Поиск изменений группы ролей или журналов аудита администратора в Exchange Online
Примечание.
Классический центр администрирования Exchange находится в процессе устаревания при развертывании по всему миру. Рекомендуется выполнить поиск по журналу аудита в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделах Прекращение поддержки классического центра администрирования Exchange в службе WW и Поиск в журнале аудита на портале соответствия требованиям.
В Exchange Online организациях или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков можно использовать следующие параметры для поиска в журналах аудита администратора, чтобы узнать, кто внес изменения в конфигурацию организации и получателя:
- Запустите отчет группы ролей администратора в Центре администрирования Exchange (EAC).
- Используйте PowerShell для поиска записей журнала аудита администратора и отправки результатов получателю.
Эти параметры могут быть полезны, если вы пытаетесь отследить причину непредвиденного поведения, определить вредоносного администратора или проверить соответствие требованиям. Оба этих параметра описаны в этой статье.
Совет
Вы также можете использовать EAC для просмотра записей в журнале аудита администратора. Дополнительные сведения см. в разделе Просмотр журнала аудита администратора.
Что нужно знать перед началом работы
Предполагаемое время для завершения каждой процедуры: менее 5 минут
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Просмотр журнала аудита только администратора" в разделе Разрешения функций в Exchange Online.
Сведения об открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в Exchange Online.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Сведения о подключении к автономному Exchange Online Protection PowerShell см. в статье Подключение к Exchange Online Protection PowerShell.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш для Центра администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Online или Exchange Online Protection.
Запуск отчета о группе ролей администраторов с помощью Центра администрирования Exchange
Используйте отчет группы ролей администратора, чтобы просмотреть изменения в членстве, внесенные в роли управления.
В EAC перейдите в разделАудитуправления> соответствием и выберите Запуск отчета группы ролей администратора.
На открывающейся странице Поиск изменений в группах ролей администраторов настройте следующие параметры:
Дата начала и дата окончания. Введите диапазон дат. По умолчанию отчет выполняет поиск изменений в группе ролей администраторов за последние две недели.
Выберите группы ролей. По умолчанию выполняется поиск во всех группах ролей. Чтобы отфильтровать результаты по определенным группам ролей, щелкните Выбрать группы ролей. В появившемся диалоговом окне выберите группу ролей и нажмите кнопку добавить ->. Повторите этот шаг столько раз, сколько потребуется, а затем нажмите кнопку ОК по завершении.
По завершении нажмите кнопку Поиск.
Если какие-либо изменения будут найдены с помощью указанных условий, они будут отображаться в области результатов. Чтобы в области сведений увидеть изменения, выберите группу ролей в результатах поиска.
Отслеживание изменений состава группы ролей
При добавлении или удалении участников группы ролей результаты поиска в области сведений указывают на изменение состава группы ролей с указанием ее текущих участников. В результатах не говорится явно, кто был добавлен или удален.
Чтобы определить, был ли добавлен или удален пользователь, следует сравнить две записи в отчете. Например, рассмотрим следующие записи журнала для группы ролей HelpDesk.
27.01.2021 16:43
Администратор
Обновленные участники: Administrator;annb,florencef;pilarp
06.02.2018 10:09
Администратор
Обновленные участники: Administrator;annb;florencef;pilarp;tonip
19.02.2021 14:12
Администратор
Обновленные участники: Administrator;annb;florencef;tonip
В этом примере администратор внес следующие изменения:
- 06.02.2021 г. они добавили пользователь tonip.
- 19.02.2021 г. пользователь был удален.
Экспорт журнала аудита администратора с помощью Центра администрирования
Примечание.
В автономном EOP нельзя экспортировать журнал аудита администратора из EAC. Но вы можете использовать PowerShell для поиска записей журнала аудита и отправки результатов получателю.
Если вы собираетесь использовать Outlook в Интернете (прежнее название — Outlook Web App) для просмотра экспортированных записей, необходимо включить .xml вложения в Outlook в Интернете. Дополнительные сведения см. в разделе Настройка Outlook в Интернете разрешения XML-вложений.
При экспорте журнала аудита администратора данные записываются в XML-файл и отправляются вам в виде вложения в сообщении электронной почты. Максимальный размер XML-файла составляет 10 мегабайт (МБ).
- В центре администрирования EAC выберитеАудит управления >соответствием, а затем щелкните Экспорт журнала аудита администратора.
- Выберите диапазон дат с помощью полей Дата начала и Дата окончания.
- В поле Отправить отчет аудита нажмите кнопку Выбрать пользователей и укажите получателя отчета.
- Нажмите кнопку Экспорт.
Если указанным критериям соответствуют записи журнала, то XML-файл будет создан и отправлен указанному получателю в виде вложения.
Поиск записей в журнале аудита с помощью PowerShell
Вы можете использовать Exchange Online PowerShell или автономную Exchange Online Protection PowerShell для поиска записей журнала аудита, соответствующих указанным условиям. Список условий поиска см. в разделе Командлет Search-AdminAuditLog. В этой процедуре используется командлет Search-AdminAuditLog и отображаются результаты поиска в PowerShell. Этот командлет можно использовать, если необходимо вернуть набор результатов, превышающий ограничения, определенные в командлете New-AdminAuditLogSearch или в отчетах об аудите EAC.
Чтобы выполнить поиск по указанному критерию журнала аудита, используйте следующий синтаксис.
Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >
Примечание.
Командлет Search-AdminAuditLog по умолчанию возвращает максимум 1000 записей журнала. Используйте параметр ResultSize , чтобы указать до 250 000 записей журнала. Или используйте значение Unlimited
для возврата всех записей.
В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:
- Дата начала: 04.08.2020
- Дата окончания: 03.10.2020 г.
- Идентификаторы пользователей:
davids
,chrisd
,kima
- Командлеты: Set-Mailbox
- Параметры: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima
В этом примере выполняется поиск изменений определенных почтовых ящиков. Это позволяет определить неполадку или предоставить сведения для диагностики. Используются следующие критерии:
- Дата начала: 01.05.2020
- Дата окончания: 03.10.2020 г.
- Идентификатор объекта: contoso.com/Users/DavidS
Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS
Если поисковые запросы возвращают много записей журнала, рекомендуется использовать процедуру, приведенную в разделе Использование PowerShell, для поиска записей журнала аудита и отправки результатов получателю далее в этой статье. Действия в этом разделе позволяют отправить XML-файл в виде вложения сообщения электронной почты указанным отправителям, чтобы быстрее извлечь интересующие данные.
Дополнительные сведения о синтаксисе и параметрах см. в разделе Search-AdminAuditLog.
Просмотр подробных сведений о записях журнала аудита
Командлет Search-AdminAuditLog возвращает поля, описанные в разделе Содержимое журнала аудита. Поля CmdletParameters и ModifiedProperties, возвращаемые командлетом, содержат дополнительные сведения, которые невозможно просмотреть по умолчанию.
Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties, выполните указанные ниже действия. Вы также можете использовать процедуру в разделе Использование PowerShell для поиска записей журнала аудита и отправки результатов получателю далее в этой статье для создания XML-файла.
В этой процедуре используются следующие основные понятия:
Определите критерии поиска, запустите командлет Search-AdminAuditLog и сохраните результаты в переменной с помощью следующей команды.
$Results = Search-AdminAuditLog <search criteria>
Каждая запись журнала аудита хранится как элемент массива в переменной
$Results
. Чтобы выбрать элемент массива, укажите его индекс. Индексы элементов массива начинаются с 0 для первого элемента массива. Например, чтобы получить пятый элемент массива с индексом 4, используйте следующую команду.$Results[4]
Предыдущая команда возвращает запись журнала, хранящуюся в элементе массива 4. Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties для этой записи журнала, используйте следующие команды.
$Results[4].CmdletParameters $Results[4].ModifiedProperties
Чтобы просмотреть содержимое полей CmdletParameters и ModifiedParameters в другой записи журнала, измените индекс элемента массива.
Использование PowerShell для поиска записей журнала аудита и отправки результатов получателю
Примечание.
Отчет, создаваемый командлетом New-AdminAuditLogSearch, имеет максимальный размер в 10 МБ. Если поиск возвращает отчет размером более 10 МБ, измените указанные условия поиска. Например, уменьшите диапазон дат и запустите несколько отчетов, чтобы охватить исходный диапазон дат.
Если вы собираетесь использовать Outlook в Интернете (прежнее название — Outlook Web App) для просмотра экспортированных записей, необходимо включить .xml вложения в Outlook в Интернете. Дополнительные сведения см. в разделе Настройка Outlook в Интернете разрешения XML-вложений.
Вы можете использовать Exchange Online PowerShell или автономный Exchange Online Protection PowerShell для поиска записей журнала аудита, соответствующих указанным условиям, а затем отправить эти результаты получателю, который вы указали в виде вложения XML-файла. Результаты отправляются получателю в течение 15 минут. Список условий поиска см. в разделе Условия командлета Search-AdminAuditLog.
Чтобы выполнить поиск по указанному критерию журнала аудита, используйте следующий синтаксис.
New-AdminAuditLogSearch -Cmdlets <cmdlet1, cmdlet2, ...> -Parameters <parameter1, parameter2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$true | $false > -StatusMailRecipients <recipient1, recipient2, ...> -Name <string to include in subject>
В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:
- Дата начала: 04.08.2020
- Дата окончания: 03.10.2020 г.
- Идентификаторы пользователей davids, chrisd, kima
- Командлеты: Set-Mailbox
- Параметры: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize
Команда отправляет результаты на davids@contoso.com SMTP-адрес с параметром "Изменения ограничения почтового ящика", включенным в строку темы сообщения.
New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"
Дополнительные сведения о формате XML-файла см. в разделе Структура журнала аудита администратора.
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-AdminAuditLogSearch.