Übersicht über die Administrator-Überwachungsprotokollierung

  • Artikel

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2009-11-30

Mit der Administrator-Überwachungsprotokollierung in Microsoft Exchange Server 2010 können Sie protokollieren, wann ein Benutzer oder ein Administrator in der Organisation ein Cmdlet ausführt. Indem Sie ein Protokoll der ausgeführten Cmdlets führen, können Sie u. a. Änderungen der Person zuordnen, die sie vorgenommen hat, Änderungsprotokollen ausführliche Datensätze der implementierten Änderung hinzufügen, rechtliche Bestimmungen einhalten und Auskunftserteilungsanfragen erfüllen.

Was wird überwacht

Cmdlets, die direkt in der Exchange-Verwaltungsshell ausgeführt werden, werden überwacht. Darüber hinaus werden auch Vorgänge mit der Exchange-Verwaltungskonsole (Exchange Management Console, EMC) und der Exchange-Webverwaltungsoberfläche protokolliert, da von diesen Vorgängen Cmdlets im Hintergrund ausgeführt werden.

Cmdlets werden überwacht, unabhängig davon, wo sie ausgeführt werden, wenn sich ein Cmdlet auf der Überwachungsliste für Cmdlets befindet und sich mindestens ein Parameter dieses Cmdlets auf der Überwachungsliste für Parameter befindet. Cmdlets vom Typ Get werden nicht protokolliert. Mit der Überwachungsprotokollierung soll gezeigt werden, welche Aktionen unternommen wurden, um Objekte in einer Exchange-Organisation zu ändern, nicht aber die angezeigten Objekte.

Wichtig

Ein Cmdlet wird möglicherweise nicht protokolliert, wenn ein Fehler auftritt, bevor das Cmdlet den Cmdlet-Erweiterungs-Agent für das Administratorüberwachungsprotokoll aufruft. Tritt ein Fehler auf, nachdem der Administratorüberwachungsprotokoll-Agent aufgerufen wurde, wird das Cmdlet zusammen mit dem zugehörigen Fehler protokolliert. Weitere Informationen finden Sie unter "Administratorüberwachungsprotokoll-Agent" weiter unten in diesem Thema.
Änderungen an der Überwachungsprotokollkonfiguration werden alle 60 Minuten auf Computern aktualisiert, deren Shell zum Zeitpunkt einer Konfigurationsänderung geöffnet ist. Wenn Sie die Änderungen sofort anwenden möchten, schließen Sie die Shell auf den einzelnen Computern, und öffnen sie dann wieder.

Konfiguration der Überwachungsprotokollierung

Wenn die Überwachungsprotokollierung aktiviert ist, wird standardmäßig jedes Mal ein Protokolleintrag erstellt, wenn ein Cmdlet ausgeführt wird. Dies gilt nicht für Cmdlets vom Typ Get. Wenn Sie die Überwachungsprotokollierung konfigurieren, müssen Sie das Postfach angeben, in dem die Protokolle gespeichert werden sollen. Wenn nicht jedes ausgeführte Cmdlet überwacht werden soll, können Sie die Überwachungsprotokollierung so konfigurieren, dass nur die für Sie interessanten Cmdlets und Parameter überwacht werden. Die Überwachungsprotokollierung wird mit dem Cmdlet Set-AdminAuditLogConfig konfiguriert. Die in den folgenden Abschnitten angegebenen Parameter werden mit diesem Cmdlet verwendet.

Wenn ein Befehl ausgeführt wird, prüft Exchange das verwendete Cmdlet. Wenn das ausgeführte Cmdlet mit einem Cmdlet übereinstimmt, das mit dem Parameter AdminAuditLogConfigCmdlets bereitgestellt wurde, überprüft Exchange die Parameter, die im Parameter AdminAuditLogConfigParameters angegeben sind. Ist mindestens ein Parameter in der Parameterliste enthalten, protokolliert Exchange das ausgeführte Cmdlet im Postfach, das mit dem Parameter AdminAuditLogMailbox angegeben wird. Die folgenden Abschnitte enthalten weitere Informationen zu den einzelnen Aspekten der Konfiguration der Überwachungsprotokollierung.

Weitere Informationen finden Sie unter Konfigurieren der Administrator-Überwachungsprotokollierung.

Cmdlets

Sie können steuern, welche Cmdlets überwacht werden, indem Sie eine Liste der Cmdlets mit deren Parametern angeben, die Sie protokollieren möchten. Wenn Sie die Überwachungsprotokollierung konfigurieren, können Sie angeben, dass alle Cmdlets überwacht werden sollen. Mit dem Parameter AdminAuditLogConfigCmdlets können Sie aber auch die Cmdlets angeben, die überwacht werden sollen. Sie können die vollständigen Namen der Cmdlets angeben, z. B. New-Mailbox, oder Sie können Teilnamen von Cmdlets angeben und in diese Namen Platzhalter wie ein Sternchen (*) einschließen. Wenn Sie beispielsweise protokollieren möchten, wann ein Cmdlet ausgeführt wird, das die Zeichenfolge Transport enthält, können Sie den Wert *Transport* angeben. Sie können eine Mischung aus vollständigen Namen und Teilnamen von Cmdlets gleichzeitig angeben, um die Konfiguration der Überwachungsprotokollierung auf Ihren Bedarf zuzuschneiden.

Parameter

Neben der Angabe der Cmdlets, die Sie protokollieren möchten, können Sie auch die Cmdlets kennzeichnen, die nur protokolliert werden sollen, wenn bestimmte Parameter dieser Cmdlets verwendet werden. Verwenden Sie den Parameter AdminAuditLogConfigParameters, um anzugeben, welche Parameter protokolliert werden sollen. Wie bei den Cmdlets können Sie vollständige Namen von Parametern, z. B. Database, oder Teilnamen von Parametern mit Platzhaltern (*), z. B. *Address*, oder eine Kombination aus beidem angeben.

Überwachungspostfach

In dieser Version von Exchange 2010 werden Überwachungsprotokolleinträge in einem Postfach gespeichert, das Sie mit dem Parameter AdminAuditLogMailbox angeben. Bei dem Überwachungspostfach sollte es sich um ein Postfach handeln, auf das nur eine eingeschränkte Gruppe von Administratoren zugreifen kann. Diese Einschränkung ist erforderlich, da vertrauliche Informationen durch die Überwachungsprotokollierung offen gelegt werden können. Alle Werte, die in Parametern von Cmdlets angegeben werden, die von der Überwachungsprotokollierung protokolliert werden, werden in den Überwachungsprotokollen gespeichert. Eine Ausnahme bilden Kennwörter.

Da bei der Überwachungsprotokollierung alle Befehle protokolliert werden können, die von Benutzern und Administratoren in der Organisation ausgeführt werden, sollten Sie das Überwachungspostfach regelmäßig kontrollieren. Ist das Postfach voll, sind neue Protokolle, die an das Postfach gesendet werden, verloren und können nicht mehr abgerufen werden.

Um sicherzustellen, dass nur Überwachungsprotokolleinträge in diesem Postfach gespeichert werden, können Sie einschränken, wer eine E-Mail an dieses Postfach senden darf. Weitere Informationen zum Einschränken, wer eine E-Mail an ein Postfach senden darf, finden Sie unter Konfigurieren von Einschränkungen für die Nachrichtenübermittlung.

Überwachungsprotokolle

Überwachungsprotokolle werden als E-Mail-Nachrichten in dem Postfach gespeichert, dass Sie beim Konfigurieren der Überwachungsprotokollierung angeben. Sie können auf die Protokolle zugreifen, indem Sie das Postfach mit einem E-Mail-Client wie Microsoft Outlook oder Microsoft Office Outlook-Webanwendung öffnen.

Immer wenn ein Cmdlet protokolliert wird, wird eine E-Mail-Protokollnachricht erstellt und an das Überwachungspostfach übermittelt. Jedes Protokoll enthält die Informationen, die in der folgenden Tabelle beschrieben sind.

Felder für Überwachungsprotokolleinträge

Feld Beschreibung

Nachrichtenbetreff

Konto des Benutzers, der das Cmdlet ausgeführt hat, und das ausgeführte Cmdlet.

Cmdlet-Name

Cmdlets, die vom Aufrufer ausgeführt wurden.

Geändertes Objekt

Objekt, das durch das Cmdlet geändert wurde.

Parameter

Angegebene Parameter, als das Cmdlet ausgeführt wurde, und die angegebenen Werte. Wenn mehr als ein Parameter angegeben wurde, werden mehrere Felder Parameter angezeigt.

Aufrufer

Benutzerkonto des Benutzers, der das Cmdlet ausgeführt hat.

Erfolgreich

Gibt an, ob das Cmdlet erfolgreich ausgeführt wurde. Mögliche Werte sind "True" oder "False".

Fehler

Die generierte Fehlermeldung, wenn das Cmdlet nicht erfolgreich abgeschlossen wurde.

Ausführungsdatum

Datum und Uhrzeit, als die Cmdlet ausgeführt wurde. Datum und Uhrzeit werden im UTC-Format (Coordinated Universal Time, koordinierte Weltzeit) gespeichert.

Hinweis

Die Felder für Überwachungsprotokolleinträge enthalten jeweils eine GUID. Diese GUID ist nur intern und sollte nicht als Referenz beim Interpretieren oder Verarbeiten der Überwachungsprotokolle verwendet werden.

Active Directory-Replikation

Die Administrator-Überwachungsprotokollierung verwendet die Active Directory-Replikation für die Replikation von Konfigurationseinstellungen, die Sie für die Domänencontroller in der Organisation festlegen. Je nach Replikationseinstellungen werden von Ihnen vorgenommene Änderungen möglicherweise nicht sofort auf alle Server mit Exchange 2010 in der Organisation angewendet.

Administratorüberwachungsprotokoll-Agent

Der integrierte Cmdlet-Erweiterungs-Agent für das Administratorüberwachungsprotokoll führt die Administratorüberwachungsprotokollierung von Cmdlet-Vorgängen in Exchange 2010 durch. Dieser Agent liest die Konfiguration der Überwachungsprotokolle, und führt eine Bewertung der einzelnen Cmdlets aus, die in der Organisation ausgeführt werden. Wenn die Kriterien, die Sie in der Konfiguration des Überwachungsprotokolls angegeben haben, mit dem ausgeführten Cmdlet übereinstimmen, generiert der Agent ein Überwachungsprotokoll, das an das Überwachungspostfach gesendet wird.

Cmdlet-Erweiterungs-Agents können aktiviert oder deaktiviert werden. Der Administratorüberwachungsprotokoll-Agent ist standardmäßig aktiviert. Dies ist erforderlich, damit die Überwachungsprotokollierung funktioniert. Der Administratorüberwachungsprotokoll-Agent und die Funktion zur Administratorüberwachungsprotokollierung können unabhängig voneinander aktiviert und deaktiviert werden. Für die Protokollierung müssen der Agent und die Funktion aktiviert sein. Ist dies nicht der Fall, erfolgt keine Protokollierung.

Da der Administratorüberwachungsprotokoll-Agent standardmäßig aktiviert ist, besteht nicht die Notwendigkeit, die Konfiguration dieses Agents zu ändern. Weitere Informationen zum Aktivieren oder Deaktivieren dieses Agents oder zu Cmdlet-Erweiterungs-Agents finden Sie unter folgenden Themen: