Поиск изменений группы ролей или журналов аудита администратораSearch the role group changes or administrator audit logs

Поиск по журналу административного аудита позволяет определить автора изменений организации, сервера и сведений получателя. Это может помочь при определении причины неожиданного поведения, для выявления недобросовестного администратора или для проверки соблюдения всех требований. Дополнительные сведения о ведении журнала аудита администратора см. в разделе Ведение журнала аудита администратора.You can search the administrator audit logs to discover who made changes to organization, server, and recipient configuration. This can be helpful when you're trying to track the cause of unexpected behavior, to identify a malicious administrator, or to verify that compliance requirements are being met. For more information about administrator audit logging, see Administrator audit logging.

Если нужно найти журнала аудита почтовых ящиков, посетите страницу Mailbox Audit Logging.If you want to search the mailbox audit log, see Mailbox Audit Logging.

Совет

В Exchange Online для просмотра записей в журнале аудита действий администратора можно использовать Центр администрирования Exchange. Дополнительные сведения см. в разделе Просмотр журнала аудита администратора.In Exchange Online, you can use the EAC to view entries in the administrator audit log. For more information, see View the administrator audit log.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время для завершения каждой процедуры: менее 5 минутEstimated time to complete each procedure: less than 5 minutes

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Ведение журнала аудита действий администратора только для просмотра" в разделе Exchange and Shell Infrastructure Permissions.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View-only administrator audit logging" entry in the Exchange and Shell Infrastructure Permissions topic.

  • Ведение журнала аудита действий администратора по умолчанию включено. Чтобы убедиться, что резервная непрерывная репликация включена, выполните следующую команду:Administrator audit logging is enabled by default. To verify that it's enabled, run the following command:

    Get-AdminAuditLogConfig | FL AdminAuditLogEnabled
    

    Значение True указывает на то, что служба SMTP запущена. Значение False показывает, что служба отключена. Чтобы включить ведение журнала аудита действий администратора для локальной организации Exchange, используйте следующую команду:A value of True indicates that administrator audit logging is enabled. A value of False indicates that it's disabled. If you need to enable administrator audit logging for an on-premises Exchange organization, run the following command:

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $true
    

    Примечание

    Командлет Set-AdminAuditLogConfig недоступен в Exchange Online.The Set-AdminAuditLogConfig cmdlet isn't available in Exchange Online.

    Дополнительные сведения см. в разделе Configure Administrator Audit Logging.For more information, see Configure Administrator Audit Logging.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection.

Что необходимо сделать?What do you want to do?

Использование EAC для запуска отчета об изменениях группы ролей управленияUse the EAC to run the management role group changes report

Чтобы определить изменения в группах ролей управления организации, можно использовать отчет «Группы ролей администраторов» в EAC. Отчет «Группы ролей администраторов» позволяет просмотреть список групп ролей, которые были изменены в течение указанного периода. Также можно просмотреть изменения для определенных групп ролей.If you want to know what changes to management role group membership have been made to role groups in your organization, you can use the Administrator Role Group report in the Exchange Administration Center (EAC). Using the Administrator Role Group report, you can view a list of role groups that have changed during a specified date range. You can also select the specific role groups you want to view changes for.

  1. В EAC выберите пункты Управление соответствием требованиям > Аудит, а затем выберите команду Запустить отчет о группе ролей администраторов.In the EAC, select Compliance management > Auditing, and then click Run an administrator role group report.

  2. Выберите диапазон дат с помощью полей Дата начала и Дата окончания.Select a date range using the Start date and End date fields.

  3. Щелкните Выбрать группы ролей, а затем выберите группы ролей, для которых требуется показать изменения, или оставьте это поле пустым, чтобы найти изменения во всех группах ролей.Click Select role groups, and then select the role groups you want to show changes for or leave this field blank to search for changes in all role groups.

  4. Нажмите кнопку Поиск.Click Search.

При нахождении изменений, соответствующих указанным критериям, они будут отображены в результатах поиска. Щелкните группу ролей, чтобы отобразить изменения группы ролей в области сведений.If any changes are found using the criteria you specified, a list of changes will be displayed in the results pane. Clicking a role group displays the changes to the role group in the details pane.

Использование EAC для экспорта журнала административного аудитаUse the EAC to export the administrator audit log

Чтобы создать XML-файл, который содержит изменения, внесенные в организацию, можно воспользоваться отчетом экспорта журнала аудита администраторов EAC. Этот отчет позволяет указать диапазон дат для поиска записей журнала аудита, которые содержат изменения, выполненные указанными пользователями. После этого XML-файл отправляется получателю в виде вложения в сообщение электронной почты. Максимальный размер XML-файла составляет 10 мегабайт (МБ).If you want to create an XML file that contains changes made to your organization, you can use the Export Administrator Audit Log report in the EAC. Using the Export Administrator Audit Log report, you can specify a date range to search for audit log entries that contain changes made by users you specify. The XML file is then sent to a recipient as an email attachment. The maximum size of the XML file is 10 megabytes (MB).

Примечание

Outlook Web App не позволяет открыть XML-вложения по умолчанию. Можно настроить Exchange, чтобы разрешить XML-вложения можно просматривать с помощью Outlook Web App или другим клиентом электронной почты, например Microsoft Outlook, можно использовать для просмотра вложений. Сведения о настройке Outlook Web App, чтобы можно было просматривать XML-вложения, можно Просмотр или настройка виртуальных каталогов Outlook Web App.Outlook Web App doesn't allow you to open XML attachments by default. You can either configure Exchange to allow XML attachments to be viewed using Outlook Web App, or you can use another email client, such as Microsoft Outlook, to view the attachment. For information about how to configure Outlook Web App to allow you to view an XML attachment, see View or configure Outlook Web App virtual directories.

  1. В EAC выберите пункты Управление соответствием требованиям > Аудит, а затем выберите команду Экспортировать журнал аудита администраторов.In the EAC, select Compliance management > Auditing, and then click Export the administrator audit log.

  2. Выберите диапазон дат с помощью полей Дата начала и Дата окончания.Select a date range using the Start date and End date fields.

  3. В поле Отправить отчет аудита нажмите кнопку Выбрать пользователей и укажите получателя отчета.In the Send the auditing report to field, click Select users and then select the recipient you want to send the report to.

  4. Нажмите кнопку Экспорт.Click Export.

Если указанным критериям соответствуют записи журнала, то XML-файл будет создан и отправлен указанному получателю в виде вложения.If any log entries are found using the criteria you specified, an XML file will be created and sent as an email attachment to the recipient you specified.

Использование командной строки для поиска записей журнала аудитаUse the Shell to search for audit log entries

Для поиска записей, соответствующих указанным критериям, можно использовать командную строку. Список критериев поиска см. в разделе Ведение журнала аудита администратора. В этой процедуре используется командлет Search-AdminAuditLog, который отображает результаты поиска в командной строке. Этот командлет позволяет вернуть набор результатов, который превышает ограничения, определенные в командлете New-AdminAuditLogSearch или в отчетах аудита EAC.You can use the Shell to search for audit log entries that meet the criteria you specify. For a list of search criteria, see Administrator audit logging. This procedure uses the Search-AdminAuditLog cmdlet and displays search results in the Shell. You can use this cmdlet when you need to return a set of results that exceeds the limits defined on the New-AdminAuditLogSearch cmdlet or in the EAC Audit Reporting reports.

Чтобы отправить результаты поиска журнала аудита получателю, обратитесь к разделу Использование командной строки для поиска записей журнала аудита и отправки результатов получателям в этом документе.If you want to send audit log search results in an email attachment to a recipient, see Use the Shell to search for audit log entries and send results to a recipient later in this topic.

Чтобы выполнить поиск по указанному критерию журнала аудита, используйте следующий синтаксис.To search the audit log for criteria you specify, use the following syntax.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Примечание

Командлет Search-AdminAuditLog по умолчанию возвращает максимум 1000 записей журнала. Используйте параметр ResultSize, чтобы указать до 250 000 записей журнала. Также можно использовать значение Unlimited для возврата всех записей.The Search-AdminAuditLog cmdlet returns a maximum of 1,000 log entries by default. Use the ResultSize parameter to specify up to 250,000 log entries. Or, use the value Unlimited to return all entries.

В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:This example performs a search for all audit log entries with the following criteria:

  • Дата начала 04.08.2012Start date 08/04/2012

  • Дата окончания 10/03/2012End date 10/03/2012

  • Идентификаторы пользователей davids, chrisd, kimaUser IDs davids, chrisd, kima

  • Командлеты Set-MailboxCmdlets Set-Mailbox

  • Параметры ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSizeParameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima

В этом примере выполняется поиск изменений определенных почтовых ящиков. Это позволяет определить неполадку или предоставить сведения для диагностики. Используются следующие критерии:This example searches for changes made to a specific mailbox. This is useful if you're troubleshooting or you need to provide information for an investigation. The following criteria are used:

  • Дата начала 01.05.2012Start date 05/01/2012

  • Дата окончания 10/03/2012End date 10/03/2012

  • Идентификатор объекта contoso.com/Users/DavidSObject ID contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2012 -EndDate 10/03/2012 -ObjectID contoso.com/Users/DavidS

Если поиск возвращает слишком много записей журнала, рекомендуется выполнить действия, описанные в разделе Использование командной строки для поиска записей журнала аудита и отправки результатов получателям этого документа. Действия в этом разделе позволяют отправить XML-файл в виде вложения сообщения электронной почты указанным отправителям, чтобы быстрее извлечь интересующие данные.If your searches return many log entries, we recommend that you use the procedure provided in Use the Shell to search for audit log entries and send results to a recipient later in this topic. The procedure in that section sends an XML file as an email attachment to the recipients you specify, enabling you to more easily extract the data you're interested in.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Search-AdminAuditLog.For detailed syntax and parameter information, see Search-AdminAuditLog.

Просмотр подробных сведений о записях журнала аудитаView details of audit log entries

Командлет Search-AdminAuditLog возвращает поля, описанные в разделе «Содержимое журнала аудита» в Ведение журнала аудита администратора. Поля CmdletParameters и ModifiedProperties, возвращаемые командлетом, содержат дополнительные сведения, которые невозможно просмотреть по умолчанию.The Search-AdminAuditLog cmdlet returns the fields described in the "Audit log contents section of Administrator audit logging. Of the fields returned by the cmdlet, two fields, CmdletParameters and ModifiedProperties, contain additional information that isn't viewable by default.

Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties, выполните указанные ниже действия. Кроме того, можно также использовать процедуру в разделе Использование командной строки для поиска записей журнала аудита и отправки результатов получателям этого документа для создания XML-файла.To view the contents of the CmdletParameters and ModifiedProperties fields, use the following steps. Or, you can use the procedure in Use the Shell to search for audit log entries and send results to a recipient later in this topic to create an XML file.

В этой процедуре используются следующие основные понятия:This procedure uses the following concepts:

  1. Определите критерии поиска, запустите командлет Search-AdminAuditLog и сохраните результаты в переменной с помощью следующей команды.Decide the criteria you want to search for, run the Search-AdminAuditLog cmdlet, and store the results in a variable using the following command.

    $Results = Search-AdminAuditLog <search criteria>
    
  2. Каждая запись журнала сохраняется в переменной $Results в виде элемента массива. Чтобы выбрать элемент массива, укажите его индекс. Индексы элементов массива начинаются с 0 для первого элемента массива. Например, чтобы получить пятый элемент массива с индексом 4, используйте следующую команду.Each audit log entry is stored as an array element in the variable $Results. You can select an array element by specifying its array element index. Array element indexes start at zero (0) for the first array element. For example, to retrieve the 5th array element, which has an index of 4, use the following command.

    $Results[4]
    
  3. Предыдущая команда возвращает запись журнала, хранящуюся в элементе массива 4. Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties для этой записи журнала, используйте следующие команды.The previous command returns the log entry stored in array element 4. To see the contents of the CmdletParameters and ModifiedProperties fields for this log entry, use the following commands.

    $Results[4].CmdletParameters
    $Results[4].ModifiedProperties
    
  4. Чтобы просмотреть содержимое полей CmdletParameters и ModifiedParameters в другой записи журнала, измените индекс элемента массива.To view the contents of the CmdletParameters or ModifiedParameters fields in another log entry, change the array element index.

Использование командной строки для поиска записей журнала аудита и отправки результатов получателямUse the Shell to search for audit log entries and send results to a recipient

Чтобы выполнить поиск записей журнала аудита по указанным критериям и отправить результаты определенному отправителю в виде XML-файла, используйте командную строку. Результаты отправляются получателю в течение 15 минут. Список критериев поиска см. в разделе Ведение журнала аудита администратора.You can use the Shell to search for audit log entries that meet the criteria you specify, and then send those results to a recipient you specify as an XML file attachment. The results are sent to the recipient within 15 minutes. For a list of search criteria, see Administrator audit logging.

Примечание

Outlook Web App не позволяет открыть XML-вложения по умолчанию. Можно настроить Exchange, чтобы разрешить XML-вложения можно просматривать с помощью Outlook Web App или другим клиентом электронной почты, например Microsoft Outlook, можно использовать для просмотра вложений. Сведения о настройке Outlook Web App, чтобы можно было просматривать XML-вложения, можно Просмотр или настройка виртуальных каталогов Outlook Web App.Outlook Web App doesn't allow you to open XML attachments by default. You can either configure Exchange to allow XML attachments to be viewed using Outlook Web App, or you can use another email client, such as Microsoft Outlook, to view the attachment. For information about how to configure Outlook Web App to allow you to view an XML attachment, see View or configure Outlook Web App virtual directories.

Чтобы выполнить поиск по указанному критерию журнала аудита, используйте следующий синтаксис.To search the audit log for criteria you specify, use the following syntax.

New-AdminAuditLogSearch -Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False > -StatusMailRecipients <recipient 1, recipient 2, ...> -Name <string to include in subject>

В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:This example performs a search for all audit log entries with the following criteria:

  • Дата начала 04.08.2012Start date 08/04/2012

  • Дата окончания 10/03/2012End date 10/03/2012

  • Идентификаторы пользователей davids, chrisd, kimaUser IDs davids, chrisd, kima

  • Командлеты Set-MailboxCmdlets Set-Mailbox

  • Параметры ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSizeParameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Эта команда отправляет результаты на SMTP-адрес davids@contoso.com. Строка темы сообщения содержит текст "Mailbox limit changes".The command sends the results to the davids@contoso.com SMTP address with "Mailbox limit changes" included in the subject line of the message.

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

Примечание

Отчет, создаваемый командлетом New-AdminAuditLogSearch, имеет максимальный размер в 10 МБ. Если выполняемый поиск возвращает отчет больше 10 МБ, следует изменить критерии поиска. Например, можно сократить размер диапазона данных и выполнить несколько отчетов, каждый из которых будет содержать часть исходного диапазона данных.The report that the New-AdminAuditLogSearch cmdlet generates can be a maximum of 10 MB in size. If the search you perform returns a report larger than 10 MB, change the search criteria you specified. For example, reduce the size of the date range and run multiple reports, each with a portion of the original date range.

Дополнительные сведения о формате XML-файла Просмотр Структуры журнала аудита администратора.For more information about the format of the XML file, see Administrator Audit Log Structure.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-AdminAuditLogSearch.For detailed syntax and parameter information, see New-AdminAuditLogSearch.