Общие сведения о ведении журнала аудита администратора
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2015-03-09
Журнал аудита администратора в Microsoft Exchange Server 2010 можно использовать для регистрации выполняемых пользователем или администратором действий по внесению изменений в вашу организацию. Ведение журнала изменений позволяет соотносить изменения с внесшим их пользователем. Также можно дополнять журналы изменений подробными записями о применении изменения, обеспечивать соответствие нормативным требованиям и запросам на обнаружение и т. д.
Ведение журнала аудита включено по умолчанию в новых установках Microsoft Exchange Server 2010 с пакетом обновления 1 (SP1).
Что подлежит аудиту
Командлеты, которые выполняются непосредственно в Командная консоль Exchange, подлежат аудиту. Кроме того, сведения об операциях, выполняемых с помощью консоли управления Exchange и веб-интерфейса управления Exchange, также заносятся в журнал аудита, так как данные операции запускают командлеты в фоновом режиме.
Аудит командленов проводится независимо от места их выполнения, если они присутствуют в списке аудита командлетов и один или несколько параметров этих командлетов присутствуют в списке аудита параметров. Командлеты Get- и Search- в журнал не заносятся. Журнал аудита в большей степени показывает, какие действия выполнялись для изменения объектов в организации Exchange, а не какие объекты были просмотрены.
Важно!
Командлет может быть не записан в журнал, если перед вызовом командлетом агента расширения командлета журнала аудита администратора произошла ошибка. Если ошибка произошла после вызова агента ведения журнала аудита администратора, командлет заносится в журнал вместе с соответствующей ошибкой. Дополнительные сведения см. далее в разделе Агент журнала аудита администратора.
Изменения, внесенные с помощью средств управления Microsoft Exchange Server 2007, в журнал не заносятся.
На компьютерах, на которых во время изменения конфигурации открыта командная консоль, изменения конфигурации журнала аудита обновляются каждые 60 минут. Если изменения необходимо применить немедленно, на каждом компьютере закройте и снова откройте командную консоль.
Настройка ведения журнала аудита
По умолчанию, если ведение журнала аудита включено, запись журнала создается при каждом выполнении любого командлета, кроме командлетов Get- и Search-. Если не требуется выполнение аудита каждого запущенного командлета, можно настроить ведение журнала аудита для выполнения аудита только необходимых командлетов. Настройка ведения журнала аудита осуществляется с помощью командлета Set-AdminAuditLogConfig. Параметры, рассматриваемые в следующих разделах используются с этим командлетом.
Важно!
Изменения в конфигурации журнала аудита администратора всегда фиксируются в журнале независимо от того, находится ли командлет Set-AdministratorAuditLog в списке аудита командлетов и включено или отключено ведение журнала аудита.
При выполнении команды Exchange проверяет командлет, который был использован. Если выполненный командлет совпадает с каким-либо командлетом, указанным в параметре AdminAuditLogConfigCmdlets, система Exchange проверяет параметры указанные в параметре AdminAuditLogConfigParameters. При совпадении одного или нескольких параметров в списке параметров система Exchange заносит в журнал командлет, выполненный в почтовом ящике, который указан с помощью параметра AdminAuditLogMailbox.
.gif "Примечание") Примечание. |
|---|
| В окончательной первоначальной версии (RTM) Exchange 2010 пользователю необходимо было указывать почтовый ящик журнала аудита администратора. В версии Exchange 2010 с пакетом обновления 1 (SP1) для журнала аудита администратора используется выделенный почтовый ящик. Этот выделенный почтовый ящик невозможно изменять или настраивать. |
В следующих разделах содержатся сведения о каждом аспекте настройки ведения журнала аудита.
Дополнительные сведения об управлении настройками ведения журнала аудита см. в разделе Настройка ведения журнала аудита действий администратора.
Командлеты
Можно указать командлеты для которых необходимо осуществлять аудит, задав список командлетов и их параметров, записи о которых необходимо вносить в журнал. При настройке ведения журнала аудита, можно задать аудит каждого командлета или можно указать командлеты для аудита с помощью параметра AdminAuditLogConfigCmdlets. Имена командлетов можно указать полностью, например New-Mailbox или указать часть имени, поместив его между подстановочными символами, например символами звездочки (*). Например, чтобы записывать в журнал все выполнения командлетов, содержащих строковое значение Transport, укажите значение *Transport*. Можно использовать полные и частичные имена командлетов одновременно, чтобы настроить ведение журнала аудита необходимым образом.
Параметры
Кроме указания командлетов, записи о выполнении которых следует заносить в журнал, можно также указать, чтобы в журнал записывались командлеты, в которых используются определенные параметры. Чтобы указать, какие параметры необходимо заносить в журнал, используйте параметр AdminAuditLogConfigParameters. Так же как в случае с командлетами, можно указать полное имя параметра, например Database, часть имени с подстановочным символом (*), например *Address*, или комбинацию этих вариантов.
Время хранения журнала аудита
По умолчанию записи журнала аудита хранятся в течение 90 дней. По истечении 90 дней запись журнала аудита удаляется. С помощью параметра AdminAuditLogAgeLimit можно изменить время хранения журнала аудита. Можно указать число дней, часов, минут и секунд, в течение которых необходимо хранить записи журнала аудита. Чтобы задать значение, используйте формат dd.hh:mm:ss, где:
dd — количество дней хранения записи журнала аудита;
hh — количество часов хранения записи журнала аудита;
mm — количество минут хранения записи журнала аудита;
ss — количество секунд хранения записи журнала аудита.
Чтобы указать несколько лет, необходимо использовать поле dd. Например, 365 дней соответствуют одному году; 730 дней — двум годам; 913 дней — двум годам и шести месяцам. Чтобы установить для журнала аудита время хранения, равное двум годам и шести месяцам, используйте следующую синтаксическую конструкцию: 913.00:00:00.
Предупреждение
Для времени хранения журнала аудита можно установить меньшее значение по сравнению с текущим временем хранения. При этом все записи журнала аудита, чей возраст превысит новое время хранения, будут удалены.
Если для времени хранения установлено значение 0, все записи в журнале аудита будут удалены системой Exchange.
Разрешения на настройку времени хранения журнала аудита рекомендуется предоставлять только пользователям с высоким уровнем доверия.
Командлеты проверки
По умолчанию командлеты, начинающиеся с команды Test, не заносятся в журнал. Чтобы командлеты Test заносились в журнал, для параметра TestCmdletLoggingEnabled необходимо установить значение $true. Хотя регистрацию командлетов проверки в журнале можно включить, это рекомендуется делать на короткие периоды времени, так как командлеты проверки могут выводить большое количество данных.
Журналы аудита
При каждой регистрации командлета в журнале создается запись аудита. Журналы аудита хранятся в скрытом выделенном арбитражном почтовом ящике, доступ к которому можно получить только на странице Отчеты аудита панели управления Exchange или с помощью командлетов Search-AdminAuditLog или New-AdminAuditLogSearch. Журналы аудита невозможно открыть в Microsoft Office Outlook Web App или Microsoft Outlook. Следующие разделы содержат сведения на темы:
Сведения, содержащиеся в журналах
Отчеты, доступные на странице Отчеты аудита панели управления Exchange
Командлеты поиска в журнале аудита
| Примечание. |
|---|
| В окончательной первоначальной версии (RTM) Exchange 2010 пользователю необходимо было указывать почтовый ящик журнала аудита администратора. В версии Exchange 2010 с пакетом обновления 1 (SP1) для журнала аудита администратора используется выделенный почтовый ящик. Этот выделенный почтовый ящик невозможно изменять или настраивать. Страница Отчеты аудита панели управления Exchange и командлеты Search-AdminAuditLog и New-AdminAuditLogSearch работают только с журналами аудита администратора версии Exchange 2010 с пакетом обновления 1 (SP1). Чтобы просмотреть содержимое почтового ящика журнала аудита версии Exchange 2010 RTM, необходимо открыть этот почтовый ящик с помощью приложения Outlook Web App или почтового клиента, например Outlook. |
Содержимое журнала аудита
Каждая запись журнала аудита содержит сведения, описанные в следующей таблице. Журнал аудита содержит одну или несколько записей журнала аудита. Количество записей журнала аудита регулируется временем хранения журнала аудита, указанным с помощью командлета Set-AdminAuditLog. Все записи журнала аудита, превышающие время хранения, удаляются.
Поля записей журнала аудита
| Поле | Описание |
|---|---|
|
Это поле предназначено для внутреннего использования системой Exchange. |
|
В этом поле содержится объект, измененный с помощью командлета, указанного в поле |
|
Это поле содержит имя командлета, запущенного пользователем, указанным в поле |
|
В этом поле содержатся параметры, заданные при запуске командлета, указанного в поле |
|
В этом поле содержатся свойства, которые были изменены в объекте, указанном в поле |
|
Это поле содержит учетную запись пользователя, запустившего командлет, указанный в поле |
|
В этом поле указывается, успешно ли был выполнен командлет, указанный в поле |
|
Это поле содержит сообщение об ошибке, которое создается при сбое выполнения командлета, указанного в поле |
|
В этом поле содержатся дата и время выполнения командлета, указанного в поле |
|
Это поле предназначено для внутреннего использования системой Exchange. |
|
Это поле предназначено для внутреннего использования системой Exchange. |
Страница «Отчеты аудита» панели управления Exchange
На странице Отчеты аудита панели управления Exchange представлено несколько отчетов, содержащих сведения о различных типах соответствия требованиям и изменениях конфигурации средств администрирования. Следующие отчеты содержат сведения об изменениях конфигурации организации.
Изменения роли администратора Этот отчет позволяет выполнять поиск изменений в указанных группах ролей управления в пределах заданных временных рамок. Полученные результаты содержат данные об измененных группах ролей, внесенных изменениях, а также о том, кто и когда внес эти изменения. Может быть возвращено не более 3000 записей. Если в результатах поиска может быть выведено более 3000 записей, используйте отчет Экспорт изменений конфигурации или командлет Search-AdminAuditLog.
Экспорт изменений конфигурации Этот отчет позволяет экспортировать записи журнала аудита, записанные в пределах заданных временных рамок, в файл XML, а затем отправлять этот файл по электронной почте указанному получателю. Дополнительные сведения о содержимом файла XML см. в разделе Структура журнала аудита действий администратора.
Дополнительные сведения об использовании этих отчетов см. в разделе Поиск в журнале аудита действий администратора.
Отчеты о судебном удержании, изменениях конфигурации почтовых ящиков и о доступе к почтовым ящикам посторонних пользователей также содержатся на странице Отчеты аудита. Дополнительные сведения об этих отчетах см. в следующих разделах.
Командлет Search-AdminAuditLog
При запуске командлета Search-AdminAuditLog возвращаются все записи журнала аудита, соответствующие указанным критериям поиска. Можно указать следующие критерии поиска.
Командлеты Указывает командлеты, которые необходимо найти в журнале аудита администратора.
Параметры Указывает параметры, которые необходимо найти в журнале аудита администратора. Поиск параметров можно осуществлять, только если указан командлет для поиска.
Дата окончания Задает область поиска записей журнала аудита администратора, внесенных в указанную дату или до нее.
Дата начала Задает область поиска записей журнала аудита администратора, внесенных в указанную дату или после нее.
Идентификаторы объекта Указывает, что возвращаться должны только записи журнала аудита администратора, содержащие указанные измененные объекты.
Идентификаторы пользователей Указывает, что возвращаться должны только записи журнала аудита администратора, содержащие указанный идентификатор пользователя, запустившего командлет.
Успешное выполнение Указывает, что возвращаться должны только записи журнала аудита администратора, указывающие на успешное выполнение или сбой.
Каждая возвращенная запись журнала аудита содержит сведения, описанные в таблице в разделе Содержимое журнала аудита. По умолчанию возвращается только первая 1000 записей журнала, соответствующих заданным критериям. Однако значение по умолчанию можно изменить с помощью параметра ResultSize для вывода большего или меньшего количества записей. Если для параметра ResultSize установить значение Unlimited, возвращены будут все записи журнала, соответствующие указанным критериям.
Дополнительные сведения об использовании командлета Search-AdminAuditLog см. в разделе Поиск в журнале аудита действий администратора.
Командлет New-AdminAuditLogSearch
Командлет New-AdminAuditLogSearch выполняет поиск в журнале аудита подобно командлету Search-AdminAuditLog. Однако вместо вывода результатов поиска в журнале аудита в командную консоль командлет New-AdminAuditLogSearch отправляет результаты поиска по электронной почте указанному получателю. Результаты включаются в сообщение электронной почты в качестве XML-вложения.
С командлетом New-AdminAuditLogSearch можно использовать такие же критерии поиска, как и с командлетом Search-AdminAuditLog. Список критериев поиска см. в разделе Командлет Search-AdminAuditLog.
После запуска командлета New-AdminAuditLogSearch системе Exchange может потребоваться до 15 минут, чтобы доставить отчет указанному получателю. Максимальный размер отчета в формате XML составляет 10 мегабайт (МБ). В файле XML содержатся такие же сведения, как в таблице в разделе Содержимое журнала аудита. Дополнительные сведения о структуре файла XML см. в разделе Структура журнала аудита действий администратора.
| Примечание. |
|---|
| Outlook Web App не позволяет открывать вложения XML по умолчанию. В системе Exchange можно разрешить просмотр вложений XML с помощью приложения Outlook Web App или же использовать другой клиент электронной почты, например Microsoft OfficeOutlook. Сведения о настройке Outlook Web App для просмотра вложений XML см. в статье Просмотр и настройка виртуальных каталогов Outlook Web App. |
Дополнительные сведения об использовании командлета New-AdminAuditLogSearch см. в разделе Поиск в журнале аудита действий администратора.
Внесение записей журнала аудита вручную
Помимо внесения в журнал командлетов Exchange при их запуске, версия Exchange 2010 с пакетом обновления 1 (SP1) позволяет вручную вносить записи в журнал аудита. В версии Exchange 2010 с пакетом обновления 1 (SP1) эта функция поддерживается с помощью командлета Write-AdminAuditLog. Записи журнала можно вносить вручную в следующих случаях.
Пользовательский сценарий входа и выхода
Сведения об изменении элемента управления
Время начала и окончания обслуживания
С помощью параметра Comment командлета Write-AdminAuditLog в журнал аудита можно внести текстовую строку. Параметр Comment принимает буквенно-цифровую строку длиной до 500 символов. При ручном внесении записи в журнал аудита также вносится вся информация, записываемая при внесении в журнал командлета Exchange. Описание полей, включенных в журнал аудита, см. в таблице раздела Содержимое журнала аудита.
Просматривать записи журнала аудита, внесенные вручную, можно таким же образом, как и любые другие записи журнала — с помощью страницы Отчеты аудита панели управления или командлетов Search-AdminAuditLog и New-AdminAuditLogSearch.
Сведения о просмотре содержимого параметра Comment командлета Write-AdminAuditLog в записи журнала аудита, внесенной вручную, см. в разделе Поиск в журнале аудита действий администратора.
Репликация Active Directory
При ведении журнала аудита администратора используется репликация Служба каталогов Active Directory для выполнения репликации параметров конфигурации, указанных для контроллеров домена в организации. В зависимости от параметров репликации выполненные изменения не сразу применяются ко всем серверам Exchange 2010 в организации.
Агент журнала аудита администратора
Встроенный агент расширения командлета журнала аудита администратора выполняет ведение журнала аудита администратора операций командлета в Exchange 2010. Этот агент считывает настройки журнала аудита и выполняет оценку каждого командлета, запущенного в организации. Если критерий, указанный в конфигурации журнала аудита, соответствует выполняемому командлету, агент создает журнал аудита.
Агент журнала аудита администратора включен по умолчанию, что необходимо для функции ведения журнала аудита. Его невозможно отключить, и его приоритет невозможно изменить. Дополнительные сведения об агентах расширения командлета см. в разделе Общие сведения об агентах расширения командлета.
Быстрое разрастание базы данных из-за журналов аудита администратора
По умолчанию в Exchange Server 2010 включен журнал административного аудита. Результаты аудита хранятся в почтовом ящике разрешения конфликтов в папке AdminAuditLogs. Если в системе Командная консоль Exchange часто выполняются командлеты, в журнале аудита создается много записей, что может привести к быстрому росту размера базы данных. Это возможно даже при отсутствии почтовых ящиков пользователей.
Для определения размера папки AdminAuditLogs запустите в Командная консоль Exchange следующий командлет: Get-MailboxFolderstatistics "Идентификатор GUID арбитражного почтового ящика" -FolderScope RecoverableItems –IncludeAnalysis. Затем посмотрите количество элементов и размер папки AdminAuditLogs.
Если количество элементов и размер папки AdminAuditLogs велики, запустите следующий командлет для удаления элементов из папки: Search-Mailbox Идентификатор GUID арбитражного почтового ящика -Dumpsteronly -deletecontent.
Часто выполняемый командлет может вызвать увеличение размера базы данных. Как правило, командлет указан в сценарии, который периодически выполняется по расписанию. Определите командлет, который вызывает увеличение журнала аудита администратора. Узнайте, можно ли исключить командлет из журнала аудита администратора, и выполните в Командная консоль Exchange следующий командлет: Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets имя командлета. Например, выполните следующий командлет: Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets Add-DistributionGroupMember. После запуска командлета необходимо подождать завершения репликации.