Exchange Online 관리자 감사 로그 보기

참고

클래식 Exchange 관리 센터는 전 세계 배포에서 더 이상 사용되지 않습니다. Microsoft Purview 규정 준수 포털 감사 로그를 검색하는 것이 좋습니다. 자세한 내용은 WW 서비스의 클래식 Exchange 관리 센터 사용 중단규정 준수 포털에서 감사 로그 검색을 참조하세요.

Exchange Online 사서함이 없는 Exchange Online 조직 또는 EOP(독립 실행형 Exchange Online Protection) 조직에서는 EAC(Exchange 관리 센터) 또는 PowerShell을 사용하여 관리자 감사 로그에서 항목을 검색하고 볼 수 있습니다.

관리자 감사 로그는 관리자 및 관리자 권한이 할당된 사용자가 수행한 Exchange Online PowerShell 또는 독립 실행형 Exchange Online Protection PowerShell cmdlet을 기반으로 특정 작업을 기록합니다. 관리자 감사 로그의 항목은 실행된 cmdlet, 사용된 매개 변수, cmdlet을 실행한 사람 및 영향을 받은 개체에 대한 정보를 제공합니다.

참고:

  • 관리 감사 로깅은 기본적으로 사용하도록 설정되며 사용하지 않도록 설정할 수 없습니다.
  • 관리자 감사 로그는 동사 가져오기, 검색 또는 테스트로 시작하는 cmdlet을 기반으로 작업을 기록하지 않습니다.
  • 조직에서 구성을 변경한 경우 해당 내용이 감사 로그 검색 결과에 표시될 때까지 최대 15분이 걸릴 수 있습니다. 관리자 감사 로그에 변경 내용이 표시되지 않으면 몇 분 정도 기다렸다가 검색을 다시 실행합니다.
  • 감사 로그 항목은 90일 동안 유지됩니다. 항목이 90일보다 오래된 경우 삭제됩니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

문제가 있습니까? Exchange 포럼에서 도움을 요청하세요. Exchange Online 또는 Exchange Online Protection 포럼을 방문하세요.

EAC를 사용하여 관리자 감사 로그 보기

  1. EAC에서 준수 관리>감사로 이동한 다음 , 관리자 감사 로그 보고서 실행을 선택합니다.

  2. 열리는 관리자 역할 그룹 변경 내용 검색 페이지에서 시작 날짜종료 날짜 (기본 범위는 지난 2주)를 선택한 다음 검색을 선택합니다. 지정된 기간 동안 수행된 모든 구성 변경 내용이 표시되며 다음 정보를 사용하여 정렬할 수 있습니다.

    • 날짜: 구성이 변경된 날짜 및 시간입니다. 날짜와 시간은 UTC(협정 세계시) 형식으로 저장됩니다.

    • Cmdlet: 구성을 변경하는 데 사용된 cmdlet의 이름입니다.

    • 사용자: 구성을 변경한 사용자의 사용자 계정 이름입니다.

      여러 페이지에 항목이 5,000개까지 표시됩니다. 결과의 범위를 좁혀야 하는 경우 날짜 범위를 더 좁게 지정하세요. 개별 검색 결과를 선택하면 세부 정보 창에 다음 추가 정보가 표시됩니다.

    • 수정된 개체: cmdlet에서 수정한 개체입니다.

    • 매개 변수(Parameter:Value): 사용된 cmdlet 매개 변수 및 매개 변수로 지정된 모든 값입니다.

  3. 특정 감사 로그 항목을 인쇄하려면 세부 정보 창의 인쇄 단추를 선택합니다.

PowerShell을 사용하여 관리자 감사 로그 보기

Exchange Online PowerShell 또는 독립 실행형 Exchange Online Protection PowerShell을 사용하여 지정한 조건에 맞는 감사 로그 항목을 검색할 수 있습니다. 다음 구문을 사용합니다.

Search-AdminAuditLog [-Cmdlets <Cmdlet1,Cmdlet2,...CmdletN>] [-Parameters <Parameter1,Parameter2,...ParameterN>] [-StartDate <UTCDateTime>] [-EndDate <UTCDateTime>] [-UserIds <"User1","User2",..."UserN">] [-ObjectIds <"Object1","Object2",..."ObjectN">] [-IsSuccess <$true | $false>]

참고:

  • Cmdlets 매개 변수와 함께 Parameters 매개 변수만 사용할 수 있습니다.

  • ObjectIds 매개 변수는 cmdlet에 의해 수정된 개체로 결과를 필터링합니다. 유효한 값은 개체가 감사 로그에 표시되는 방식에 따라 달라집니다. 예시:

    • 이름
    • 정식 고유 이름(예: contoso.com/Users/Akia Al-Zuhairi)

    이 cmdlet에서 다른 필터링 매개 변수를 사용하여 결과의 범위를 좁혀 관심 있는 개체 유형을 식별해야 할 수 있습니다.

  • UserIds 매개 변수는 cmdlet을 실행한 사용자가 결과를 필터링합니다.

  • StartDateEndDate 매개 변수의 경우 표준 시간대 없이 날짜/시간 값을 지정하면 값은 UTC(협정 세계시)에 있습니다. 이 매개 변수에 대한 날짜/시간값을 지정하려면 다음 옵션 중 하나를 사용하십시오.

    • UTC로 날짜/시간 값 지정. 예: "2016-05-06 14:30:00z"
    • 날짜/시간 값을 현지 표준 시간대의 날짜/시간을 UTC로 변환하는 수식으로 지정합니다(예 (Get-Date "5/6/2016 9:30 AM").ToUniversalTime(): ). 자세한 내용은 Get-Date를 참조하세요.
  • cmdlet은 기본적으로 최대 1,000개의 로그 항목을 반환합니다. ResultSize 매개 변수를 사용하여 최대 250,000개의 로그 항목을 지정합니다. 또는 값을 Unlimited 사용하여 모든 항목을 반환합니다.

이 예에서는 다음 기준을 사용하여 모든 감사 로그 항목을 검색합니다.

  • 시작 날짜: 2019년 8월 4일
  • 종료 날짜: 2019년 10월 3일
  • Cmdlet: Update-RoleGroupMember
Search-AdminAuditLog -Cmdlets Update-RoleGroupMember -StartDate (Get-Date "08/04/2019").ToUniversalTime() -EndDate (Get-Date "10/03/2019").ToUniversalTime()

구문과 매개 변수에 대한 자세한 내용은 Search-AdminAuditLog를 참조하십시오.

감사 로그 항목의 상세 정보 보기

Search-AdminAuditLog cmdlet은 이 문서의 뒷부분에 있는 감사 로그 콘텐츠 섹션에 설명된 필드를 반환합니다. cmdlet에서 반환하는 필드 중 CmdletParametersModifiedProperties라는 두 필드에는 기본적으로 반환되지 않는 추가 정보가 포함됩니다.

CmdletParametersModifiedProperties 필드의 콘텐츠를 보려면 다음 단계를 수행합니다.

  1. 검색할 기준을 정하고 Search-AdminAuditLog cmdlet을 실행한 후 다음 명령을 사용하여 변수에 결과를 저장합니다.

    $Results = Search-AdminAuditLog <search criteria>
    
  2. 각 감사 로그 항목은 변수 $Results에 배열 요소로 저장됩니다. 배열 요소 인덱스를 지정하여 배열 요소를 선택할 수 있습니다. 배열 요소 인덱스는 첫 번째 배열 요소에 대해 0에서 시작합니다. 예를 들어, 인덱스가 4인 5번째 배열 요소를 검색하려면 다음 명령을 사용합니다.

    $Results[4]
    
  3. 이전 명령이 배열 요소 4에 저장된 로그 항목을 반환합니다. 이 로그 항목의 CmdletParametersModifiedProperties 필드의 콘텐츠를 보려면 다음 명령을 사용합니다.

    $Results[4].CmdletParameters
    $Results[4].ModifiedProperties
    
  4. 다른 로그 항목의 CmdletParameters 또는 ModifiedParameters 필드의 콘텐츠를 보려면 배열 요소 인덱스를 변경합니다.

감사 로그 콘텐츠

각 감사 로그 항목에는 다음 표에 설명된 정보가 포함되어 있습니다. 감사 로그에는 하나 이상의 감사 로그 항목이 포함되어 있습니다.

필드 설명
RunspaceId 이 필드는 내부적으로 사용됩니다.
ObjectModified 이 필드에는 필드에 지정된 cmdlet에 의해 수정된 개체가 CmdletName 포함됩니다.
CmdletName 이 필드에는 필드에서 사용자가 Caller 실행한 cmdlet의 이름이 포함됩니다.
CmdletParameters 이 필드에는 필드의 cmdlet이 실행될 때 지정된 매개 변수가 CmdletName 포함됩니다. 또한 이 매개 변수로 지정된 값(있는 경우)은 이 필드에 저장되지만 기본 출력에서 표시되지 않습니다.
ModifiedProperties 이 필드에는 필드의 개체에서 수정된 속성이 ObjectModified 포함됩니다. 또한 저장된 속성의 이전 값 및 새 값은 이 필드에 저장되지만 기본 출력에서 표시되지 않습니다.
Caller 이 필드에는 필드에서 cmdlet CmdletName 을 실행한 사용자의 사용자 계정이 포함됩니다.
ExternalAccess 이 필드는 내부적으로 사용됩니다.
Succeeded 이 필드는 필드의 cmdlet CmdletName 이 성공적으로 실행되었는지 여부를 지정합니다. 값은 또는 False입니다True.
Error 이 필드에는 필드의 cmdlet CmdletName 이 성공적으로 완료되지 못한 경우 생성된 오류 메시지가 포함됩니다.
RunDate 이 필드에는 필드의 cmdlet CmdletName 이 실행된 날짜와 시간이 포함됩니다. 날짜와 시간은 UTC(협정 세계시) 형식으로 저장됩니다.
OriginatingServer 이 필드는 필드에 지정된 cmdlet이 실행된 CmdletName 서버를 나타냅니다.
ClientIP 이 필드는 내부적으로 사용됩니다.
SessionId 이 필드는 내부적으로 사용됩니다.
AppId 이 필드는 내부적으로 사용됩니다.
ClientAppId 이 필드는 내부적으로 사용됩니다.
Identity 이 필드는 내부적으로 사용됩니다.
IsValid 이 필드는 내부적으로 사용됩니다.
ObjectState 이 필드는 내부적으로 사용됩니다.