管理者監査ログを構成する
適用先 : Exchange Server 2010
組織のユーザーや管理者がコマンドレットを実行するとき、Microsoft Exchange Server 2010 内で管理者監査ログ使用して、ログ記録できます。実行されるコマンドレットのログを記録することで、変更を行った人員への変更を追跡したり、変更実施時に変更の詳細な記録を変更ログに追記したり、法的な要件と開示要求を遵守したり、その他の作業を行えます。
監査対象
Exchange 管理シェルで直接実行されるコマンドレットが監査されます。さらに、Exchange 管理コンソール (EMC) および Exchange Web 管理インターフェイスを使用して実行する操作もログ記録されます。これらの操作は、バックグラウンドでコマンドレットを実行するためです。
コマンドレットがコマンドレット監査一覧に記載され、そのコマンドレットの 1 つまたは複数のパラメーターがパラメーター監査一覧に記載されている場合、コマンドレットは実行の場所に関わらず監査されます。Get コマンドレットはログ記録されません。監査ログは、表示されたオブジェクトではなく、Exchange 組織内のオブジェクトを変更する操作を示すことを目的としています。
重要 : |
---|
コマンドレットが管理監査ログ コマンドレット拡張エージェントを呼び出す前にエラーが発生した場合、コマンドレットはログ記録されない可能性があります。管理監査ログ エージェントの呼び出し後にエラーが発生すると、コマンドレットはその関連するエラーと一緒にログ記録されます。詳細については、後ほど説明する「管理監査ログ エージェント」を参照してください。 監査ログ構成への変更は、構成変更の実行時にシェルを開いたコンピューター上で 60 分ごとに更新されます。変更を直ちに適用するには、各コンピューター上でシェルを閉じてから再度開きます。 |
監査ログの構成
既定では、監査ログが有効であれば、Get コマンドレット以外の任意のコマンドレットが実行されるたびにログ エントリが作成されます。監査ログを構成するとき、ログの格納先となるメールボックスを指定する必要があります。コマンドレットの実行のたびに監査しないのであれば、対象とするコマンドレットとパラメーターのみを監査するように監査ログを構成できます。Set-AdminAuditLogConfig コマンドレットで監査ログを構成します。次のセクションで説明するパラメーターは、このコマンドレットと一緒に使用します。
コマンドを実行すると、Exchange は使用されたコマンドレットを検査します。実行されたコマンドレットが、AdminAuditLogConfigCmdlets パラメーターが入力されているコマンドレットのいずれかと一致すると、Exchange は AdminAuditLogConfigParameters パラメーターに指定されているパラメーターを確認します。パラメーター一覧にある 1 つまたは複数のパラメーターが一致すると、Exchange は AdminAuditLogMailbox パラメーターを使用して指定されたメールボックス内に、実行されたコマンドレットをログ記録します。以降のセクションでは、監査ログ構成に関する各側面の詳細を説明します。
詳細については、「管理者監査ログを構成する」を参照してください。
コマンドレット
ログ対象とするコマンドレットとそのパラメーターの一覧を入力することにより、監査対象となるコマンドレットを制御できます。監査ログを構成するとき、すべてのコマンドレットを監査するように指定したり、AdminAuditLogConfigCmdlets パラメーターを使用して監査するコマンドレットを指定できます。New-Mailbox のような完全なコマンドレット名を入力できます。また、部分的なコマンドレット名を指定して、アスタリスク (*
) などのワイルドカード文字でその名前を囲むことができます。たとえば、文字列 Transport
を含むあらゆるコマンドレットをログ記録する場合、*Transport*
の値を指定できます。同時に完全コマンドレット名と部分コマンドレット名との混合を使用することで、監査ログ構成をニーズに合わせることができます。
パラメーター
ログ対象のコマンドレットを指定することに加え、それらのコマンドレットで特定パラメーターが使用された場合にのみ、コマンドレットをログ記録するように指定することもできます。AdminAuditLogConfigParameters パラメーターを使用して、ログの対象とするパラメーターを指定します。コマンドレットと同様、Database
のような完全なパラメーター名、およびワイルドカード文字 (*
) で囲んだ部分的なパラメーター名 (*Address*
など)、またはそれらの組み合わせを指定できます。
メールボックスを監査する
Exchange 2010 のこのリリースでは、監査ログ エントリは、AdminAuditLogMailbox パラメーターで指定したメールボックスに格納されます。監査メールボックスは、管理者の制限されたグループのみがアクセスできるメールボックスである必要があります。監査ログにより機密情報が公開される必要があるため、この制限が必要です。監査ログによりログ記録されるコマンドレットのパラメーターで指定されるすべての値が、監査ログに格納されます (パスワードを除く)。
組織内でユーザーと管理者によってコマンドが実行されるたびに監査ログがログ記録される可能性があるため、監査メールボックスを定期的に監視する必要があります。メールボックスがいっぱいになると、メールボックスに送信された新しいログは失われてしまい、取得できなくなります。
このメールボックスに監査ログ エントリのみが格納されるようにするため、このメールボックスに電子メールを送信できるユーザーを制限できます。メールボックスに電子メールを送信できるユーザーを制限する方法の詳細については、「メッセージの配信制限を構成する」を参照してください。
監査ログ
監査ログは、監査ログを構成したときに指定したメールボックスに、電子メール メッセージとして格納されます。Microsoft Outlook や Microsoft Office Outlook Web App などの電子メール クライアントを使用して、そのメールボックスを開くことで、ログにアクセスできます。
コマンドレットがログ記録されるたびに、監査ログ電子メール メッセージが作成され、監査メールボックスに配信されます。各ログには、次の表に記載されている情報が含まれています。
監査ログ エントリのフィールド
フィールド | 説明 |
---|---|
メッセージの件名 |
コマンドレットを実行したユーザーのアカウントと、実行されたアカウント。 |
コマンドレット名 |
呼び出し元が実行したコマンドレット。 |
変更されたオブジェクト |
コマンドレットにより変更されたオブジェクト。 |
パラメーター |
コマンドレット実行時に指定されたパラメーターと、入力された値。1 つまたは複数のパラメーターが指定された場合、複数の [パラメーター] フィールドが表示されます。 |
呼び出し元 |
コマンドレットを実行したユーザーのユーザー アカウント。 |
成功 |
コマンドレットが正常に実行されたかどうか。値は True または False のどちらかです。 |
エラー |
コマンドレットが正常に完了しなかった場合、エラー メッセージが生成されます。 |
実行日 |
コマンドレットの実行日。日付と時刻は世界協定時刻 (UTC) 形式で格納されます。 |
注 : |
---|
各監査ログ エントリ フィールドには、GUID が含まれています。この GUID は内部専用であり、監査ログを解釈したり処理するときに資料として使用しないでください。 |
Active Directory のレプリケーション
管理者の監査ログは、Active Directory レプリケーションに依存して、組織内のドメイン コントローラーに指定する構成設定をレプリケートします。レプリケーション設定によっては、加えた変更が組織内の Exchange 2010 を実行するすべてのサーバーに直ちに適用されない場合もあります。
管理監査ログ エージェント
管理監査ログ ビルトイン拡張エージェントは、Exchange 2010 内でコマンドレット操作の管理者監査ログを実行します。このエージェントは監査ログ構成を読み取り、組織内で実行される各コマンドレットの評価を実行します。監査ログ構成に指定した基準が実行中のコマンドレットと一致すると、エージェントは監査メールボックスに送信される監査ログを生成します。
コマンドレット拡張エージェントは、有効または無効に設定できます。管理監査ログ エージェントは既定で有効 (監査ログが機能するのに必要な状態) となっています。管理監査ログ エージェントと管理者監査ログ機能の有効、無効の状態は独立しています。ログ記録を行うには、両方を有効にする必要があります。いずれかが無効になっている場合は、ログ記録は行われません。
管理監査ログ エージェントは既定で有効となっているため、このエージェントの構成を変更する必要はないはずです。このエージェントを有効、または無効にする必要がある場合、またはコマンドレット拡張エージェントの詳細を理解する場合、以下のトピックを参照してください。