관리자 감사 로깅 개요

적용 대상: Exchange Server 2010

마지막으로 수정된 항목: 2009-11-30

조직의 사용자나 관리자가 cmdlet을 실행할 때 Microsoft Exchange Server 2010의 관리자 감사 로깅을 사용하여 로깅할 수 있습니다. 실행되는 cmdlet의 로그를 보관함으로써 변경한 사람과 관련된 변경 내용을 추적하고, 변경 구현 시의 세부 기록으로 변경 로그를 보강하며, 검색에 대한 규정 요구 사항 및 요청 등을 준수할 수 있습니다.

감사 대상

Exchange의 관리 셸에서 직접 실행되는 cmdlet에 대해 감사가 수행됩니다. 또한 EMC(Exchange 관리 콘솔) 및 Exchange 웹 관리 인터페이스를 사용하여 수행되는 작업도 백그라운드에서 cmdlet을 실행하므로 마찬가지로 로깅됩니다.

cmdlet이 cmdlet 감사 목록에 있고 해당 cmdlet에 대한 하나 이상의 매개 변수가 매개 변수 감사 목록에 있는 경우 실행 위치에 관계없이 cmdlet에 대해 감사가 수행됩니다. Get cmdlet은 로깅되지 않습니다. 감사 로깅은 Exchange 조직에서 어떤 개체를 보았는지보다 개체를 수정하기 위해 어떤 작업이 수행되었는지를 파악하기 위한 것입니다.

감사 로깅 구성

기본적으로 감사 로깅을 사용하면 Get cmdlet이 아닌 cmdlet이 실행될 때마다 로그 항목이 만들어집니다. 감사 로깅을 구성할 때 로그를 저장할 사서함을 지정해야 합니다. 실행되는 모든 cmdlet을 감사하지 않으려면 관심 있는 cmdlet과 매개 변수만 감사하도록 감사 로깅을 구성할 수 있습니다. 감사 로깅은 Set-AdminAuditLogConfig cmdlet으로 구성합니다. 다음 섹션에서 언급되는 매개 변수가 이 cmdlet과 함께 사용됩니다.

명령이 실행되면 Exchange는 사용된 cmdlet을 검사합니다. 실행된 cmdlet이 AdminAuditLogConfigCmdlets 매개 변수가 사용된 cmdlet과 일치하면 Exchange는 AdminAuditLogConfigParameters 매개 변수에 지정된 매개 변수를 확인합니다. 매개 변수 목록에서 하나 이상의 매개 변수가 일치하는 경우 Exchange는 AdminAuditLogMailbox 매개 변수를 사용하여 지정한 사서함에서 실행된 cmdlet을 로깅합니다. 다음 섹션에서는 감사 로깅 구성의 각 측면에 대한 추가 정보를 소개합니다.

자세한 내용은 관리자 감사 로깅 구성을 참조하십시오.

cmdlet

로깅할 cmdlet 및 매개 변수의 목록을 제공하여 어떤 cmdlet을 감사할지 여부를 제어할 수 있습니다. 감사 로깅을 구성할 때 모든 cmdlet을 감사하도록 지정하거나, AdminAuditLogConfigCmdlets 매개 변수를 사용하여 원하는 cmdlet만 감사하도록 지정할 수 있습니다. New-Mailbox와 같이 전체 cmdlet 이름을 지정할 수도 있고, 또는 부분적인 cmdlet 이름을 지정하고 해당 이름을 별표(*) 등의 와일드카드 문자로 묶을 수 있습니다. 예를 들어 Transport 문자열이 포함된 cmdlet이 실행되면 로깅하려는 경우 *Transport*의 값을 지정할 수 있습니다. 전체 cmdlet 이름과 부분적인 cmdlet 이름을 동시에 혼합 사용하여 필요에 맞게 감사 로깅 구성을 지정할 수 있습니다.

매개 변수

로깅할 cmdlet을 지정하는 것뿐만 아니라 해당 cmdlet에 특정 매개 변수가 사용될 경우에만 cmdlet이 로깅되도록 지정할 수도 있습니다. AdminAuditLogConfigParameters 매개 변수를 사용하여 로깅해야 할 매개 변수를 지정합니다. cmdlet과 마찬가지로 전체 매개 변수 이름(예: Database)을 지정하거나, *Address*와 같이 와일드카드 문자(*)로 묶은 부분적인 매개 변수 이름을 지정하거나, 또는 이 두 가지를 조합하여 지정할 수 있습니다.

감사 사서함

Exchange 2010의 이번 릴리스에서는 AdminAuditLogMailbox 매개 변수를 사용하여 지정하는 사서함에 감사 로그 항목이 저장됩니다. 감사 사서함은 제한된 관리자 그룹만 액세스할 수 있는 사서함이어야 합니다. 이러한 제한이 필요한 이유는 감사 로깅에 의해 중요한 정보가 노출될 수도 있기 때문입니다. 감사 로깅에 의해 로깅되는 cmdlet의 매개 변수에 지정된 값은 암호를 제외하고 모두 감사 로그에 저장됩니다.

감사 로깅은 잠재적으로 조직의 사용자 및 관리자가 실행하는 모든 명령을 로깅할 수 있으므로 감사 사서함을 정기적으로 모니터링해야 합니다. 사서함이 꽉 차면 사서함으로 보내지는 새 로그는 손실되며 복구할 수 없습니다.

감사 로그 항목만 이 사서함에 저장되도록 하려면 이 사서함에 전자 메일을 보낼 수 있는 사람을 제한합니다. 사서함에 전자 메일을 보낼 수 있는 사람을 제한하는 방법에 대한 자세한 내용은 메시지 배달 제한 구성을 참조하십시오.

감사 로그

감사 로그는 감사 로깅을 구성할 때 지정한 사서함에 전자 메일 메시지로 저장됩니다. Microsoft Outlook 또는 Microsoft Office Outlook Web App와 같은 전자 메일 클라이언트를 사용하여 사서함을 열면 로그에 액세스할 수 있습니다.

cmdlet이 로깅될 때마다 감사 로그 전자 메일 메시지가 만들어지고 감사 사서함에 배달됩니다. 각 로그에는 다음 표에서 설명하는 정보가 들어 있습니다.

감사 로그 항목 필드

Active Directory 복제

관리자 감사 로깅은 Active Directory 복제를 사용하여 지정한 구성 설정을 조직의 도메인 컨트롤러에 복제합니다. 복제 설정에 따라 변경한 내용이 Exchange 2010을 실행하는 조직 내 모든 서버에 즉시 적용되지 않을 수도 있습니다.

관리 감사 로그 에이전트

기본 제공 cmdlet 확장 에이전트인 관리자 감사 로그 에이전트는 Exchange 2010에서 cmdlet 작업의 관리자 감사 로깅을 수행합니다. 이 에이전트는 감사 로그 구성을 읽은 후 조직에서 실행되는 각 cmdlet에 대한 평가를 수행합니다. 감사 로그 구성에서 지정한 기준이 실행 중인 cmdlet과 일치하면 에이전트는 감사 사서함으로 보낼 감사 로그를 생성합니다.

cmdlet 확장 에이전트는 사용하거나 사용하지 않도록 설정할 수 있습니다. 관리자 감사 로그 에이전트는 기본적으로 사용하도록 설정되어 있으며, 감사 로깅이 작동하는 데 필요합니다. 관리자 감사 로그 에이전트의 사용 설정 및 해제 상태와 관리자 감사 로깅 기능은 별개입니다. 로깅이 수행되려면 두 가지를 모두 사용하도록 설정해야 합니다. 둘 중 하나가 사용하지 않도록 설정될 경우 로깅은 수행되지 않습니다.

관리자 감사 로그 에이전트는 기본적으로 사용하도록 설정되어 있으므로 이 에이전트의 구성을 변경할 필요가 없습니다. 이 에이전트를 사용하거나 사용하지 않도록 설정할 경우 또는 cmdlet 확장 에이전트에 대해 자세히 알고 싶은 경우 다음 항목을 참조하십시오.

• Cmdlet 확장 에이전트 이해
• Cmdlet 확장 에이전트 관리