Просмотр журнала аудита администратораView the administrator audit log

В Microsoft Exchange Online Protection (EOP), Microsoft Exchange Online и Microsoft Exchange Server можно использовать Центр администрирования Exchange (EAC) для поиска и просмотр записей в журнале аудита действий администратора. В журнал административного аудита записями определенные действия, в зависимости от командлета Командная консоль Exchange, выполняемой администраторов и пользователей, которым назначены права администратора. Записи журнала аудита администратора предоставить информацию о какой командлет, какие параметры использовались, пользователей, которые выполнили командлета и какие объекты затронутых.In Microsoft Exchange Online Protection (EOP), Microsoft Exchange Online, and Microsoft Exchange Server, you can use the Exchange admin center (EAC) to search for and view entries in the administrator audit log. The administrator audit log records specific actions, based on Exchange Management Shell cmdlet, performed by administrators and users who have been assigned administrative privileges. Entries in the administrator audit log provide you with information about what cmdlet was run, which parameters were used, who ran the cmdlet, and what objects were affected.

Примечание

Ведение журнала аудита действий администратора по умолчанию включено. > В журнал аудита действий администратора не записываются действия на основе командлета Командная консоль Exchange, которые начинаются с глаголов Get, Search или Test. > Записи журнала аудита хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется.Administrator auditing logging is enabled by default. > The administrator audit log doesn't record any action that is based on an Exchange Management Shell cmdlet that begins with the verbs Get, Search, or Test. > Audit log entries are kept for 90 days. When an entry is older than 90 days, it's deleted.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время выполнения: 5 минутEstimated time to complete: 5 minutes

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Просмотр отчетов" в разделе Feature Permissions in EOP.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View reports" entry in the Feature Permissions in EOP topic.

  • Как было сказано ранее, ведение журнала аудита действий администратора по умолчанию включено. Чтобы убедиться в этом, выполните следующую команду.As previously stated, administrator audit logging is enabled by default. To verify that it's enabled, you can run the following command.

    Get-AdminAuditLogConfig | FL AdminAuditLogEnabled
    

    В Exchange Server, можно включить журнал аудита администратора, если они отключены, выполнив следующую команду.In Exchange Server, you can enable administrator audit logging if it's disabled by running the following command.

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
    

    В Exchange Online Protection и Exchange Online ведение журнала аудита действий администратора всегда включено. Отключить его невозможно.In Exchange Online Protection and Exchange Online, administrator audit logging is always enabled. It can't be disabled.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection.

Использование EAC для просмотра журнала аудита действий администратораUse the EAC to view the administrator audit log

  1. В Центре администрирования Exchange выберите пункты Управление соответствием требованиям > Аудит, а затем выберите команду Просмотреть отчет из журнала аудита действий администратора.In the EAC, go to Compliance management > Auditing, and choose Run the admin audit log report.

  2. Выберите начальную и конечную дату, а затем нажмите кнопку Поиск. Будут показаны все изменения конфигурации, внесенные в течение заданного периода времени. Их можно сортировать, используя следующую информацию:Choose a Start date and End date, and then choose Search. All configuration changes made during the specified time period are displayed, and can be sorted, using the following information:

    • Дата. Дата и время внесения изменения в конфигурацию. Дата и время хранятся в формате времени UTC.Date The date and time that the configuration change was made. The date and time are stored in Coordinated Universal Time (UTC) format.

    • Командлет. Имя командлета, который использовался для изменения конфигурации.Cmdlet The name of the cmdlet that was used to make the configuration change.

    • Пользователь. Имя учетной записи пользователя, который изменил конфигурацию.User The name of the user account of the user who made the configuration change.

      На нескольких страницах отображается до 5000 записей. Укажите меньший диапазон дат, чтобы сократить число результатов. Если выбрать отдельный результат, в области сведений отображаются следующие сведения.Up to 5000 entries will be displayed on multiple pages. Specify a smaller date range if you need to narrow your results. If you select an individual search result, the following additional information is displayed in the details pane:

    • Измененный объект. Объект, измененный с помощью командлета.Object modified The object that was modified by the cmdlet.

    • Параметры (параметр:значение). Использованные параметры командлета, а также их значения.Parameters (Parameter:Value) The cmdlet parameters that were used, and any value specified with the parameter.

  3. Если вы хотите напечатать определенную запись журнала, нажмите кнопку Печать в области сведений.If you want to print a specific audit log entry, choose the Print button in the details pane.

Как проверить, что все получилось?How do you know this worked?

Если вы успешно выполнили отчет для журнала аудита действий администратора, изменения, внесенные в течение заданного периода, появится в области результатов поиска. Если результатов нет, измените диапазон дат и повторно запустите отчет.If you've successfully run an administrator audit log report, configuration changes made within the date range you specify are displayed in the search results pane. If there are no results, change the date range and then run the report again.

Примечание

После внесения изменения в конфигурацию может потребоваться до 15 минут, чтобы оно появилось в результатах поиска в журнале аудита. Если изменение не появляется в журнале аудита администратора, подождите несколько минут и снова выполните поиск.When a change is made in your organization, it may take up to 15 minutes to appear in audit log search results. If a change doesn't appear in the administrator audit log, wait a few minutes and run the search again.