Поиск изменений группы ролей или журналов аудита администратора в Exchange Online

Примечание.

Классический центр администрирования Exchange находится в процессе устаревания при развертывании по всему миру. Рекомендуется выполнить поиск по журналу аудита в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделах Прекращение поддержки классического центра администрирования Exchange в службе WW и Поиск в журнале аудита на портале соответствия требованиям.

В Exchange Online организациях или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков можно использовать следующие параметры для поиска в журналах аудита администратора, чтобы узнать, кто внес изменения в конфигурацию организации и получателя:

• Запустите отчет группы ролей администратора в Центре администрирования Exchange (EAC).
• Используйте PowerShell для поиска записей журнала аудита администратора и отправки результатов получателю.

Эти параметры могут быть полезны, если вы пытаетесь отследить причину непредвиденного поведения, определить вредоносного администратора или проверить соответствие требованиям. Оба этих параметра описаны в этой статье.

Совет

Вы также можете использовать EAC для просмотра записей в журнале аудита администратора. Дополнительные сведения см. в разделе Просмотр журнала аудита администратора.

Что нужно знать перед началом работы

• Предполагаемое время для завершения каждой процедуры: менее 5 минут

• Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Просмотр журнала аудита только администратора" в разделе Разрешения функций в Exchange Online.

• Сведения об открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в Exchange Online.

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Сведения о подключении к автономному Exchange Online Protection PowerShell см. в статье Подключение к Exchange Online Protection PowerShell.

• Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш для Центра администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Online или Exchange Online Protection.

Запуск отчета о группе ролей администраторов с помощью Центра администрирования Exchange

Используйте отчет группы ролей администратора, чтобы просмотреть изменения в членстве, внесенные в роли управления.

1. В EAC перейдите в разделАудитуправления> соответствием и выберите Запуск отчета группы ролей администратора.

2. На открывающейся странице Поиск изменений в группах ролей администраторов настройте следующие параметры:

   • Дата начала и дата окончания. Введите диапазон дат. По умолчанию отчет выполняет поиск изменений в группе ролей администраторов за последние две недели.

   • Выберите группы ролей. По умолчанию выполняется поиск во всех группах ролей. Чтобы отфильтровать результаты по определенным группам ролей, щелкните Выбрать группы ролей. В появившемся диалоговом окне выберите группу ролей и нажмите кнопку добавить ->. Повторите этот шаг столько раз, сколько потребуется, а затем нажмите кнопку ОК по завершении.

3. По завершении нажмите кнопку Поиск.

Если какие-либо изменения будут найдены с помощью указанных условий, они будут отображаться в области результатов. Чтобы в области сведений увидеть изменения, выберите группу ролей в результатах поиска.

Отслеживание изменений состава группы ролей

При добавлении или удалении участников группы ролей результаты поиска в области сведений указывают на изменение состава группы ролей с указанием ее текущих участников. В результатах не говорится явно, кто был добавлен или удален.

Чтобы определить, был ли добавлен или удален пользователь, следует сравнить две записи в отчете. Например, рассмотрим следующие записи журнала для группы ролей HelpDesk.

27.01.2021 16:43
Администратор
Обновленные участники: Administrator;annb,florencef;pilarp
06.02.2018 10:09
Администратор
Обновленные участники: Administrator;annb;florencef;pilarp;tonip
19.02.2021 14:12
Администратор
Обновленные участники: Administrator;annb;florencef;tonip

В этом примере администратор внес следующие изменения:

• 06.02.2021 г. они добавили пользователь tonip.
• 19.02.2021 г. пользователь был удален.

Экспорт журнала аудита администратора с помощью Центра администрирования

Примечание.

В автономном EOP нельзя экспортировать журнал аудита администратора из EAC. Но вы можете использовать PowerShell для поиска записей журнала аудита и отправки результатов получателю.

Если вы собираетесь использовать Outlook в Интернете (прежнее название — Outlook Web App) для просмотра экспортированных записей, необходимо включить .xml вложения в Outlook в Интернете. Дополнительные сведения см. в разделе Настройка Outlook в Интернете разрешения XML-вложений.

При экспорте журнала аудита администратора данные записываются в XML-файл и отправляются вам в виде вложения в сообщении электронной почты. Максимальный размер XML-файла составляет 10 мегабайт (МБ).

1. В центре администрирования EAC выберитеАудит управления >соответствием, а затем щелкните Экспорт журнала аудита администратора.
2. Выберите диапазон дат с помощью полей Дата начала и Дата окончания.
3. В поле Отправить отчет аудита нажмите кнопку Выбрать пользователей и укажите получателя отчета.
4. Нажмите кнопку Экспорт.

Если указанным критериям соответствуют записи журнала, то XML-файл будет создан и отправлен указанному получателю в виде вложения.

Поиск записей в журнале аудита с помощью PowerShell

Вы можете использовать Exchange Online PowerShell или автономную Exchange Online Protection PowerShell для поиска записей журнала аудита, соответствующих указанным условиям. Список условий поиска см. в разделе Командлет Search-AdminAuditLog. В этой процедуре используется командлет Search-AdminAuditLog и отображаются результаты поиска в PowerShell. Этот командлет можно использовать, если необходимо вернуть набор результатов, превышающий ограничения, определенные в командлете New-AdminAuditLogSearch или в отчетах об аудите EAC.

Чтобы выполнить поиск по указанному критерию журнала аудита, используйте следующий синтаксис.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Примечание.

Командлет Search-AdminAuditLog по умолчанию возвращает максимум 1000 записей журнала. Используйте параметр ResultSize , чтобы указать до 250 000 записей журнала. Или используйте значение Unlimited для возврата всех записей.

В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:

• Дата начала: 04.08.2020
• Дата окончания: 03.10.2020 г.
• Идентификаторы пользователей: davids, chrisd, kima
• Командлеты: Set-Mailbox
• Параметры: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima

В этом примере выполняется поиск изменений определенных почтовых ящиков. Это позволяет определить неполадку или предоставить сведения для диагностики. Используются следующие критерии:

• Дата начала: 01.05.2020
• Дата окончания: 03.10.2020 г.
• Идентификатор объекта: contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS

Если поисковые запросы возвращают много записей журнала, рекомендуется использовать процедуру, приведенную в разделе Использование PowerShell, для поиска записей журнала аудита и отправки результатов получателю далее в этой статье. Действия в этом разделе позволяют отправить XML-файл в виде вложения сообщения электронной почты указанным отправителям, чтобы быстрее извлечь интересующие данные.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Search-AdminAuditLog.

Просмотр подробных сведений о записях журнала аудита

Командлет Search-AdminAuditLog возвращает поля, описанные в разделе Содержимое журнала аудита. Поля CmdletParameters и ModifiedProperties, возвращаемые командлетом, содержат дополнительные сведения, которые невозможно просмотреть по умолчанию.

Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties, выполните указанные ниже действия. Вы также можете использовать процедуру в разделе Использование PowerShell для поиска записей журнала аудита и отправки результатов получателю далее в этой статье для создания XML-файла.

В этой процедуре используются следующие основные понятия:

• Массивы PowerShell
• Переменные PowerShell

1. Определите критерии поиска, запустите командлет Search-AdminAuditLog и сохраните результаты в переменной с помощью следующей команды.

   $Results = Search-AdminAuditLog <search criteria>
   

2. Каждая запись журнала аудита хранится как элемент массива в переменной $Results. Чтобы выбрать элемент массива, укажите его индекс. Индексы элементов массива начинаются с 0 для первого элемента массива. Например, чтобы получить пятый элемент массива с индексом 4, используйте следующую команду.

   $Results[4]
   

3. Предыдущая команда возвращает запись журнала, хранящуюся в элементе массива 4. Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties для этой записи журнала, используйте следующие команды.

   $Results[4].CmdletParameters
   $Results[4].ModifiedProperties
   

4. Чтобы просмотреть содержимое полей CmdletParameters и ModifiedParameters в другой записи журнала, измените индекс элемента массива.

Использование PowerShell для поиска записей журнала аудита и отправки результатов получателю

Примечание.

Отчет, создаваемый командлетом New-AdminAuditLogSearch, имеет максимальный размер в 10 МБ. Если поиск возвращает отчет размером более 10 МБ, измените указанные условия поиска. Например, уменьшите диапазон дат и запустите несколько отчетов, чтобы охватить исходный диапазон дат.

Если вы собираетесь использовать Outlook в Интернете (прежнее название — Outlook Web App) для просмотра экспортированных записей, необходимо включить .xml вложения в Outlook в Интернете. Дополнительные сведения см. в разделе Настройка Outlook в Интернете разрешения XML-вложений.

Вы можете использовать Exchange Online PowerShell или автономный Exchange Online Protection PowerShell для поиска записей журнала аудита, соответствующих указанным условиям, а затем отправить эти результаты получателю, который вы указали в виде вложения XML-файла. Результаты отправляются получателю в течение 15 минут. Список условий поиска см. в разделе Условия командлета Search-AdminAuditLog.

Чтобы выполнить поиск по указанному критерию журнала аудита, используйте следующий синтаксис.

New-AdminAuditLogSearch -Cmdlets <cmdlet1, cmdlet2, ...> -Parameters <parameter1, parameter2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$true | $false > -StatusMailRecipients <recipient1, recipient2, ...> -Name <string to include in subject>

В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:

• Дата начала: 04.08.2020
• Дата окончания: 03.10.2020 г.
• Идентификаторы пользователей davids, chrisd, kima
• Командлеты: Set-Mailbox
• Параметры: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Команда отправляет результаты на davids@contoso.com SMTP-адрес с параметром "Изменения ограничения почтового ящика", включенным в строку темы сообщения.

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

Дополнительные сведения о формате XML-файла см. в разделе Структура журнала аудита администратора.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-AdminAuditLogSearch.