Структура журнала аудита действий администратора
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2015-03-09
В журналах аудита действий администратора содержатся записи всех командлетов и параметров, которые запускались в командной консоли Exchange, консоли управления Exchange (EMC) и панели управления Exchange (ECP). Они создаются по требованию, когда выполняется отчет об экспорте изменений в конфигурации в панели управления Exchange или запускается командлет New-AdminAuditLogSearch в командной консоли. Дополнительные сведения о журналах аудита см. в разделе Общие сведения о ведении журнала аудита администратора.
Журналы аудита хранятся в файлах XML и могут содержать записи нескольких журналов. В следующей таблице описаны все теги XML и связанные с ними атрибуты.
Теги XML и атрибуты журнала аудита
Элемент | Атрибут | Описание |
---|---|---|
|
|
Это тег объявления документа XML. Он включается в каждый файл XML журнала аудита и содержит номер версии XML и значение типа кодировки символов. |
|
|
В этом теге содержатся все записи журнала аудита в файле XML. Тег В файле XML имеется только один тег |
|
|
В этом теге содержится запись журнала аудита для отдельного командлета. В этом теге содержатся атрибуты В каждой записи журнала аудита имеется один тег |
|
|
В этом атрибуте содержится учетная запись пользователя, запустившего командлет, указанный в атрибуте |
|
|
В этом атрибуте содержится имя командлета, запущенного пользователем, указанным в атрибуте |
|
|
В этом атрибуте содержится объект, измененный с помощью командлета, указанного в атрибуте |
|
|
В этом атрибуте содержатся дата и время выполнения командлета, указанного в атрибуте |
|
|
Этот атрибут указывает, был ли успешно выполнен командлет, указанный в атрибуте |
|
|
В этом атрибуте содержится сообщение об ошибке, которое создается при сбое выполнения командлета, указанного в атрибуте |
|
|
В этом теге содержатся все параметры, заданные при запуске командлета. Тег Имеется один тег |
|
|
В этом теге содержится отдельный параметр, заданный при запуске командлета. В этом теге содержатся атрибуты Может существовать несколько тегов |
|
|
В этом атрибуте содержится имя параметра, заданного в командлете при его запуске. |
|
|
В этом атрибуте содержится значение, заданное для параметра, который указан в атрибуте |
|
|
В этом теге содержатся все свойства, которые были изменены в результате выполнения командлета. Тег Имеется один тег |
|
|
В этом теге содержится отдельное свойство, заданное при запуске командлета. В этом теге содержатся атрибуты Может существовать несколько тегов |
|
|
В этом атрибуте содержится имя свойства, измененного в результате выполнения командлета. |
|
|
В этом атрибуте содержится значение, которое содержалось в свойстве, указанном в атрибуте |
|
|
В этом атрибуте содержится значение, на которое было изменено свойство, указанное в атрибуте |
Пример записи в журнале аудита
Ниже приведен пример типичной записи журнала аудита. На основе данных в записи журнала можно сказать, что произошло следующее:
5 марта 2010 г. в 23:59 (UTC) пользователь
Administrator
запустил командлет Set-Mailbox.При запуске командлета Set-Mailbox было задано два следующих параметра:
Identity со значением
david
ProhibitSendReceiveQuota со значением
1.727 GB
Были изменены два следующих свойства объекта
david
:ProhibitSendReceiveQuota с новым значением
1.727 GB
, которым было заменено старое значение523.4 MB
ObjectState с новым значением
Changed
, которым было заменено старое значениеUnchanged
Операция успешно завершена без ошибок.
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="Wally14.extest.microsoft.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="Wally14.extest.microsoft.com/Users/David" RunDate="3/5/2010 11:59:12 PM" Succeeded="true" Error="None">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="1.727 GB (1,854,030,822 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue=" 523.4 MB (548,845,001 bytes) " NewValue="1.727 GB (1,854,030,822 bytes)" />
<Property Name="ObjectState" OldValue="Unchanged" NewValue="Changed" />
</ModifiedProperties>
</Event>
</SearchResults>