管理员审核日志记录概述
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-11-30
当组织中有用户或管理员运行 cmdlet 时,可以使用 Microsoft Exchange Server 2010 中的管理员审核日志记录进行记录。通过保留所运行的 cmdlet 的日志,可以跟踪对更改人进行的更改、通过随更改的实现详细记录更改来增强更改日志、遵守发现方面的法规要求等等。
审核内容
对于直接在 Exchange 命令行管理程序中运行的 cmdlet 要进行审核。此外,还要记录使用 Exchange 管理控制台 (EMC) 和 Exchange Web 管理接口执行的操作,因为这些操作会在后台运行 cmdlet。
无论 cmdlet 在哪里运行,只要它在 cmdlet 审核列表中,并且其一个或多个参数在参数审核列表中,就会审核该 cmdlet。系统不会记录 Get cmdlet。审核日志记录旨在显示为修改 Exchange 组织中的对象而执行了什么操作,而不会显示已查看了哪些对象。
重要
如果某个 cmdlet 调用管理审核日志 cmdlet 扩展代理之前发生错误,则可能不会记录该 cmdlet。如果在调用管理审核日志代理之后发生错误,则会将 cmdlet 连同相关错误一并记录。有关详细信息,请参阅本主题中后面的“管理审核日志代理”。
在打开了命令行管理程序的计算机上,在对审核日志配置进行更改之后,所做的更改会每隔 60 分钟刷新一次。如果想要立即应用所做的更改,请在每台计算机上关闭并重新打开命令行管理程序。
审核日志记录配置
默认情况下,如果启用审核日志记录,则每次运行任何 cmdlet(Get cmdlet 除外)时都会创建一个日志条目。配置审核日志记录时,需要指定存储日志的邮箱。如果不想对所运行的每个 cmdlet 进行审核,则可以将审核日志记录配置为仅对您感兴趣的 cmdlet 和参数进行审核。请用 Set-AdminAuditLogConfig cmdlet 配置审核日志记录。以下各部分中引用的参数可与此 cmdlet 配合使用。
运行命令后,Exchange 将检查所使用的 cmdlet。如果所运行的 cmdlet 与随 AdminAuditLogConfigCmdlets 参数提供的任何 cmdlet 匹配,则 Exchange 随后将检查在 AdminAuditLogConfigParameters 参数中指定的参数。如果参数列表中至少有一个或多个参数匹配,则 Exchange 将记录在使用 AdminAuditLogMailbox 参数指定的邮箱中所运行的 cmdlet。以下各部分详细介绍审核日志记录配置的各个方面。
有关详细信息,请参阅配置管理员审核日志记录。
Cmdlet
通过提供要记录的 cmdlet 及其参数的列表,可以控制要审核哪些 cmdlet。配置审核日志记录时,可以指定审核每个 cmdlet,也可以使用 AdminAuditLogConfigCmdlets 参数指定要审核的 cmdlet。可以指定完整 cmdlet 名称(如 New-Mailbox),也可以指定部分 cmdlet 名称并在通配符(如星号 *)中包含这些名称。例如,如果要记录任何包含字符串 Transport 的 cmdlet 何时运行,可以指定一个 *Transport* 值。可以同时混合使用完整 cmdlet 名称和部分 cmdlet 名称,以使审核日志记录符合您的需要。
参数
除了指定要记录哪些 cmdlet 之外,还可以指明只有在使用这些 cmdlet 中的某些参数时才应记录这些 cmdlet。使用 AdminAuditLogConfigParameters 参数指定应记录哪些参数。与 cmdlet 一样,可以指定完整参数名称(如 Database),也可以将部分参数名称包含在通配符 (*) 中(如 *Address*)或采用二者的组合形式。
审核邮箱
对于此版本的 Exchange 2010,审核日志条目存储在使用 AdminAuditLogMailbox 参数指定的邮箱中。审核邮箱应当是仅限部分管理员访问的邮箱。此限制必不可少,因为审核日志记录可能会公开敏感信息。审核日志中存储审核日志记录所记录的 cmdlet 上各个参数中指定的所有值,密码除外。
由于审核日志记录可能会记录组织中用户和管理员运行的每个命令,因此应定期监视审核邮箱。如果邮箱已满,则发送到邮箱的新日志将丢失,并且将无法进行检索。
若要确保此邮箱中仅存储审核日志条目,可能要限制允许向此邮箱发送电子邮件的人员。有关如何限制可以向邮箱发送电子邮件的人员的详细信息,请参阅 配置邮件传递限制。
审核日志
审核日志以电子邮件的形式存储在配置审核日志记录时所指定的邮箱中。通过使用 Microsoft Outlook 或 Microsoft Office Outlook Web App 等任何电子邮件客户端打开该邮箱,即可访问这些日志。
每次记录 cmdlet 时,都会创建一封审核日志电子邮件,并发送到审核邮箱。每个日志都包含下表所述的信息。
审核日志条目字段
| 字段 | 说明 |
|---|---|
邮件主题 |
运行 cmdlet 的用户的帐户以及所运行的 cmdlet。 |
Cmdlet 名称 |
调用方所运行的 Cmdlet。 |
修改的对象 |
cmdlet 所修改的对象。 |
参数 |
运行该 cmdlet 时指定的参数以及所提供的值。如果指定了一个以上的参数,则会显示多个“参数”字段。 |
调用方 |
运行该 cmdlet 的用户的用户帐户。 |
已成功 |
cmdlet 是否运行成功。值为 True 或 False。 |
错误 |
该 cmdlet 未能成功完成时所生成的错误消息。 |
运行日期 |
运行 cmdlet 的日期和时间。日期和时间存储为协调世界时 (UTC) 格式。 |
备注
每个审核日志条目字段都包含一个 GUID。此 GUID 仅供内部使用,解释或处理审核日志时不应将其用作参考。
Active Directory 复制
管理员审核日志记录依赖 Active Directory 复制功能将指定的配置设置复制到组织的域控制器中。根据复制设置,所做的更改可能无法立即应用于组织中所有运行 Exchange 2010 的服务器。
管理审核日志代理
Admin Audit Log 内置 cmdlet 扩展代理执行对 Exchange 2010 中 cmdlet 操作的管理员审核日志记录。此代理读取审核日志配置,然后对组织中运行的每个 cmdlet 执行评估。如果已在审核日志配置中指定的条件符合正在运行的 cmdlet,则此代理生成一个审核日志,并发送到审核邮箱。
Cmdlet 扩展代理可启用或禁用。默认情况下启用 Admin Audit Log 代理,此代理对于审核日志记录正常工作至关重要。Admin Audit Log 代理的启用和禁用状态与管理员审核日志记录功能是相分离的。两者都必须启用才能进行日志记录。如果任何一个被禁用,都将无法进行日志记录。
由于默认情况下启用 Admin Audit Log 代理,因此应无须更改此代理的配置。如果确实需要启用或禁用此代理,或要详细了解 cmdlet 扩展代理,请参阅以下主题: