Aufzeichnen von Benutzeraktionen mithilfe der Überwachungsprotokollierung
Gilt für: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu
Letztes Änderungsdatum des Themas: 2011-03-19
Von der Überwachungsprotokollierung werden bestimmte von bestimmten Benutzern ausgeführte Aktionen aufgezeichnet. Wenn die Überwachungsprotokollierung aktiviert wird, können Administratoren diese verwenden, um einen Datensatz aller an Empfängerobjekten vorgenommenen Änderungen zu verwalten. Die Überwachungsprotokollierung hilft der Organisation möglicherweise, gesetzlichen und rechtlichen Anforderungen nachzukommen. Durch vorsichtiges Konfigurieren des Bereichs der Überwachungsprotokollierung können Sie genau steuern, welche Aktionen protokolliert werden. Dadurch können die Überwachungsprotokolle einfacher überprüft und verwaltet werden.
In diesem Thema wird Folgendes behandelt:
- Welche Aktionen werden protokolliert?
- Wie werden Benutzeraktionen protokolliert?
- Konfigurieren der Überwachungsprotokollierung
- Aktivieren der Überwachungsprotokollierung
- Konfigurieren des genauen Inhalts der Protokollierung
- Deaktivieren der Überwachungsprotokollierung
- Anzeigen der Überwachungsprotokollierungseinstellungen
Welche Aktionen werden protokolliert?
Standardmäßig wird jede Aktion protokolliert, die auf einem Windows PowerShell-Cmdlet basiert und nicht mit den Verben Get oder Test beginnt. Die Aktion muss nicht direkt in Windows PowerShell ausgeführt werden. Alle Aktionen in der Exchange-Systemsteuerung und in "Outlook Web App > Optionen" werden auf Basis von Windows PowerShell-Cmdlets erstellt. Jedes Mal, wenn ein Benutzer mithilfe von Windows PowerShell, der Exchange-Systemsteuerung oder "Outlook Web App > Optionen" eine Aktion ausführt, durch die ein Objekt erstellt, geändert oder gelöscht wird, wird die Aktion folglich protokolliert.
Wie werden Benutzeraktionen protokolliert?
Die Daten der Überwachungsprotokollierung werden in E-Mails gespeichert, die an ein Postfach für die Überwachung gesendet werden. Wenn ein Benutzer eine Aktion ausführt, die protokolliert wird, wird eine E-Mail an das Postfach gesendet, das Sie als Postfach für die Überwachung angegeben haben, in dem die Überwachungsprotokolle gespeichert werden. Wenn eine Aktion mehr als ein Cmdlet umfasst, wird jedes Cmdlet in einer separaten E-Mail protokolliert. Wenn das gleiche Cmdlet für mehrere Objekte verwendet wird, wird jedes Objekt in einer separaten E-Mail protokolliert.
Definieren Sie beim Planen der Überwachungsprotokollierungsstrategie, wie Sie die Überwachungsprotokoll-E-Mails archivieren möchten, die an das Postfach für die Überwachung gesendet werden. Das Postfachkontingent oder die maximal zulässige Größe eines Postfachs beträgt 10 GB. Der E-Mail-Dienst sendet jedoch keine E-Mails mehr an Postfächer, wenn diese den Grenzwert Empfangen verbieten von 9,668 GB erreicht haben. Wenn Sie Outlook Live-Verzeichnissynchronisierung (OLSync) ausführen, sollten Sie daher keine Überwachungsprotokollierung ausführen, ohne diese sorgfältig zu konfigurieren, um den Bereich der protokollierten Benutzeraktionen zu verkleinern. Andernfalls ist das Postfach für die Überwachung möglicherweise schnell mit Überwachungsprotokoll-E-Mails gefüllt.
Sie können die Überwachungsprotokolle mithilfe eines beliebigen E-Mail-Clients anzeigen, z. B. Microsoft Office Outlook oder Microsoft Office Outlook Web App, und auf das von Ihnen angegebene Postfach für die Überwachung zugreifen.
Jede E-Mail enthält die folgenden Informationen.
| Element | Beschreibung |
|---|---|
Betreff der Nachricht |
Im Betreff der E-Mail wird das Format <Anrufer> : <Cmdlet-Name> verwendet. Anrufer ist das Benutzerkonto, das zum Ausführen des Cmdlet verwendet wurde. Cmdlet-Name ist der Name des Cmdlets, das vom Benutzer ausgeführt wurde. |
Cmdlet-Name |
Der Name des Cmdlets, das vom Benutzer ausgeführt wurde. Jede E-Mail sollte nur einen Wert für Cmdlet-Name enthalten. |
Geändertes Objekt |
Der Name des Objekts, das vom Cmdlet geändert wurde. Jede E-Mail sollte nur einen Wert für Geändertes Objekt enthalten. |
Parameter |
Die mit dem Cmdlet verwendeten Parameter und die für die Parameter angegebenen Werte. Wenn mehr als ein Parameter verwendet wurde, werden mehrere Parameter-Felder angezeigt. |
Geänderte Eigenschaft |
Die Namen und Werte der geänderten Eigenschaften. Wenn mehr als eine Eigenschaft geändert wurde, werden mehrere Geänderte Eigenschaft-Felder angezeigt. |
Anrufer |
Das Benutzerkonto, das zum Ausführen des Cmdlets verwendet wurde. Der Anrufer wird als Sicherheits-ID (SID)-GUID ausgedrückt. Führen Sie zum Zuordnen der SID zu einem bestimmten Benutzer den folgenden Befehl aus: Beispiel: Wenn die SID |
Erfolgreich |
Gibt an, ob das Cmdlet erfolgreich ausgeführt wurde. Mögliche Werte sind |
Fehler |
Die Fehlermeldung, die generiert wurde, wenn das Cmdlet nicht erfolgreich abgeschlossen wurde. Wenn das Cmdlet erfolgreich abgeschlossen wurde, ist der Wert |
Ausführungsdatum |
Zeigt das Datum und die Uhrzeit der Ausführung des Cmdlets an. Das Datum und die Uhrzeit werden im Weltzeitcodeformat (UTC) gespeichert. |
Seitenanfang
Konfigurieren der Überwachungsprotokollierung
Die Überwachungsprotokollierungseinstellungen werden mithilfe von Windows PowerShell konfiguriert.
Informationen zum Installieren und Konfigurieren von Windows PowerShell V2 sowie zum Herstellen einer Verbindung mit dem Service finden Sie unter Verwenden von Windows PowerShell.
Aktivieren der Überwachungsprotokollierung
Führen Sie den folgenden Befehl aus:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogMailbox <mailbox e-mail address>
Führen Sie z. B. den folgenden Befehl aus, um die Überwachungsprotokollierung zu aktivieren und das vorhandene Postfach logging@contoso.edu als Speicherort für die Überwachungsprotokolle anzugeben:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogMailbox logging@contoso.edu
Hinweis Sie können die Überwachungsprotokollierung nicht aktivieren, ohne ein Postfach anzugeben, um die Überwachungsprotokolle zu speichern. Für das von Ihnen als Postfach für die Überwachung angegebene Postfach ist keine zusätzliche Konfiguration erforderlich. Sie können nur ein reguläres Postfach erstellen. Wenn Sie zuvor mithilfe des AdminAuditLogMailbox-Parameters ein Postfach angegeben haben, müssen Sie das Postfach nicht erneut mit dem AdminAuditLogEnabled-Parameter angeben, um die Überwachungsprotokollierung zu aktivieren.
Seitenanfang
Konfigurieren des genauen Inhalts der Protokollierung
Wie bereits erwähnt, erfasst die Überwachungsprotokollierung standardmäßig alle Cmdlets außer denen, die mit den Verben Get und Test beginnen. Wenn Sie die Cmdlets oder die Parameter einschränken möchten, die protokolliert werden, können Sie den AdminAuditLogCmdlets- und den AdminAuditLogParameters-Parameter im Cmdlet Set-AdminAuditLogConfig verwenden.
Angeben der Cmdlets und Parameter, die protokolliert werden
Standardmäßig ist Wert der Parameter AdminAuditLogCmdlets und AdminAuditLogParameters *. Das bedeutet, dass alle Cmdlets und alle Parameter protokolliert werden. Sie können Cmdlet-Namen und Parameternamen angeben, um die protokollierten Objekte einzuschränken. Sie können mehrere Cmdlets oder Parameter angeben, indem Sie die Namen mit Kommas trennen. Sie können auch das Platzhalterzeichen (*) im Cmdlet oder den Parameternamen verwenden. Beispiele zum Verwenden von Platzhaltern für Cmdlet-Namen und Parameternamen:
*-Mailbox*Address*Custom*
Beispiel: Führen Sie den folgenden Befehl aus, um die Überwachungsprotokollierung auf Cmdlets zu beschränken, die mit dem Verb Remove beginnen:
Set-AdminAuditLogConfig -AdminAuditLogCmdlets Remove-* -AdminAuditLogParameters *
Aktivieren der Überwachungsprotokollierung für Test-Cmdlets
Standardmäßig werden keine Cmdlets protokolliert, die mit den Verben Get oder Test beginnen. Verwenden Sie den TestCmdletLoggingEnabled-Parameter im Cmdlet Set-AdminAuditLogConfig, um die Protokollierung für Cmdlets zu aktivieren oder zu deaktivieren, die mit dem Verb Test beginnen.
Führen Sie den folgenden Befehl aus, um die Protokollierung für Cmdlets vom Typ Test zu aktivieren:
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $true
Führen Sie den folgenden Befehl aus, um die Protokollierung für Cmdlets vom Typ Test zu deaktivieren:
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $false
Hinweis Test-Cmdlets können viele Daten zurückgeben. Daher sollten Sie erwägen, die Protokollierung von Test-Cmdlets nur für einen kurzen Zeitraum zu aktivieren.
Seitenanfang
Deaktivieren der Überwachungsprotokollierung
Führen Sie den folgenden Befehl aus:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $false
Anzeigen der Überwachungsprotokollierungseinstellungen
Führen Sie den folgenden Befehl aus:
Get-AdminAuditLogConfig
Seitenanfang