Настройка ведения журнала аудита действий администратора
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2012-07-23
Ведение журнала аудита действий администратора в Microsoft Exchange Server 2010 позволяет создавать запись журнала при каждом запуске определенного командлета. В записях журнала уточняется, какой командлет был выполнен, какие параметры использованы, кто выполнял командлет, какие объекты были задействованы. Дополнительные сведения о ведении журнала аудита действий администратора см. в разделе Общие сведения о ведении журнала аудита администратора.
Для настройки ведения журнала аудита действий администратора необходимо использовать командную консоль.
Важно!
При ведении журнала аудита администратора используется репликация Служба каталогов Active Directory для выполнения репликации параметров конфигурации, указанных для контроллеров домена в организации. В зависимости от параметров репликации выполненные изменения не сразу применяются ко всем серверам Exchange 2010 в организации.
На компьютерах, на которых во время изменения конфигурации открыта командная консоль, изменения конфигурации журнала аудита обновляются каждые 60 минут. Если изменения необходимо применить немедленно, на каждом компьютере закройте и снова откройте консоль.
Укажите командлеты для аудита
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись "Ведение журнала аудита администратора" в разделе Разрешения инфраструктуры Exchange и командной консоли.
.gif "Примечание") Примечание. |
|---|
| Невозможно использовать консоль управления Exchange для указания командлетов для аудита. |
По умолчанию в журналах аудита создается запись для каждого выполняемого командлета. Если ведение журнала аудита включено впервые и необходимо, чтобы это действие выполнялось далее, список аудита командлетов изменять не требуется. Если были указаны командлеты для аудита, но теперь необходимо выполнить аудит всех командлетов, это можно сделать с помощью подстановочного знака «звездочка» (*) с параметром AdminAuditLogCmdlets командлета Set-AdminAuditLogConfig, как показано в следующей команде:
Set-AdminAuditLogConfig -AdminAuditLogCmdlets *
Можно указать командлеты для аудита, задав список командлетов с помощью параметра AdminAuditLogCmdlets. В списке командлетов для аудита можно указать определенные командлеты, командлеты с подстановочным знаком «звездочка» (*) или и те и другие. Записи в списке разделяются запятыми. Допустимы следующие значения:
New-Mailbox*TransportRule*Management*Set-Transport*
В этом примере выполняется аудит командлетов, указанных в предыдущем списке.
Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-AdminAuditLogConfig.
Задание параметров для аудита
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе запись "Ведение журнала аудита действий администратора" в разделе Разрешения инфраструктуры Exchange и командной консоли.
| Примечание. |
|---|
| Невозможно использовать консоль управления Exchange для указания параметров для аудита. |
По умолчанию в журналах аудита создается запись для каждого выполняемого командлета, независимо от указанных параметров. Если ведение журнала аудита включено впервые и необходимо, чтобы это действие выполнялось далее, список аудита параметров изменять не требуется. Если были указаны параметры для аудита, но теперь необходимо выполнить аудит всех параметров, это можно сделать с помощью подстановочного знака «звездочка» (*) с параметром AdminAuditLogParameters командлета Set-AdminAuditLogConfig, как показано в следующей команде:
Set-AdminAuditLogConfig -AdminAuditLogParameters *
Параметры для аудита можно указать с помощью параметра AdminAuditLogParameters. В списке параметров для аудита можно указать отдельные параметры, параметры с подстановочным знаком «звездочка» (*) или и те и другие. Записи в списке разделяются запятыми. Допустимы следующие значения:
Database*Address*Custom**Region
| Примечание. |
|---|
| Для создания записи журнала аудита при выполнении команды эта команда должна включать в себя как минимум один или несколько параметров одного или нескольких командлетов, указанных с помощью параметра AdminAuditLogCmdlets. |
В этом примере выполняется аудит параметров, указанных в предыдущем списке.
Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-AdminAuditLogConfig.
Указание времени хранения журнала аудита
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе запись "Ведение журнала аудита действий администратора" в разделе Разрешения инфраструктуры Exchange и командной консоли.
| Примечание. |
|---|
| Невозможно использовать консоль управления Exchange для указания времени хранения журнала аудита. |
Время хранения журнала аудита определяет период, в течение которого будут храниться записи журнала аудита. При превышении времени хранения записи журнала она удаляется. Значение по умолчанию — один год.
Можно указать число дней, часов, минут и секунд, в течение которых необходимо хранить записи журнала аудита. Чтобы задать значение, используйте формат dd.hh.mm:ss, где:
dd — количество дней хранения записи журнала аудита
hh — количество часов хранения записи журнала аудита
mm — количество минут хранения записи журнала аудита
ss — количество секунд хранения записи журнала аудита
Предупреждение
Для времени хранения журнала аудита можно установить меньшее значение по сравнению с текущим временем хранения. При этом все записи журнала аудита, длительность хранения которых превысит новое время хранения, будут удалены.
Если для времени хранения установлено значение 0, все записи в журнале аудита будут удалены системой Exchange.
Разрешения на настройку времени хранения журнала аудита рекомендуется предоставлять только пользователям с высоким уровнем доверия.
В этом примере указывается время хранения, равное двум годам и шести месяцам.
Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913.00:00:00
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-AdminAuditLogConfig.
Включение и отключение ведения журнала командлетов проверки
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе запись "Ведение журнала аудита действий администратора" в разделе Разрешения инфраструктуры Exchange и командной консоли.
| Примечание. |
|---|
| Невозможно использовать консоль управления Exchange для включения или отключения ведения журнала командлетов Test. |
По умолчанию командлеты, начинающиеся с команды Test, не заносятся в журнал. Причиной этого является то, что командлеты Test могут создавать большой объем данных за короткий период времени. Включать ведение журнала командлетов Test рекомендуется только на короткий период времени.
Эта команда включает ведение журнала командлетов Test.
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $True
Эта команда отключает ведение журнала командлетов Test.
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-AdminAuditLogConfig.
Другие задачи
После настройки ведения журнала аудита действий администратора можно также выполнить другие действия: