Übersicht über die Administrator-Überwachungsprotokollierung
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2015-03-09
Mit der Administratorüberwachungsprotokollierung in Microsoft Exchange Server 2010 können Sie aufzeichnen, wann ein Benutzer oder ein Administrator Aktionen vornimmt, die Änderungen in der Organisation hervorrufen. Anhand einer Protokollierung der Änderungen können Sie eine Änderung zu der Person nachverfolgen, die sie vorgenommen hat. Sie können die Änderungsprotokolle auch durch detaillierte Aufzeichnungen der Änderung bei ihrer Implementierung ergänzen. Verwenden Sie die Aufzeichnungen als einen Nachweis der Einhaltung von rechtlichen Bestimmungen und für Auskunftserteilungsanforderungen.
Standardmäßig ist die Überwachungsprotokollierung bei Neuinstallationen von Microsoft Exchange Server 2010 Service Pack 1 (SP1) aktiviert.
Was wird überwacht
Cmdlets, die direkt in Exchange-Verwaltungsshell ausgeführt werden, werden überwacht. Darüber hinaus werden auch Vorgänge mit der Exchange-Verwaltungskonsole (Exchange Management Console, EMC) und der Exchange-Webverwaltungsoberfläche protokolliert, da von diesen Vorgängen Cmdlets im Hintergrund ausgeführt werden.
Cmdlets werden überwacht, unabhängig davon, wo sie ausgeführt werden, wenn sich ein Cmdlet auf der Überwachungsliste für Cmdlets befindet und sich mindestens ein Parameter dieses Cmdlets auf der Überwachungsliste für Parameter befindet. Cmdlets vom Typ Get- und Search- werden nicht protokolliert. Mit der Überwachungsprotokollierung soll gezeigt werden, welche Aktionen unternommen wurden, um Objekte in einer Exchange-Organisation zu ändern, nicht aber die angezeigten Objekte.
Wichtig
Ein Cmdlet wird möglicherweise nicht protokolliert, wenn ein Fehler auftritt, bevor das Cmdlet den Cmdlet-Erweiterungs-Agent für das Administratorüberwachungsprotokoll aufruft. Tritt ein Fehler auf, nachdem der Administratorüberwachungsprotokoll-Agent aufgerufen wurde, wird das Cmdlet zusammen mit dem zugeordneten Fehler protokolliert. Weitere Informationen finden Sie im Abschnitt Administratorüberwachungsprotokoll-Agent weiter unten in diesem Thema.
Änderungen mithilfe von Microsoft Exchange Server 2007-Verwaltungstools werden nicht protokolliert.
Änderungen an der Überwachungsprotokollkonfiguration werden alle 60 Minuten auf Computern aktualisiert, deren Shell zum Zeitpunkt einer Konfigurationsänderung geöffnet ist. Wenn Sie die Änderungen sofort anwenden möchten, schließen Sie die Shell auf den einzelnen Computern, und öffnen sie dann wieder.
Konfiguration der Überwachungsprotokollierung
Wenn die Überwachungsprotokollierung aktiviert ist, wird standardmäßig jedes Mal ein Protokolleintrag erstellt, wenn ein Cmdlet ausgeführt wird. Dies gilt nicht für Cmdlets vom Typ Get- und Search-. Wenn nicht jedes ausgeführte Cmdlet überwacht werden soll, können Sie die Überwachungsprotokollierung so konfigurieren, dass nur die für Sie interessanten Cmdlets und Parameter überwacht werden. Die Überwachungsprotokollierung wird mit dem Cmdlet Set-AdminAuditLogConfig konfiguriert. Die in den folgenden Abschnitten angegebenen Parameter werden mit diesem Cmdlet verwendet.
Wichtig
Änderungen an der Administrator-Überwachungsprotokollkonfiguration werden unabhängig davon, ob das Cmdlet Set-AdministratorAuditLog in der Liste der zu protokollierenden Cmdlets enthalten ist oder ob die Überwachungsprotokollierung aktiviert oder deaktiviert ist, immer protokolliert.
Wenn ein Befehl ausgeführt wird, prüft Exchange das verwendete Cmdlet. Wenn das ausgeführte Cmdlet mit einem Cmdlet übereinstimmt, das mit dem Parameter AdminAuditLogConfigCmdlets bereitgestellt wurde, überprüft Exchange die Parameter, die im Parameter AdminAuditLogConfigParameters angegeben sind. Stimmt mindestens ein Parameter in der Parameterliste überein, protokolliert Exchange das ausgeführte Cmdlet im Postfach, das mit dem Parameter AdminAuditLogMailbox angegeben wird.
Hinweis
In der Exchange 2010 RTM-Version (Release To Manufacturing), können Sie ein Postfach für die Administrator-Überwachungsprotokolle angeben. Für die Administrator-Überwachungsprotokollierung in Exchange 2010 SP1 wird ein dediziertes Postfach verwendet. Dieses dedizierte Postfach kann nicht geändert oder konfiguriert werden.
Die folgenden Abschnitte enthalten weitere Informationen zu den einzelnen Aspekten der Konfiguration der Überwachungsprotokollierung.
Weitere Informationen zum Verwalten der Konfiguration für die Überwachungsprotokollierung finden Sie unter Konfigurieren der Administrator-Überwachungsprotokollierung.
Cmdlets
Sie können steuern, welche Cmdlets überwacht werden, indem Sie eine Liste der Cmdlets mit deren Parametern angeben, die Sie protokollieren möchten. Wenn Sie die Überwachungsprotokollierung konfigurieren, können Sie angeben, dass alle Cmdlets überwacht werden sollen. Mit dem Parameter AdminAuditLogConfigCmdlets können Sie aber auch die Cmdlets angeben, die überwacht werden sollen. Sie können die vollständigen Namen der Cmdlets angeben, z. B. New-Mailbox, oder Sie können Teilnamen von Cmdlets angeben und in diese Namen Platzhalter wie ein Sternchen (*) einschließen. Wenn Sie beispielsweise protokollieren möchten, wann ein Cmdlet ausgeführt wird, das die Zeichenfolge Transport enthält, können Sie den Wert *Transport* angeben. Sie können eine Mischung aus vollständigen Namen und Teilnamen von Cmdlets gleichzeitig angeben, um die Konfiguration der Überwachungsprotokollierung auf Ihren Bedarf zuzuschneiden.
Parameter
Neben der Angabe der Cmdlets, die Sie protokollieren möchten, können Sie auch die Cmdlets kennzeichnen, die nur protokolliert werden sollen, wenn bestimmte Parameter dieser Cmdlets verwendet werden. Verwenden Sie den Parameter AdminAuditLogConfigParameters, um anzugeben, welche Parameter protokolliert werden sollen. Wie bei den Cmdlets können Sie vollständige Namen von Parametern, z. B. Database, oder Teilnamen von Parametern mit Platzhaltern (*), z. B. *Address*, oder eine Kombination aus beidem angeben.
Verfallszeit für Überwachungsprotokolle
Standardmäßig ist die Überwachungsprotokollierung so konfiguriert, dass Überwachungsprotokolleinträge 90 Tage lang gespeichert werden. Nach 90 Tagen wird der Überwachungsprotokolleintrag gelöscht. Sie können die Verfallszeit für Überwachungsprotokolle mithilfe des Parameters AdminAuditLogAgeLimit ändern. Sie können die Anzahl der Tage, Stunden, Minuten und Sekunden angeben, die Überwachungsprotokolleinträge gespeichert werden. Verwenden Sie zum Angeben eines Werts das Format dd.hh:mm:ss, wobei Folgendes gilt:
dd Die Anzahl der Tage, die der Überwachungsprotokolleintrag gespeichert werden soll.
hh Die Anzahl der Stunden, die der Überwachungsprotokolleintrag gespeichert werden soll.
mm Die Anzahl der Minuten, die der Überwachungsprotokolleintrag gespeichert werden soll.
ss Die Anzahl der Sekunden, die der Überwachungsprotokolleintrag gespeichert werden soll.
Geben Sie mehrere Jahre im Feld dd ein. So ergeben beispielsweise 365 Tage ein Jahr, 730 Tage zwei Jahre und 913 Tage zwei Jahre und sechs Monate. Verwenden Sie beispielsweise die Syntax 913.00:00:00, um die Verfallszeit für Überwachungsprotokolle auf zwei Jahre und sechs Monate festzulegen.
Warnung
Sie können die Verfallszeit für Überwachungsprotokolle auch auf einen Wert unter der derzeitigen Verfallszeit festlegen. In diesem Fall wird jeder Überwachungsprotokolleintrag, der die neue Verfallszeit überschreitet, gelöscht.
Wenn Sie die Verfallszeit auf 0 festlegen, löscht Exchange alle Einträge im Überwachungsprotokoll.
Es wird empfohlen, nur äußerst vertrauenswürdigen Benutzern die Berechtigung zur Konfiguration der Verfallszeit für Überwachungsprotokolle zu erteilen.
Test-Cmdlets
Cmdlets, die mit dem Verb Test beginnen, werden nicht standardmäßig protokolliert. Sie können angeben, dass Test-Cmdlets protokolliert werden sollen, indem Sie den Parameter TestCmdletLoggingEnabled auf $true festlegen. Zwar ist es möglich, die Protokollierung von Test-Cmdlets zu aktivieren, dies wird jedoch nur für kurze Zeit empfohlen. Der Grund dafür ist, dass Test-Cmdlets große Mengen an Informationen erstellen können.
Überwachungsprotokolle
Jedes Mal, wenn ein Cmdlet protokolliert wird, wird ein Überwachungsprotokolleintrag erstellt. Überwachungsprotokolle werden in einem verborgenen, dedizierten Vermittlungspostfach gespeichert, auf das nur über die Seite Überwachungsberichte der Exchange-Systemsteuerung oder der Cmdlets Search-AdminAuditLog oder New-AdminAuditLogSearch zugegriffen werden kann. Überwachungsprotokolle können nicht mit Microsoft Office Outlook Web App oder Microsoft Outlook geöffnet werden. In den folgenden Abschnitten finden Sie weitere Informationen zu folgenden Themen:
Was ist in den Protokollen enthalten?
Auf der Seite Überwachungsberichte der Exchange-Systemsteuerung verfügbare Berichte
Cmdlets "Audit log search"
Hinweis
In der Exchange 2010 RTM-Version (Release To Manufacturing), können Sie ein Postfach für die Administrator-Überwachungsprotokolle angeben. Für die Administrator-Überwachungsprotokollierung in Exchange 2010 SP1 wird ein dediziertes Postfach verwendet. Dieses dedizierte Postfach kann nicht geändert oder konfiguriert werden.
Die Seite Überwachungsberichte der Exchange-Systemsteuerung und die Cmdlets Search-AdminAuditLog und New-AdminAuditLogSearch funktionieren nur mit Administrator-Überwachungsprotokollen von Exchange 2010 SP1. Zum Anzeigen der Inhalte eines Postfachs für die Administrator-Überwachungsprotokolle von Exchange 2010 RTM müssen Sie das Postfach mit Outlook Web App oder einem E-Mail-Client, z. B. Outlook, öffnen.
Inhalte des Überwachungsprotokolls
Jeder Überwachungsprotokolleintrag enthält die Informationen, die in der folgenden Tabelle beschrieben sind. Das Überwachungsprotokoll enthält mindestens einen Überwachungsprotokolleintrag. Die Anzahl der Überwachungsprotokolleinträge wird von der Verfallszeit für Überwachungsprotokolle mithilfe des Cmdlets Set-AdminAuditLog gesteuert. Alle Überwachungsprotokolleinträge, die die Verfallszeit überschreiten, werden gelöscht.
Felder für Überwachungsprotokolleinträge
| Feld | Beschreibung |
|---|---|
|
Dieses Feld wird intern von Exchange verwendet. |
|
Dieses Feld enthält das Objekt, das von dem im Feld |
|
Das Feld enthält den Namen des Cmdlets, das vom Benutzer im Feld |
|
Dieses Feld enthält die Parameter, die angegeben wurden, als das Cmdlet im Feld |
|
Dieses Feld enthält die Eigenschaften, die auf dem Objekt im Feld |
|
Dieses Feld enthält das Benutzerkonto des Benutzers, der das Cmdlet im Feld |
|
Dieses Feld gibt an, ob das Cmdlet im Feld |
|
Dieses Feld enthält die generierte Fehlermeldung, wenn das Cmdlet im Feld |
|
Dieses Feld enthält das Datum und die Uhrzeit, zu dem/der das Cmdlet im Feld |
|
Dieses Feld wird intern von Exchange verwendet. |
|
Dieses Feld wird intern von Exchange verwendet. |
Überwachungsberichte der Exchange-Systemsteuerung
Die Seite Überwachungsberichte der Exchange-Systemsteuerung umfasst verschiedene Berichte mit Informationen zu unterschiedlichen Kompatibilitätstypen und administrativen Konfigurationsänderungen. Die folgenden Berichte enthalten Informationen über Konfigurationsänderungen in der Organisation:
Änderungen der Administratorrolle Dieser Bericht ermöglicht die Suche nach Änderungen an Verwaltungsrollen, die Sie innerhalb eines bestimmten Zeitraums angeben. Die zurückgegebenen Ergebnisse umfassen Informationen zu geänderten Rollengruppen, dazu wer sie geändert hat, zum Zeitpunkt sowie zur Art der Änderungen. Es können maximal 3.000 Einträgen zurückgegeben werden. Wenn Ihre Suche möglicherweise mehr als 3.000 Einträge zurückgibt, verwenden Sie den Bericht zum Exportieren von Konfigurationsänderungen oder das Cmdlet Search-AdminAuditLog.
Exportieren von Konfigurationsänderungen Dieser Bericht ermöglicht den Export von Überwachungsprotokolleinträgen, die in einem bestimmten Zeitraum aufgezeichnet wurden, in eine XML-Datei und das anschließende Versenden per E-Mail an die angegebenen Empfänger. Weitere Informationen zu Inhalten der XML-Datei finden Sie unter Struktur des Administratorüberwachungsprotokolls.
Weitere Informationen zum Verwenden dieser Berichte finden Sie unter Durchsuchen des Administratorüberwachungsprotokolls.
Berichte für die Aufbewahrung für eventuelle Rechtsstreitigkeiten, Postfach-Konfigurationsänderungen und den Nicht-Postfachbesitzerzugriff sind auf der Seite Überwachungsberichte enthalten. Weitere Informationen zu diesen Berichten finden Sie unter:
Cmdlet "Search-AdminAuditLog"
Beim Ausführen des Cmdlets Search-AdminAuditLog werden alle Überwachungsprotokolleinträge, die den angegebenen Suchkriterien entsprechen, zurückgegeben. Sie können folgende Suchkriterien festlegen:
Cmdlets Gibt die Cmdlets an, nach denen im Administrator-Überwachungsprotokoll gesucht werden soll.
Parameter Gibt die Parameter an, nach denen im Administrator-Überwachungsprotokoll gesucht werden soll. Sie können nur nach Parametern suchen, wenn Sie ein Cmdlet, nach dem gesucht werden soll, angeben.
Enddatum Umfasst die Administrator-Überwachungsprotokollergebnisse zum Protokollieren von Einträgen am oder vor dem angegebenen Datum.
Startdatum Umfasst die Administrator-Überwachungsprotokollergebnisse zum Protokollieren von Einträgen am oder nach dem angegebenen Datum.
Objekt-IDs Gibt an, dass nur Administrator-Überwachungsprotokolleinträge zurückgegeben werden, die die angegebenen geänderten Objekte enthalten.
Benutzer-IDs Gibt an, dass nur Administrator-Überwachungsprotokolleinträge zurückgegeben werden, die die angegebenen IDs des Benutzers enthalten, der das Cmdlet ausgeführt hat.
Erfolgreicher Abschluss Gibt an, ob nur Administrator-Überwachungsprotokolleinträge zurückgegeben werden sollen, die einen erfolgreichen bzw. einen nicht erfolgreichen Vorgang anzeigen.
Jeder zurückgegebene Überwachungsprotokolleintrag enthält die Informationen, die in der Tabelle Inhalte des Überwachungsprotokolls beschrieben sind. Standardmäßig werden nur die ersten 1.000 Protokolleinträge, die den angegebenen Suchergebnissen entsprechen, zurückgegeben. Sie können diesen Standardwert jedoch überschreiben und mehr oder weniger Einträge mithilfe des Parameters ResultSize zurückgeben lassen. Sie können einen Wert von Unlimited mit dem Parameter ResultSize angeben, um alle Protokolleinträge zurückgeben zu lassen, die den angegebenen Kriterien entsprechen.
Weitere Informationen zum Verwenden des Cmdlets Search-AdminAuditLog finden Sie unter Durchsuchen des Administratorüberwachungsprotokolls.
Cmdlet "New-AdminAuditLogSearch"
Das Cmdlet New-AdminAuditLogSearch durchsucht das Überwachungsprotokoll wie das Cmdlet Search-AdminAuditLog. Anstatt die Ergebnisse der Überwachungsprotokoll-Suche jedoch in der Shell anzuzeigen, führt das Cmdlet New-AdminAuditLogSearch die Suche aus und sendet die Suchergebnisse per E-Mail an die angegebenen Empfänger. Die Ergebnisse werden als XML-Anlage an die E-Mail-Nachricht angehängt.
Sie können dieselben Suchkriterien beim Cmdlet New-AdminAuditLogSearch verwenden, die im Cmdlet Search-AdminAuditLog verwendet werden. Eine Liste mit Suchkriterien finden Sie unter Cmdlet "Search-AdminAuditLog".
Nach dem Ausführen des Cmdlets New-AdminAuditLogSearch dauert es möglicherweise bis zu 15 Minuten, bis Exchange einen Bericht an den angegebenen Empfänger übermittelt. Die an den Bericht angehängte XML-Datei ist maximal 10 MB (Megabyte) groß. Die XML-Datei enthält dieselben Informationen wie in der Tabelle in Inhalte des Überwachungsprotokolls beschrieben. Weitere Informationen zur Struktur der XML-Datei finden Sie unter Struktur des Administratorüberwachungsprotokolls.
Hinweis
UNRESOLVED_TOKEN_VAL()UNRESOLVED_TOKEN_VAL()UNRESOLVED_TOKEN_VAL()UNRESOLVED_TOKEN_VAL()UNRESOLVED_TOKEN_VAL()UNRESOLVED_TOKEN_VAL()In Anzeigen oder Konfigurieren der virtuellen Outlook Web App-Verzeichnisse ist es standardmäßig nicht möglich, XML-Anlagen zu öffnen. Sie können Exchange entweder so konfigurieren, dass XML-Anlagen mit Outlook Web App angezeigt werden können, oder Sie verwenden einen anderen E-Mail-Client, beispielsweise Microsoft OfficeOutlook, um die Anlage anzuzeigen. Weitere Informationen dazu, wie Sie Outlook Web App konfigurieren, um eine XML-Anlage anzeigen zu können, finden Sie unter Anzeigen oder Konfigurieren der virtuellen Outlook Web App-Verzeichnisse.
Weitere Informationen zum Verwenden des Cmdlets New-AdminAuditLogSearch finden Sie unter Durchsuchen des Administratorüberwachungsprotokolls.
Manuelle Überwachungsprotokolleinträge
Zusätzlich zum Protokollieren von Exchange-Cmdlets, wenn sie ausgeführt werden, ermöglicht Exchange 2010 SP1 Ihnen das manuelle Schreiben von Protokolleinträgen in das Überwachungsprotokoll. Exchange 2010 SP1 unterstützt dies mithilfe des Cmdlets Write-AdminAuditLog . In folgenden Situationen werden Sie möglicherweise einen manuellen Protokolleintrag hinzufügen:
Benutzerdefinierter Skripteingang und -ausgang
Ändern von Steuerinformationen
Anfangs- und Endzeiten für Wartung
Mit dem Cmdlet Write-AdminAuditLog können Sie eine Textzeichenfolge mithilfe des Parameters Comment im Überwachungsprotokoll angeben. Der Parameter Comment akzeptiert eine alphanumerische Zeichenfolge aus bis zu 500 Zeichen. Im manuellen Überwachungsprotokolleintrag werden dieselben Informationen zusammen mit der Kommentarzeichenfolge erfasst, wie bei der Protokollierung eines Exchange-Cmdlets. Eine Beschreibung zu jedem Feld im Überwachungsprotokoll finden Sie in der Tabelle unter Inhalte des Überwachungsprotokolls.
Sie können einen manuellen Überwachungsprotokolleintrag genau so abrufen, wie einen anderen Protokolleintrag mithilfe der Seite Überwachungsbericht der Exchange-Systemsteuerung oder der Cmdlets Search-AdminAuditLog oder New-AdminAuditLogSearch.
Zum Anzeigen der Inhalte des Parameters Comment im Cmdlet Write-AdminAuditLog in einem manuellen Überwachungsprotokolleintrag finden Sie weitere Informationen unter Durchsuchen des Administratorüberwachungsprotokolls.
Active Directory-Replikation
Die Administrator-Überwachungsprotokollierung verwendet die Active Directory-Replikation für die Replikation von Konfigurationseinstellungen, die Sie für die Domänencontroller in der Organisation festlegen. Je nach Replikationseinstellungen werden von Ihnen vorgenommene Änderungen möglicherweise nicht sofort auf alle Server mit Exchange 2010 in der Organisation angewendet.
Administratorüberwachungsprotokoll-Agent
Der integrierte Cmdlet-Erweiterungs-Agent für das Administratorüberwachungsprotokoll führt die Administratorüberwachungsprotokollierung von Cmdlet-Vorgängen in Exchange 2010 durch. Dieser Agent liest die Konfiguration der Überwachungsprotokolle, und führt eine Bewertung der einzelnen Cmdlets aus, die in der Organisation ausgeführt werden. Wenn die Kriterien, die Sie in der Konfiguration des Überwachungsprotokolls angegeben haben, mit dem ausgeführten Cmdlet übereinstimmen, generiert der Agent ein Überwachungsprotokoll.
Der Administratorüberwachungsprotokoll-Agent ist standardmäßig aktiviert. Dies ist erforderlich, damit die Überwachungsprotokollierung funktioniert. Er kann nicht deaktiviert werden, und seine Priorität kann nicht geändert werden. Weitere Informationen zu Cmdlet-Erweiterungs-Agents finden Sie unter Grundlegendes zu Cmdlet-Erweiterungs-Agents.
Wie Administratorüberwachungsprotokolle zu einem schnellen Anwachsen der Datenbanken führen können
Das Administratorüberwachungsprotokoll ist in Exchange Server 2010 standardmäßig aktiviert. Die Protokollergebnisse werden im Vermittlungspostfach des Ordners "AdminAuditLogs" gespeichert. Wenn Sie häufig Cmdlets in Exchange-Verwaltungsshell ausführen, werden mehrere Protokolleinträge generiert, die die Größe der Datenbank schnell anwachsen lassen. Dieses Verhalten kann selbst dann auftreten, wenn kein Benutzerpostfach vorhanden ist.
Wenn Sie die Größe des Ordners "AdminAuditLogs" festlegen möchten, führen Sie das folgende Cmdlet in Exchange-Verwaltungsshell aus: Get-MailboxFolderstatistics "Guid of arbitration mailbox" (GUID des Vermittlungspostfachs) -FolderScope RecoverableItems –IncludeAnalysis. Prüfen Sie dann die Anzahl und Größe der Elemente des Ordners "AdminAuditLogs".
Sind Anzahl und Größe der Elemente im Ordner "AdminAuditLogs" sehr hoch, führen Sie folgendes Cmdlet aus, um die Elemente aus dem Ordner zu löschen. Search-Mailbox "Guid of arbitration mailbox" (GUID des Vermittlungspostfachs) -Dumpsteronly -deletecontent.
Ein Cmdlet, das häufig ausgeführt wird, kann die Größe der Datenbank anwachsen lassen. Ein Cmdlet ist normalerweise in ein Skript eingebettet, das regelmäßig ausgeführt wird. Ermitteln Sie das Cmdlet, das das Administratorüberwachungsprotokoll anwachsen lässt. Nach dem Bestätigen, dass das Cmdlet aus dem Administratorüberwachungsprotokoll ausgeschlossen werden kann, führen Sie das folgende Cmdlet in Exchange-Verwaltungsshell aus: Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets cmdlet name (Cmdlet-Name). Führen Sie beispielsweise das folgende Cmdlet aus: Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets Add-DistributionGroupMember. Nach der Cmdlet-Ausführung müssen Sie das Ende der Replizierung abwarten.