Verwalten der Administratorüberwachungsprotokollierung in Exchange Server

Mit der Administratorüberwachungsprotokollierung in Exchange Server können Sie bei jeder Ausführung eines angegebenen Cmdlets einen Protokolleintrag erstellen. In Protokolleinträgen finden Sie Informationen darüber, welches Cmdlet ausgeführt wurde, welche Parameter verwendet wurden, wer das Cmdlet ausgeführt hat und welche Objekte betroffen sind. Weitere Informationen zur Administratorüberwachungsprotokollierung finden Sie unter Administratorüberwachungsprotokollierung in Exchange Server.

Was sollten Sie wissen, bevor Sie beginnen?

• Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: Weniger als 5 Minuten

• Sie können nur die PowerShell zum Ausführen dieser Prozedur verwenden. Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

• Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie unter dem Eintrag "Administratorüberwachungsprotokollierung" im Thema Exchange-Infrastruktur und PowerShell-Berechtigungen .

• Die Administrator-Überwachungsprotokollierung verwendet die Active Directory-Replikation für die Replikation von Konfigurationseinstellungen, die Sie für die Domänencontroller in Ihrer Organisation festlegen. Abhängig von Ihren Replikationseinstellungen werden die von Ihnen vorgenommenen Änderungen möglicherweise nicht sofort auf alle Exchange 2016- und Exchange 2019-Server in Ihrer Organisation angewendet.

• Änderungen an der Überwachungsprotokollkonfiguration werden alle 60 Minuten auf Computern aktualisiert, deren Exchange-Verwaltungsshell zum Zeitpunkt einer Konfigurationsänderung geöffnet ist. Wenn Sie die Änderungen sofort anwenden möchten, schließen Sie die Exchange-Verwaltungsshell auf den einzelnen Computern, und öffnen sie dann wieder.

• Es dauert bis zu 15 Minuten nach dem Ausführen eines Befehls, bis dieser in den Suchergebnissen in des Überwachungsprotokolls angezeigt wird. Der Grund hierfür liegt darin, dass Überwachungsprotokolleinträge indiziert werden müssen, bevor sie durchsucht werden können. Wenn ein Befehl nicht im Administratorüberwachungsprotokoll aufgeführt wird, warten Sie einige Minuten, und führen Sie dann die Suche erneut aus.

Angeben der zu überwachenden Cmdlets

Standardmäßig wird bei der Überwachungsprotokollierung für jedes ausgeführt Cmdlet ein Protokolleintrag erstellt. Wenn Sie die Überwachungsprotokollierung zum ersten Mal aktivieren und dieses Verhalten wünschen, müssen Sie die Überwachungsliste für Cmdlets nicht ändern. Wenn Sie zuvor Cmdlets für die Überwachung angegeben haben und jetzt alle Cmdlets überwachen möchten, können Sie alle Cmdlets überwachen, indem Sie das Sternchen (*) Platzhalterzeichen mit dem Parameter AdminAuditLogCmdlets im Cmdlet Set-AdminAuditLogConfig angeben, wie im folgenden Befehl gezeigt.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets *

Sie können angeben, welche Cmdlets überwacht werden sollen, indem Sie mit dem Parameter AdminAuditLogCmdlets eine Liste von Cmdlets bereitstellen. In der Liste der zu überwachenden Cmdlets können Sie einzelne Cmdlets, Cmdlets mit Sternchen (*) oder eine Kombination bereitstellen. Die Einträge in der Liste sind durch Kommas getrennt. Folgende Werte sind gültig:

• New-Mailbox

• *TransportRule

• *Management*

• Set-Transport*

In diesem Beispiel werden die Cmdlets in der obigen Liste überwacht.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AdminAuditLogConfig.

Angeben der zu überwachenden Parameter

Standardmäßig wird bei der Überwachungsprotokollierung für jedes ausgeführte Cmdlet ein Protokolleintrag erstellt, unabhängig von den angegebenen Parametern. Wenn Sie die Überwachungsprotokollierung zum ersten Mal aktivieren und dieses Verhalten wünschen, müssen Sie die Überwachungsliste für Parameter nicht ändern. Wenn Sie zuvor parameter für die Überwachung angegeben haben und jetzt alle Parameter überwachen möchten, können Sie dies tun, indem Sie das Sternchen (*) platzhalterzeichen mit dem Parameter AdminAuditLogParameters im Cmdlet Set-AdminAuditLogConfig angeben, wie im folgenden Befehl gezeigt.

Set-AdminAuditLogConfig -AdminAuditLogParameters *

Mit dem Parameter AdminAuditLogParameters kann festgelegt werden, welche Parameter überwacht werden. In der Liste der zu überwachenden Parameter können Sie einzelne Parameter, Parameter mit Sternchen (*) oder eine Kombination bereitstellen. Die Einträge in der Liste sind durch Kommas getrennt. Folgende Werte sind gültig:

• Database

• *Address*

• Custom*

• *Region

In diesem Beispiel werden die Parameter in der obigen Liste überwacht.

Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AdminAuditLogConfig.

Angeben der Verfallszeit für Administrator-Überwachungsprotokolle

Die Verfallszeit für Überwachungsprotokolle bestimmt, wie lange Überwachungsprotokolleinträge gespeichert werden. Überschreitet ein Protokolleintrag die Verfallszeit, wird er gelöscht. Der Standardwert beträgt 90 Tage.

Sie können die Altersgrenze in Tagen festlegen. Sie können auch die Anzahl der Tage, Stunden, Minuten und Sekunden angeben, die Überwachungsprotokolleinträge beibehalten werden sollen. Um einen Wert anzugeben, der spezifischer als Tage ist, verwenden Sie das Format dd.hh.mm:ss, wobei Folgendes zutrifft:

• dd: Anzahl der Tage zum Beibehalten des Überwachungsprotokolleintrags

• hh: Anzahl der Stunden zum Beibehalten des Überwachungsprotokolleintrags

• mm: Anzahl der Minuten zum Beibehalten des Überwachungsprotokolleintrags

• ss: Anzahl der Sekunden zum Beibehalten des Überwachungsprotokolleintrags

In diesem Beispiel wird eine Verfallszeit von zwei Jahren und sechs Monaten angegeben.

Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AdminAuditLogConfig.

Aktivieren oder Deaktivieren der Protokollierung von Test-Cmdlets

Cmdlets, die mit dem Verb Test beginnen, werden nicht standardmäßig protokolliert. Der Grund dafür ist, dass Test -Cmdlets eine erhebliche Datenmenge in kurzer Zeit generieren. Aktivieren Sie die Protokollierung von Test -Cmdlets nur für kurze Zeit.

Mit diesem Befehl können Sie die Protokollierung von Test -Cmdlets aktivieren.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $true

Mit diesem Befehl können Sie die Protokollierung von Test -Cmdlets deaktivieren.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $false

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AdminAuditLogConfig.

Deaktivieren der Administrator-Überwachungsprotokollierung

Verwenden Sie den folgenden Befehl, um die Administrator-Überwachungsprotokollierung zu deaktivieren.

Set-AdminAuditLogConfig -AdminAuditLogEnabled $false

Aktivieren der Administrator-Überwachungsprotokollierung

Verwenden Sie den folgenden Befehl, um die Administrator-Überwachungsprotokollierung zu aktivieren.

Set-AdminAuditLogConfig -AdminAuditLogEnabled $true

Anzeigen der Einstellungen für die Administrator-Überwachungsprotokollierung

Verwenden Sie den folgenden Befehl, um die für Ihre Organisation konfigurierten Einstellungen für die Administrator-Überwachungsprotokollierung anzuzeigen.

Get-AdminAuditLogConfig