Ведение журнала аудита действий администратора

Применяется к: Exchange Server 2013 г.

Вы можете использовать журнал аудита администратора в Microsoft Exchange Server 2013 г., чтобы войти в журнал, когда пользователь или администратор вносит изменения в организации. Вы можете отследить пользователя, который внес изменение, дополнить журналы изменений подробными сведениями о применении изменения, обеспечить соответствие нормативным требованиям и запросам на обнаружение, а также многое другое.

По умолчанию журнал аудита включен в новых установках Exchange 2013.

Что подлежит аудиту

Аудиту подлежат командлеты, которые выполняются непосредственно в Командная консоль Exchange. Кроме того, операции, для выполнения которых используется Центр администрирования Exchange, также регистрируются в журнале, так как при этом запускаются командлеты в фоновом режиме.

В журнал заносятся командлеты, независимо от места их выполнения, если они находятся в списке аудита командлетов и один или несколько параметров этих командлетов находятся в списке аудита параметров. Журнал аудита в большей степени показывает, какие действия выполнялись для изменения объектов в организации Exchange, а не какие объекты были просмотрены.

Важно!

Командлет может быть не записан в журнал, если перед вызовом командлетом агента расширения командлета журнала аудита администратора произошла ошибка. Если ошибка произошла после вызова агента ведения журнала аудита администратора, командлет заносится в журнал вместе с соответствующей ошибкой. Дополнительные сведения см. далее в разделе Агент журнала аудита действий администратора.
Изменения, внесенные с Microsoft Exchange Server 2010 года, регистрируются; однако изменения с Microsoft Exchange Server 2007 года не регистрируются.
На компьютерах, на которых во время изменения конфигурации открыта командная консоль, изменения конфигурации журнала аудита обновляются каждые 60 минут. Если изменения необходимо применить немедленно, на каждом компьютере закройте и снова откройте консоль.
После запуска команды может пройти до 15 минут, прежде чем она появится в результатах поиска журнала аудита. Это связано с тем, что перед поиском необходимо выполнить индексацию записей журнала аудита. Если команда не появляется в журнале аудита администратора, подождите несколько минут и снова выполните поиск.

Конфигурация журналов аудита

По умолчанию при включенном журнале аудита при каждом запуске любого комлета создается запись журнала. Если аудит всех запускаемых командлетов не требуется, можно настроить аудит только необходимых командлетов и параметров. Ведение журнала аудита настраивается с помощью командлета Set-AdminAuditLogConfig. В этом командлете используются параметры, рассматриваемые в следующих разделах.

Важно!

Изменения в конфигурации журнала аудита администратора всегда фиксируются в журнале независимо от того, находится ли командлет Set-AdministratorAuditLog в списке аудита командлетов и включено или отключено ведение журнала аудита.

При выполнении команды Exchange проверяет использованный командлет. Если был совмещается с любым из указанных в параметре AdminAuditLogConfigCmdlets, Exchange проверяет параметры, указанные в параметре AdminAuditLogConfigParameters. Если по крайней мере один или несколько параметров из списка параметров совпадают, Exchange журнал командлета, который запускался в почтовом ящике, указанном с помощью параметра AdminAuditLogMailbox. В следующих разделах приведены дополнительные сведения о каждом аспекте настройки ведения журнала аудита.

Дополнительные сведения об управлении конфигурацией ведения журнала аудита см. в статье Управление ведением журнала аудита администраторов.

Командлеты

Можно указать командлеты для которых необходимо осуществлять аудит, задав список командлетов и их параметров, записи о которых необходимо вносить в журнал. При настройке ведения журнала аудита можно указать для аудита каждый комдлет или указать нужные для аудита группы с помощью параметра AdminAuditLogConfigCmdlets. Можно указать полные имена комлетов, например New-Mailbox, или указать частичные имена и ввести эти имена в символы подмастерьев, например звездочка ( * ). Например, если вы хотите войти в журнал при запуске любого комлета, содержаного строку, можно указать Transport значение *Transport* . Можно использовать полные и частичные имена командлетов одновременно, чтобы настроить ведение журнала аудита необходимым образом.

Parameters

Кроме указания командлетов, записи о выполнении которых следует заносить в журнал, можно также указать, чтобы в журнал записывались командлеты, в которых используются определенные параметры. Чтобы указать, какие параметры необходимо заносить в журнал, используйте параметр AdminAuditLogConfigParameters. Как и в случае с cmdlets, можно указать полные имена параметров, такие как , или имена частичных параметров, заключенные в символы под диктовки Database ( * *Address* например, или сочетание обоих.

Ограничение по возрасту журнала аудита

По умолчанию записи журнала аудита хранятся в течение 90 дней. По истечении 90 дней запись журнала аудита удаляется. С помощью параметра AdminAuditLogAgeLimit можно изменить время хранения журнала аудита. Можно указать число дней, часов, минут и секунд, в течение которых необходимо хранить записи журнала аудита. Чтобы указать значение, используйте формат, dd.hh:mm:ss в котором применяется следующее:

  • dd. Количество дней для сохраняемой записи журнала аудита.

  • hh. Количество часов для записи журнала аудита.

  • мм. Количество минут для сохраняемого входа журнала аудита.

  • ss. Количество секунд для сохраняемой записи журнала аудита.

Необходимо указать несколько лет с помощью dd поля. Например, 365 дней соответствуют одному году; 730 дней — двум годам; 913 дней — двум годам и шести месяцам. Например, чтобы установить ограничение по возрасту журнала аудита до двух лет и шести месяцев, используйте синтаксис 913.00:00:00 .

Предупреждение

Для времени хранения журнала аудита можно установить меньшее значение по сравнению с текущим временем хранения. При этом все записи журнала аудита, чей возраст превысит новое время хранения, будут удалены.
Если вы установите ограничение по возрасту до 0, Exchange удалите все записи в журнале аудита.
Разрешения на настройку времени хранения журнала аудита рекомендуется предоставлять только пользователям с высоким уровнем доверия.

Ведение подробного журнала

По умолчанию журнал аудита администратора записи только имя cmdlet, параметры cmdlet (и значения заданы), объект, который был изменен, который управлял этим комлетом, когда был запускать cmdlet, и на каком сервере был запускаться этот кодлет. Журнал аудита администратора не регистрировать, какие свойства были изменены на объекте. Если вы хотите, чтобы журнал аудита также включал свойства измененного объекта, можно включить подробный журнал, установив параметр LogLevel. Verbose При включении многословного ведения журнала, помимо сведений, зарегистрированных по умолчанию, свойства, измененные на объекте, включая их старые и новые значения, включаются в журнал аудита.

Командлеты с глаголом Test

По умолчанию командлеты, начинающиеся с глагола Test, не заносятся в журнал. Можно указать, что тестовые cmdlets следует войти в журнал, задав параметр TestCmdletLoggingEnabled $true . Хотя вы можете включить ведение журнала тестовых комлетов, рекомендуется делать это только в течение коротких периодов времени, так как тестовые комлеты могут создавать большое количество информации.

Журналы аудита

При каждой регистрации командлета в журнале создается запись журнала аудита. Журналы аудита хранятся в скрытом специальном почтовом ящике арбитража, доступ к который можно получить только с помощью EAC или search-AdminAuditLog или new-AdminAuditLogSearch. Его нельзя открыть с помощью Microsoft Outlook Web App microsoft Outlook. Следующие разделы содержат сведения на темы:

  • Сведения, содержащиеся в журналах

  • Отчеты, доступные на странице аудита EAC

  • Командлеты поиска в журнале аудита

Содержимое журнала аудита

Каждая запись журнала аудита содержит сведения, описанные в приведенной ниже таблице. Журнал аудита содержит одну или несколько записей. Количество записей журналов аудита контролируется ограничением по возрасту журнала аудита, заданным с помощью группы Set-AdminAuditLogConfig. Все записи журнала аудита, время хранения которых истекло, удаляются.

Поля записей журнала аудита

Поле Описание

RunspaceId

Это поле предназначено для внутреннего использования системой Exchange.

ObjectModified

Это поле содержит объект, который был изменен в указанном в CmdletName поле комлете.

CmdletName

В этом поле содержится имя комлета, запускаемого пользователем в Caller поле.

CmdletParameters

Это поле содержит параметры, указанные при запуске CmdletName комлета в поле. В этом поле, при наличии, также хранится, но не отображается в выходных данных по умолчанию, значение, указанное с помощью параметра. Дополнительные сведения о доступе к дополнительным сведениям в этой области см. в журнале Search the role group changes or administrator audit logs.

ModifiedProperties

Это поле содержит свойства, которые были изменены на объекте ObjectModified в поле. В этом поле также хранятся значения свойств — как старые, так и новые (сохраненные). Дополнительные сведения о доступе к дополнительным сведениям в этой области см. в журнале Search the role group changes or administrator audit logs.

Важно!

Это поле заполняется только в том случае, если задан параметр LogLevel в кодлете Set-AdminAuditLogConfig. Verbose

Caller

Это поле содержит учетную запись пользователя, который управлял этим кодлетом в CmdletName поле.

Succeeded

В этом поле указывается, успешно ли выполнился этот CmdletName кодлет в поле. Значение либо True или False .

Error

В этом поле содержится сообщение об ошибке, сгенерированное в том случае, если этот кодлет в поле не CmdletName был успешно завершен.

RunDate

Это поле содержит дату и время запуска комлета CmdletName в поле. Дата и время хранятся в формате времени UTC.

OriginatingServer

В этом поле указывается сервер, на котором запускался указанный в CmdletName поле кодлет.

Identity

Это поле предназначено для внутреннего использования системой Exchange.

IsValid

Это поле предназначено для внутреннего использования системой Exchange.

ObjectState

Это поле предназначено для внутреннего использования системой Exchange.

Отчеты аудита Центра администрирования Exchange

На странице аудита в EAC имеется несколько отчетов, которые предоставляют сведения о различных типах изменений соответствия требованиям и изменениях административной конфигурации. Следующие отчеты содержат сведения об изменениях конфигурации в организации:

  • Отчет группы ролей администратора. Этот отчет позволяет искать изменения в группах ролей управления, указанные в заданных временных рамках. Полученные результаты содержат данные об измененных группах ролей, внесенных изменениях, а также о том, кто и когда внес эти изменения. Может быть возвращено не более 3000 записей. Если в результатах поиска выведено более 3000 записей, используйте отчет Журнал аудита администратора или командлет Search-AdminAuditLog.

  • Журнал аудита администратора. Этот отчет позволяет экспортировать записи журнала аудита, записанные в течение указанного времени, в XML-файл, а затем отправить файл по электронной почте указанному получателю. Дополнительные сведения о содержимом XML-файла см. в структуре журнала аудита администратора.

Сведения об использовании этих отчетов см. в журнале Search the role group changes or administrator audit logs.

Сведения о других отчетах, включенных на странице аудита, см. в Exchange отчетов аудита.

Командлет Search-AdminAuditLog

При запуске командлета Search-AdminAuditLog возвращаются все записи журнала аудита, которые соответствуют критериям поиска, которые вы указываете. Можно указать следующие условия поиска:

  • Cmdlets: указывает нужные для поиска в журнале аудита администратора.

  • Параметры. Указывает параметры, разделенные запятой, которые необходимо искать в журнале аудита администратора. Поиск параметров возможен, только если указан командлет для поиска.

  • Дата окончания: Область результатов журнала аудита администратора для записей журналов, которые произошли в указанной дате или до нее.

  • Дата начала: Область результатов журнала аудита администратора для записей журналов, которые произошли в указанную дату или после нее.

  • Объектные ID: указывает, что должны возвращаться только записи журнала аудита администратора, содержащие указанные измененные объекты.

  • Коды пользователей. Указывает, что должны быть возвращены только записи журнала аудита администратора, содержащие указанные ИД пользователя, который управлял этим кодом.

  • Успешное завершение. Указывает, следует ли возвращать только записи журнала аудита администратора, указывающие на успех или сбой.

Каждая возвращенная запись журнала аудита содержит сведения, описанные в таблице в разделе Audit Log Contents. По умолчанию возвращается только первая 1000 записей журнала, соответствующих заданным критериям. Однако значение по умолчанию можно изменить с помощью параметра ResultSize для вывода большего или меньшего количества записей. Вы можете указать значение Unlimited с параметром ResultSize, чтобы вернуть все записи журнала, которые соответствуют указанным критериям.

Сведения об использовании cmdlet Search-AdminAuditLog см. в журнале Search the role group changes or administrator audit logs.

Командлет New-AdminAuditLogSearch

Командлет New-AdminAuditLogSearch выполняет поиск в журнале аудита подобно командлету Search-AdminAuditLog. Однако вместо отображения результатов поиска журнала аудита в Оболочке, кодлет New-AdminAuditLogSearch выполняет поиск, а затем отправляет результаты поиска получателю, задаваемого по электронной почте. Результаты включаются в электронное сообщение в виде XML-вложения.

С командлетом New-AdminAuditLogSearch можно использовать такие же условия поиска, как и с командлетом Search-AdminAuditLog. Список условий поиска см. в разделе Search-AdminAuditLog Cmdlet.

После запуска комлета New-AdminAuditLogSearch Exchange может занять до 15 минут для доставки отчета указанному получателю. Максимальный размер отчета в формате XML составляет 10 мегабайт (МБ). В файле XML содержатся такие же сведения, как в таблице в разделе Audit Log Contents. Дополнительные сведения о структуре XML-файла см. в журнале аудита администратора.

Примечание

Outlook Web App не позволяет открывать XML-вложения по умолчанию. Можно настроить Exchange для просмотра Вложений XML с помощью Outlook Web App или использовать другой клиент электронной почты, например Microsoft Outlook, для просмотра вложения. Сведения о настройке Outlook Web App для просмотра XML-вложений см. в Outlook Web App виртуальных каталогов.

Сведения об использовании комлета New-AdminAuditLogSearch см. в журнале Search the role group changes or administrator audit logs.

Записи журнала аудита вручную

Помимо ведения журнала Exchange при запуске, Exchange 2013 позволяет вручную записывать записи журналов в журнал аудита. Exchange 2013 поддерживает это с помощью cmdlet Write-AdminAuditLog. Ниже перечислены ситуации, в которых может потребоваться добавить запись в журнал вручную.

  • Пользовательский сценарий входа и выхода

  • Сведения об изменении элемента управления

  • Время начала и окончания обслуживания

В разделе Write-AdminAuditLog указывается строка текста, которая будет включена в журнал аудита с помощью параметра Comment. Параметр Comment принимает буквенно-цифровую строку длиной до 500 символов. В записи журнала аудита вручную вместе со строкой комментариев включены все те же сведения, что и Exchange в журнале. Описание каждого поля, включенного в журнал аудита, см. в таблице в содержимого журнала аудита.

Вы можете получать записи журнала аудита вручную так же, как и любые другие записи журнала, используя страницу аудита EAC или с помощью групп search-AdminAuditLog или New-AdminAuditLogSearch.

Чтобы просмотреть содержимое параметра Comment в разделе Write-AdminAuditLog в записи журнала аудита вручную, см. в разделе Поиск изменений группы ролей или журналов аудита администратора.

Репликация Active Directory

При ведении журнала аудита администратора используется репликация Active Directory для выполнения репликации параметров конфигурации, указанных для контроллеров домена в организации. В зависимости от параметров репликации внесенные изменения могут быть применены не сразу к всем серверам, работающим Exchange 2013 или Exchange 2010 г. в вашей организации.

Агент журнала аудита действий администратора

Встроенный агент расширения журнала аудита администратора выполняет журнал аудита операций с Exchange 2013 г. Этот агент считывает конфигурацию журнала аудита и выполняет оценку каждого командлета, запускаемого в организации. Если критерий, указанный в конфигурации журнала аудита, соответствует выполняемому командлету, агент создает журнал аудита.

Агент журнала аудита администратора включен по умолчанию, что необходимо для функции ведения журнала аудита. Его невозможно отключить, и его приоритет невозможно изменить. Дополнительные сведения о агентах расширения cmdlet см. в дополнительных сведениях о агентах расширения cmdlet.