Exchange Server中的管理员审核日志结构
管理员审核日志包含关于 Exchange 命令行管理程序 中已经运行的以及由 Exchange 管理中心 (EAC) 运行的所有 cmdlet 和参数的记录。 在 EAC 中运行管理员审核日志报告时,或者在 Exchange 命令行管理程序中运行 New-AdminAuditLogSearch cmdlet 时,会按需创建它们。 有关审核日志的详细信息,请参阅 Exchange Server 中的管理员审核日志记录。
审核日志 XML 标记和特性
审核日志是 XML 文件,并且可以包含多个审核日志条目。 下表描述了每个 XML 标记及其关联特性。
| 元素 | 属性 | 说明 |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
不适用 | 这是 XML 文档声明标记。 每个审核日志 XML 文件中都包括此声明标记,该标记包含 XML 版本号和字符型编码值。 |
SearchResults |
不适用 | 此标记包含 XML 文件中的所有审核日志条目。 标记 Event 是此标记的子级。 每个 XML 文件只有一个 SearchResults 标记。 |
Event |
此标记包含单个 cmdlet 的审核日志条目。 此标记包含 Caller、、Cmdlet、ObjectModifiedRunDate、SucceededError、 和 OriginatingServer 属性。 CmdletParameters和 ModifiedProperties 标记是此标记的子级。 每个审核日志条目有一个 Event 标记。 |
|
Caller |
此属性包含属性中运行 cmdlet 的用户的 Cmdlet 用户帐户。 |
|
Cmdlet |
此属性包含在特性中 Caller 由用户运行的 cmdlet 的名称。 |
|
ObjectModified |
此属性包含由 属性中指定的 cmdlet 修改的对象 Cmdlet 。 标记 ModifiedProperties 显示对此对象修改了哪些属性。 |
|
RunDate |
此属性包含运行特性中的 Cmdlet cmdlet 的日期和时间。 |
|
Succeeded |
此属性指定属性中的 Cmdlet cmdlet 是否成功运行。 值为 True 或 False。 |
|
Error |
如果属性中的 Cmdlet cmdlet 未能成功完成,则此属性包含生成的错误消息。 如果未遇到任何错误,则该值设置为 None。 |
|
OriginatingServer |
此属性包含运行特性中指定的 Cmdlet cmdlet 的服务器。 |
|
CmdletParameters |
不适用 | 此标记包含运行 cmdlet 时指定的所有参数。 标记 Parameter 是此标记的子级。 每个 Event标记有一个CmdletParameters标记。 |
Parameter |
此标记包含运行 cmdlet 时指定的单个参数。 此标记包含 Name 和 Value 属性。 每个 CmdletParameters标记可以有多个Parameter标记。 |
|
Name |
此特性包含运行 cmdlet 时指定的参数的名称。 | |
Value |
此属性包含在 特性中指定的 Name 参数上提供的值。 |
|
ModifiedProperties |
不适用 | 此标记包含由运行的 cmdlet 修改的所有属性。 标记 Property 是此标记的子级。 每个 Event标记有一个ModifiedProperties标记。 重要提示:仅当 Set-AdminAuditLogConfig cmdlet 上的 LogLevel 参数设置为 时, Verbose才会填充此标记。 |
Property |
此标记包含运行 cmdlet 时指定的单个属性。 此标记包含 Name、 OldValue和 NewValue 属性。 每个 ModifiedProperties标记可以有多个Property标记。 |
|
Name |
此特性包含运行 cmdlet 时修改的属性的名称。 | |
OldValue |
此属性包含在更改之前属性中指定的属性中的 Name 值。 |
|
NewValue |
此属性包含属性中 Name 属性已更改为的值。 |
管理员审核日志条目的示例
以下是管理员审核日志中典型日志条目的示例。
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e16.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e16.contoso.com/Users/david" RunDate="2015-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.01.0396.030)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>
根据此日志条目中的信息,我们知道发生了以下事件:
在 2017 年 10 月 18 日下午 3:48 太平洋夏令时 (UTC-7) ,用户
Administrator运行了 cmdlet Set-Mailbox。运行 Set-Mailbox cmdlet 时提供了以下两个参数:
值为 的标识
david具有值为 的 ProhibitSendReceiveQuota
10GB
对象
david上的 ProhibitSendReceiveQuota 属性已修改为 新值10GB,它替换了 的旧值35GB。注意
修改后的属性将保存到审核日志,因为在此示例中,cmdlet 上的
Set-AdminAuditLogConfigLogLevel 参数已设置为Verbose。操作没有发生任何错误,成功完成。