Exportieren des Administratorüberwachungsprotokolls
Gilt für: Exchange Server 2013, Exchange Online Preview
Letztes Änderungsdatum des Themas: 2012-10-13
Von der Administratorüberwachungsprotokollierung werden bestimmte Aktionen aufgezeichnet, die von Administratoren und Benutzern mit Administratorrechten ausgeführt werden. Jede Aktion, die auf einem Exchange-Verwaltungsshell-Cmdlet basiert und nicht mit dem Verb Get, Search oder Test beginnt, wird im Administrator-Überwachungsprotokoll protokolliert. Das bedeutet: Jedes Mal, wenn ein Administrator über die Shell, über die Exchange-Verwaltungskonsole oder über Outlook Web App > "Optionen" eine Aktion ausführt, durch die ein Objekt erstellt, geändert oder gelöscht wird, wird die entsprechende Aktion im Administrator-Überwachungsprotokoll protokolliert.
Wenn Sie nach Einträgen im Administrator-Überwachungsprotokoll suchen und diese exportieren, werden die Suchergebnisse in einer XML-Datei gespeichert, und diese wird an eine E-Mail angefügt, die an die angegebenen Empfänger gesendet wird.
Was sollten Sie wissen, bevor Sie beginnen?
- Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: In Microsoft Exchange Online wird das Administratorüberwachungsprotokoll innerhalb von 24 Stunden nach dem Export gesendet.
- Für die Verfahren in diesem Thema sind bestimmte Berechtigungen erforderlich. Informationen zu den Berechtigungen finden Sie in den einzelnen Verfahren.
- Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter: Exchange Server oder Exchange Online.
Was möchten Sie machen?
Konfigurieren von Outlook Web App für das Zulassen von XML-Anlagen mithilfe der Shell
Beim Exportieren des Administratorüberwachungsprotokolls wird das Überwachungsprotokoll (XML-Datei) an eine E-Mail angefügt. Jedoch blockiert Outlook Web App standardmäßig XML-Anlagen. Wenn Sie mit Outlook Web App auf das exportierte Überwachungsprotokoll zugreifen möchten, muss Outlook Web App für das Zulassen von XML-Anlagen konfiguriert werden. Alternativ können Sie das Administratorüberwachungsprotokoll mit Microsoft Outlook anzeigen.
Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter Outlook Web App "Postfachrichtlinien" im Thema Berechtigungen für Clients und mobile Geräte.
Führen Sie den folgenden Befehl aus, um XML-Anlagen in Outlook Web App zuzulassen.
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
Exportieren des Administratorüberwachungsprotokolls
Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Überwachungsprotokollierung durch Administratoren mit Leserechten" im Thema Exchange- und Shellinfrastrukturberechtigungen.
- Navigieren Sie in der Exchange-Verwaltungskonsole zu Verwaltung der Richtlinientreue > Überwachung.
- Klicken Sie auf Administratorüberwachungsprotokoll exportieren.
- Konfigurieren Sie die folgenden Suchkriterien zum Exportieren der Einträge aus dem Administratorüberwachungsprotokoll:
- Start- und Enddatum Wählen Sie den Datumsbereich für die Einträge aus, die in die exportierte Datei eingeschlossen werden sollen.
- Empfänger Wählen Sie die Benutzer aus, an die das Administratorüberwachungsprotokoll gesendet werden soll.
- Klicken Sie auf Exportieren.
Exchange ruft die den Suchkriterien entsprechenden Einträge aus dem Administratorüberwachungsprotokoll ab. Die Einträge werden in einer Datei mit der Bezeichnung "SearchResult.xml" gespeichert, und die XML-Datei wird an eine E-Mail-Nachricht angefügt, die an die angegebenen Empfänger gesendet wird. Wie bereits erwähnt, wird diese Nachricht in Exchange Online innerhalb von 24 Stunden nach dem Export des Überwachungsprotokolls gesendet.
Anzeigen des Administratorüberwachungsprotokolls
Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Überwachungsprotokollierung durch Administratoren mit Leserechten" im Thema Exchange- und Shellinfrastrukturberechtigungen.
So öffnen oder speichern Sie die Datei "SearchResult.xml":
- Melden Sie sich an dem Postfach an, an das das Administratorüberwachungsprotokoll gesendet wurde.
- Öffnen Sie im Posteingang die von Exchange gesendete Nachricht mit der XML-Dateianlage. Der Text der E-Mail enthält die Suchkriterien.
- Klicken Sie auf die Anlage, und wählen Sie aus, ob die XML-Datei geöffnet oder gespeichert werden soll.
Einträge im Administratorüberwachungsprotokoll
Das Administratorüberwachungsprotokoll enthält einen Eintrag für jedes von einem Administrator ausgeführte Cmdlet sowie die verwendeten Parameter. Das folgende Beispiel umfasst zwei Einträge. Jeder Eintrag beginnt mit dem XML-Tag <Event> und endet mit dem XML-Tag </Event>.
Der erste Eintrag gibt Aufschluss darüber, dass die Administratorüberwachungsprotokollierung am 26. April 2010 aktiviert wurde. Der zweite Eintrag gibt an, dass für das Postfach annb das Beweissicherungsverfahren aktiviert wurde.
<Event Caller="PPLNSL-dom.extest.microsoft.com/Microsoft Exchange Hosted Organizations/contoso.com/Administrator"
Cmdlet="Set-AdminAuditLogConfig"
ObjectModified="Admin Audit Log Settings"
RunDate="4/26/2010 11:22:40 PM" Succeeded="true" Error="None">
<CmdletParameters>
<Parameter Name="AdminAuditLogEnabled" Value="True" />
</CmdletParameters>
- <ModifiedProperties>
<Property Name="AdminAuditLogFlags" OldValue=""
NewValue="AdminAuditLogEnabled" />
<Property Name="AdminAuditLogEnabled" OldValue="False" NewValue="True" />
<Property Name="ObjectState" OldValue="Unchanged" NewValue="Changed" />
</ModifiedProperties>
</Event>
<Event Caller="PPLNSL-dom.extest.microsoft.com/Microsoft Exchange Hosted Organizations/contoso.com/Administrator"
Cmdlet="Set-Mailbox"
ObjectModified="annb"
RunDate="4/27/2010 10:56:07 PM" Succeeded="true" Error="None">
<CmdletParameters>
<Parameter Name="LitigationHoldEnabled" Value="True" />
<Parameter Name="Identity" Value="8a015de3-8597-416e-bbda-de48eaa95f8" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ElcMailboxFlags" OldValue="ElcV2" NewValue="ElcV2, LitigationHold" />
<Property Name="LitigationHoldEnabled" OldValue="False" NewValue="True" />
<Property Name="LitigationHoldDate" OldValue="" NewValue="4/27/2010 10:56:06 PM" />
<Property Name="ObjectState" OldValue="Unchanged" NewValue="Changed" />
</ModifiedProperties>
</Event>
Hinweis
Nur die ersten 1.024 Zeichen der Werte für jede im Administratorüberwachungsprotokoll aufgeführte Eigenschaft werden geprüft. Das bedeutet, dass nur diese Zeichen in das Protokoll aufgenommen werden.
Hilfreiche Felder im Administratorüberwachungsprotokoll
Beachten Sie besonders die folgenden Felder. Diese Felder enthalten spezifische Informationen zu den einzelnen Cmdlets, die von einem Administrator ausgeführt wurden.
| Feld | Beschreibung |
|---|---|
Caller |
Der Benutzer, von dem das Cmdlet ausgeführt wurde. |
Cmdlet |
Das Cmdlet, das von dem Benutzer ausgeführt wurde, der im Feld "Caller" angegeben ist. |
ObjectModified |
Der Name des Objekts, das vom Cmdlet geändert wurde. |
RunDate |
Datum und Uhrzeit der Cmdlet-Ausführung. |
Succeeded |
Gibt an, ob das Cmdlet erfolgreich ausgeführt wurde. Mögliche Werte sind "True" und "False". |
Error |
Enthält die Fehlermeldung für den Fall, dass das Cmdlet nicht erfolgreich ausgeführt wurde. |
Parameter Name |
Der Name des Parameters, der beim Ausführen des Cmdlets angegeben wurde. |
Value |
Der Wert, der für den Parameter angegeben wurde, der im Feld Parameter Name angegeben ist. |
Property Name |
Der Name der Eigenschaft, die durch Ausführen des Cmdlets geändert wurde. |
OldValue |
Der Wert für die Eigenschaft vor der Änderung.* |
NewValue |
Der Wert für die Eigenschaft nach der Änderung.* |
* Der Wert für dieses Feld kann sehr groß sein. Wie bereits erwähnt, werden nur die ersten 1.024 Zeichen in das Administratorüberwachungsprotokoll aufgenommen.
Kontingent für das Administratorüberwachungsprotokoll
Das Administratorüberwachungsprotokoll wird im Ordner Wiederherstellbare Elemente gespeichert, einem ausgeblendeten Systempostfach, das in früheren Versionen von Exchange als Dumpster bezeichnet wurde. Das Kontingent für den Ordner "Wiederherstellbare Elemente" beträgt 30 GB. Überwachungsprotokolleinträge werden 90 Tage lang gespeichert und dann gelöscht.
Hinweis
In Exchange Online, wird eine Warnung an Microsoft-Datencenteradministratoren gesendet, wenn der Ordner Wiederherstellbare Elemente 80 % des 30-GB-Kontingents erreicht (was unwahrscheinlich ist).
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Melden Sie sich an dem Postfach an, an das das Administratorüberwachungsprotokoll gesendet wurde. Wenn das Überwachungsprotokoll erfolgreich exportiert wurde, erhalten Sie eine von Exchange gesendete Nachricht. Das Überwachungsprotokoll wird an diese Nachricht angefügt. Wie bereits erläutert, kann es in Exchange Online bis zu 24 Stunden dauern, bis diese Nachricht empfangen wird.