在 Exchange 2013 中查看管理员审核日志
适用于:Exchange Server 2013
在 Microsoft Exchange 2013 中,可以使用 Exchange 管理中心 (EAC) 来搜索和查看管理员审核日志中的条目。 管理员审核日志根据管理员和具有指定管理权限的用户所执行的 Exchange 命令行管理程序 cmdlet 来记录特定的操作。 管理员审核日志中的条目向您提供有关所运行的 cmdlet、所使用的参数、运行 cmdlet 的用户以及受影响的对象的相关信息。
注意
默认情况下,将启用管理员审核日志记录。
管理员审核日志不会记录任何基于以“ 获取”、“ 搜索”或“ 测试”谓词开头的 Exchange 命令行管理程序 cmdlet 的操作。
审核日志条目将保留 90 天。 当某个条目超过 90 天时,会删除该条目。
开始前,有必要了解什么?
估计完成时间:5 分钟
您必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 消息策略和符合性权限 主题中的“查看报告”条目。
如上文所述,管理员审核日志记录已默认启用。 若要验证是否已启用,您可以运行以下命令:
Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled如果管理员审核日志记录被禁用,可以通过运行以下命令来启用它。
Set-AdminAuditLogConfig -AdminAuditLogEnabled $True有关可能适用于本主题中的过程的键盘快捷方式的信息,请参阅 Exchange 2013 中 Exchange 管理中心的键盘快捷方式。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。
使用 EAC 查看管理员审核日志
在 EAC 中,转到 “合规性管理>审核”,然后选择 “运行管理员审核日志报告”。
选择“开始日期”和“结束日期”,然后选择“搜索”。 在指定期间进行的所有配置更改都将显示并且可以使用以下信息进行排序:
日期:进行配置更改的日期和时间。 日期和时间存储为协调世界时 (UTC) 格式。
Cmdlet:用于进行配置更改的 cmdlet 的名称。
用户:进行配置更改的用户的用户帐户的名称。
将分多页显示多达 5000 个条目。 如果您需要缩小结果范围,请指定一个较小的日期范围。 如果您选择单个搜索结果,将在详细信息窗格中显示以下附加信息:
已修改的对象:由 cmdlet 修改的对象。
参数 (Parameter:Value) :使用的 cmdlet 参数,以及使用 参数指定的任何值。
如果要打印特定的审核日志条目,请选择详细信息窗格中的“ 打印 ”按钮。
如何知道操作成功?
如果您已成功运行管理员审核日志报告,在您指定的日期范围内所做的配置更改将显示在搜索结果窗格中。 如果没有结果,请更改日期范围,然后再次运行报告。
注意
在组织中进行更改后,将需要 15 分钟才能显示在审核日志搜索结果中。 如果更改未出现在管理员审核日志中,请等待几分钟,然后再次运行搜索。