Verwenden der Administratorüberwachungsprotokollierung in Exchange Server
Sie können die Administratorüberwachungsprotokollierung in Exchange Server verwenden, um zu protokollieren, wenn ein Benutzer oder Administrator eine Änderung in Ihrer Organisation vornimmt. Indem Sie ein Protokoll der Änderungen führen, können Sie Änderungen an der Person nachverfolgen, die die Änderung vorgenommen hat, Ihre Änderungsprotokolle mit detaillierten Aufzeichnungen der Änderung bei der Implementierung erweitern, gesetzliche Anforderungen und Ermittlungsanforderungen erfüllen und vieles mehr.
Standardmäßig ist die Administratorüberwachungsprotokollierung in neu installierten Exchange Server aktiviert.
Was wird überwacht
Cmdlets, die direkt in der Exchange-Verwaltungsshell ausgeführt werden, werden überwacht. Darüber hinaus werden auch Vorgänge protokolliert, die mit dem Exchange-Verwaltungskonsole (EAC) ausgeführt werden, da diese Vorgänge Cmdlets im Hintergrund ausführen.
Cmdlets werden überwacht, unabhängig davon, wo sie ausgeführt werden, wenn sich ein Cmdlet auf der Überwachungsliste für Cmdlets befindet und sich mindestens ein Parameter dieses Cmdlets auf der Überwachungsliste für Parameter befindet. Mit der Überwachungsprotokollierung soll gezeigt werden, welche Aktionen unternommen wurden, um Objekte in einer Exchange-Organisation zu ändern, nicht aber die angezeigten Objekte.
Hinweise:
Ein Cmdlet wird möglicherweise nicht protokolliert, wenn ein Fehler auftritt, bevor das Cmdlet den Cmdlet-Erweiterungs-Agent für das Administratorüberwachungsprotokoll aufruft. Tritt ein Fehler auf, nachdem der Administratorüberwachungsprotokoll-Agent aufgerufen wurde, wird das Cmdlet zusammen mit dem zugeordneten Fehler protokolliert. Weitere Informationen finden Sie im Abschnitt Administrator-Überwachungsprotokoll-Agent weiter unten in diesem Thema.
Änderungen an der Überwachungsprotokollkonfiguration werden alle 60 Minuten auf Computern aktualisiert, deren Exchange-Verwaltungsshell zum Zeitpunkt einer Konfigurationsänderung geöffnet ist. Wenn Sie die Änderungen sofort anwenden möchten, schließen Sie die Exchange-Verwaltungsshell auf den einzelnen Computern, und öffnen sie dann wieder.
Es dauert bis zu 15 Minuten nach dem Ausführen eines Befehls, bis dieser in den Suchergebnissen in des Überwachungsprotokolls angezeigt wird. Der Grund hierfür liegt darin, dass Überwachungsprotokolleinträge indiziert werden müssen, bevor sie durchsucht werden können. Wenn ein Befehl nicht im Administratorüberwachungsprotokoll aufgeführt wird, warten Sie einige Minuten, und führen Sie dann die Suche erneut aus.
Konfiguration der Administrator-Überwachungsprotokollierung
Wenn die Administrator-Überwachungsprotokollierung aktiviert ist, wird standardmäßig jedes Mal ein Protokolleintrag erstellt, wenn ein Cmdlet ausgeführt wird. Wenn nicht jedes ausgeführte Cmdlet überwacht werden soll, können Sie die Überwachungsprotokollierung so konfigurieren, dass nur die für Sie interessanten Cmdlets und Parameter überwacht werden. Die Überwachungsprotokollierung wird mit dem Set-AdminAuditLogConfig -Cmdlet konfiguriert. Die in den folgenden Abschnitten angegebenen Parameter werden mit diesem Cmdlet verwendet.
Wichtig
Änderungen an der Administrator-Überwachungsprotokollkonfiguration werden unabhängig davon, ob das Set-AdminAuditLogConfig -Cmdlet in der Liste der zu protokollierenden Cmdlets enthalten ist und ob die Überwachungsprotokollierung aktiviert oder deaktiviert ist, immer protokolliert.
Wenn ein Befehl ausgeführt wird, prüft Exchange das verwendete Cmdlet. Wenn das ausgeführte Cmdlet mit einem der Cmdlets übereinstimmt, die mit dem Parameter AdminAuditLogCmdlets bereitgestellt werden, überprüft Exchange die im Parameter AdminAuditLogParameters angegebenen Parameter. Stimmt mindestens ein Parameter in der Parameterliste überein, protokolliert Exchange das ausgeführte Cmdlet. Die folgenden Abschnitte enthalten weitere Informationen zu den einzelnen Aspekten der Konfiguration der Überwachungsprotokollierung.
Weitere Informationen zum Verwalten der Konfiguration der Überwachungsprotokollierung finden Sie unter Verwalten der Administratorüberwachungsprotokollierung.
Cmdlets
Sie können steuern, welche Cmdlets überwacht werden, indem Sie eine Liste der Cmdlets und deren Parameter bereitstellen, die Sie protokollieren möchten. Wenn Sie die Überwachungsprotokollierung konfigurieren, können Sie angeben, dass jedes Cmdlet überwacht werden soll, oder Sie können die Cmdlets angeben, die Sie überwachen möchten, indem Sie den Parameter AdminAuditLogCmdlets verwenden. Sie können vollständige Cmdlet-Namen angeben, z. B. New-Mailbox, oder Sie können teilweise Cmdlet-Namen angeben und diese Namen in Platzhalterzeichen einschließen, z. B. ein Sternchen (*). Wenn Sie beispielsweise protokollieren möchten, wenn ein Cmdlet ausgeführt wird, das die Zeichenfolge Transport enthält, können Sie den Wert angeben *Transport*. Sie können gleichzeitig eine Mischung aus vollständigen Cmdlet-Namen und teilweisen Cmdlet-Namen verwenden, um die Überwachungsprotokollierungskonfiguration an Ihre Anforderungen anzupassen.
Um alle Cmdlets zu überwachen, geben Sie nur das Platzhalterzeichen (*) an. Dies ist die Standardeinstellung.
Parameter
Neben der Angabe der Cmdlets, die Sie protokollieren möchten, können Sie auch die Cmdlets kennzeichnen, die nur protokolliert werden sollen, wenn bestimmte Parameter dieser Cmdlets verwendet werden. Verwenden Sie den Parameter AdminAuditLogParameters, um anzugeben, welche Parameter protokolliert werden sollen. Wie bei Cmdlets können Sie vollständige Parameternamen angeben, z Database. B. , oder Teilparameternamen, die in Wildcardzeichen () eingeschlossen sind,* z *Address*. B. oder eine Kombination aus beidem.
Um alle Parameter zu überwachen, geben Sie nur das Platzhalterzeichen (*) an. Dies ist die Standardeinstellung.
Verfallszeit für Administrator-Überwachungsprotokolle
Standardmäßig ist die Administrator-Überwachungsprotokollierung so konfiguriert, dass Überwachungsprotokolleinträge 90 Tage lang gespeichert werden. Nach 90 Tagen wird der Überwachungsprotokolleintrag gelöscht. Sie können die Verfallszeit für Überwachungsprotokolle mithilfe des AdminAuditLogAgeLimit-Parameters ändern. Wenn Sie beispielsweise die Altersgrenze auf 180 Tage ändern möchten, verwenden Sie den Befehl Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 180. Sie können auch die Anzahl der Tage, Stunden, Minuten und Sekunden angeben, die Überwachungsprotokolleinträge gespeichert werden. Um einen Wert anzugeben, verwenden Sie das Format dd.hh:mm:ss , in dem Folgendes zutrifft:
dd: Die Anzahl der Tage, die der Überwachungsprotokolleintrag gespeichert werden soll.
hh: Die Anzahl der Stunden, die der Überwachungsprotokolleintrag gespeichert werden soll.
mm: Die Anzahl der Minuten, die der Überwachungsprotokolleintrag gespeichert werden soll.
ss: Die Anzahl der Sekunden, die der Überwachungsprotokolleintrag gespeichert werden soll.
Sie müssen mehrere Jahre mithilfe des Felds dd angeben. So ergeben beispielsweise 365 Tage ein Jahr, 730 Tage zwei Jahre und 913 Tage zwei Jahre und sechs Monate. Verwenden Sie beispielsweise den Wert 913, um die Altersgrenze des Überwachungsprotokolls auf zwei Jahre und sechs Monate festzulegen.
Hinweise:
Sie können die Verfallszeit für Administrator-Überwachungsprotokolle auch auf einen Wert unter der derzeitigen Verfallszeit festlegen. In diesem Fall wird jeder Überwachungsprotokolleintrag, der die neue Verfallszeit überschreitet, gelöscht.
Wenn Sie die Verfallszeit auf 0 festlegen, löscht Exchange alle Einträge im Überwachungsprotokoll.
Es wird empfohlen, nur äußerst vertrauenswürdigen Benutzern die Berechtigung zur Konfiguration der Verfallszeit für Überwachungsprotokolle zu erteilen.
Ausführliche Protokollierung
Standardmäßig werden im Administrator-Überwachungsprotokoll nur der Cmdlet-Name, Cmdlet-Parameter (und angegebene Werte), das geänderte Objekt, der Benutzer, der das Cmdlet ausgeführt hat, der Zeitpunkt der Cmdlet-Ausführung und der Server, auf dem das Cmdlet ausgeführt wurde, aufgezeichnet. Im Administrator-Überwachungsprotokoll wird nicht protokolliert, welche Eigenschaften des Objekts geändert wurden. Wenn das Administratorüberwachungsprotokoll auch die Eigenschaften des geänderten Objekts enthalten soll, können Sie die ausführliche Protokollierung aktivieren, indem Sie den LogLevel-Parameter auf Verbosefestlegen. Wenn Sie die ausführliche Protokollierung aktivieren, werden neben den standardmäßig protokollieren Informationen auch die geänderten Eigenschaften eines Objekts, einschließlich der alten und neuen Werte, in das Administrator-Überwachungsprotokoll aufgenommen.
Test-Cmdlets
Cmdlets, die mit dem Verb Test beginnen, werden nicht standardmäßig protokolliert. Sie können angeben, dass Test-Cmdlets protokolliert werden sollen, indem Sie den Parameter TestCmdletLoggingEnabled auf $truefestlegen. Zwar ist es möglich, die Protokollierung von Test-Cmdlets zu aktivieren, dies wird jedoch nur für kurze Zeit empfohlen, da Test-Cmdlets eine große Anzahl von Überwachungsprotokolleinträgen erzeugen können.
Administrator-Überwachungsprotokoll
Jedes Mal, wenn ein Cmdlet protokolliert wird, wird ein Administrator-Überwachungsprotokoll erstellt. Die Überwachungsprotokolleinträge befinden sich im Administrator-Überwachungsprotokoll in einem verborgenen, dedizierten Vermittlungspostfach, auf das über das EAC, das Search-AdminAuditLog -Cmdlet oder das New-AdminAuditLogSearch -Cmdlet zugegriffen werden kann. In den folgenden Abschnitten finden Sie weitere Informationen zu folgenden Themen:
Inhalte des Administrator-Überwachungsprotokolls
Auf der Seite Überwachung im EAC verfügbare Berichte.
Cmdlets zum Durchsuchen der Administrator-Überwachungsprotokolle
Inhalte des Überwachungsprotokolls
Jeder Überwachungsprotokolleintrag enthält die Informationen, die in der folgenden Tabelle beschrieben sind. Das Überwachungsprotokoll enthält mindestens einen Überwachungsprotokolleintrag. Die Anzahl der Überwachungsprotokolleinträge wird durch die mit dem Befehl angegebene Altersgrenze des Überwachungsprotokolls Set-AdminAuditLogConfig -AdminAuditLogAgeLimit gesteuert. Alle Überwachungsprotokolleinträge, die die Verfallszeit überschreiten, werden gelöscht.
Felder für Überwachungsprotokolleinträge
| Feld | Beschreibung |
|---|---|
RunspaceId |
Dieses Feld wird intern von Exchange verwendet. |
ObjectModified |
Dieses Feld enthält das Objekt, das durch das im CmdletName Feld angegebene Cmdlet geändert wurde. |
CmdletName |
Dieses Feld enthält den Namen des Cmdlets, das vom Benutzer im Caller Feld ausgeführt wurde. |
CmdletParameters |
Dieses Feld enthält die Parameter, die beim Ausführen des Cmdlets im CmdletName Feld angegeben wurden. In diesem Feld wird auch, falls vorhanden, der in diesem Parameter angegebene Wert gespeichert, er wird jedoch nicht in der Standardausgabe angezeigt. |
ModifiedProperties |
Dieses Feld enthält die Eigenschaften, die für das -Objekt im ObjectModified Feld geändert wurden. In diesem Feld werden auch der alte Wert der Eigenschaft und der neue gespeicherte Wert gespeichert, sie werden jedoch nicht in der Standardausgabe angezeigt. Wichtig: Dieses Feld wird nur ausgefüllt, wenn der LogLevel-Parameter im Cmdlet Set-AdminAuditLogConfig auf verbosefestgelegt ist. |
Caller |
Dieses Feld enthält das Benutzerkonto des Benutzers, der das Cmdlet im CmdletName Feld ausgeführt hat. |
Succeeded |
Dieses Feld gibt an, ob das Cmdlet im CmdletName Feld erfolgreich ausgeführt wurde. Der Wert ist entweder True oder False. |
Error |
Dieses Feld enthält die Fehlermeldung, die generiert wird, wenn das Cmdlet im CmdletName Feld nicht erfolgreich abgeschlossen werden konnte. |
RunDate |
Dieses Feld enthält das Datum und die Uhrzeit der Ausführung des Cmdlets CmdletName im Feld. Datum und Uhrzeit werden im UTC-Format (Coordinated Universal Time, koordinierte Weltzeit) gespeichert. |
OriginatingServer |
Dieses Feld gibt den Server an, auf dem das im CmdletName Feld angegebene Cmdlet ausgeführt wurde. |
Identity |
Dieses Feld wird intern von Exchange verwendet. |
IsValid |
Dieses Feld wird intern von Exchange verwendet. |
ObjectState |
Dieses Feld wird intern von Exchange verwendet. |
Überwachungsberichte der Exchange-Verwaltungskonsole
Die Seite Überwachung des EAC umfasst verschiedene Berichte mit Informationen zu unterschiedlichen Arten von Konfigurationsänderungen bei der Richtlinientreue und der Verwaltung. Die folgenden Berichte enthalten Informationen zu Konfigurationsänderungen in der Organisation:
Bericht "Administratorrollengruppe": Mit diesem Bericht können Sie nach Änderungen an Verwaltungsrollengruppen suchen, die Sie innerhalb eines angegebenen Zeitrahmens angeben. Die zurückgegebenen Ergebnisse umfassen Informationen zu geänderten Rollengruppen, dazu wer sie geändert hat, zum Zeitpunkt sowie zur Art der Änderungen. Es können maximal 3.000 Einträgen zurückgegeben werden. Wenn Ihre Suche möglicherweise mehr als 3.000 Einträge zurückgibt, verwenden Sie den Bericht Administrator-Überwachungsprotokoll oder das Cmdlet Search-AdminAuditLog.
Admin Überwachungsprotokollbericht: Mit diesem Bericht können Sie Einträge im Administratorüberwachungsprotokoll anzeigen, die innerhalb eines angegebenen Zeitrahmens aufgezeichnet wurden. Sie können auch Administratorüberwachungsprotokolleinträge in eine XML-Datei exportieren und die Datei dann per E-Mail an einen von Ihnen angegebenen Empfänger senden. Weitere Informationen zum Inhalt der XML-Datei finden Sie unter Administratorüberwachungsprotokollstruktur.
Informationen zur Verwendung dieser Berichte finden Sie unter Durchsuchen von Rollengruppenänderungen oder Administratorüberwachungsprotokollen.
Cmdlet "Search-AdminAuditLog"
Beim Ausführen des Cmdlets Search-AdminAuditLog werden alle Überwachungsprotokolleinträge zurückgegeben, die den angegebenen Suchkriterien entsprechen. Sie können folgende Suchkriterien festlegen:
Cmdlets: Gibt die Cmdlets an, nach denen im Administrator-Überwachungsprotokoll gesucht werden soll.
Parameter: Gibt die Parameter (durch Kommas getrennt) an, nach denen im Administrator-Überwachungsprotokoll gesucht werden soll. Sie können nur nach Parametern suchen, wenn Sie ein Cmdlet, nach dem gesucht werden soll, angeben.
Enddatum: Umfasst die Administrator-Überwachungsprotokollergebnisse zum Protokollieren von Einträgen am oder vor dem angegebenen Datum.
Startdatum: Umfasst die Administrator-Überwachungsprotokollergebnisse zum Protokollieren von Einträgen am oder nach dem angegebenen Datum.
Objekt-IDs: Gibt an, dass nur Administrator-Überwachungsprotokolleinträge zurückgegeben werden, die die angegebenen geänderten Objekte enthalten
Benutzer-IDs: Gibt an, dass nur Administrator-Überwachungsprotokolleinträge zurückgegeben werden, die die angegebenen IDs des Benutzers enthalten, der das Cmdlet ausgeführt hat.
Erfolgreicher Abschluss: Gibt an, ob nur Administrator-Überwachungsprotokolleinträge zurückgegeben werden sollen, die einen erfolgreichen bzw. einen nicht erfolgreichen Vorgang anzeigen.
Jeder Überwachungsprotokolleintrag enthält die Informationen, die in der Tabelle Inhalte des Überwachungsprotokolls beschrieben sind. Standardmäßig werden nur die ersten 1.000 Protokolleinträge, die den angegebenen Suchkriterien entsprechen, zurückgegeben. Sie können diese Standardeinstellung jedoch überschreiben und mit dem ResultSize-Parameter mehr oder weniger Einträge zurückgeben. Sie können mit dem Parameter ResultSize einen Wert von Unlimited angeben, um alle Protokolleinträge zurückzugeben, die den angegebenen Kriterien entsprechen.
Informationen zur Verwendung des Cmdlets Search-AdminAuditLog finden Sie unter Durchsuchen von Rollengruppenänderungen oder Administratorüberwachungsprotokollen.
Cmdlet "New-AdminAuditLogSearch"
Das Cmdlet New-AdminAuditLogSearch durchsucht das Administrator-Überwachungsprotokoll wie das Cmdlet Search-AdminAuditLog. Anstatt die Ergebnisse der Suche jedoch in der Exchange-Verwaltungsshell anzuzeigen, führt das New-AdminAuditLogSearch -Cmdlet die Suche aus und sendet die Ergebnisse per E-Mail an die angegebenen Empfänger. Die Ergebnisse werden als XML-Anlage in die E-Mail aufgenommen.
Sie können dieselben Suchkriterien beim Cmdlet New-AdminAuditLogSearch verwenden, die im Cmdlet Search-AdminAuditLog verwendet werden. Eine Liste mit Suchkriterien finden Sie unter Cmdlet "Search-AdminAuditLog".
Nach dem Ausführen des Cmdlets New-AdminAuditLogSearch dauert es möglicherweise bis zu 15 Minuten, bis Exchange einen Bericht an den angegebenen Empfänger übermittelt. Die an den Bericht angehängte XML-Datei ist maximal 10 MB groß. Die XML-Datei enthält dieselben Informationen wie in der Tabelle in Inhalte des Überwachungsprotokolls beschrieben. Weitere Informationen zur Struktur der XML-Datei finden Sie unter Administrator-Überwachungsprotokollstruktur.
Hinweis
In Outlook Web App ist es standardmäßig nicht möglich, XML-Anlagen zu öffnen. Sie können Exchange entweder so konfigurieren, dass XML-Anlagen mit Outlook Web App angezeigt werden können, oder Sie verwenden einen anderen E-Mail-Client, beispielsweise Microsoft Outlook, um die Anlage anzuzeigen. Informationen zum Konfigurieren von Outlook Web App zum Anzeigen einer XML-Anlage finden Sie unter Anzeigen oder Konfigurieren Outlook im Web virtuellen Verzeichnissen in Exchange Server.
Informationen zur Verwendung des Cmdlets New-AdminAuditLogSearch finden Sie unter Durchsuchen von Rollengruppenänderungen oder Administratorüberwachungsprotokollen.
Manuelle Einträge im Administrator-Überwachungsprotokoll
Zusätzlich zur Protokollierung von Exchange-Cmdlets bei deren Ausführung ermöglicht Exchange Server Ihnen das manuelle Schreiben von Protokolleinträgen in das Überwachungsprotokoll. Exchange Server unterstützt dies mithilfe des Cmdlets Write-AdminAuditLog. In folgenden Situationen werden Sie möglicherweise einen manuellen Protokolleintrag hinzufügen:
Benutzerdefinierter Skripteingang und -ausgang
Ändern von Steuerinformationen
Anfangs- und Endzeiten für Wartung
Mit dem Cmdlet Write-AdminAuditLog geben Sie mithilfe des Comment-Parameters eine Textzeichenfolge an, die in das Überwachungsprotokoll eingeschlossen werden soll. Der Comment-Parameter akzeptiert eine alphanumerische Zeichenfolge mit bis zu 500 Zeichen. Im manuellen Überwachungsprotokolleintrag werden dieselben Informationen zusammen mit der Kommentarzeichenfolge erfasst, wie bei der Protokollierung eines Exchange-Cmdlets. Eine Beschreibung zu jedem Feld im Überwachungsprotokoll finden Sie in der Tabelle unter Inhalte des Überwachungsprotokolls.
Sie können einen manuellen Überwachungsprotokolleintrag genau so abrufen wie einen anderen Protokolleintrag. Verwenden Sie dazu die Seite Überwachung des EAC oder die Cmdlets Search-AdminAuditLog und New-AdminAuditLogSearch.
Informationen zum Anzeigen des Inhalts des Comment-Parameters für das Cmdlet Write-AdminAuditLog in einem manuellen Überwachungsprotokolleintrag finden Sie unter Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle.
Active Directory-Replikation
Die Administrator-Überwachungsprotokollierung verwendet die Active Directory-Replikation für die Replikation von Konfigurationseinstellungen, die Sie für die Domänencontroller in der Organisation festlegen. Je nach Replikationseinstellungen werden von Ihnen vorgenommene Änderungen möglicherweise nicht sofort auf alle Server mit Exchange in der Organisation angewendet.
Administrator-Überwachungsprotokoll-Agent
Der Admin integrierte Cmdleterweiterungs-Agent für Admin führt die Administratorüberwachungsprotokollierung von Cmdlet-Vorgängen in Exchange Server aus. Dieser Agent liest die Konfiguration der Überwachungsprotokolle und führt eine Bewertung der einzelnen Cmdlets aus, die in der Organisation ausgeführt werden. Wenn die Kriterien, die Sie in der Konfiguration des Administrator-Überwachungsprotokolls angegeben haben, mit dem ausgeführten Cmdlet übereinstimmen, generiert der Agent einen Überwachungsprotokolleintrag.
Der Admin Überwachungsprotokoll-Agent ist standardmäßig aktiviert. Dies ist erforderlich, damit die Überwachungsprotokollierung des Administrators funktioniert. Sie kann nicht deaktiviert werden, und ihre Priorität kann nicht geändert werden. Weitere Informationen zu Cmdlet-Erweiterungs-Agents finden Sie unter Cmdlet Extension Agents.