Exchange Server 관리자 감사 로깅
적용 대상: Exchange Server 2013
Microsoft Exchange Server 2013에서 관리자 감사 로깅을 사용하여 사용자 또는 관리자가 언제 조직에서 변경 작업을 수행하는지 기록할 수 있습니다. 변경 내용의 로그를 유지하면 변경을 수행한 사용자의 변경 내용을 추적하고, 변경 내용이 구현될 때 변경에 대한 상세 레코드가 포함된 변경 로그를 늘리고, 검색에 대한 규정 요구 사항 및 요청을 준수하는 등의 작업이 가능합니다.
기본적으로 Exchange 2013을 새로 설치하면 감사 로깅을 사용할 수 있습니다.
감사 대상
Exchange의 관리 셸에서 직접 실행되는 cmdlet에 대해 감사가 수행됩니다. 또한 EAC(Exchange 관리 센터)를 사용하여 수행되는 작업도 백그라운드에서 cmdlet을 실행하므로 기록됩니다.
cmdlet이 cmdlet 감사 목록에 있고 해당 cmdlet의 매개 변수 하나 이상이 매개 변수 감사 목록에 있는 경우 cmdlet은 실행 위치에 관계없이 감사됩니다. 감사 로깅은 어떤 개체를 확인했는지가 아닌 Exchange 조직에서 개체를 수정하기 위해 수행된 작업을 표시하기 위한 것입니다.
중요
cmdlet이 관리자 감사 로그 cmdlet 확장 에이전트를 호출하기 전에 오류가 발생할 경우에는 기록되지 않습니다. 관리 감사 로그 에이전트가 호출된 후 오류가 발생하면 관련 오류와 함께 cmdlet이 기록됩니다. 자세한 내용은 이 항목의 뒷부분에 있는 관리 감사 로그 에이전트 섹션을 참조하세요.
Microsoft Exchange Server 2010 관리 도구를 사용하여 변경한 내용은 기록되지만 Microsoft Exchange Server 2007 관리 도구를 사용한 변경 내용은 기록되지 않습니다.
감사 로그 구성의 변경 내용은 구성 변경 시 셸이 열리는 컴퓨터에서 60분마다 새로 고쳐집니다. 변경 내용을 즉시 적용하려면 각 컴퓨터에서 셸을 닫은 후 다시 여십시오.
실행된 명령이 감사 로그 검색 결과에 나타나려면 최대 15분까지 걸릴 수 있습니다. 감사 로그 항목은 인덱싱되어야 검색이 가능하기 때문입니다. 명령이 관리자 감사 로그에 표시되지 않으면 몇 분간 기다렸다가 검색을 다시 실행해 보십시오.
감사 로깅 구성
기본적으로 감사 로깅을 사용하도록 설정하면 cmdlet이 실행될 때마다 로그 항목이 만들어집니다. 실행되는 모든 cmdlet을 감사하지 않으려면 관심 있는 cmdlet과 매개 변수만 감사하도록 감사 로깅을 구성할 수 있습니다. 감사 로깅은 Set-AdminAuditLogConfig cmdlet으로 구성합니다. 다음 섹션에서 언급되는 매개 변수가 이 cmdlet과 함께 사용됩니다.
중요
관리자 감사 로그 구성의 변경 내용은 Set-AdministratorAuditLog cmdlet이 감사되는 cmdlet 목록에 포함되어 있는지 여부 및 감사 로깅이 사용되는지 여부와 관계없이 항상 기록됩니다.
명령이 실행되면 Exchange는 사용된 cmdlet을 검사합니다. 실행된 cmdlet이 AdminAuditLogConfigCmdlets 매개 변수와 함께 제공되는 cmdlet과 일치하는 경우 Exchange는 AdminAuditLogConfigParameters 매개 변수에 지정된 매개 변수를 확인합니다. 매개 변수 목록에서 하나 이상의 매개 변수가 일치하는 경우 Exchange는 AdminAuditLogMailbox 매개 변수를 사용하여 지정된 사서함에서 실행된 cmdlet을 기록합니다. 다음 섹션에서는 감사 로깅 구성의 각 측면에 대한 추가 정보를 소개합니다.
감사 로깅 구성 관리에 대한 자세한 내용은 관리자가 관리 감사 로깅을 참조하십시오.
Cmdlet
로깅할 cmdlet 및 매개 변수의 목록을 제공하여 어떤 cmdlet을 감사할지 여부를 제어할 수 있습니다. 감사 로깅을 구성할 때 모든 cmdlet을 감사하도록 지정하거나 AdminAuditLogConfigCmdlets 매개 변수를 사용하여 감사할 cmdlet을 지정할 수 있습니다. New-Mailbox와 같은 전체 cmdlet 이름을 지정하거나 부분 cmdlet 이름을 지정하고 해당 이름을 별표(*)와 같은 와일드카드 문자로 묶을 수 있습니다. 예를 들어 문자열 Transport 이 포함된 cmdlet이 실행되면 로깅하려는 경우 값을 *Transport*지정할 수 있습니다. 전체 cmdlet 이름과 부분적인 cmdlet 이름을 동시에 혼합 사용하여 필요에 맞게 감사 로깅 구성을 지정할 수 있습니다.
매개 변수
로깅할 cmdlet을 지정하는 것뿐만 아니라 해당 cmdlet에 특정 매개 변수가 사용될 경우에만 cmdlet이 로깅되도록 지정할 수도 있습니다. AdminAuditLogConfigParameters 매개 변수를 사용하여 기록해야 하는 매개 변수를 지정합니다. cmdlet과 마찬가지로 과 같은 전체 매개 변수 이름 또는 와일드카드 문자()*Address*로 Database묶인 부분 매개 변수 이름 또는* 둘 다의 조합을 지정할 수 있습니다.
감사 로그 보존 기간
기본적으로 감사 로깅은 90일 동안 감사 로그 항목을 저장하도록 구성됩니다. 90일이 지나면 감사 로그 항목이 삭제됩니다. AdminAuditLogAgeLimit 매개 변수를 사용하여 감사 로그 기간 제한을 변경할 수 있습니다. 감사 로그 항목을 유지해야 하는 일, 시간, 분 및 초 수를 지정할 수 있습니다. 값을 지정하려면 다음이 적용되는 형식 dd.hh:mm:ss 을 사용합니다.
dd: 감사 로그 항목을 유지할 일 수입니다.
hh: 감사 로그 항목을 유지할 시간 수입니다.
mm: 감사 로그 항목을 유지할 시간(분)입니다.
ss: 감사 로그 항목을 유지할 시간(초)입니다.
필드를 사용하여 여러 연도를 dd 지정해야 합니다. 예를 들어, 365일은 1년, 730일은 2년, 913일은 2년 6개월에 해당합니다. 예를 들어 감사 로그 기간 제한을 2년 6개월로 설정하려면 구문을 913.00:00:00사용합니다.
경고
감사 로그 보존 기간을 현재 보존 기간보다 작게 설정할 수 있습니다. 이 경우 보존 기간이 새 보존 기간을 초과하는 모든 감사 로그 항목이 삭제됩니다.
연령 제한을 0으로 설정하면 Exchange에서 감사 로그의 모든 항목을 삭제합니다.
감사 로그 보존 기간을 구성할 수 있는 권한은 신뢰할 수 있는 사용자에게만 부여하는 것이 좋습니다.
자세한 정보 로깅
기본적으로 관리자 감사 로그는 cmdlet 이름, cmdlet 매개 변수(및 지정된 값), 수정된 개체, cmdlet을 실행한 사람, cmdlet이 실행된 시간, cmdlet이 실행된 서버만 기록합니다. 관리자 감사 로그는 어떤 개체 속성이 수정되었는지는 기록하지 않습니다. 감사 로그에 수정된 개체의 속성도 포함하도록 하려면 LogLevel 매개 변수를 로 설정하여 자세한 정보 로깅을 Verbose사용하도록 설정할 수 있습니다. 기본적으로 기록되는 정보 이외에 자세한 정보 로깅을 사용할 경우 수정된 개체 속성과 이전 값 및 새 값이 감사 로그에 포함됩니다.
테스트 cmdlet
동사 Test로 시작하는 cmdlet은 기본적으로 기록되지 않습니다. TestCmdletLoggingEnabled 매개 변수를 로 설정하여 테스트 cmdlet을 기록해야 함을 $true나타낼 수 있습니다. 테스트 cmdlet의 로깅을 사용하도록 설정할 수 있지만 테스트 cmdlet은 많은 양의 정보를 생성할 수 있으므로 짧은 기간 동안만 이 작업을 수행하는 것이 좋습니다.
감사 로그
cmdlet이 기록될 때마다 감사 로그 항목이 만들어집니다. 감사 로그는 EAC, Search-AdminAuditLog 또는 New-AdminAuditLogSearch cmdlet을 사용해서만 액세스할 수 있는 숨겨진 전용 중재 사서함에 저장됩니다. 이 로그는 Microsoft Outlook Web App 또는 Microsoft Outlook을 사용하여 열 수 없습니다. 다음 섹션에서는 다음에 대한 정보를 제공합니다.
로그에 포함된 내용
EAC 감사 페이지에서 사용할 수 있는 보고서
감사 로그 검색 cmdlet
감사 로그 콘텐츠
각 감사 로그 항목에는 다음 표에 설명된 정보가 포함되어 있습니다. 감사 로그에는 하나 이상의 감사 로그 항목이 포함되어 있습니다. 감사 로그 항목 수는 Set-AdminAuditLogConfig cmdlet을 사용하여 지정된 감사 로그 보존 기간으로 제어됩니다. 보존 기간을 초과하는 모든 감사 로그 항목은 삭제됩니다.
감사 로그 항목 필드
| 필드 | 설명 |
|---|---|
RunspaceId |
이 필드는 Exchange에서 내부적으로 사용됩니다. |
ObjectModified |
이 필드에는 필드에 지정된 cmdlet에 의해 수정된 개체가 CmdletName 포함됩니다. |
CmdletName |
이 필드에는 필드에서 사용자가 Caller 실행한 cmdlet의 이름이 포함됩니다. |
CmdletParameters |
이 필드에는 필드의 cmdlet이 실행될 때 지정된 매개 변수가 CmdletName 포함됩니다. 또한 이 매개 변수로 지정된 값(있는 경우)은 이 필드에 저장되지만 기본 출력에서 표시되지 않습니다. 이 필드의 추가 정보에 액세스하는 방법에 대한 자세한 내용은 역할 그룹 변경 내용 검색 또는 관리자 감사 로그를 참조하세요. |
ModifiedProperties |
이 필드에는 필드의 개체에서 수정된 속성이 ObjectModified 포함됩니다. 또한 저장된 속성의 이전 값 및 새 값은 이 필드에 저장되지만 기본 출력에서 표시되지 않습니다. 이 필드의 추가 정보에 액세스하는 방법에 대한 자세한 내용은 역할 그룹 변경 내용 검색 또는 관리자 감사 로그를 참조하세요. 중요: Set-AdminAuditLogConfig cmdlet의 LogLevel 매개 변수가 로 설정된 Verbose경우에만 이 필드가 채워집니다. |
Caller |
이 필드에는 필드에서 cmdlet CmdletName 을 실행한 사용자의 사용자 계정이 포함됩니다. |
Succeeded |
이 필드는 필드의 cmdlet CmdletName 이 성공적으로 실행되었는지 여부를 지정합니다. 값은 또는 False입니다True. |
Error |
이 필드에는 필드의 cmdlet CmdletName 이 성공적으로 완료되지 못한 경우 생성된 오류 메시지가 포함됩니다. |
RunDate |
이 필드에는 필드의 cmdlet CmdletName 이 실행된 날짜와 시간이 포함됩니다. 날짜와 시간은 UTC(협정 세계시) 형식으로 저장됩니다. |
OriginatingServer |
이 필드는 필드에 지정된 cmdlet이 실행된 CmdletName 서버를 나타냅니다. |
Identity |
이 필드는 Exchange에서 내부적으로 사용됩니다. |
IsValid |
이 필드는 Exchange에서 내부적으로 사용됩니다. |
ObjectState |
이 필드는 Exchange에서 내부적으로 사용됩니다. |
EAC 감사 보고서
EAC의 감사 페이지에는 다양한 유형의 준수 및 관리 구성 변경 내용에 대한 정보를 제공하는 여러 가지 보고서가 있습니다. 다음 보고서는 조직의 구성 변경 내용에 대한 정보를 제공합니다.
관리자 역할 그룹 보고서: 이 보고서를 사용하면 지정된 기간 내에 지정한 관리 역할 그룹의 변경 내용을 검색할 수 있습니다. 반환되는 결과에는 변경된 역할 그룹, 변경한 사용자 및 변경 시간 및 내용이 포함되어 있습니다. 최대 3,000개의 항목이 반환될 수 있습니다. 검색이 3,000개를 초과하는 항목을 반환할 가능성이 있으면 경우 관리자 감사 로그 보고서 또는 Search-AdminAuditLog cmdlet을 사용합니다.
관리자 감사 로그: 이 보고서를 사용하면 지정된 기간 내에 기록된 감사 로그 항목을 XML 파일로 내보낸 다음, 전자 메일을 통해 지정한 받는 사람에게 파일을 보낼 수 있습니다. XML 파일의 콘텐츠에 대한 자세한 내용은 관리자 감사 로그 구조를 참조하십시오.
이러한 보고서를 사용하는 방법에 대한 자세한 내용은 역할 그룹 변경 내용 또는 관리자 감사 로그 검색을 참조하세요.
감사 페이지에 포함된 다른 보고서에 대한 자세한 내용은 Exchange 감사 보고서를 참조하세요.
Search-AdminAuditLog cmdlet
Search-AdminAuditLog cmdlet을 실행하는 경우 지정하는 검색 조건과 일치하는 모든 감사 로그 항목이 반환됩니다. 다음과 같은 검색 조건을 지정할 수 있습니다.
Cmdlet: 관리자 감사 로그에서 검색할 cmdlet을 지정합니다.
매개 변수: 관리자 감사 로그에서 검색하려는 매개 변수를 쉼표로 구분하여 지정합니다. 검색할 cmdlet을 지정하는 경우 매개 변수만 검색할 수 있습니다.
종료 날짜: 관리자 감사 로그 결과를 지정된 날짜 또는 그 이전에 발생한 로그 항목으로 범위를 지정합니다.
시작 날짜: 관리자 감사 로그 결과의 범위를 지정된 날짜 또는 그 이후에 발생한 로그 항목으로 지정합니다.
개체 ID: 지정된 변경된 개체를 포함하는 관리자 감사 로그 항목만 반환되도록 지정합니다.
사용자 ID: cmdlet을 실행한 사용자의 지정된 ID를 포함하는 관리자 감사 로그 항목만 반환되도록 지정합니다.
완료 성공: 성공 또는 실패를 나타내는 관리자 감사 로그 항목만 반환할지 여부를 지정합니다.
각 감사 로그 항목에는 Audit Log Contents의 표에 설명된 정보가 포함되어 있습니다. 기본적으로 지정한 기준과 일치하는 처음 1,000개의 로그 항목이 반환됩니다. 하지만 이 기본값을 무시하고 ResultSize 매개 변수를 사용하여 더 많거나 적은 수의 항목을 반환할 수 있습니다. ResultSize 매개 변수를 사용하여 값을 Unlimited 지정하여 지정된 조건과 일치하는 모든 로그 항목을 반환할 수 있습니다.
Search-AdminAuditLog cmdlet을 사용하는 방법에 대한 자세한 내용은 역할 그룹 변경 내용 또는 관리자 감사 로그 검색을 참조하세요.
New-AdminAuditLogSearch cmdlet
New-AdminAuditLogSearch cmdlet은 Search-AdminAuditLog cmdlet과 동일하게 감사 로그를 검색합니다. 하지만 셸에서 감사 로그 검색 결과를 표시하는 대신 New-AdminAuditLogSearch cmdlet이 검색을 수행한 다음 이 검색 결과를 지정된 받는 사람에게 전자 메일 메시지로 보냅니다. 결과는 XML 첨부 파일로 전자 메일 메시지에 포함됩니다.
Search-AdminAuditLog cmdlet에서 사용되는 New-AdminAuditLogSearch cmdlet과 동일한 검색 조건을 사용할 수 있습니다. 검색 조건 목록은 Search-AdminAuditLog Cmdlet을 참조하세요.
New-AdminAuditLogSearch cmdlet을 실행한 후 Exchange가 지정된 받는 사람에게 보고서를 배달하는 데 최대 15분까지 걸릴 수 있습니다. XML 파일 첨부 보고서의 최대 크기는 10MB입니다. XML 파일에는 감사 로그 내용의 표에 설명된 것과 동일한 정보가 포함되어 있습니다. XML 파일의 구조에 대한 자세한 내용은 관리자 감사 로그 구조를 참조하십시오.
참고
Outlook Web App 기본적으로 XML 첨부 파일을 열 수 없습니다. Outlook Web App 사용하여 XML 첨부 파일을 볼 수 있도록 Exchange를 구성하거나 Microsoft Outlook과 같은 다른 전자 메일 클라이언트를 사용하여 첨부 파일을 볼 수 있습니다. XML 첨부 파일을 볼 수 있도록 Outlook Web App 구성하는 방법에 대한 자세한 내용은 Outlook Web App 가상 디렉터리 보기 또는 구성을 참조하세요.
New-AdminAuditLogSearch cmdlet을 사용하는 방법에 대한 자세한 내용은 역할 그룹 변경 내용 또는 관리자 감사 로그 검색을 참조하세요.
수동 감사 로그 항목
실행 시 Exchange cmdlet 기록뿐만 아니라 Exchange 2013을 사용하여 수동으로 감사 로그에 로그 항목을 기록할 수도 있습니다. Exchange 2013은 Write-AdminAuditLog cmdlet을 사용하여 이를 지원합니다. 수동 로그에 포함하려는 사항은 다음과 같습니다.
사용자 지정 스크립트 입력 및 종료
변경 제어 정보
유지 관리 시작 및 종료 시간
Write-AdminAuditLog cmdlet을 사용하면 Comment 매개 변수를 사용하여 감사 로그에 포함할 텍스트 문자열을 지정합니다. Comment 매개 변수는 영숫자 문자열을 최대 500자까지 허용합니다. Exchange cmdlet이 로그될 때 캡처된 모든 동일한 정보가 주석 문자열과 함께 수동 감사 로그 항목에 포함됩니다. 감사 로그에 포함된 각 필드에 대한 설명은 감사 로그 내용의 표를 참조하세요.
EAC 감사 페이지, Search-AdminAuditLog 또는 New-AdminAuditLogSearch cmdlet을 사용하여 다른 로그 항목과 동일한 방식으로 수동 감사 로그 항목을 검색할 수 있습니다.
수동 감사 로그 항목의 Write-AdminAuditLog cmdlet에서 Comment 매개 변수의 내용을 보려면 역할 그룹 변경 내용 또는 관리자 감사 로그 검색을 참조하세요.
Active Directory 복제
관리자 감사 로깅은 Active Directory 복제를 사용하여 지정한 구성 설정을 조직의 도메인 컨트롤러에 복제합니다. 복제 설정에 따라 조직에서 Exchange 2013 또는 Exchange 2010을 실행하는 모든 서버에 변경 내용이 즉시 적용되지 않을 수 있습니다.
관리 감사 로그 에이전트
기본 제공 cmdlet 확장 에이전트인 관리자 감사 로그 에이전트는 Exchange 2013에서 cmdlet 작업의 관리자 감사 로깅을 수행합니다. 이 에이전트는 감사 로그 구성을 읽은 후 조직에서 실행되는 각 cmdlet에 대한 평가를 수행합니다. 감사 로그 구성에 지정한 조건이 실행 중인 cmdlet과 일치하는 경우 에이전트에서 감사 로그를 생성합니다.
관리자 감사 로그 에이전트는 기본적으로 사용하도록 설정되어 있으며, 감사 로깅이 작동하는 데 필요합니다. 사용하지 않도록 설정할 수 없으며 해당 우선 순위를 변경할 수 없습니다. cmdlet 확장 에이전트에 대한 자세한 내용은 cmdlet 확장 에이전트를 참조하십시오.