Administrator-Überwachungsprotokollstruktur

  • Artikel

Gilt für: Exchange Server 2013

Administrator-Überwachungsprotokolle enthalten eine Aufzeichnung aller Cmdlets und Parameter, die in der Exchange-Verwaltungsshell und vom Exchange-Verwaltungskonsole (EAC) ausgeführt wurden. Sie werden bei Bedarf erstellt, wenn Sie den Administratorüberwachungsprotokollbericht im EAC ausführen oder wenn Sie das Cmdlet New-AdminAuditLogSearch in der Shell ausführen. Weitere Informationen zu Überwachungsprotokollen finden Sie unter Administratorüberwachungsprotokollierung.

Überwachungsprotokolle sind XML-Dateien und können mehrere Überwachungsprotokolleinträge enthalten. Die folgende Tabelle beschreibt die einzelnen XML-Tags und die zugeordneten Attribute.

Suchen Sie nach Verwaltungsaufgaben im Zusammenhang mit Administratorüberwachungsprotokollen? Weitere Informationen finden Sie unter Verwalten der Administratorüberwachungsprotokollierung.

Element Attribut Beschreibung
<?xml version="1.0" encoding="utf-8"?> N/A Dies ist das XML-Dokumentdeklarations-Tag. Es ist in jeder Überwachungsprotokoll-XML-Datei enthalten und enthält die XML-Versionsnummer und den Zeichencodierungswert.
SearchResults N/A Dieses Tag enthält alle Überwachungsprotokolleinträge in der XML-Datei. Das Event Tag ist ein untergeordnetes Element dieses Tags.

Pro XML-Datei gibt es nur ein SearchResults Tag.
Event Dieses Tag enthält den Überwachungsprotokolleintrag für ein einzelnes Cmdlet. Dieses Tag enthält die CallerAttribute , Cmdlet, ObjectModified, SucceededRunDate, und ErrorOriginatingServer . Die CmdletParameters Tags und ModifiedProperties sind untergeordnete Elemente dieses Tags.

Pro Überwachungsprotokolleintrag ist ein Event Tag vorhanden.
Caller Dieses Attribut enthält das Benutzerkonto des Benutzers, der das Cmdlet im Cmdlet -Attribut ausgeführt hat.
Cmdlet Dieses Attribut enthält den Namen des Cmdlets, das vom Benutzer im Caller -Attribut ausgeführt wurde.
ObjectModified Dieses Attribut enthält das Objekt, das durch das im Cmdlet -Attribut angegebene Cmdlet geändert wurde. Das ModifiedProperties Tag zeigt an, welche Eigenschaften für dieses Objekt geändert wurden.
RunDate Dieses Attribut enthält das Datum und die Uhrzeit der Ausführung des Cmdlets Cmdlet im Attribut.
Succeeded Dieses Attribut gibt an, ob das Cmdlet im Cmdlet Attribut erfolgreich ausgeführt wurde. Der Wert ist entweder True oder False.
Error Dieses Attribut enthält die Fehlermeldung, die generiert wird, wenn das Cmdlet im Cmdlet Attribut nicht erfolgreich abgeschlossen werden konnte. Wenn kein Fehler aufgetreten ist, wird der Wert auf Nonefestgelegt.
OriginatingServer Dieses Attribut enthält den Server, auf dem das im Cmdlet Attribut angegebene Cmdlet ausgeführt wurde.
CmdletParameters N/A Dieses Tag enthält alle Parameter, die beim Ausführen des Cmdlets angegeben wurden. Das Parameter Tag ist ein untergeordnetes Element dieses Tags.

Pro Tag gibt es ein CmdletParameters Tag Event .
Parameter Dieses Tag enthält jeden einzelnen Parameter, der beim Ausführen des Cmdlets angegeben wurde. Dieses Tag enthält die Name Attribute und Value .

Pro CmdletParameters Tag können mehrere Parameter Tags vorhanden sein.
Name Dieses Attribut enthält den Namen des Parameters, der im ausgeführten Cmdlet angegeben wurde.
Value Dieses Attribut enthält den Wert, der für den im Name -Attribut angegebenen Parameter angegeben wurde.
ModifiedProperties N/A Dieses Tag enthält alle Eigenschaften, die vom ausgeführten Cmdlet geändert wurden. Das Property Tag ist ein untergeordnetes Element dieses Tags.

Pro Tag gibt es ein ModifiedProperties Tag Event .

Wichtig: Dieses Tag wird nur aufgefüllt, wenn der LogLevel-Parameter im Cmdlet Set-AdminAuditLogConfig auf Verbosefestgelegt ist.
Property Dieses Tag enthält eine einzelne Eigenschaft, die beim Ausführen des Cmdlets angegeben wurde. Dieses Tag enthält die NameAttribute , OldValueund NewValue .

Pro ModifiedProperties Tag können mehrere Property Tags vorhanden sein.
Name Dieses Attribut enthält den Namen der Eigenschaft, die beim Ausführen des Cmdlets geändert wurde.
OldValue Dieses Attribut enthält den Wert, der in der im Name Attribut angegebenen Eigenschaft enthalten war, bevor es geändert wurde.
NewValue Dieses Attribut enthält den Wert, in den die -Eigenschaft im Name -Attribut geändert wurde.

Beispiel für einen Überwachungsprotokolleintrag

Es folgt ein Beispiel für einen typischen Überwachungsprotokolleintrag. Basierend auf den Informationen im Protokolleintrag wissen wir, dass Folgendes aufgetreten ist:

  • Am 18.10.2012 um 15:48 Uhr Pacific Daylight Time (UTC-7) führte der Benutzer Administrator das Cmdlet Set-Mailbox aus.

  • Beim Ausführen der Cmdlets Set-Mailbox wurden die beiden folgenden Parameter bereitgestellt:

    • Identität mit dem Wert david

    • ProhibitSendReceiveQuota mit dem Wert 10GB

  • Die beiden folgenden Eigenschaften für das Objekt david wurden geändert:

    Hinweis

    Die geänderten Eigenschaften werden im Überwachungsprotokoll gespeichert, da der LogLevel-Parameter für das Set-AdminAuditLogConfig Cmdlet in diesem Beispiel auf Verbose festgelegt wurde.

    • ProhibitSendReceiveQuota mit dem neuen Wert von 10GB, der den alten Wert von ersetzt 35GB

  • Der Vorgang wurde erfolgreich ohne Fehler abgeschlossen.

<?xml version="1.0" encoding="utf-8"?>
<SearchResults>

  <Event Caller="corp.e15a.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e15a.contoso.com/Users/david" RunDate="2012-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.00.0516.032)">
    <CmdletParameters>
      <Parameter Name="Identity" Value="david" />
      <Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
    </CmdletParameters>
    <ModifiedProperties>
      <Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
    </ModifiedProperties>
  </Event>
</SearchResults>