Управление ведением журнала аудита администратора в Exchange Server

  • Статья

Ведение журнала аудита администратора в Exchange Server позволяет создавать запись журнала при каждом запуске указанного командлета. Записи журнала содержат сведения о том, какой командлет выполнялся, какие параметры использовались, кто выполнял командлет и какие объекты были затронуты. Дополнительные сведения о ведении журнала аудита администратора см. в разделе Ведение журнала аудита администратора в Exchange Server.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения каждой процедуры: менее 5 минут

  • Для выполнения этой процедуры можно использовать только PowerShell.Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Ведение журнала аудита администратора" раздела "Инфраструктура Exchange и разрешения PowerShell ".

  • При ведении журнала аудита действий администратора для репликации параметров конфигурации, указанных для контроллеров домена в организации, используется Active Directory. В зависимости от параметров репликации внесенные изменения могут быть применены не сразу ко всем серверам Exchange 2016 и Exchange 2019 в вашей организации.

  • На компьютерах, на которых во время изменения конфигурации открыта Командная консоль Exchange, изменения конфигурации журнала аудита обновляются каждые 60 минут. Если изменения необходимо применить немедленно, Командная консоль Exchange на каждом компьютере должна быть закрыта и снова открыта.

  • После запуска команды может пройти до 15 минут, прежде чем она появится в результатах поиска журнала аудита. Это связано с тем, что перед поиском необходимо выполнить индексацию записей журнала аудита. Если команда не появляется в журнале аудита администратора, подождите несколько минут и снова выполните поиск.

Как задать командлеты для аудита

По умолчанию в журналах аудита создается запись для каждого выполняемого командлета. Если ведение журнала аудита включено впервые и необходимо, чтобы это действие выполнялось далее, список аудита командлетов изменять не требуется. Если вы ранее указали командлеты для аудита и теперь хотите выполнить аудит всех командлетов, вы можете выполнить аудит всех командлетов, указав подстановочный знак звездочки (*) с помощью параметра AdminAuditLogCmdlets в командлете Set-AdminAuditLogConfig , как показано в следующей команде.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets *

Вы можете указать, какие командлеты следует выполнять аудит, предоставив список командлетов с помощью параметра AdminAuditLogCmdlets . При указании списка командлетов для аудита можно указать один командлеты, командлеты со звездочкой (*) подстановочными знаками или сочетание обоих командлетов. Записи в списке разделяются запятыми. Допустимы следующие значения:

  • New-Mailbox

  • *TransportRule

  • *Management*

  • Set-Transport*

В этом примере выполняется аудит командлетов, указанных в предыдущем списке.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-AdminAuditLogConfig.

Как задать параметры для аудита

По умолчанию в журналах аудита создается запись для каждого выполняемого командлета, независимо от указанных параметров. Если ведение журнала аудита включено впервые и необходимо, чтобы это действие выполнялось далее, список аудита параметров изменять не требуется. Если ранее вы указали параметры для аудита и теперь хотите выполнить аудит всех параметров, это можно сделать, указав подстановочный знак звездочки (*) с параметром AdminAuditLogParameters в командлете Set-AdminAuditLogConfig , как показано в следующей команде.

Set-AdminAuditLogConfig -AdminAuditLogParameters *

Вы можете указать параметры, которые требуется выполнить аудит, с помощью параметра AdminAuditLogParameters . При указании списка параметров для аудита можно указать отдельные параметры, параметры с подстановочными знаками звездочки (*) или сочетание обоих параметров. Записи в списке разделяются запятыми. Допустимы следующие значения:

  • Database

  • *Address*

  • Custom*

  • *Region

Примечание.

Для создания записи журнала аудита при выполнении команды команда должна включать по крайней мере один или несколько параметров, которые существуют по крайней мере в одном или нескольких командлетах, указанных с параметром AdminAuditLogCmdlets .

В этом примере выполняется аудит параметров, указанных в предыдущем списке.

Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-AdminAuditLogConfig.

Как задать срок хранения для журнала аудита действий администратора

Время хранения журнала аудита определяет период, в течение которого будут храниться записи журнала аудита. При превышении времени хранения записи журнала она удаляется. Значение по умолчанию — 90 дней.

Вы можете указать возрастной предел в днях. Кроме того, можно указать количество дней, часов, минут и секунд, в течение которых должны храниться записи журнала аудита. Чтобы указать значение, более конкретное, чем дни, используйте формат dd.hh.mm:ss, где применяется следующее:

  • dd: количество дней для хранения записи журнала аудита

  • hh: количество часов для хранения записи в журнале аудита

  • mm: количество минут для хранения записи журнала аудита

  • ss: количество секунд для хранения записи журнала аудита.

Осторожностью

Для времени хранения журнала аудита можно установить меньшее значение по сравнению с текущим временем хранения. При этом все записи журнала аудита, длительность хранения которых превысит новое время хранения, будут удалены. > Если для ограничения по возрасту задано значение 0, Exchange удаляет все записи в журнале аудита. > Рекомендуется назначать разрешения, чтобы настроить ограничение на возраст журнала аудита только для пользователей с высоким уровнем доверия.

В этом примере указывается время хранения, равное двум годам и шести месяцам.

Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-AdminAuditLogConfig.

Как включить или отключить ведение журнала для командлетов с глаголом Test

По умолчанию командлеты, начинающиеся с глагола Test, не заносятся в журнал. Причиной этого является то, что командлеты Test могут создавать большой объем данных за короткий период времени. Включать ведение журнала командлетов Test рекомендуется только на короткий период времени.

Эта команда включает ведение журнала командлетов Test.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $true

Эта команда отключает ведение журнала командлетов Test.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $false

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-AdminAuditLogConfig.

Как отключить ведение журнала аудита действий администратора

Чтобы отключить ведение журнала аудита действий администратора, используйте указанную ниже команду.

Set-AdminAuditLogConfig -AdminAuditLogEnabled $false

Как включить ведение журнала аудита действий администратора

Чтобы включить ведение журнала аудита действий администратора, используйте указанную ниже команду.

Set-AdminAuditLogConfig -AdminAuditLogEnabled $true

Как просмотреть параметры, касающиеся ведения журнала аудита действий администратора

Чтобы просмотреть параметры, касающиеся ведения журнала аудита действий администратора, которые вы настроили в организации, используйте указанную ниже команду.

Get-AdminAuditLogConfig