Общие сведения о ведении журнала аудита администратора
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2009-11-30
Ведение журнала аудита администратора в Microsoft Exchange Server 2010 используется для создания записи в журнале при каждом запуске командлета пользователем или администратором в организации. Сохраняя журнал запускаемых командлетов, можно сопоставлять изменения с выполнившим их человеком, дополнять журналы изменений подробными записями об изменениях и об их внедрении, обеспечивать нормативные требования и запросы на обнаружение и многое другое.
Что подлежит аудиту
Командлеты, которые выполняются непосредственно в командной консоли Exchange подлежат аудиту. Кроме того, сведения об операциях, выполняемых с помощью консоли управления Exchange Exchange и веб-интерфейса управления Exchange также заносятся в журнал, так как данные операции запускают командлеты в фоновом режиме.
Аудит командлетов независимо от места их запуска выполняется, если командлет находится в списке аудита командлетов, а один или более параметров этого командлета находятся в списке аудита параметров. Для командлетов Get записи журнала не создаются. Ведение журнала аудита предназначено для отображения действий, совершенных для изменения объектов в организации Exchange, а не просмотренных объектов.
Важно!
Командлет может быть не записан в журнал, если перед вызовом командлетом агента расширения командлета журнала аудита администратора произошла ошибка. Если ошибка происходит после вызова агента журнала аудита администратора, комадлет будет записан в журнал вместе со связанной ошибкой. Дополнительные сведения см. в подразделе «Агент журнала аудита администратора» далее в этом разделе.
На компьютерах, на которых во время изменения конфигурации открыта командная консоль, изменения конфигурации журнала аудита обновляются каждые 60 минут. Если изменения необходимо применить немедленно, на каждом компьютере закройте и снова откройте командную консоль.
Настройка ведения журнала аудита
Если включено ведение журнала аудита, запись журнала создается по умолчанию каждый раз для каждого выполненного командлета, кроме командлетов Get. При настройке ведения журнала аудита необходимо указать почтовый ящик в котором будут храниться журналы. Если не требуется выполнение аудита каждого запущенного командлета, можно настроить ведение журнала аудита для выполнения аудита только необходимых командлетов. Настройка ведения журнала аудита осуществляется с помощью командлета Set-AdminAuditLogConfig. Параметры, рассматриваемые в следующих разделах используются с этим командлетом.
При выполнении команды Exchange проверяет командлет, который был использован. Если выполненный командлет совпадает с каким-либо командлетом, указанным в параметре AdminAuditLogConfigCmdlets, система Exchange проверяет параметры указанные в параметре AdminAuditLogConfigParameters. Если хотя бы один или несколько параметров совпадают с параметрами в списке, Exchange записывает в журнал выполненный в указанном почтовом ящике командлет с помощью параметра AdminAuditLogMailbox. В следующих разделах содержатся сведения о каждом аспекте настройки ведения журнала аудита.
Дополнительные сведения см. в разделе Настройка ведения журнала аудита администратора.
Командлеты
Можно указать командлеты для которых необходимо осуществлять аудит, задав список командлетов и их параметров, записи о которых необходимо вносить в журнал. При настройке ведения журнала аудита, можно задать аудит каждого командлета или можно указать командлеты для аудита с помощью параметра AdminAuditLogConfigCmdlets. Имена командлетов можно указать полностью, например New-Mailbox или указать часть имени, поместив его между подстановочными символами, например символами звездочки (*). Например, чтобы записывать в журнал все выполнения командлетов, содержащих строковое значение Transport, укажите значение *Transport*. Можно использовать полные и частичные имена командлетов одновременно, чтобы настроить ведение журнала аудита необходимым образом.
Параметры
Кроме указания командлетов, записи о выполнении которых следует заносить в журнал, можно также указать, чтобы в журнал записывались командлеты, в которых используются определенные параметры. Чтобы указать, какие параметры необходимо заносить в журнал, используйте параметр AdminAuditLogConfigParameters. Так же как в случае с командлетами, можно указать полное имя параметра, например Database, часть имени с подстановочным символом (*), например *Address*, или комбинацию этих вариантов.
Почтовый ящик для аудита
В этом выпуске Exchange 2010 записи журнала аудита хранятся в почтовом ящике, который указывается с помощью параметра AdminAuditLogMailbox. Почтовый ящик для аудита должен быть доступен только ограниченной группе администраторов. Это ограничение необходимо, так как в результате ведения журнала аудита может быть раскрыта конфиденциальная информация. Все значения, указанные в параметрах командлетов, заносимых в журнал аудита, кроме паролей, хранятся в журналах аудита.
Так как при ведении журнала аудита потенциально может записываться любая команда, выполняемая в организации пользователями и администраторами, необходимо регулярно просматривать почтовый ящик аудита. Если почтовый ящик заполнится, новые журналы, отправленные в почтовый ящик, будут безвозвратно утеряны.
Чтобы в данном почтовом ящике хранились только записи журналов аудита, можно ограничить список лиц, которые могут отправлять сообщения электронной почты в этот почтовый ящик. Дополнительные сведения об ограничении отправки сообщений электронной почты в почтовый ящик см. в разделе Настройка ограничений доставки сообщений.
Журналы аудита
Журналы аудита хранятся в виде сообщений электронной почты в почтовом ящике, указанном при настройке ведения журналов аудита. Доступ к журналам можно получить, открыв почтовый ящик с помощью любого клиента электронной почты, например Microsoft Outlook или Microsoft Office Outlook Web App.
Каждый раз при записи командлета в журнал создается сообщение электронной почты журнала аудита, которое отправляется в почтовый ящик аудита. Каждый журнал содержит сведения, описанные в следующей таблице.
Поля записей журнала аудита
| Поле | Описание |
|---|---|
Тема сообщения |
Учетная запись пользователя, запустившего командлет, и командлет, который был выполнен. |
Имя командлета |
Командлет, запущенный вызывающим объектом. |
Измененный объект |
Объект, измененный командлетом. |
Параметр |
Параметры, указанные при запуске командлета и предоставленные значения. Если было указано более одного параметра, отображается несколько полей Параметр. |
Вызывающий объект |
Учетная запись пользователя, запустившего командлет. |
Успешно |
Успешность выполнения командлета. Значения этого параметра: True или False. |
Ошибка |
Сообщение об ошибке, созданное при ошибке выполнения командлета. |
Дата выполнения |
Дата и время запуска командлета. Дата и время хранятся в формате времени UTC. |
.gif "Dd335052.note(ru-ru,EXCHG.140).gif") Примечание. |
|---|
| Все поля журнала аудита содержат идентификатор GUID. Идентификатор GUID является внутренним, на него не следует ссылаться при интерпретации или обработке журналов аудита. |
Репликация Active Directory
При ведении журнала аудита администратора используется репликация Active Directory для выполнения репликации параметров конфигурации, указанных для контроллеров домена в организации. В зависимости от параметров репликации выполненные изменения не сразу применяются ко всем серверам Exchange 2010 в организации.
Агент журнала аудита администратора
Встроенный агент расширения командлета журнала аудита администратора выполняет ведение журнала аудита администратора операций командлета в Exchange 2010. Этот агент считывает настройки журнала аудита и выполняет оценку каждого командлета, запущенного в организации. Если указанные в настройках журнала аудита критерии совпадают с выполняемым командлетом, агент создает журнал аудита, который отправляется в почтовый ящик аудита.
Агенты расширения командлета можно включить или отключить. Агент журнала аудита администратора включен по умолчанию, что необходимо для функции ведения журнала аудита. Включенное и отключенное состояние агента журнала аудита администратора и функции ведения журнала аудита администратора не связаны. Они оба должны быть включены для того, чтобы осуществлялось ведение журнала. Если какая-либо функция отключена, ведение журнала не выполняется.
Агент журнала аудита администратора включен по умолчанию, поэтому нет необходимости изменять его настройки. Дополнительные сведения о включении и отключении этого агента, а также об агентах расширения командлета см. в следующих разделах: