Gestion de la journalisation d’audit de l’administrateur

S’applique à : Exchange Server 2013

La journalisation d’audit administrateur dans Microsoft Exchange Server 2013 vous permet de créer une entrée de journal chaque fois qu’une applet de commande spécifiée est exécutée. Les entrées de journal vous fournissent des informations sur la cmdlet qui a été exécutée, les paramètres utilisés, l'utilisateur qui a exécuté la cmdlet et les objets concernés. Pour plus d'informations sur la journalisation d'audit de l'administrateur, consultez la rubrique Connexion au service d'audit administrateur.

Ce qu'il faut savoir avant de commencer

• Durée d'exécution estimée de chaque procédure : moins de 5 minutes

• Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Connexion au service d'audit administrateur » dans la rubrique Autorisations d'infrastructure Exchange et Shell.

• L'enregistrement d'audit par un administrateur s'appuie sur la réplication Active Directory pour répliquer les paramètres de configuration que vous spécifiez pour les contrôleurs de domaine de votre organisation. Selon vos paramètres de réplication, les modifications que vous apportez peuvent ne pas être appliquées immédiatement à tous les serveurs Exchange 2013 de votre organisation.

• Les modifications apportées à la configuration de l’enregistrement d’audit sont actualisées toutes les 60 minutes sur les ordinateurs ayant l’environnement de ligne de commande Exchange Management Shell ouvert au moment de la modification de la configuration. Si vous souhaitez appliquer les modifications immédiatement, fermez et rouvrez l’environnement de ligne de commande Exchange Management Shell sur chaque ordinateur.

• Une commande peut prendre jusqu’à 15 minutes après son exécution pour apparaître dans les résultats de recherche du journal d’audit. Cela est dû au fait que les entrées du journal d’audit doivent être indexées avant de pouvoir faire l’objet d’une recherche. Si aucune commande n’apparaît dans le journal d’audit de l’administrateur, patientez quelques minutes et réexécutez la recherche.

• Vous devez utiliser l'environnement de ligne de commande Exchange Management Shell pour effectuer ces procédures.

• Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Spécifier les cmdlets à auditer

Par défaut, la connexion au service d'audit crée une entrée de journal pour chaque cmdlet exécutée. Si vous activez la connexion au service d'audit pour la première fois et que ce comportement vous convient, il n'est pas nécessaire de changer la liste d'audit de cmdlet. Si vous avez déjà spécifié des applets de commande à auditer et que vous souhaitez maintenant auditer toutes les applets de commande, vous pouvez auditer toutes les applets de commande en spécifiant le caractère générique astérisque (*) avec le paramètre AdminAuditLogCmdlets sur l’applet de commande Set-AdminAuditLogConfig , comme indiqué dans la commande suivante.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets *

Vous pouvez désigner les cmdlets à auditer en fournissant une liste de cmdlets à l'aide du paramètre AdminAuditLogCmdlets. Dans cette liste, vous pouvez fournir des cmdlets uniques, des cmdlets avec le caractère générique astérisque (*) ou un mélange des deux. Chaque entrée dans la liste est séparée par des virgules. Les valeurs suivantes sont toutes valides :

• New-Mailbox
• *TransportRule
• *Management*
• Set-Transport*

Cet exemple audite les cmdlets spécifiées dans la liste précédente.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Spécifier les paramètres à auditer

Par défaut, la connexion au service d'audit crée une entrée de journal pour chaque cmdlet exécutée, quels que soient les paramètres spécifiés. Si vous activez la connexion au service d'audit pour la première fois et que ce comportement vous convient, il n'est pas nécessaire de changer la liste d'audit des paramètres. Si vous avez déjà spécifié des paramètres à auditer et que vous souhaitez maintenant auditer tous les paramètres, vous pouvez le faire en spécifiant le caractère générique astérisque (*) avec le paramètre AdminAuditLogParameters sur l’applet de commande Set-AdminAuditLogConfig , comme indiqué dans la commande suivante.

Set-AdminAuditLogConfig -AdminAuditLogParameters *

Vous pouvez indiquer les paramètres que vous souhaitez auditer en utilisant le paramètre AdminAuditLogParameters. Dans la liste des paramètres à auditer, vous pouvez fournir des paramètres uniques, des paramètres avec le caractère générique astérisque (*) ou un mélange des deux. Chaque entrée dans la liste est séparée par des virgules. Les valeurs suivantes sont toutes valides :

• Database
• *Address*
• Custom*
• *Region

Cet exemple audite les paramètres spécifiés dans la liste précédente.

Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Spécifier la limite d’âge du journal d’audit

La durée de vie du journal d'audit détermine la durée de conservation des entrées du journal. Lorsqu'une entrée dépasse la durée de vie définie, elle est supprimée. La valeur par défaut est 90 jours.

Vous pouvez spécifier le nombre de jours, d’heures, de minutes et de secondes correspondant à la durée pendant laquelle les entrées de journal d’audit peuvent être conservées. Pour spécifier une valeur, utilisez le format dd.hh.mm:ss où les éléments suivants s’appliquent :

• dd : nombre de jours pour conserver l’entrée du journal d’audit
• hh : nombre d’heures pendant lesquelles conserver l’entrée du journal d’audit
• mm : nombre de minutes pour conserver l’entrée du journal d’audit
• ss : nombre de secondes pour conserver l’entrée du journal d’audit

Cet exemple spécifie une durée de vie de deux ans et six mois.

Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913.00:00:00

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Activer ou désactiver l'enregistrement des cmdlets de test

Les cmdlets qui commencent par le verbe Test ne sont pas enregistrées par défaut. parce que ces cmdlets de Test peuvent générer une quantité importante de données en peu de temps. Activez uniquement l'enregistrement des cmdlets de Test pour de courtes périodes.

Cette commande active l'enregistrement des cmdlets de Test.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $True

Cette commande désactive l'enregistrement des cmdlets de Test.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Désactiver la journalisation d’audit administrateur

Pour désactiver la journalisation d’audit administrateur, utilisez la commande suivante.

Set-AdminAuditLogConfig -AdminAuditLogEnabled $False

Activer la journalisation d’audit administrateur

Pour activer la journalisation d’audit de l’administrateur, utilisez la commande suivante.

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

Afficher les paramètres de journalisation d’audit de l’administrateur

Pour afficher les paramètres de journalisation d’audit de l’administrateur que vous avez configurés pour votre organisation, utilisez la commande suivante.

Get-AdminAuditLogConfig