Anzeigen des Administratorüberwachungsprotokolls in Exchange Online

In Exchange Online Organisationen oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer können Sie das Exchange Admin Center (EAC) oder PowerShell verwenden, um nach Einträgen im Administratorüberwachungsprotokoll zu suchen und diese anzuzeigen.

Das Administratorüberwachungsprotokoll zeichnet bestimmte Aktionen auf, die auf Exchange Online PowerShell oder eigenständigen Exchange Online Protection PowerShell-Cmdlets basieren, die von Administratoren und Benutzern durchgeführt werden, denen Administratorrechte zugewiesen wurden. Einträge im Administratorüberwachungsprotokoll enthalten Informationen dazu, welches Cmdlet ausgeführt wurde, welche Parameter verwendet wurden, wer das Cmdlet ausgeführt hat und welche Objekte betroffen sind.

Hinweise:

• Admin Überwachungsprotokollierung ist standardmäßig aktiviert und kann nicht deaktiviert werden.
• Das Administratorüberwachungsprotokoll zeichnet keine Aktionen basierend auf Cmdlets auf, die mit den Verben Get, Search oder Test beginnen.
• Wenn eine Änderung in Ihrer Organisation erfolgt, kann es bis zu 15 Minuten dauern, bis diese in den Suchergebnissen des Überwachungsprotokolls angezeigt wird. Wenn im Administratorüberwachungsprotokoll keine Änderung angezeigt wird, warten Sie einige Minuten, und führen Sie die Suche erneut aus.
• Die Überwachungsprotokolleinträge werden 90 Tage lang aufbewahrt. Wenn ein Eintrag älter als 90 Tage ist, wird er gelöscht.

Was sollten Sie wissen, bevor Sie beginnen?

• Informationen zum Öffnen des Exchange Admin Centers (EAC) finden Sie unter Exchange Admin Center in Exchange Online.

• Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit eigenständigen Exchange Online Protection PowerShell finden Sie unter Herstellen einer Verbindung mit Exchange Online Protection PowerShell.

• Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie im Thema Featureberechtigungen in Exchange Online im Eintrag "Nur Administratorüberwachungsprotokollierung anzeigen".

• Informationen zu Tastenkombinationen, die für die Verfahren in diesem Artikel gelten können, finden Sie unter Tastenkombinationen für das Exchange Admin Center in Exchange Online.

Verwenden des EAC zum Anzeigen des Administratorüberwachungsprotokolls

1. Wechseln Sie im EAC zu Überwachung der Complianceverwaltung>, und wählen Sie dann Administratorüberwachungsprotokollbericht ausführen aus.

2. Wählen Sie auf der geöffneten Seite Nach Änderungen an Administratorrollengruppen suchen ein Startdatum und ein Enddatum aus (der Standardbereich sind die letzten zwei Wochen), und wählen Sie dann Suchen aus. Sämtliche Konfigurationsänderungen, die im angegebenen Zeitraum erfolgt sind, werden angezeigt und können anhand der folgenden Informationen sortiert werden:

   • Datum: Das Datum und die Uhrzeit, zu dem die Konfigurationsänderung vorgenommen wurde. Datum und Uhrzeit werden im UTC-Format (Coordinated Universal Time, koordinierte Weltzeit) gespeichert.

   • Cmdlet: Der Name des Cmdlets, mit dem die Konfigurationsänderung vorgenommen wurde.

   • Benutzer: Der Name des Benutzerkontos des Benutzers, der die Konfigurationsänderung vorgenommen hat.

     Es können bis zu 5000 Einträge auf mehreren Seiten angezeigt werden. Geben Sie einen kürzeren Datumsbereich ein, wenn Sie Ihre Ergebnisse eingrenzen möchten. Wenn Sie ein einzelnes Suchergebnis auswählen, werden im Detailbereich die folgenden weiteren Informationen angezeigt:

   • Objekt geändert: Das Objekt, das vom Cmdlet geändert wurde.

   • Parameter (Parameter:Value): Die verwendeten Cmdlet-Parameter und alle mit dem Parameter angegebenen Werte.

3. Wenn Sie einen bestimmten Überwachungsprotokolleintrag drucken möchten, klicken Sie im Detailbereich auf die Schaltfläche Drucken.

Anzeigen des Administratorüberwachungsprotokolls mithilfe von PowerShell

Sie können Exchange Online PowerShell oder eigenständige Exchange Online Protection PowerShell verwenden, um nach Überwachungsprotokolleinträgen zu suchen, die den von Ihnen angegebenen Kriterien entsprechen. Verwenden Sie die folgende Syntax:

Search-AdminAuditLog [-Cmdlets <Cmdlet1,Cmdlet2,...CmdletN>] [-Parameters <Parameter1,Parameter2,...ParameterN>] [-StartDate <UTCDateTime>] [-EndDate <UTCDateTime>] [-UserIds <"User1","User2",..."UserN">] [-ObjectIds <"Object1","Object2",..."ObjectN">] [-IsSuccess <$true | $false>]

Hinweise:

• Sie können den Parameter Parameters nur zusammen mit dem Cmdlets-Parameter verwenden.

• Der Parameter ObjectIds filtert die Ergebnisse nach dem Objekt, das vom Cmdlet geändert wurde. Ein gültiger Wert hängt davon ab, wie das Objekt im Überwachungsprotokoll dargestellt wird. Beispiel:

  • Name
  • Kanonischer Distinguished Name (z. B. contoso.com/Users/Akia Al-Zuhairi)

  Sie müssen wahrscheinlich andere Filterparameter für dieses Cmdlet verwenden, um die Ergebnisse einzugrenzen und die Typen von Objekten zu identifizieren, an denen Sie interessiert sind.

• Der Parameter UserIds filtert die Ergebnisse nach dem Benutzer, der die Änderung vorgenommen hat (der das Cmdlet ausgeführt hat).

• Wenn Sie für die Parameter StartDate und EndDate einen Datums-/Uhrzeitwert ohne Zeitzone angeben, lautet der Wert koordinierte Weltzeit (UTC). Verwenden Sie eine der folgenden Optionen, um einen Datum/Uhrzeit-Wert für diesen Parameter anzugeben:

  • Datum/Uhrzeit-Wert in UTC, z. B.: "2016-05-06 14:30:00z".
  • Geben Sie den Datums-/Uhrzeitwert als Formel an, (Get-Date "5/6/2016 9:30 AM").ToUniversalTime()die das Datum/die Uhrzeit in Ihrer lokalen Zeitzone in UTC konvertiert: Beispiel: . Weitere Informationen finden Sie unter Get-Date.

• Das Cmdlet gibt standardmäßig maximal 1.000 Protokolleinträge zurück. Verwenden Sie den ResultSize-Parameter , um bis zu 250.000 Protokolleinträge anzugeben. Oder verwenden Sie den -Wert Unlimited , um alle Einträge zurückzugeben.

In diesem Beispiel wird eine Suche nach allen Überwachungsprotokolleinträgen ausgeführt, welche die folgenden Kriterien erfüllen:

• Startdatum: 4. August 2019
• Enddatum: 3. Oktober 2019
• Cmdlets: Update-RoleGroupMember

Search-AdminAuditLog -Cmdlets Update-RoleGroupMember -StartDate (Get-Date "08/04/2019").ToUniversalTime() -EndDate (Get-Date "10/03/2019").ToUniversalTime()

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Search-AdminAuditLog.

Anzeigen der Details von Überwachungsprotokolleinträgen

Das Cmdlet Search-AdminAuditLog gibt die Felder zurück, die weiter unten in diesem Artikel im Abschnitt Überwachungsprotokollinhalte beschrieben werden. Von den vom Cmdlet zurückgegebenen Feldern enthalten zwei Felder, CmdletParameters und ModifiedProperties, zusätzliche Informationen, die standardmäßig nicht zurückgegeben werden.

Führen Sie die folgenden Schritte aus, um die Inhalte der Felder CmdletParameters und ModifiedProperties anzuzeigen.

1. Legen Sie die Suchkriterien fest, führen Sie das Cmdlet Search-AdminAuditLog aus, und speichern Sie die Ergebnisse über den folgenden Befehl in einer Variablen.

   $Results = Search-AdminAuditLog <search criteria>
   

2. Jeder Überwachungsprotokolleintrag wird als Arrayelement in der Variablen $Resultsgespeichert. Zur Auswahl eines Arrayelements geben Sie den Arrayelementindex an. Arrayelementindizes beginnen für das erste Arrayelement bei 0. Verwenden Sie beispielsweise den folgenden Befehl, um das fünfte Arrayelement (mit dem Index 4) abzurufen.

   $Results[4]
   

3. Der oben stehende Befehl gibt den im Arrayelement 4 gespeicherten Protokolleintrag zurück. Zum Anzeigen der Felder CmdletParameters und ModifiedProperties für diesen Protokolleintrag verwenden Sie die folgenden Befehle.

   $Results[4].CmdletParameters
   $Results[4].ModifiedProperties
   

4. Um die Inhalte der Felder CmdletParameters und ModifiedParameters in einem anderen Protokolleintrag anzuzeigen, ändern Sie den Arrayelementindex.

Inhalte des Überwachungsprotokolls

Jeder Überwachungsprotokolleintrag enthält die Informationen, die in der folgenden Tabelle beschrieben sind. Das Überwachungsprotokoll enthält mindestens einen Überwachungsprotokolleintrag.