Vue d'ensemble de l'enregistrement d'audit d'administrateur
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2015-03-09
La fonctionnalité de journalisation d'audit de l'administrateur de MicrosoftExchange Server 2010 permet d'enregistrer les modifications de l'organisation effectuées par un utilisateur ou un administrateur. Le fait de conserver un journal des modifications permet de suivre la personne à l'origine de la modification. Vous pouvez également ajouter à ce journal des modifications des enregistrements détaillés de la modification implémentée, que vous utiliserez pour satisfaire les exigences de réglementation et les demandes de découverte, etc.
Par défaut, la journalisation d'audit est activée dans les nouvelles installations de MicrosoftExchange Server 2010 Service Pack 1 (SP1).
Objets de l’audit
Les cmdlets exécutées directement dans l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell sont auditées. En outre, les opérations effectuées à l'aide de la console de gestion Exchange et de l'interface de gestion Web d'Exchange sont également enregistrées, car elles exécutent des cmdlets en arrière-plan.
Quel que soit l'endroit où elle est exécutée, la cmdlet fait l'objet d'un audit si elle est répertoriée dans la liste d'audit des cmdlets et si au moins un paramètre de cette cmdlet figure dans la liste d'audit des paramètres. Les cmdlets Get- et Search- ne sont pas enregistrées. L’enregistrement d’audit permet de montrer quelles actions ont été effectuées pour modifier des objets dans une organisation Exchange plutôt que de montrer les objets consultés.
.gif "Important") Important : |
|---|
| Une cmdlet peut ne pas être enregistrée si une erreur s’est produite avant que la cmdlet appelle l’agent d’extension du journal d’audit d’administration. Si une erreur se produit après l'appel de l'agent du journal d'audit d'administration, la cmdlet est enregistrée avec l'erreur qui lui est associée. Pour plus d’informations, voir Agent du journal d’audit d’administration plus loin dans cette rubrique. Les modifications apportées à l'aide des outils de gestion MicrosoftExchange Server 2007 ne sont pas enregistrées. Les modifications apportées à la configuration de l’enregistrement d’audit sont actualisées toutes les 60 minutes sur les ordinateurs ayant l’environnement de ligne de commande Exchange Management Shell ouvert au moment de la modification de la configuration. Si vous souhaitez appliquer les modifications immédiatement, fermez et rouvrez l’environnement de ligne de commande Exchange Management Shell sur chaque ordinateur. |
Configuration de l’enregistrement d’audit
Par défaut, si l’enregistrement d’audit est activé, une entrée de journée est créée à chaque exécution d’une cmdlet, autre que la cmdlet Get- ou Search-. Si vous ne souhaitez pas que chaque cmdlet soit auditée, vous pouvez configurer l’enregistrement d’audit en le limitant aux cmdlets et paramètres de votre choix. La cmdlet Set-AdminAuditLogConfig vous permet de configurer l’enregistrement d’audit. Les paramètres référencés dans les sections suivantes sont utilisés avec cette cmdlet.
| Important : |
|---|
| Les modifications apportées à la configuration du journal d'audit de l'administrateur sont toujours enregistrées, que la cmdlet Set-AdministratorAuditLog figure dans la liste des cmdlets auditées ou non, et que la journalisation d'audit de l'administrateur soit activée ou non. |
Lorsqu’une commande est exécutée, Exchange inspecte la cmdlet utilisée. Si la cmdlet exécutée correspond à une des cmdlets fournies avec le paramètre AdminAuditLogConfigCmdlets, Exchange contrôle ensuite les paramètres spécifiés dans le paramètre AdminAuditLogConfigParameters. Si au moins un paramètre de la liste des paramètres correspond, Exchange enregistre la cmdlet exécutée dans la boîte aux lettres spécifiée à l'aide du paramètre AdminAuditLogMailbox.
.gif "Remarque") Remarque : |
|---|
| Avec la version de publication (RTM) d’Exchange 2010, vous spécifiez une boîte aux lettres de journal d’audit administrateur. L’enregistrement d’audit administrateur dans Exchange 2010 SP1 utilise une boîte aux lettres dédiée. Cette boîte aux lettres dédiée ne peut pas être modifiée ou configurée. |
Les sections suivantes contiennent d’autres informations sur chaque aspect de la configuration de l’enregistrement d’audit.
Pour plus d'informations sur la gestion de la configuration de la journalisation d'audit, consultez la rubrique Configurer une connexion au service d’audit administrateur.
Cmdlets
Vous pouvez contrôler quelles cmdlets sont auditées en fournissant une liste de cmdlets et leurs paramètres associés que vous souhaitez enregistrer. Lorsque vous configurez l’enregistrement d’audit, vous pouvez opter pour un audit de chaque cmdlet ou désigner des cmdlets spécifiques à auditer à l’aide du paramètre AdminAuditLogConfigCmdlets. Vous pouvez spécifier les noms complets des cmdlets, par exemple New-Mailbox, ou les noms partiels des cmdlets et placer ces noms entre des caractères génériques tels qu’un astérisque (*). Par exemple, pour tenir le journal de chaque exécution d’une cmdlet contenant la chaîne Transport, vous pouvez spécifier une valeur de*Transport*. Vous pouvez mélanger des noms complets et partiels de cmdlets pour personnaliser la configuration de l’enregistrement d’audit en fonction de vos besoins.
Paramètres
En plus de spécifier quelles cmdlets doivent être enregistrées dans le journal, vous pouvez également indiquer que les cmdlets ne seront enregistrés que si certains paramètres associés sont utilisés. Utilisez le paramètre AdminAuditLogConfigParameters pour spécifier quels paramètres doivent être enregistrés. Comme pour les cmdlets, vous pouvez spécifier les noms complets des paramètres, par exemple Database, ou utiliser des noms partiels placés entre des caractères génériques (*), tels que *Address*, ou une combinaison des deux.
Limite d’âge de journal d’audit
Par défaut, l’enregistrement d’audit est configuré pour stocker les entrées de journal d’audit pendant 90 jours. Après 90 jours, l’entrée du journal d’audit est supprimée. Vous pouvez modifier la durée de vie du journal d’audit à l’aide du paramètre AdminAuditLogAgeLimit. Vous pouvez spécifier le nombre de jours, d’heures, de minutes et de secondes correspondant à la durée pendant laquelle les entrées de journal d’audit peuvent être conservées. Pour spécifier une valeur, utilisez le format dd.hh:mm:ss où ce qui suit s’applique :
jj Le nombre de jours durant lesquels conserver l’entrée du journal d’audit.
hh Le nombre d’heures durant lesquelles conserver l’entrée du journal d’audit.
mm Le nombre de minutes durant lesquelles conserver l’entrée du journal d’audit.
ss Le nombre de secondes durant lesquelles conserver l’entrée du journal d’audit.
Vous devez spécifier plusieurs années à l’aide du champ dd. Par exemple, 365 jours correspondent à une année, 730 jours à deux ans, 913 jours à deux ans et six mois. Par exemple, pour définir la durée de vie du journal d’audit sur deux ans et six mois, utilisez la syntaxe 913.00:00:00.
.gif "Attention") Attention : |
|---|
| Vous pouvez définir la limite d’âge du journal d’audit sur une valeur inférieure à la durée de vie actuelle. Si vous procédez de la sorte, toute entrée de journal d’audit dont l’âge dépasse la nouvelle limite d’âge sera supprimée. Si vous définissez la durée de vie sur 0, Exchange supprimera toutes les entrées dans le journal d’audit. Il est conseillé d’attribuer les autorisations pour configurer la limite d’âge du journal d’audit uniquement aux utilisateurs de confiance. |
Cmdlets de test
Les cmdlets qui commencent par le verbe Test ne sont pas enregistrées par défaut. Vous pouvez indiquer que les cmdlets Test doivent être enregistrées en définissant le paramètre TestCmdletLoggingEnabled sur $true. Bien que vous puissiez activer l’enregistrement de cmdlets de test, il est conseillé de ne le faire que sur de courtes périodes. En effet, les cmdlets de test peuvent produire une grande quantité d’informations.
Journaux d’audit
Chaque fois qu'une cmdlet est enregistrée, une entrée de journal d'audit est créée. Les journaux d'audit sont stockés dans une boîte aux lettres d'arbitrage dédiée et cachée qui n'est accessible qu'à l'aide de la page Rapports d'audit du Panneau de configuration Exchange (ECP) ou de la cmdlet Search-AdminAuditLog ou New-AdminAuditLogSearch. MicrosoftOfficeOutlook Web App et MicrosoftOutlook ne permettent pas d'ouvrir les journaux d'audit. Les sections ci-dessous fournissent les informations suivantes :
Le contenu des journaux
Les rapports disponibles à la page Rapports d’audit du Panneau de configuration
Les cmdlets de recherche de journal d’audit
| Remarque : |
|---|
| Avec la version de publication (RTM) d’Exchange 2010, vous spécifiez une boîte aux lettres de journal d’audit administrateur. L’enregistrement d’audit administrateur dans Exchange 2010 SP1 utilise une boîte aux lettres dédiée. Cette boîte aux lettres dédiée ne peut pas être modifiée ou configurée. La page Rapports d’audit du Panneau de configuration Exchange et les cmdlets Search-AdminAuditLog et New-AdminAuditLogSearch ne fonctionnent qu’avec les journaux d’audit administrateur d’Exchange 2010 SP1. Pour afficher le contenu d’une boîte aux lettres de journal d’audit d’Exchange 2010 RTM, vous devez ouvrir cette boîte aux lettres à l’aide d’Outlook Web App ou d’un client de messagerie tel que Outlook. |
Contenu des journaux d’audit
Chaque entrée de journal d’audit contient les informations décrites dans le tableau suivant. Le journal d’audit contient une ou plusieurs entrées de journal d’audit. Le nombre d'entrées de journal d'audit est contrôlé par la limite d'âge de journal d'audit spécifiée à l'aide de la cmdlet Set-AdminAuditLog. Toute entrée du journal d’audit qui dépasse la limite d’âge est supprimée.
Champs d’entrée de journal d’audit
| Champ | Description |
|---|---|
|
Ce champ est utilisé en interne par Exchange. |
|
Ce champ contient l’objet modifié par la cmdlet spécifiée dans le champ |
|
Ce champ contient le nom de la cmdlet exécutée par l’utilisateur dans le champ |
|
Ce champ contient les paramètres spécifiés lorsque la cmdlet dans le champ |
|
Ce champ contient les propriétés modifiées sur l’objet dans le champ |
|
Ce champ contient le compte utilisateur de l’utilisateur qui a exécuté la cmdlet dans le champ |
|
Ce champ indique si la cmdlet dans le champ |
|
Ce champ contient le message d’erreur généré si la cmdlet dans le champ |
|
Ce champ contient la date et l’heure à laquelle la cmdlet dans le champ |
|
Ce champ est utilisé en interne par Exchange. |
|
Ce champ est utilisé en interne par Exchange. |
Rapports d’audit du Panneau de configuration Exchange
La page Rapports d’audits dans le Panneau de configuration Exchange contient plusieurs rapports qui fournissent des informations sur différents types de modifications de configuration d’administration et de conformité. Les rapports suivants fournissent des informations sur les modifications de configuration dans votre organisation :
Modifications de rôle administrateur Ce rapport vous permet de rechercher les modifications dans les groupes de rôles de gestion que vous spécifiez au sein d’une période. Les résultats renvoyés incluent les groupes de rôles qui ont été modifiés, par qui et leur date ainsi que les modifications qui ont été apportées. 3 000 entrées maximum peuvent être renvoyées. Si votre recherche peut renvoyer plus de 3 000 entrées, utilisez le rapport Exporter les modifications de configuration ou la cmdlet Search-AdminAuditLog.
Exporter les modifications de configuration Ce rapport vous permet d’exporter les entrées de journal d’audit enregistrées au sein d’une période spécifiée vers un fichier XML puis de l’envoyer par courrier électronique à un destinataire que vous spécifiez. Pour plus d’informations sur le contenu du fichier XML, voir Structure du journal d’audit de l’administrateur.
Pour plus d’informations sur l’utilisation de ces rapports, voir Effectuer des recherches dans un journal d’audit de l’administrateur.
Les rapports de mise en attente pour litige, de modifications de configuration de boîte aux lettres et d’accès à la boîte aux lettres par un non-propriétaire figurent également sur la page Rapports d’audits. Pour plus d’informations sur ces rapports, voir :
Cmdlet Search-AdminAuditLog
Lorsque vous exécutez la cmdlet Search-AdminAuditLog, toutes les entrées de journal d'audit qui correspondent aux critères de recherche spécifiés sont renvoyées. Vous pouvez spécifier les critères de recherche suivants :
Cmdlet Spécifie les cmdlets que vous souhaitez rechercher dans le journal d’audit administrateur.
Paramètres Spécifie les paramètres que vous souhaitez rechercher dans le journal d’audit administrateur. Vous ne pouvez rechercher des paramètres que si vous avez spécifié une cmdlet à rechercher.
Date de fin Étend les résultats du journal d’audit administrateur aux entrées du journal survenues à la date spécifiée ou avant cette date.
Date de début Étend les résultats du journal d’audit administrateur aux entrées du journal survenues à la date spécifiée ou après cette date.
Identificateurs d’objets Précise que seules des entrées du journal d’audit administrateur contenant les objets modifiés spécifiés peuvent être renvoyées
Identificateurs d’utilisateurs Précise que seules des entrées du journal d’audit administrateur contenant les ID spécifiés de l’utilisateur qui a exécuté la cmdlet peuvent être renvoyées.
Exécution réussie Spécifie si seules les entrées du journal d’audit administrateur qui signalaient une réussite ou un échec doivent être renvoyées.
Chaque entrée de journal d’audit renvoyée contient les informations décrites dans le tableau dans Contenu des journaux d’audit. Par défaut, seules les 1 000 premières entrées de journal qui correspondent aux critères que vous spécifiez sont renvoyées. Cependant, vous pouvez annuler cette valeur par défaut et renvoyer plus ou moins d’entrées à l’aide du paramètre ResultSize. Vous pouvez spécifier une valeur de Unlimited avec le paramètre ResultSize pour renvoyer toutes les entrées de journal correspondant aux critères spécifiés.
Pour obtenir des informations sur l’utilisation de la cmdlet Search-AdminAuditLog, voir Effectuer des recherches dans un journal d’audit de l’administrateur.
Cmdlet New-AdminAuditLogSearch
La cmdlet New-AdminAuditLogSearch effectue des recherches dans le journal d’audit tout comme la cmdlet Search-AdminAuditLog. Cependant, plutôt que d’afficher les résultats de la recherche du journal d’audit dans l’environnement de ligne de commande Exchange Management Shell, la cmdlet New-AdminAuditLogSearch effectue la recherche puis envoie les résultats par courrier électronique au destinataire spécifié. Les résultats sont inclus en tant que pièce jointe XML dans le message électronique.
Vous pouvez utiliser les mêmes critères de recherche avec la cmdlet New-AdminAuditLogSearch que ceux utilisés avec la cmdlet Search-AdminAuditLog. Pour obtenir la liste des critères de recherche, voir Cmdlet Search-AdminAuditLog.
Après exécution de la cmdlet New-AdminAuditLogSearch, Exchange peut prendre jusqu’à 15 minutes pour remettre le rapport au destinataire spécifié. Le rapport sous forme de fichier XML joint peut avoir une taille maximale de 10 mégaoctets (Mo). Le fichier XML contient les mêmes informations décrites dans le tableau dans Contenu des journaux d’audit. Pour plus d’informations sur la structure du fichier XML, voir Structure du journal d’audit de l’administrateur.
| Remarque : |
|---|
| Outlook Web App ne vous permet pas d’ouvrir des pièces jointes XML par défaut. Vous pouvez soit configurer Exchange pour autoriser l’affichage des pièces jointes XML à l’aide d’Outlook Web App, soit utiliser un autre client de messagerie électronique, tel que Microsoft OfficeOutlook pour afficher la pièce jointe. Pour plus d’informations sur la configuration d’Outlook Web App pour pouvoir afficher une pièce jointe XML, voir Afficher ou configurer les répertoires virtuels d’Outlook Web App. |
Pour des informations sur l’utilisation de la cmdlet New-AdminAuditLogSearch, voir Effectuer des recherches dans un journal d’audit de l’administrateur.
Entrées de journal d’audit manuelles
En plus d’enregistrer les cmdlets Exchange lorsqu’elles sont exécutées, Exchange 2010 SP1 vous permet d’écrire manuellement des entrées de journal dans le journal d’audit. Exchange 2010 SP1 prend en charge cela à l’aide de la cmdlet Write-AdminAuditLog. Les situations dans lesquelles vous devrez ajouter manuellement une entrée de journal sont les suivantes :
Entrée et sortie de script personnalisé
Informations de contrôle de modification
Heures de début et de fin de maintenance
À l'aide de la cmdlet Write-AdminAuditLog, vous spécifiez une chaîne de texte à inclure dans le journal d'audit à l'aide du paramètre Comment. Le paramètre Comment accepte une chaîne alphanumérique comportant jusqu’à 500 caractères. Les informations incluses dans l'entrée de journal d'audit manuelle et la chaîne de commentaire sont exactement les mêmes que celles enregistrées avec une cmdlet Exchange. Pour obtenir une description de chaque champ du journal d'audit, consultez le tableau figurant dans Contenu des journaux d’audit.
Vous pouvez extraire les entrées de journal d’audit manuelles de la même manière que n’importe quelle autre entrée à l’aide de la page Rapports d’audits du Panneau de configuration Exchange ou des cmdlets Search-AdminAuditLog ou New-AdminAuditLogSearch.
Pour afficher le contenu du paramètre Comment sur la cmdlet Write-AdminAuditLog dans une entrée de journal d’audit manuelle, voir Effectuer des recherches dans un journal d’audit de l’administrateur.
Réplication Active Directory
L’enregistrement d’audit par un administrateur s’appuie sur la réplication Active Directory pour répliquer les paramètres de configuration que vous spécifiez pour les contrôleurs de domaine de votre organisation. Selon vos paramètres de réplication, les modifications que vous apportez ne prendront peut-être pas immédiatement effet sur l’ensemble des serveurs Exchange 2010 de votre organisation.
Agent du journal d’audit d’administration
L’agent d’extension de la cmdlet intégré au Journal d’audit d’administration effectue les enregistrements d’audit des opérations des cmdlets dans Exchange 2010. Cet agent lit la configuration de l’enregistrement d’audit, puis effectue une évaluation de chaque cmdlet exécutée dans votre organisation. Si le critère que vous avez spécifié dans la configuration du journal d’audit correspond à la cmdlet exécutée, l’agent génère un journal d’audit.
L’agent du journal d’audit d’administration est activé par défaut afin que l’enregistrement d’audit puisse fonctionner. Il ne peut pas être désactivé et sa priorité ne peut pas être modifiée. Pour plus d’informations sur les agents d’extension de cmdlet, voir Présentation des agents d’extension de cmdlet.
Journaux d'audit d'administration et croissance rapide de la base de données
Par défaut, le journal d'audit d'administration est activé dans Exchange Server 2010. Les résultats associés sont stockés dans la boîte aux lettres d'arbitrage dans le dossier AdminAuditLogs. Si des cmdlets sont fréquemment exécutées dans l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell, plusieurs entrées de journal sont générées, ce qui peut entraîner la croissance rapide de la base de données. Ce comportement peut se produire même en l'absence de boîte aux lettres de l'utilisateur.
Pour déterminer la taille du dossier AdminAuditLogs, exécutez la cmdlet suivante dans l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell : Get-MailboxFolderstatistics GUID de la boîte aux lettres d'arbitrage-FolderScope RecoverableItems –IncludeAnalysis. Affichez ensuite le nombre d'éléments et la taille du dossier AdminAuditLogs.
Si le nombre d'éléments et la taille du dossier AdminAuditLogs sont élevés, exécutez la cmdlet suivante pour supprimer les éléments du dossier : Search-Mailbox GUID de la boîte aux lettres d'arbitrage-Dumpsteronly -deletecontent.
Une cmdlet fréquemment exécutée peut être à l'origine de la croissance de la base de données. La cmdlet figure généralement dans un script dont l'exécution est planifiée sur une base régulière. Identifiez la cmdlet à l'origine de la croissance du journal d'audit d'administration. Après avoir confirmé que la cmdlet peut être exclue du journal d'audit d'administration, exécutez la cmdlet suivante dans l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell : Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets nom de la cmdlet. Par exemple, exécutez la cmdlet suivante : Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets Add-DistributionGroupMember. Une fois la cmdlet exécutée, vous devez attendre la fin de la réplication.