Просмотр и экспорт журнала аудита действий внешнего администратораView and export the external admin audit log

В Exchange Online действия Майкрософт и полномочных администраторов регистрируются в журнале аудита действий администратора. Вы можете найти и просмотреть записи журнала аудита с помощью Центра администрирования или командной консоли Exchange, чтобы определить, изменяли ли внешние администраторы конфигурацию вашей организации Exchange Online. Вы также можете экспортировать эти записи журнала аудита с помощью командной консоли Exchange.In Exchange Online, actions performed by Microsoft and delegated administrators are logged in the administrator audit log. You can use the EAC or the Exchange Management Shell to search for and view audit log entries to determine if external administrators performed any actions on or changed the configuration of your Exchange Online organization. You can also use the Exchange Management Shell to export these audit log entries.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время для завершения: зависит от того, просматриваете ли вы записи журнала аудита действий администратора или экспортируете их из него. Предполагаемое время выполнения указывается для каждой процедуры.Estimated time to complete: This will vary based on whether you view or export entries from the admin audit log. See each procedure for its estimated time to complete.

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Ведение журнала аудита действий администратора только для просмотра" в разделе Exchange and Shell Infrastructure Permissions.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View-only administrator audit logging" entry in the Exchange and Shell Infrastructure Permissions topic.

  • При экспорте журнала аудита действий администратора Microsoft Exchange вкладывает журнал аудита в виде XML-файла в сообщение электронной почты, которое отправляется указанным получателям. Тем не менее по умолчанию XML-вложения блокируются в Outlook Web App. Если вы хотите использовать Outlook Web App для доступа к журналам аудита, необходимо разрешить XML-вложения в Outlook Web App. Выполните следующую команду, чтобы разрешить XML-вложения в приложении Outlook Web App.When you export the admin audit log, Microsoft Exchange attaches the audit log, which is an XML file, to an email message that is sent to the specified recipients. However, Outlook Web App blocks XML attachments by default. If you want to use Outlook Web App to access these audit logs, you have to configure Outlook Web App to allow XML attachments. Run the following command to allow XML attachments in Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
    
  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection.

Что необходимо сделать?What do you want to do?

Просмотр отчета журнала аудита действий внешнего администратора с помощью Центра администрирования ExchangeUse the EAC to view the external admin audit log report

Предполагаемое время для завершения: 3 минутыEstimated time to complete: 3 minutes

  1. Откройте раздел Управление соответствием > Аудит и щелкните Просмотреть отчет журнала аудита действий внешнего администратора. Будут показаны все изменения конфигурации, которые внесли администраторы центра обработки данных Майкрософт и полномочные администраторы в течение заданного периода времени. Их можно сортировать, используя следующую информацию.Go to Compliance management > Auditing and click View the external admin audit log report. All configuration changes made by Microsoft datacenter administrators and delegated administrators during the specified time period are displayed, and can be sorted, using the following information:

    • Дата. Дата и время внесения изменения в конфигурацию. Дата и время хранятся в формате времени UTC.Date The date and time that the configuration change was made. The date and time are stored in Coordinated Universal Time (UTC) format.

    • Командлет. Имя командлета, который использовался для внесения изменения в конфигурацию.Cmdlet The name of the cmdlet that was used to make the configuration change.

      Если выбрать отдельный результат, в области сведений отображаются следующие сведения.If you select an individual search result, the following information is displayed in the details pane:

    • Дата и время запуска командлета.The date and time that the cmdlet was run.

    • Пользователь, запустивший командлет. Во всех записях в отчете журнала аудита действий внешнего администратора пользователь определяется как администратор и представляет собой администратора центра обработки данных Майкрософт или внешнего администратора.The user who ran the cmdlet. For all entries in the external admin audit log report, the user is identified as Administrator, which indicates a Microsoft datacenter administrator or an external administrator.

    • Использованные параметры командлета, а также их значения в формате Параметр: значение.The cmdlet parameters that were used, and any value specified with the parameter, in the format Parameter:Value.

  2. Чтобы распечатать определенную запись журнала аудита, выберите ее в области результатов поиска и щелкните Печать в области сведений.If you want to print a specific audit log entry, select it in the search results pane and then click Print in the details pane.

  3. Чтобы сузить поиск, выберите даты в раскрывающихся меню Дата начала и Дата окончания, а затем щелкните Поиск.To narrow the search, choose dates in the Start date and End date drop-down menus, and then click Search.

Просмотр записей в отчете журнала аудита действий внешних администраторов с помощью командной консоли ExchangeUse the Exchange Management Shell to view entries in the external admin audit log report

Предполагаемое время для завершения: 3 минутыEstimated time to complete: 3 minutes

Чтобы просмотреть записи журнала аудита, связанные с действиями, которые выполняют администраторы центра обработки данных Майкрософт и полномочные администраторы, используйте командлет Search-AdminAuditLog с параметром ExternalAccess.You can use the Search-AdminAuditLog cmdlet with the ExternalAccess parameter to view entries from the administrator audit log for actions performed by Microsoft datacenter administrators and delegated administrators.

Эта команда возвращает все записи в журнале аудита действий администратора для командлетов, которые выполняют внешние администраторы.This command returns all entries in the administrator audit log for cmdlets run by external administrators.

Search-AdminAuditLog -ExternalAccess $true

Эта команда возвращает все записи в журнале аудита действий администратора для командлетов, которые внешние администраторы запустили с 17 сентября по 2 октября 2013 г.This command returns entries in the administrator audit log for cmdlets run by external administrators between September 17, 2013 and October 2, 2013.

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

Дополнительные сведения см. в разделе Search-AdminAuditLog.For more information, see Search-AdminAuditLog.

Экспорт журнала аудита действий администраторов с помощью командной консоли ExchangeUse the Exchange Management Shell to export the admin audit log

Предполагаемое время для завершения: приблизительно 24 часаEstimated time to complete: Approximately 24 hours

Чтобы экспортировать записи журнала аудита, связанные с действиями, которые выполняют администраторы центра обработки данных Майкрософт или полномочные администраторы, используйте командлет New-AdminAuditLogSearch с параметром ExternalAccess. Microsoft Exchange извлекает записи в журнале аудита действий, которые выполнили внешние администраторы, и сохраняет их в файле с именем SearchResult.xml. Этот XML-файл вкладывается в сообщение электронной почты, которое отправляется указанным получателям в течение 24 часов.You can use the New-AdminAuditLogSearch cmdlet with the ExternalAccess parameter to export entries from the administrator audit log for actions performed by Microsoft datacenter administrators or delegated administrators. Microsoft Exchange retrieves entries in the administrator audit log that were performed by external administrators and saves them to a file named SearchResult.xml. This XML file is attached to an email message that is sent to the specified recipients within 24 hours.

Следующая команда возвращает записи из журнала аудита действий администратора относительно командлетов, которые внешние администраторы запустили с 25 сентября по 24 октября 2013 г. Результаты поиска отправляются на SMTP-адреса admin@contoso.com и pilarp@contoso.com, а в строку темы сообщения добавляется текст "Журнал аудита действий внешнего администратора".The following command returns entries in the administrator audit log for cmdlets run by external administrators between September 25, 2013 and October 24, 2013. The search results are sent to the admin@contoso.com and pilarp@contoso.com SMTP addresses and the text "External admin audit log" is added to the subject line of the message.

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"

Примечание

Если включить параметр ExternalAccess, в экспортируемый журнала аудита будут включены только записи для действий, которые выполняют администраторы центра обработки данных Майкрософт или полномочные администраторы. Если не включить параметр ExternalAccess, журнал аудита будет содержать записи для действий, которые выполняют как администраторы вашей организации, так и внешние администраторы.When you include the ExternalAccess parameter, only entries for actions performed by Microsoft datacenter administrator or delegated administrators are included in the audit log that is exported. If you don't include the ExternalAccess parameter, the audit log will contain entries for actions performed by the administrators in your organization and by external administrators.

Чтобы убедиться, что команда по экспорту записей журнала аудита действий внешних администраторов успешно выполнена, а также отобразить сведения о текущих операциях поиска журналов аудита действий администраторов, выполните следующую команду.To verify that the command to export the admin audit log entries performed by external administrators was successful, and to display information about current administrator audit log searches, run the following command:

Get-AuditLogSearch | FL

Дополнительные сведенияMore information

  • В Office 365 позволяет передавать возможность выполнять некоторые задачи администрирования для авторизованного партнера корпорации Майкрософт. Эти задачи администрирования включают создание или изменение пользователей, сброс паролей пользователей, управление пользовательскими лицензиями, Управление доменами и назначение разрешений администратора для других пользователей в вашей организации. Когда авторизовать партнеров будет выполняться для этой роли, партнера называется делегированным администратором. Задачи, выполняемые с делегированного администрирования записываются в журнал аудита администратора. Как уже было сказано, действия, выполняемые делегированные администраторы могут просматривать, выполнив отчет журнала аудита для внешних администратора или экспортируемые с помощью командлета New-AdminAuditLogSearch с параметром ExternalAccess .In Office 365, you can delegate the ability to perform certain administrative tasks to an authorized partner of Microsoft. These admin tasks include creating or editing users, resetting user passwords, managing user licenses, managing domains, and assigning admin permissions to other users in your organization. When you authorize a partner to take on this role, the partner is referred to as a delegated admin. The tasks performed by a delegated admin are logged in the admin audit log. As previously described, actions performed by delegated admins can be viewed by running the external admin audit log report or exported by using the New-AdminAuditLogSearch cmdlet with the ExternalAccess parameter.

  • В журнал аудита действий администратора записываются определенные действия администраторов и пользователей с правами администратора на основе командлетов Командная консоль Exchange. В журнале также записываются действия внешних администраторов. В журнале аудита действий администраторов приведены сведения о выполненном командлете, использованных параметрах и измененных объектах.The administrator audit log records specific actions, based on Exchange Management Shell cmdlets, performed by administrators and users who have been assigned administrative privileges. Actions performed by external administrators are also logged. Entries in the admin audit log provide you with information about the cmdlet that was run, which parameters were used, and what objects were affected.

  • В журнал аудита действий администраторов не записываются действия на основе командлета Командная консоль Exchange, который начинается с глагола Get, Search или Test.The administrator audit log doesn't record any action that is based on an Exchange Management Shell cmdlet that begins with the verbs Get, Search, or Test.

  • Записи журнала аудита хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется.Audit log entries are kept for 90 days. When an entry is older than 90 days, it's deleted.