Verwalten der Administratorüberwachungsprotokollierung

  • Artikel

Gilt für: Exchange Server 2013

Mit der Administratorüberwachungsprotokollierung in Microsoft Exchange Server 2013 können Sie bei jeder Ausführung eines angegebenen Cmdlets einen Protokolleintrag erstellen. In Protokolleinträgen finden Sie Informationen darüber, welches Cmdlet ausgeführt wurde, welche Parameter verwendet wurden, wer das Cmdlet ausgeführt hat und welche Objekte betroffen sind. Weitere Informationen zur Administrator-Überwachungsprotokollierung finden Sie unter Administratorüberwachungsprotokollierung.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: Weniger als 5 Minuten

  • Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Administrator-Überwachungsprotokollierung" im Thema Exchange- und Shellinfrastrukturberechtigungen.

  • Die Administrator-Überwachungsprotokollierung verwendet die Active Directory-Replikation für die Replikation von Konfigurationseinstellungen, die Sie für die Domänencontroller in der Organisation festlegen. Abhängig von Ihren Replikationseinstellungen werden die von Ihnen vorgenommenen Änderungen möglicherweise nicht sofort auf alle Exchange 2013-Server in Ihrer Organisation angewendet.

  • Änderungen an der Überwachungsprotokollkonfiguration werden alle 60 Minuten auf Computern aktualisiert, deren Shell zum Zeitpunkt einer Konfigurationsänderung geöffnet ist. Wenn Sie die Änderungen sofort anwenden möchten, schließen Sie die Shell auf den einzelnen Computern, und öffnen Sie sie wieder.

  • Es dauert bis zu 15 Minuten nach dem Ausführen eines Befehls, bis dieser in den Suchergebnissen in des Überwachungsprotokolls angezeigt wird. Der Grund hierfür liegt darin, dass Überwachungsprotokolleinträge indiziert werden müssen, bevor sie durchsucht werden können. Wenn ein Befehl nicht im Administratorüberwachungsprotokoll aufgeführt wird, warten Sie einige Minuten, und führen Sie dann die Suche erneut aus.

  • Sie müssen diese Verfahren mithilfe der Shell ausführen.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.

Angeben der zu überwachenden Cmdlets

Standardmäßig wird bei der Überwachungsprotokollierung für jedes ausgeführt Cmdlet ein Protokolleintrag erstellt. Wenn Sie die Überwachungsprotokollierung zum ersten Mal aktivieren und dieses Verhalten wünschen, müssen Sie die Überwachungsliste für Cmdlets nicht ändern. Wenn Sie zuvor Cmdlets für die Überwachung angegeben haben und jetzt alle Cmdlets überwachen möchten, können Sie alle Cmdlets überwachen, indem Sie das Sternchen (*) Platzhalterzeichen mit dem Parameter AdminAuditLogCmdlets im Cmdlet Set-AdminAuditLogConfig angeben, wie im folgenden Befehl gezeigt.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets *

Sie können angeben, welche Cmdlets überwacht werden sollen, indem Sie mit dem Parameter AdminAuditLogCmdlets eine Liste von Cmdlets bereitstellen. In der Liste der zu überwachenden Cmdlets können Sie einzelne Cmdlets, Cmdlets mit Sternchen (*) oder eine Kombination bereitstellen. Die Einträge in der Liste sind durch Kommas getrennt. Folgende Werte sind gültig:

  • New-Mailbox
  • *TransportRule
  • *Management*
  • Set-Transport*

In diesem Beispiel werden die Cmdlets in der obigen Liste überwacht.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AdminAuditLogConfig.

Angeben der zu überwachenden Parameter

Standardmäßig wird bei der Überwachungsprotokollierung für jedes ausgeführte Cmdlet ein Protokolleintrag erstellt, unabhängig von den angegebenen Parametern. Wenn Sie die Überwachungsprotokollierung zum ersten Mal aktivieren und dieses Verhalten wünschen, müssen Sie die Überwachungsliste für Parameter nicht ändern. Wenn Sie zuvor parameter für die Überwachung angegeben haben und jetzt alle Parameter überwachen möchten, können Sie dies tun, indem Sie das Sternchen (*) platzhalterzeichen mit dem Parameter AdminAuditLogParameters im Cmdlet Set-AdminAuditLogConfig angeben, wie im folgenden Befehl gezeigt.

Set-AdminAuditLogConfig -AdminAuditLogParameters *

Mit dem Parameter AdminAuditLogParameters kann festgelegt werden, welche Parameter überwacht werden. In der Liste der zu überwachenden Parameter können Sie einzelne Parameter, Parameter mit Sternchen (*) oder eine Kombination bereitstellen. Die Einträge in der Liste sind durch Kommas getrennt. Folgende Werte sind gültig:

  • Database
  • *Address*
  • Custom*
  • *Region

Hinweis

Damit ein Überwachungsprotokolleintrag erstellt wird, wenn ein Befehl ausgeführt wird, muss der Befehl mindestens einen Parameter enthalten, der in mindestens einem oder mehreren Cmdlets vorhanden ist, die mit dem Parameter AdminAuditLogCmdlets angegeben sind.

In diesem Beispiel werden die Parameter in der obigen Liste überwacht.

Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AdminAuditLogConfig.

Angeben der Altersgrenze des Überwachungsprotokolls

Die Verfallszeit für Überwachungsprotokolle bestimmt, wie lange Überwachungsprotokolleinträge gespeichert werden. Überschreitet ein Protokolleintrag die Verfallszeit, wird er gelöscht. Der Standardwert beträgt 90 Tage.

Sie können die Anzahl der Tage, Stunden, Minuten und Sekunden angeben, die Überwachungsprotokolleinträge gespeichert werden. Um einen Wert anzugeben, verwenden Sie das Format dd.hh.mm:ss, wobei Folgendes zutrifft:

  • dd: Anzahl der Tage zum Beibehalten des Überwachungsprotokolleintrags
  • hh: Anzahl der Stunden zum Beibehalten des Überwachungsprotokolleintrags
  • mm: Anzahl der Minuten zum Beibehalten des Überwachungsprotokolleintrags
  • ss: Anzahl der Sekunden zum Beibehalten des Überwachungsprotokolleintrags

Warnung

Sie können die Verfallszeit für Überwachungsprotokolle auch auf einen Wert unter der derzeitigen Verfallszeit festlegen. In diesem Fall wird jeder Überwachungsprotokolleintrag, der die neue Verfallszeit überschreitet, gelöscht.

Wenn Sie die Verfallszeit auf 0 festlegen, löscht Exchange alle Einträge im Überwachungsprotokoll.

Es wird empfohlen, nur äußerst vertrauenswürdigen Benutzern die Berechtigung zur Konfiguration der Verfallszeit für Überwachungsprotokolle zu erteilen.

In diesem Beispiel wird eine Verfallszeit von zwei Jahren und sechs Monaten angegeben.

Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913.00:00:00

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AdminAuditLogConfig.

Aktivieren oder Deaktivieren der Protokollierung von Test-Cmdlets

Cmdlets, die mit dem Verb Test beginnen, werden nicht standardmäßig protokolliert. Der Grund dafür ist, dass Test -Cmdlets eine erhebliche Datenmenge in kurzer Zeit generieren. Aktivieren Sie die Protokollierung von Test -Cmdlets nur für kurze Zeit.

Mit diesem Befehl können Sie die Protokollierung von Test -Cmdlets aktivieren.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $True

Mit diesem Befehl können Sie die Protokollierung von Test -Cmdlets deaktivieren.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AdminAuditLogConfig.

Deaktivieren der Administratorüberwachungsprotokollierung

Verwenden Sie den folgenden Befehl, um die Überwachungsprotokollierung des Administrators zu deaktivieren.

Set-AdminAuditLogConfig -AdminAuditLogEnabled $False

Aktivieren der Administratorüberwachungsprotokollierung

Verwenden Sie den folgenden Befehl, um die Administratorüberwachungsprotokollierung zu aktivieren.

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

Anzeigen der Überwachungsprotokollierungseinstellungen des Administrators

Verwenden Sie den folgenden Befehl, um die Überwachungsprotokollierungseinstellungen des Administrators anzuzeigen, die Sie für Ihre Organisation konfiguriert haben.

Get-AdminAuditLogConfig