(0) exportieren Drucken
Alle erweitern

Anzeige und Export des externen Administratorüberwachungsprotokolls

Exchange Online
 

Gilt für: Exchange Online

Letztes Änderungsdatum des Themas: 2014-08-25

In Exchange Online werden Aktionen, die von Microsoft und delegierten Administratoren durchgeführt werden, in der Administrator-Überwachungsprotokollierung protokolliert. Sie können in der EAC oder in der Shell Überwachungsprotokolleinträge suchen und anzeigen, um festzustellen, ob externe Administratoren Aktionen für Ihre Exchange Online-Organisation durchgeführt oder ihre Konfiguration geändert haben. In der Shell können Sie diese Überwachungsprotokolleinträge auch exportieren.

  • Geschätzte Zeit bis zum Abschließen des Vorgangs: Dies hängt davon ab, ob Sie die Einträge aus dem Administratorüberwachungsprotokoll anzeigen oder exportieren. Lesen Sie für jedes Verfahren nach, wie viel Zeit für dessen Abschluss veranschlagt wird.

  • Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Überwachungsprotokollierung durch Administratoren mit Leserechten" im Thema Exchange- und Shellinfrastrukturberechtigungen.

  • Beim Exportieren des Administratorüberwachungsprotokolls wird das Überwachungsprotokoll, das eine XML-Datei ist, an eine E-Mail angefügt, die an die angegebenen Empfänger gesendet wird. XML-Anlagen werden von Outlook Web App jedoch standardmäßig blockiert. Wenn Sie mit Outlook Web App auf exportierte Überwachungsprotokolle zugreifen möchten, muss Outlook Web App für das Zulassen von XML-Anlagen konfiguriert werden. Führen Sie den folgenden Befehl aus, um XML-Anlagen in Outlook Web App zuzulassen.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
    
  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

TippTipp:
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter: Exchange Server, Exchange Online oder Exchange Online Protection

Geschätzte Zeit bis zum Abschließen des Vorgangs: 3 Minuten

  1. Wählen Sie Verwaltung der Richtlinientreue > Überwachung aus, und klicken Sie anschließend auf Externes Administratorüberwachungsprotokoll anzeigen. Sämtliche Konfigurationsänderungen, die von Microsoft-Datencenteradministratoren und delegierten Administratoren im angegebenen Zeitraum vorgenommen wurden, werden angezeigt und können anhand der folgenden Informationen sortiert werden:

    • Datum   Datum und Uhrzeit der Konfigurationsänderung. Datum und Uhrzeit werden im UTC-Format (Coordinated Universal Time, koordinierte Weltzeit) gespeichert.

    • Cmdlet   Name des Cmdlets, mit dem die Konfigurationsänderung erfolgt ist.

      Wenn Sie ein einzelnes Suchergebnis auswählen, werden im Detailbereich die folgenden Informationen angezeigt:

      • Datum und Uhrzeit der Cmdlet-Ausführung.

      • Der Benutzer, von dem das Cmdlet ausgeführt wurde. Bei allen Einträgen im externen Administratorüberwachungsprotokoll wird der Benutzer als Administrator angegeben, was auf einen Microsoft-Datencenteradministrator oder einen externen Administrator hinweist.

      • Die verwendeten Cmdlet-Parameter und der mit dem Parameter angegebene beliebige Wert im Format Parameter:Wert.

  2. Wenn Sie einen bestimmten Eintrag im Überwachungsprotokoll drucken möchten, wählen Sie ihn im Suchergebnisbereich aus, und klicken Sie im Detailbereich auf Drucken.

  3. Um die Suche einzugrenzen, legen Sie die Dropdownmenüs Anfangsdatum und Enddatum fest, und klicken Sie dann auf Suchen.

Geschätzte Zeit bis zum Abschließen des Vorgangs: 3 Minuten

Sie können das Cmdlet Search-AdminAuditLog mit dem Parameter ExternalAccess verwenden, um Einträge im Administratorüberwachungsprotokoll auf Aktionen zu überprüfen, die von Microsoft-Datencenteradministratoren und delegierten Administratoren vorgenommen wurden.

Dieser Befehl gibt alle Einträge im Administratorüberwachungsprotokoll für Cmdlets zurück, die von externen Administratoren ausgeführt wurden.

Search-AdminAuditLog -ExternalAccess $true

Dieser Befehl gibt alle Einträge im Administratorüberwachungsprotokoll für Cmdlets zurück, die von externen Administratoren zwischen dem 17. September 2013 und dem 2. Oktober 2013 ausgeführt wurden.

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

Weitere Informationen finden Sie unter Search-AdminAuditLog.

Geschätzte Zeit bis zum Abschließen des Vorgangs: Ungefähr 24 Stunden

Sie können das Cmdlet New-AdminAuditLogSearch mit dem Parameter ExternalAccess verwenden, um Einträge aus dem Administratorüberwachungsprotokoll zu exportieren, die sich auf Aktionen beziehen, die von Microsoft-Datencenteradministratoren oder delegierten Administratoren vorgenommen wurden. Microsoft Exchange ruft Einträge im Administratorüberwachungsprotokoll ab, die von Administratoren durchgeführt wurden, und speichert sie in einer Datei mit dem Namen SearchResult.xml. Diese XML-Datei wird einer E-Mail-Nachricht angefügt, die innerhalb von 24 Stunden an die angegebenen Empfänger gesendet wird.

Der folgende Befehl gibt Administrator-Überwachungsprotokolleinträge für Cmdlets zurück, die von externen Administratoren zwischen dem 25. September 2013 und dem 24. Oktober 2013 ausgeführt wurden. Die Suchergebnisse werden an die SMTP-Adressen admin@contoso.com und pilarp@contoso.com mit dem Text "External admin audit log" (Externes Administratorüberwachungsprotokoll) in der Betreffzeile der Nachricht gesendet.

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"
HinweisHinweis:
Wenn Sie den Parameter ExternalAccess verwenden, werden im exportierten Überwachungsprotokoll nur die Aktionen aufgeführt, die von Microsoft-Datencenteradministratoren oder delegierten Administratoren durchgeführt wurden. Wenn Sie den Parameter ExternalAccess nicht verwenden, werden im Überwachungsprotokoll die Einträge für Aktionen aufgeführt, die von Administratoren Ihrer Organisation und von externen Administratoren durchgeführt wurden.

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Befehl für den Export der Einträge im Administratorüberwachungsprotokoll, die von externen Administratoren durchgeführt wurden, erfolgreich war, und um Informationen über die aktuellen Suchen im Administratorüberwachungsprotokoll anzuzeigen:

Get-AuditLogSearch | FL

  • In Office 365 können Sie die Fähigkeit, bestimmte administrative Aufgaben durchzuführen, an einen autorisierten Partner von Microsoft delegieren. Diese Verwaltungsaufgaben umfassen das Erstellen oder Bearbeiten von Benutzern, das Zurücksetzen von Kennwörtern, das Verwalten von Benutzerlizenzen, das Verwalten von Domänen und das Zuweisen von Verwaltungsberechtigungen zu anderen Benutzern in Ihrer Organisation. Wenn Sie einen Partner für diese Rolle autorisieren, wird der Partner als ein delegierter Administrator bezeichnet. Die von einem delegierten Administrator durchgeführten Aufgaben werden im Administratorüberwachungsprotokoll aufgezeichnet. Wie zuvor erläutert, können die von delegierten Administratoren durchgeführten Aktionen angezeigt werden, indem das externe Administratorüberwachungsprotokoll ausgeführt wird, oder exportiert werden, indem das Cmdlet New-AdminAuditLogSearch mit dem Parameter ExternalAccess verwendet wird. Weitere Informationen finden Sie unter Hinzufügen oder Löschen eines delegierten Administrators.

  • Im Administratorüberwachungsprotokoll werden bestimmte Aktionen aufgezeichnet, die basierend auf den jeweiligen Exchange-Verwaltungsshell-Cmdlets von Administratoren und Benutzern mit Administratorrechten ausgeführt werden. Von externen Administratoren ausgeführte Aktionen werden ebenfalls protokolliert. In Einträgen im Administratorüberwachungsprotokoll finden Sie Informationen dazu, welches Cmdlet ausgeführt wurde, welche Parameter verwendet wurden, wer das Cmdlet ausgeführt hat und welche Objekte betroffen sind.

  • Im Administratorüberwachungsprotokoll werden keine Aktionen aufgezeichnet, die auf einem Exchange-Verwaltungsshell-Cmdlet basieren, das mit dem Verb Get, Search oder Test beginnt.

  • Die Überwachungsprotokolleinträge werden 90 Tage lang aufbewahrt. Wenn ein Eintrag älter als 90 Tage ist, wird er gelöscht.

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft