(0) exportieren Drucken
Alle erweitern

Administrator-Überwachungsprotokollierung

 

Gilt für: Exchange Server 2013

Letztes Änderungsdatum des Themas: 2013-02-08

Mit der Administrator-Überwachungsprotokollierung in Microsoft Exchange Server 2013 können Sie protokollieren, wann ein Benutzer oder ein Administrator eine Änderung an der Organisation vornimmt. Indem Sie ein Protokoll der Änderungen führen, können Sie u. a. Änderungen der Person zuordnen, die sie vorgenommen hat, Änderungsprotokollen ausführliche Datensätze der implementierten Änderung hinzufügen, rechtliche Bestimmungen einhalten und Auskunftserteilungsanforderungen erfüllen.

Standardmäßig ist die Überwachungsprotokollierung in Neuinstallationen von Exchange 2013 aktiviert.

Inhalt

Was wird überwacht

Konfiguration der Überwachungsprotokollierung

Überwachungsprotokolle

Manuelle Einträge im Überwachungsprotokoll

Active Directory-Replikation

Administrator-Überwachungsprotokoll-Agent

Cmdlets, die direkt in der Exchange-Verwaltungsshell ausgeführt werden, werden überwacht. Darüber hinaus werden auch Vorgänge protokolliert, die mit der Exchange-Verwaltungskonsole ausgeführt werden, da diese Vorgänge Cmdlets im Hintergrund ausführen.

Cmdlets werden überwacht, unabhängig davon, wo sie ausgeführt werden, wenn sich ein Cmdlet auf der Überwachungsliste für Cmdlets befindet und sich mindestens ein Parameter dieses Cmdlets auf der Überwachungsliste für Parameter befindet. Cmdlets vom Typ Get- und Search- werden nicht protokolliert. Mit der Überwachungsprotokollierung soll gezeigt werden, welche Aktionen unternommen wurden, um Objekte in einer Exchange-Organisation zu ändern, nicht aber die angezeigten Objekte.

WichtigWichtig:
Ein Cmdlet wird möglicherweise nicht protokolliert, wenn ein Fehler auftritt, bevor das Cmdlet den Cmdlet-Erweiterungs-Agent für das Administratorüberwachungsprotokoll aufruft. Tritt ein Fehler auf, nachdem der Administratorüberwachungsprotokoll-Agent aufgerufen wurde, wird das Cmdlet zusammen mit dem zugeordneten Fehler protokolliert. Weitere Informationen finden Sie im Abschnitt Administrator-Überwachungsprotokoll-Agent weiter unten in diesem Thema.
Änderungen, die mit Microsoft Exchange Server 2010-Verwaltungstools vorgenommen wurden, werden protokolliert. Jedoch werden Änderungen, die mit Microsoft Exchange Server 2007-Verwaltungstools vorgenommen wurden, nicht protokolliert.
Änderungen an der Überwachungsprotokollkonfiguration werden alle 60 Minuten auf Computern aktualisiert, deren Shell zum Zeitpunkt einer Konfigurationsänderung geöffnet ist. Wenn Sie die Änderungen sofort anwenden möchten, schließen Sie die Shell auf den einzelnen Computern, und öffnen sie dann wieder.
Es dauert bis zu 15 Minuten nach dem Ausführen eines Befehls, bis dieser in den Suchergebnissen in des Überwachungsprotokolls angezeigt wird. Der Grund hierfür liegt darin, dass Überwachungsprotokolleinträge indiziert werden müssen, bevor sie durchsucht werden können. Wenn ein Befehl nicht im Administratorüberwachungsprotokoll aufgeführt wird, warten Sie einige Minuten, und führen Sie dann die Suche erneut aus.

Wenn die Überwachungsprotokollierung aktiviert ist, wird standardmäßig jedes Mal ein Protokolleintrag erstellt, wenn ein Cmdlet ausgeführt wird. Dies gilt nicht für Cmdlets vom Typ Get- und Search-. Wenn nicht jedes ausgeführte Cmdlet überwacht werden soll, können Sie die Überwachungsprotokollierung so konfigurieren, dass nur die für Sie interessanten Cmdlets und Parameter überwacht werden. Die Überwachungsprotokollierung wird mit dem Cmdlet Set-AdminAuditLogConfig konfiguriert. Die in den folgenden Abschnitten angegebenen Parameter werden mit diesem Cmdlet verwendet.

WichtigWichtig:
Änderungen an der Administrator-Überwachungsprotokollkonfiguration werden unabhängig davon, ob das Cmdlet Set-AdministratorAuditLog in der Liste der zu protokollierenden Cmdlets enthalten ist und ob die Überwachungsprotokollierung aktiviert oder deaktiviert ist, immer protokolliert.

Wenn ein Befehl ausgeführt wird, prüft Exchange das verwendete Cmdlet. Wenn das ausgeführte Cmdlet mit einem Cmdlet übereinstimmt, das mit dem Parameter AdminAuditLogConfigCmdlets bereitgestellt wurde, überprüft Exchange die Parameter, die im Parameter AdminAuditLogConfigParameters angegeben sind. Stimmt mindestens ein Parameter in der Parameterliste überein, protokolliert Exchange das ausgeführte Cmdlet im Postfach, das mit dem Parameter AdminAuditLogMailbox angegeben wird. Die folgenden Abschnitte enthalten weitere Informationen zu den einzelnen Aspekten der Konfiguration der Überwachungsprotokollierung.

Weitere Informationen zum Verwalten der Konfiguration der Überwachungsprotokollierung finden Sie unter Verwalten der Administratorüberwachungsprotokollierung.

Was wird überwacht

Sie können steuern, welche Cmdlets überwacht werden, indem Sie eine Liste der Cmdlets mit deren Parametern angeben, die Sie protokollieren möchten. Wenn Sie die Überwachungsprotokollierung konfigurieren, können Sie angeben, dass alle Cmdlets überwacht werden sollen. Mit dem Parameter AdminAuditLogConfigCmdlets können Sie aber auch spezielle Cmdlets angeben, die überwacht werden sollen. Sie können die vollständigen Namen der Cmdlets angeben, z. B. New-Mailbox, oder Sie können Teilnamen von Cmdlets angeben und in diese Namen Platzhalter wie ein Sternchen (*) einschließen. Wenn Sie beispielsweise protokollieren möchten, wann ein Cmdlet ausgeführt wird, das die Zeichenfolge Transport enthält, können Sie den Wert *Transport* angeben. Sie können eine Mischung aus vollständigen Namen und Teilnamen von Cmdlets gleichzeitig angeben, um die Konfiguration der Überwachungsprotokollierung auf Ihren Bedarf zuzuschneiden.

Neben der Angabe der Cmdlets, die Sie protokollieren möchten, können Sie auch die Cmdlets kennzeichnen, die nur protokolliert werden sollen, wenn bestimmte Parameter dieser Cmdlets verwendet werden. Verwenden Sie den Parameter AdminAuditLogConfigParameters, um anzugeben, welche Parameter protokolliert werden sollen. Wie bei den Cmdlets können Sie vollständige Namen von Parametern, z. B. Database, oder Teilnamen von Parametern mit Platzhaltern (*), z. B. *Address*, oder eine Kombination aus beidem angeben.

Standardmäßig ist die Überwachungsprotokollierung so konfiguriert, dass Überwachungsprotokolleinträge 90 Tage lang gespeichert werden. Nach 90 Tagen wird der Überwachungsprotokolleintrag gelöscht. Sie können die Verfallszeit für Überwachungsprotokolle mithilfe des Parameters AdminAuditLogAgeLimit ändern. Sie können die Anzahl der Tage, Stunden, Minuten und Sekunden angeben, die Überwachungsprotokolleinträge gespeichert werden. Verwenden Sie zum Angeben eines Werts das Format dd.hh:mm:ss, wobei Folgendes gilt:

  • dd   Die Anzahl der Tage, die der Überwachungsprotokolleintrag gespeichert werden soll.

  • hh   Die Anzahl der Stunden, die der Überwachungsprotokolleintrag gespeichert werden soll.

  • mm   Die Anzahl der Minuten, die der Überwachungsprotokolleintrag gespeichert werden soll.

  • ss   Die Anzahl der Sekunden, die der Überwachungsprotokolleintrag gespeichert werden soll.

Geben Sie mehrere Jahre im Feld dd ein. So ergeben beispielsweise 365 Tage ein Jahr, 730 Tage zwei Jahre und 913 Tage zwei Jahre und sechs Monate. Verwenden Sie beispielsweise die Syntax 913.00:00:00, um die Verfallszeit für Überwachungsprotokolle auf zwei Jahre und sechs Monate festzulegen.

VorsichtVorsicht:
Sie können die Verfallszeit für Überwachungsprotokolle auch auf einen Wert unter der derzeitigen Verfallszeit festlegen. In diesem Fall wird jeder Überwachungsprotokolleintrag, der die neue Verfallszeit überschreitet, gelöscht.
Wenn Sie die Verfallszeit auf 0 festlegen, löscht Exchange alle Einträge im Überwachungsprotokoll.
Es wird empfohlen, nur äußerst vertrauenswürdigen Benutzern die Berechtigung zur Konfiguration der Verfallszeit für Überwachungsprotokolle zu erteilen.

Standardmäßig werden im Administrator-Überwachungsprotokoll nur der Cmdlet-Name, Cmdlet-Parameter (und angegebene Werte), das geänderte Objekt, der Benutzer, der das Cmdlet ausgeführt hat, der Zeitpunkt der Cmdlet-Ausführung und der Server, auf dem das Cmdlet ausgeführt wurde, aufgezeichnet. Im Administrator-Überwachungsprotokoll wird nicht protokolliert, welche Eigenschaften des Objekts geändert wurden. Wenn das Überwachungsprotokoll auch die geänderten Eigenschaften des Objekts enthalten soll, können Sie die ausführliche Protokollierung aktivieren, indem Sie den Parameter LogLevel auf Verbose festlegen. Wenn Sie die ausführliche Protokollierung aktivieren, werden neben den standardmäßig protokollieren Informationen auch die geänderten Eigenschaften eines Objekts, einschließlich der alten und neuen Werte, in das Überwachungsprotokoll aufgenommen.

Cmdlets, die mit dem Verb Test beginnen, werden nicht standardmäßig protokolliert. Sie können angeben, dass Test-Cmdlets protokolliert werden sollen, indem Sie den Parameter TestCmdletLoggingEnabled auf $true festlegen. Zwar ist es möglich, die Protokollierung von Test-Cmdlets zu aktivieren, dies wird jedoch nur für kurze Zeit empfohlen, da Test-Cmdlets in großem Umfang Informationen erzeugen können.

Jedes Mal, wenn ein Cmdlet protokolliert wird, wird ein Überwachungsprotokoll erstellt. Überwachungsprotokolle werden in einem verborgenen, dedizierten Vermittlungspostfach gespeichert, auf das nur über die Exchange-Verwaltungskonsole oder die Cmdlets Search-AdminAuditLog und New-AdminAuditLogSearch zugegriffen werden kann. Es kann nicht über Microsoft Outlook Web App oder Microsoft Outlook geöffnet werden. In den folgenden Abschnitten finden Sie weitere Informationen zu folgenden Themen:

  • Was ist in den Protokollen enthalten?

  • Auf der Seite Überwachung der Exchange-Verwaltungskonsole verfügbare Berichte

  • Cmdlets "Audit log search"

Jeder Überwachungsprotokolleintrag enthält die Informationen, die in der folgenden Tabelle beschrieben sind. Das Überwachungsprotokoll enthält mindestens einen Überwachungsprotokolleintrag. Die Anzahl der Überwachungsprotokolleinträge wird von der Verfallszeit für Überwachungsprotokolle mithilfe des Cmdlets Set-AdminAuditLogConfig gesteuert. Alle Überwachungsprotokolleinträge, die die Verfallszeit überschreiten, werden gelöscht.

Felder für Überwachungsprotokolleinträge

Feld Beschreibung

RunspaceId

Dieses Feld wird intern von Exchange verwendet.

ObjectModified

Dieses Feld enthält das Objekt, das von dem im Feld CmdletName angegebenen Cmdlet geändert wurde.

CmdletName

Das Feld enthält den Namen des Cmdlets, das vom Benutzer im Feld Caller ausgeführt wurde.

CmdletParameters

Dieses Feld enthält die Parameter, die angegeben wurden, als das Cmdlet im Feld CmdletName ausgeführt wurde. In diesem Feld wird auch, falls vorhanden, der in diesem Parameter angegebene Wert gespeichert, er wird jedoch nicht in der Standardausgabe angezeigt. Weitere Informationen zum Zugriff auf die zusätzlichen Informationen in diesem Feld finden Sie unter Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle.

ModifiedProperties

Dieses Feld enthält die Eigenschaften, die auf dem Objekt im Feld ObjectModified geändert wurden. In diesem Feld werden auch der alte Wert der Eigenschaft und der neue gespeicherte Wert gespeichert, sie werden jedoch nicht in der Standardausgabe angezeigt. Weitere Informationen zum Zugriff auf die zusätzlichen Informationen in diesem Feld finden Sie unter Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle.

WichtigWichtig:
Dieses Feld wird nur gefüllt, wenn der Parameter LogLevel für das Cmdlet Set-AdminAuditLogConfig auf Verbose festgelegt ist.

Caller

Dieses Feld enthält das Benutzerkonto des Benutzers, der das Cmdlet im Feld CmdletName ausgeführt hat.

Succeeded

Dieses Feld gibt an, ob das Cmdlet im Feld CmdletName erfolgreich ausgeführt wurde. Mögliche Werte sind True und False.

Error

Dieses Feld enthält die generierte Fehlermeldung, wenn das Cmdlet im Feld CmdletName nicht erfolgreich ausgeführt wurde.

RunDate

Dieses Feld enthält das Datum und die Uhrzeit, zu dem/der das Cmdlet im Feld CmdletName ausgeführt wurde. Datum und Uhrzeit werden im UTC-Format (Coordinated Universal Time, koordinierte Weltzeit) gespeichert.

OriginatingServer

In diesem Feld wird der Server angegeben, auf dem das im Feld CmdletName angegebene Cmdlet ausgeführt wurde.

Identity

Dieses Feld wird intern von Exchange verwendet.

IsValid

Dieses Feld wird intern von Exchange verwendet.

ObjectState

Dieses Feld wird intern von Exchange verwendet.

Was wird überwacht

Die Seite Überwachung der Exchange-Verwaltungskonsole umfasst verschiedene Berichte mit Informationen zu unterschiedlichen Arten von Konfigurationsänderungen bei der Richtlinientreue und der Verwaltung. Die folgenden Berichte enthalten Informationen zu Konfigurationsänderungen in der Organisation:

  • Administrator-Rollengruppenbericht   Dieser Bericht ermöglicht die Suche nach Änderungen an Verwaltungsrollengruppen, die Sie innerhalb eines bestimmten Zeitraums angeben. Die zurückgegebenen Ergebnisse umfassen Informationen zu geänderten Rollengruppen, dazu wer sie geändert hat, zum Zeitpunkt sowie zur Art der Änderungen. Es können maximal 3.000 Einträgen zurückgegeben werden. Wenn Ihre Suche möglicherweise mehr als 3.000 Einträge zurückgibt, verwenden Sie den Bericht Administrator-Überwachungsprotokoll oder das Cmdlet Search-AdminAuditLog.

  • Administrator-Überwachungsprotokoll   Dieser Bericht ermöglicht den Export von Überwachungsprotokolleinträgen, die in einem bestimmten Zeitraum aufgezeichnet wurden, in eine XML-Datei und das anschließende Versenden per E-Mail an die angegebenen Empfänger. Weitere Informationen zu Inhalten der XML-Datei finden Sie unter Struktur des Administratorüberwachungsprotokolls.

Weitere Informationen zum Verwenden dieser Berichte finden Sie unter Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle.

Weitere Informationen zu den anderen Berichten auf der Seite Überwachung finden Sie unter Überwachungsberichte.

Beim Ausführen des Cmdlets Search-AdminAuditLog werden alle Überwachungsprotokolleinträge, die den angegebenen Suchkriterien entsprechen, zurückgegeben. Sie können folgende Suchkriterien festlegen:

  • Cmdlets   Gibt die Cmdlets an, nach denen im Administrator-Überwachungsprotokoll gesucht werden soll.

  • Parameter   Gibt die Parameter (durch Kommas getrennt) an, nach denen im Administrator-Überwachungsprotokoll gesucht werden soll. Sie können nur nach Parametern suchen, wenn Sie ein Cmdlet, nach dem gesucht werden soll, angeben.

  • Enddatum   Umfasst die Administrator-Überwachungsprotokollergebnisse zum Protokollieren von Einträgen am oder vor dem angegebenen Datum.

  • Startdatum   Umfasst die Administrator-Überwachungsprotokollergebnisse zum Protokollieren von Einträgen am oder nach dem angegebenen Datum.

  • Objekt-IDs   Gibt an, dass nur Administrator-Überwachungsprotokolleinträge zurückgegeben werden, die die angegebenen geänderten Objekte enthalten

  • Benutzer-IDs   Gibt an, dass nur Administrator-Überwachungsprotokolleinträge zurückgegeben werden, die die angegebenen IDs des Benutzers enthalten, der das Cmdlet ausgeführt hat.

  • Erfolgreicher Abschluss   Gibt an, ob nur Administrator-Überwachungsprotokolleinträge zurückgegeben werden sollen, die einen erfolgreichen bzw. einen nicht erfolgreichen Vorgang anzeigen.

Jeder zurückgegebene Überwachungsprotokolleintrag enthält die Informationen, die in der Tabelle Inhalte des Überwachungsprotokolls beschrieben sind. Standardmäßig werden nur die ersten 1.000 Protokolleinträge, die den angegebenen Suchergebnissen entsprechen, zurückgegeben. Sie können diesen Standardwert jedoch überschreiben und mehr oder weniger Einträge mithilfe des Parameters ResultSize zurückgeben lassen. Sie können einen Wert von Unlimited mit dem Parameter ResultSize angeben, um alle Protokolleinträge zurückgeben zu lassen, die den angegebenen Kriterien entsprechen.

Weitere Informationen zum Verwenden des Cmdlets Search-AdminAuditLog finden Sie unter Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle.

Das Cmdlet New-AdminAuditLogSearch durchsucht das Überwachungsprotokoll wie das Cmdlet Search-AdminAuditLog. Anstatt die Ergebnisse der Suche im Überwachungsprotokoll jedoch in der Shell anzuzeigen, führt das Cmdlet New-AdminAuditLogSearch die Suche aus und sendet die Suchergebnisse per E-Mail an die angegebenen Empfänger. Die Ergebnisse werden als XML-Anlage in die E-Mail aufgenommen.

Sie können dieselben Suchkriterien beim Cmdlet New-AdminAuditLogSearch verwenden, die im Cmdlet Search-AdminAuditLog verwendet werden. Eine Liste mit Suchkriterien finden Sie unter Cmdlet "Search-AdminAuditLog".

Nach dem Ausführen des Cmdlets New-AdminAuditLogSearch dauert es möglicherweise bis zu 15 Minuten, bis Exchange einen Bericht an den angegebenen Empfänger übermittelt. Die an den Bericht angehängte XML-Datei ist maximal 10 MB (Megabyte) groß. Die XML-Datei enthält dieselben Informationen wie in der Tabelle in Inhalte des Überwachungsprotokolls beschrieben. Weitere Informationen zur Struktur der XML-Datei finden Sie unter Struktur des Administratorüberwachungsprotokolls.

HinweisAnmerkung:
In Outlook Web App ist es standardmäßig nicht möglich, XML-Anlagen zu öffnen. Sie können Exchange entweder so konfigurieren, dass XML-Anlagen mit Outlook Web App angezeigt werden können, oder Sie verwenden einen anderen E-Mail-Client, beispielsweise Microsoft Outlook, um die Anlage anzuzeigen. Informationen zum Konfigurieren von Outlook Web App zum Zulassen der Anzeige einer XML-Anlage finden Sie unter Anzeigen oder Konfigurieren der virtuellen Outlook Web App-Verzeichnisse.

Weitere Informationen zum Verwenden des Cmdlets New-AdminAuditLogSearch finden Sie unter Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle.

Was wird überwacht

Zusätzlich zum Protokollieren der Ausführung von Exchange-Cmdlets ermöglicht Exchange 2013 das manuelle Schreiben von Protokolleinträgen in das Überwachungsprotokoll. Diese Funktion wird in Exchange 2013 über das Cmdlet Write-AdminAuditLog unterstützt. In folgenden Situationen werden Sie möglicherweise einen manuellen Protokolleintrag hinzufügen:

  • Benutzerdefinierter Skripteingang und -ausgang

  • Ändern von Steuerinformationen

  • Anfangs- und Endzeiten für Wartung

Mit dem Cmdlet Write-AdminAuditLog können Sie eine Textzeichenfolge mithilfe des Parameters Comment im Überwachungsprotokoll angeben. Der Parameter Comment akzeptiert eine alphanumerische Zeichenfolge aus bis zu 500 Zeichen. Im manuellen Überwachungsprotokolleintrag werden dieselben Informationen zusammen mit der Kommentarzeichenfolge erfasst, wie bei der Protokollierung eines Exchange-Cmdlets. Eine Beschreibung zu jedem Feld im Überwachungsprotokoll finden Sie in der Tabelle unter Inhalte des Überwachungsprotokolls.

Sie können einen manuellen Überwachungsprotokolleintrag genau so abrufen wie einen anderen Protokolleintrag. Verwenden Sie dazu die Seite Überwachung der Exchange-Verwaltungskonsole oder die Cmdlets Search-AdminAuditLog und New-AdminAuditLogSearch.

Zum Anzeigen der Inhalte des Parameters Comment im Cmdlet Write-AdminAuditLog in einem manuellen Überwachungsprotokolleintrag finden Sie weitere Informationen unter Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle.

Die Administrator-Überwachungsprotokollierung verwendet die Active Directory-Replikation für die Replikation von Konfigurationseinstellungen, die Sie für die Domänencontroller in Ihrer Organisation festlegen. Je nach Replikationseinstellungen werden von Ihnen vorgenommene Änderungen möglicherweise nicht sofort auf alle Server mit Exchange 2013 oder Exchange 2010 in der Organisation angewendet.

Der integrierte Cmdlet-Erweiterungs-Agent für das Administratorüberwachungsprotokoll führt die Administratorüberwachungsprotokollierung von Cmdlet-Vorgängen in Exchange 2013 durch. Dieser Agent liest die Konfiguration der Überwachungsprotokolle und führt eine Bewertung der einzelnen Cmdlets aus, die in der Organisation ausgeführt werden. Wenn die Kriterien, die Sie in der Konfiguration des Überwachungsprotokolls angegeben haben, mit dem ausgeführten Cmdlet übereinstimmen, generiert der Agent ein Überwachungsprotokoll.

Der Administratorüberwachungsprotokoll-Agent ist standardmäßig aktiviert. Dies ist erforderlich, damit die Überwachungsprotokollierung funktioniert. Er kann nicht deaktiviert werden, und seine Priorität kann nicht geändert werden. Weitere Informationen zu Cmdlet-Erweiterungs-Agents finden Sie unter Cmdlet-Erweiterungs-Agents.

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft