Struktur des Administratorüberwachungsprotokolls

  • Artikel

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2015-03-09

Administrator-Überwachungsprotokolle enthalten einen Eintrag aller Cmdlets und Parameter, die in der Exchange-Verwaltungsshell, von der Exchange-Verwaltungskonsole und der Exchange-Systemsteuerung ausgeführt wurden. Sie werden bei Bedarf beim Ausführen des Berichts zum Exportieren von Konfigurationsänderungen in der Exchange-Systemsteuerung oder beim Ausführen des Cmdlets New-AdminAuditLogSearch in der Shell erstellt. Weitere Informationen zu Überwachungsprotokollen finden Sie unter Übersicht über die Administrator-Überwachungsprotokollierung.

Überwachungsprotokolle sind XML-Dateien und können mehrere Überwachungsprotokolleinträge enthalten. Die folgende Tabelle beschreibt die einzelnen XML-Tags und die zugeordneten Attribute.

Überwachungsprotokoll-XML-Tags und Attribute

Element Attribut Beschreibung

<?xml version="1.0" encoding="utf-8"?>

N/A

Dies ist das XML-Dokumentdeklarations-Tag. Es ist in jeder Überwachungsprotokoll-XML-Datei enthalten und enthält die XML-Versionsnummer und den Zeichencodierungswert.

SearchResults

N/A

Dieses Tag enthält alle Überwachungsprotokolleinträge in der XML-Datei. Das Tag Event ist ein untergeordnetes Element dieses Tags.

Es gibt nur ein SearchResults-Tag pro XML-Datei.

Event

 

Dieses Tag enthält den Überwachungsprotokolleintrag für ein einzelnes Cmdlet. Dieses Tag enthält die Attribute Caller, Cmdlet, ObjectModified, RunDate, Succeeded und Error. Die Tags CmdletParameters und ModifiedProperties sind untergeordnete Elemente dieses Tags.

Es gibt ein Event-Tag pro Überwachungsprotokolleintrag.

 

Caller

Dieses Attribut enthält das Benutzerkonto des Benutzers, der das Cmdlet im Attribut Cmdlet ausgeführt hat.

 

Cmdlet

Das Attribut enthält den Namen des Cmdlets, das vom Benutzer im Attribut Caller ausgeführt wurde.

 

ObjectModified

Dieses Attribut enthält das Objekt, das von dem im Attribut Cmdlet angegebenen Cmdlet geändert wurde. Das Tag ModifiedProperties zeigt an, welche Eigenschaften auf diesem Objekt geändert wurden.

 

RunDate

Dieses Attribut enthält das Datum und die Uhrzeit, zu dem/der das Cmdlet im Attribut Cmdlet ausgeführt wurde. Datum und Uhrzeit werden im UTC-Format (Coordinated Universal Time, koordinierte Weltzeit) gespeichert.

 

Succeeded

Dieses Attribut gibt an, ob das Cmdlet im Attribut Cmdlet erfolgreich ausgeführt wurde. Mögliche Werte sind True und False.

 

Error

Dieses Attribut enthält die generierte Fehlermeldung, wenn das Cmdlet im Attribut Cmdlet nicht erfolgreich ausgeführt wurde. Wenn kein Fehler aufgetreten ist, wird der Wert auf None festgelegt.

CmdletParameters

N/A

Dieses Tag enthält alle Parameter, die beim Ausführen des Cmdlets angegeben wurden. Das Tag Parameter ist ein untergeordnetes Element dieses Tags.

Es gibt ein CmdletParameters-Tag pro Event-Tag.

Parameter

 

Dieses Tag enthält jeden einzelnen Parameter, der beim Ausführen des Cmdlets angegeben wurde. Dieses Tag enthält die Attribute Name und Value.

Es kann mehrere Parameter-Tags pro CmdletParameters-Tag geben.

 

Name

Dieses Attribut enthält den Namen des Parameters, der im ausgeführten Cmdlet angegeben wurde.

 

Value

Dieses Attribut enthält den Wert, der von dem im Attribut Name angegebenen Parameter bereitgestellt wurde.

ModifiedProperties

N/A

Dieses Tag enthält alle Eigenschaften, die vom ausgeführten Cmdlet geändert wurden. Das Property-Tag ist ein untergeordnetes Element dieses Tags.

Es gibt ein ModifiedProperties-Tag pro Event-Tag.

Property

 

Dieses Tag enthält eine einzelne Eigenschaft, die beim Ausführen des Cmdlets angegeben wurde. Dieses Tag enthält die Attribute Name, OldValue und NewValue.

Es kann mehrere Property-Tags pro ModifiedProperties-Tag geben.

 

Name

Dieses Attribut enthält den Namen der Eigenschaft, die beim Ausführen des Cmdlets geändert wurde.

 

OldValue

Dieses Attribut enthält den Wert, der in der im Attribut Name angegebenen Eigenschaft vor der Änderung enthalten war.

 

NewValue

Dieses Attribut enthält den Wert, in den die Eigenschaft im Attribut Name geändert wurde.

Beispiel eines Überwachungsprotokolleintrags

Das folgende Beispiel zeigt einen typischen Überwachungsprotokolleintrag. Basierend auf dem Protokolleintrag sind folgende Informationen bekannt:

  • Am 3/5/2010 um 11:59 Uhr (UTC, koordinierte Weltzeit) führte der Benutzer Administrator das Cmdlet Set-Mailbox aus.

  • Beim Ausführen der Cmdlets Set-Mailbox wurden die beiden folgenden Parameter bereitgestellt:

    • Identity mit dem Wert david

    • ProhibitSendReceiveQuota mit dem Wert 1.727 GB

  • Die folgenden zwei Eigenschaften auf dem Objekt david wurden geändert:

    • ProhibitSendReceiveQuota mit dem neuen Wert 1.727 GB, der den alten Wert 523.4 MB ersetzte

    • ObjectState mit dem neuen Wert Changed, der den alten Wert Unchanged ersetzte

  • Der Vorgang wurde erfolgreich ohne Fehler abgeschlossen.

<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
  <Event Caller="Wally14.extest.microsoft.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="Wally14.extest.microsoft.com/Users/David" RunDate="3/5/2010 11:59:12 PM" Succeeded="true" Error="None">
    <CmdletParameters>
      <Parameter Name="Identity" Value="david" />
      <Parameter Name="ProhibitSendReceiveQuota" Value="1.727 GB (1,854,030,822 bytes)" />
    </CmdletParameters>
    <ModifiedProperties>
      <Property Name="ProhibitSendReceiveQuota" OldValue=" 523.4 MB (548,845,001 bytes) " NewValue="1.727 GB (1,854,030,822 bytes)" />
      <Property Name="ObjectState" OldValue="Unchanged" NewValue="Changed" />
    </ModifiedProperties>
  </Event>
</SearchResults>