятся в списке аудита параметров. Журнал аудита в большей степени показывает, какие действия выполнялись для изменения объектов в организации Exchange, а не какие объекты были просмотрены.

Примечания:

  • Командлет может быть не записан в журнал, если перед вызовом командлетом агента расширения командлета журнала аудита администратора произошла ошибка. Если ошибка произошла после вызова агента ведения журнала аудита администратора, командлет заносится в журнал вместе с соответствующей ошибкой. Дополнительные сведения см. в разделе Агент журнала аудита администратора в этом разделе.

  • На компьютерах, на которых во время изменения конфигурации открыта Командная консоль Exchange, изменения конфигурации журнала аудита обновляются каждые 60 минут. Если изменения необходимо применить немедленно, Командная консоль Exchange на каждом компьютере должна быть закрыта и снова открыта.

  • После запуска команды может пройти до 15 минут, прежде чем она появится в результатах поиска журнала аудита. Это связано с тем, что перед поиском необходимо выполнить индексацию записей журнала аудита. Если команда не появляется в журнале аудита администратора, подождите несколько минут и снова выполните поиск.

Как настроить ведение журнала аудита действий администратора

По умолчанию при включенном журнале аудита администратора при каждом запуске любого комлета создается запись журнала. Если аудит всех запускаемых командлетов не требуется, можно настроить аудит только необходимых командлетов и параметров. Ведение журнала аудита настраивается с помощью командлета Set-AdminAuditLogConfig. В этом командлете используются параметры, рассматриваемые в следующих разделах.

Важно!

Изменения, вносимые в конфигурацию журнала аудита действий администратора, всегда фиксируются в журнале. Это происходит независимо от того, присутствует ли Set-AdminAuditLogConfig в списке командлетов для аудита и включено ли ведение журнала аудита.

При выполнении команды Exchange проверяет использованный командлет. Если выполнив запуск, выполнимые с помощью этого комлета, будут совпадать с любыми из указанных в параметре AdminAuditLogCmdlets параметров, Exchange затем проверяет параметры, указанные в параметре AdminAuditLogParameters. Если в списке параметров найдено по крайней мере одно соответствие, Exchange заносит выполненный командлет в журнал. В следующих разделах приведены дополнительные сведения о каждом аспекте настройки ведения журнала аудита.

Дополнительные сведения об управлении конфигурацией ведения журнала аудита см. в статье Управление ведением журнала аудита администраторов.

Командлеты

Можно указать командлеты для которых необходимо осуществлять аудит, задав список командлетов и их параметров, записи о которых необходимо вносить в журнал. При настройке ведения журнала аудита можно указать для аудита каждый комдлет или указать нужные для аудита группы с помощью параметра AdminAuditLogCmdlets. Можно указать полные имена комлетов, например New-Mailbox, или указать частичные имена и ввести эти имена в символы подмастерьев, например звездочка ( * ). Например, если вы хотите войти в журнал при запуске любого комлета, содержаного строку, можно указать Transport значение *Transport* . Можно использовать полные и частичные имена командлетов одновременно, чтобы настроить ведение журнала аудита необходимым образом.

Для аудита всех командлетов укажите только подстановочный знак (*). Это параметр по умолчанию.

Parameters

Кроме указания командлетов, записи о выполнении которых следует заносить в журнал, можно также указать, чтобы в журнал записывались командлеты, в которых используются определенные параметры. Используйте параметр AdminAuditLogParameters, чтобы указать, какие параметры должны быть зарегистрированы. Как и в случае с cmdlets, можно указать полные имена параметров, такие как , или имена частичных параметров, заключенные в символы под диктовки Database ( * *Address* например, или сочетание обоих.

Для аудита всех параметров укажите только подстановочный знак (*). Это параметр по умолчанию.

Срок хранения для журнала аудита действий администратора

По умолчанию записи в журнале аудита действий администратора хранятся в течение 90 дней. Через 90 дней запись удаляется. Можно изменить возрастное ограничение журнала аудита с помощью параметра AdminAuditLogAgeLimit. Например, чтобы изменить возрастное ограничение до 180 дней, используйте команду Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 180 . Кроме того, вы можете указать количество дней, часов, минут и секунд, в течение которых необходимо хранить записи журнала аудита. Чтобы указать значение, используйте формат, dd.hh:mm:ss в котором применяется следующее:

  • dd. Количество дней для сохраняемой записи журнала аудита.

  • hh. Количество часов для записи журнала аудита.

  • мм. Количество минут для сохраняемого входа журнала аудита.

  • ss. Количество секунд для сохраняемой записи журнала аудита.

Необходимо указать несколько лет с помощью dd поля. Например, 365 дней соответствуют одному году; 730 дней — двум годам; 913 дней — двум годам и шести месяцам. Например, чтобы установить ограничение по возрасту журнала аудита до двух лет и шести месяцев, используйте значение 913 .

Примечания:

  • Вы можете сократить срок, в течение которого хранится журнал аудита действий администратора. В этом случае все записи журнала аудита, чей возраст превысит новое значение времени, будут удалены.

  • Если вы установите ограничение по возрасту до 0, Exchange удалите все записи в журнале аудита.

  • Рекомендуем назначить разрешения, гарантирующие, что изменять время хранения журнала аудита могут только пользователи с высоким уровнем доверия.

Ведение подробного журнала

По умолчанию в журнал аудита действий администратора записываются только имя и параметры командлета (вместе с указанными значениями), сведения об измененном объекте, пользователе, который выполнил командлет, времени его выполнения и сервере, на котором он выполнен. В журнале аудита действий администратора не регистрируются сведения об измененных свойствах объекта. Если вы хотите, чтобы журнал аудита администратора также включал свойства измененного объекта, можно включить подробный журнал, установив параметр LogLevel. Verbose В этом случае помимо сведений по умолчанию будут регистрироваться старые и новые значения измененных свойств объекта.

Командлеты с глаголом Test

По умолчанию командлеты, начинающиеся с глагола Test, не заносятся в журнал. Можно указать, что тестовые cmdlets следует войти в журнал, задав параметр TestCmdletLoggingEnabled $true . Рекомендуем включать ведение журнала аудита для командлетов проверки только на короткие периоды времени, так как при этом значительно увеличивается количество записей.

Журнал аудита действий администратора

При каждой регистрации командлета в журнале аудита действий администратора создается запись. Журнал аудита действий администратора хранится в выделенном почтовом ящике разрешения конфликтов, который скрыт и доступен только с помощью Центра администрирования Exchange, командлетов Search-AdminAuditLog и New-AdminAuditLogSearch. Содержание следующих разделов:

  • Содержание журнала аудита действий администратора.

  • Отчеты, доступные на странице Аудит в Центре администрирования Exchange.

  • Командлеты поиска в журнале аудита действий администратора.

Содержимое журнала аудита

Каждая запись журнала аудита содержит сведения, описанные в приведенной ниже таблице. Журнал аудита содержит одну или несколько записей. Количество записей журналов аудита контролируется ограничением по возрасту журнала аудита, заданным с помощью Set-AdminAuditLogConfig -AdminAuditLogAgeLimit команды. Все записи журнала аудита, время хранения которых истекло, удаляются.

Поля записей журнала аудита

Field Описание
RunspaceId Это поле предназначено для внутреннего использования системой Exchange.
ObjectModified Это поле содержит объект, который был изменен в указанном в CmdletName поле комлете.
CmdletName В этом поле содержится имя комлета, запускаемого пользователем в Caller поле.
CmdletParameters Это поле содержит параметры, указанные при запуске CmdletName комлета в поле. В этом поле, при наличии, также хранится, но не отображается в выходных данных по умолчанию, значение, указанное с помощью параметра.
ModifiedProperties Это поле содержит свойства, которые были изменены на объекте ObjectModified в поле. В этом поле также хранятся значения свойств — как старые, так и новые (сохраненные).
Важно. Это поле заполняется только в том случае, если установлен параметр LogLevel в комлете Set-AdminAuditLogConfig. verbose
Caller Это поле содержит учетную запись пользователя, который управлял этим кодлетом в CmdletName поле.
Succeeded В этом поле указывается, успешно ли выполнился этот CmdletName кодлет в поле. Значение либо True или False .
Error В этом поле содержится сообщение об ошибке, сгенерированное в том случае, если этот кодлет в поле не CmdletName был успешно завершен.
RunDate Это поле содержит дату и время запуска комлета CmdletName в поле. Дата и время хранятся в формате времени UTC.
OriginatingServer В этом поле указывается сервер, на котором запускался указанный в CmdletName поле кодлет.
Identity Это поле предназначено для внутреннего использования системой Exchange.
IsValid Это поле предназначено для внутреннего использования системой Exchange.
ObjectState Это поле предназначено для внутреннего использования системой Exchange.

Отчеты аудита Центра администрирования Exchange

На странице Аудит в Центре администрирования Exchange представлено несколько отчетов, содержащих сведения о различных типах изменений, касающийся соответствия требованиям и конфигурации администрирования. Следующие отчеты содержат сведения об изменениях конфигурации в организации:

  • Отчет группы ролей администратора. Этот отчет позволяет искать изменения в группах ролей управления, указанные в заданных временных рамках. Полученные результаты содержат данные об измененных группах ролей, внесенных изменениях, а также о том, кто и когда внес эти изменения. Может быть возвращено не более 3000 записей. Если в результатах поиска выведено более 3000 записей, используйте отчет Журнал аудита администратора или командлет Search-AdminAuditLog.

  • Отчет журнала аудита администратора. Этот отчет позволяет просматривать записи в журнале аудита администратора, записанные в указанные сроки. Вы также можете экспортировать их в XML-файл, а затем отправить этот файл по электронной почте указанному получателю. Дополнительные сведения о содержимом XML-файла см. в структуре журнала аудита администратора.

Сведения об использовании этих отчетов см. в журнале Search the role group changes or administrator audit logs.

Командлет Search-AdminAuditLog

При запуске командлета Search-AdminAuditLog возвращаются все записи журнала аудита, которые соответствуют условиям поиска. Можно указать следующие условия поиска:

  • Cmdlets: указывает нужные для поиска в журнале аудита администратора.

  • Параметры. Указывает параметры, разделенные запятой, которые необходимо искать в журнале аудита администратора. Поиск параметров возможен, только если указан командлет для поиска.

  • Дата окончания: Область результатов журнала аудита администратора для записей журнала, которые произошли в указанной дате или до нее.

  • Дата начала: Область результатов журнала аудита администратора для записей журналов, которые произошли в указанной дате или после нее.

  • Объектные ID: указывает, что должны возвращаться только записи журнала аудита администратора, содержащие указанные измененные объекты.

  • Коды пользователей: указывает, что должны быть возвращены только записи журнала аудита администратора, содержащие указанные ИД пользователя, который управлял этим кодом.

  • Успешное завершение. Указывает, должны ли возвращаться только записи журнала аудита администратора, указывающие на успех или сбой.

Каждая запись журнала аудита содержит сведения, описанные в таблице в разделе Содержимое журнала аудита. По умолчанию возвращается только первая 1000 записей журнала, которые соответствуют условиям поиска. Однако значение по умолчанию можно изменить с помощью параметра ResultSize. Вы можете указать значение Unlimited с параметром ResultSize, чтобы вернуть все записи журнала, которые соответствуют указанным критериям.

Сведения об использовании cmdlet Search-AdminAuditLog см. в журнале Search the role group changes or administrator audit logs.

Командлет New-AdminAuditLogSearch

Командлет New-AdminAuditLogSearch выполняет поиск в журнале аудита действий администратора подобно командлету Search-AdminAuditLog. Однако вместо того, чтобы выводить результаты поиска в Командная консоль Exchange, командлет New-AdminAuditLogSearch выполняет поиск и отправляет результаты по электронной почте указанному получателю. Результаты включаются в электронное сообщение в виде XML-вложения.

С командлетом New-AdminAuditLogSearch можно использовать такие же условия поиска, как и с командлетом Search-AdminAuditLog. Список условий поиска см. в разделе Командлет Search-AdminAuditLog.

После запуска командлета New-AdminAuditLogSearch системе Exchange может потребоваться до 15 минут, чтобы доставить отчет указанному получателю. Максимальный размер отчета в формате XML составляет 10 МБ. XML-файл содержит такие же сведения, что и таблица в разделе Содержимое журнала аудита. Дополнительные сведения о структуре XML-файла см. в статье Структура журнала аудита администратора.

Примечание

Outlook Web App не позволяет открывать XML-вложения по умолчанию. Можно настроить Exchange для просмотра Вложений XML с помощью Outlook Web App или использовать другой клиент электронной почты, например Microsoft Outlook, для просмотра вложения. Сведения о настройке Outlook Web App для просмотра XML-вложения см. в Outlook веб-виртуальных каталогах Exchange Server.

Сведения об использовании комлета New-AdminAuditLogSearch см. в журнале Search the role group changes or administrator audit logs.

Как вносить записи в журнал аудита действий администратора вручную

Помимо ведения журнала Exchange при запуске, Exchange Server позволяет вручную записывать записи журналов в журнал аудита. Exchange Server поддерживает это с помощью cmdlet Write-AdminAuditLog. Ниже перечислены ситуации, в которых может потребоваться добавить запись в журнал вручную.

  • Пользовательский сценарий входа и выхода

  • Сведения об изменении элемента управления

  • Время начала и окончания обслуживания

В разделе Write-AdminAuditLog указывается строка текста, которая будет включена в журнал аудита с помощью параметра Comment. Параметр Comment принимает буквенно-цифровую строку длиной до 500 символов. В записи журнала аудита вручную вместе со строкой комментариев включены все те же сведения, что и Exchange в журнале. Описание полей, включенных в журнал аудита, см. в таблице из раздела Содержимое журнала аудита.

Записи журнала аудита, внесенные вручную, можно извлекать так же, как и любые другие записи журнала — с помощью страницы аудита Центра администрирования Exchange или командлетов Search-AdminAuditLog и New-AdminAuditLogSearch.

Чтобы просмотреть содержимое параметра Comment в разделе Write-AdminAuditLog в записи журнала аудита вручную, см. в разделе Поиск изменений группы ролей или журналов аудита администратора.

Репликация Active Directory

При ведении журнала аудита администратора используется репликация Active Directory для выполнения репликации параметров конфигурации, указанных для контроллеров домена в организации. В зависимости от параметров репликации выполненные изменения не сразу применяются ко всем серверам Exchange в организации.

Агент журнала аудита действий администратора

Встроенный агент расширения для журнала аудита администратора выполняет ведение журнала аудита администраторов операций с Exchange Server. Этот агент считывает конфигурацию журнала аудита и выполняет оценку каждого командлета, запускаемого в организации. Если критерий, указанный в конфигурации журнала аудита действий администратора, соответствует запускаемому командлету, агент создает запись.

Агент журнала аудита администратора включен по умолчанию, что необходимо для функции ведения журнала аудита действий администратора. Его невозможно отключить, и его приоритет невозможно изменить. Дополнительные сведения об агентах расширения командлета см. в статье Cmdlet Extension Agents.