Gérer la journalisation d’audit administrateur dans Exchange Server

La journalisation d’audit administrateur dans Exchange Server vous permet de créer une entrée de journal chaque fois qu’une applet de commande spécifiée est exécutée. Les entrées de journal vous fournissent des informations sur la cmdlet qui a été exécutée, les paramètres utilisés, l'utilisateur qui a exécuté la cmdlet et les objets concernés. Pour plus d’informations sur la journalisation de l’audit administrateur, consultez Journalisation de l’audit administrateur dans Exchange Server.

Ce qu'il faut savoir avant de commencer

• Durée d'exécution estimée de chaque procédure : moins de 5 minutes

• Vous pouvez uniquement utiliser PowerShell pour effectuer cette procédure. Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.

• Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Journalisation d’audit de l’administrateur » dans la rubrique Infrastructure Exchange et autorisations PowerShell .

• La journalisation d'audit de l'administrateur s'appuie sur la réplication Active Directory pour répliquer les paramètres de configuration spécifiés pour les contrôleurs de domaine de votre organisation. Selon vos paramètres de réplication, les modifications que vous apportez peuvent ne pas être appliquées immédiatement à tous les serveurs Exchange 2016 et Exchange 2019 de votre organisation.

• Les modifications apportées à la configuration du journal d'audit sont actualisées toutes les 60 minutes sur les ordinateurs ayant l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell ouvert au moment où la configuration est modifiée. Si vous souhaitez appliquer les modifications immédiatement, fermez et rouvrez l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell sur chaque ordinateur.

• Une commande peut prendre jusqu’à 15 minutes après son exécution pour apparaître dans les résultats de recherche du journal d’audit. Cela est dû au fait que les entrées du journal d’audit doivent être indexées avant de pouvoir faire l’objet d’une recherche. Si aucune commande n’apparaît dans le journal d’audit de l’administrateur, patientez quelques minutes et réexécutez la recherche.

Spécifier les cmdlets à auditer

Par défaut, la connexion au service d'audit crée une entrée de journal pour chaque cmdlet exécutée. Si vous activez la connexion au service d'audit pour la première fois et que ce comportement vous convient, il n'est pas nécessaire de changer la liste d'audit de cmdlet. Si vous avez déjà spécifié des applets de commande à auditer et que vous souhaitez maintenant auditer toutes les applets de commande, vous pouvez auditer toutes les applets de commande en spécifiant le caractère générique astérisque (*) avec le paramètre AdminAuditLogCmdlets sur l’applet de commande Set-AdminAuditLogConfig , comme indiqué dans la commande suivante.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets *

Vous pouvez désigner les cmdlets à auditer en fournissant une liste de cmdlets à l'aide du paramètre AdminAuditLogCmdlets. Dans cette liste, vous pouvez fournir des cmdlets uniques, des cmdlets avec le caractère générique astérisque (*) ou un mélange des deux. Chaque entrée dans la liste est séparée par des virgules. Les valeurs suivantes sont toutes valides :

• New-Mailbox

• *TransportRule

• *Management*

• Set-Transport*

Cet exemple audite les cmdlets spécifiées dans la liste précédente.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Spécifier les paramètres à auditer

Par défaut, la connexion au service d'audit crée une entrée de journal pour chaque cmdlet exécutée, quels que soient les paramètres spécifiés. Si vous activez la connexion au service d'audit pour la première fois et que ce comportement vous convient, il n'est pas nécessaire de changer la liste d'audit des paramètres. Si vous avez déjà spécifié des paramètres à auditer et que vous souhaitez maintenant auditer tous les paramètres, vous pouvez le faire en spécifiant le caractère générique astérisque (*) avec le paramètre AdminAuditLogParameters sur l’applet de commande Set-AdminAuditLogConfig , comme indiqué dans la commande suivante.

Set-AdminAuditLogConfig -AdminAuditLogParameters *

Vous pouvez indiquer les paramètres que vous souhaitez auditer en utilisant le paramètre AdminAuditLogParameters. Dans la liste des paramètres à auditer, vous pouvez fournir des paramètres uniques, des paramètres avec le caractère générique astérisque (*) ou un mélange des deux. Chaque entrée dans la liste est séparée par des virgules. Les valeurs suivantes sont toutes valides :

• Database

• *Address*

• Custom*

• *Region

Cet exemple audite les paramètres spécifiés dans la liste précédente.

Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Spécifier la durée de vie du journal d’audit de l’administrateur

La durée de vie du journal d'audit détermine la durée de conservation des entrées du journal. Lorsqu'une entrée dépasse la durée de vie définie, elle est supprimée. La valeur par défaut est 90 jours.

Vous pouvez définir la limite d’âge en jours. Vous pouvez également spécifier le nombre de jours, d’heures, de minutes et de secondes pendant lesquels les entrées du journal d’audit doivent être conservées. Pour spécifier une valeur plus spécifique que jours, utilisez le format dd.hh.mm:ss où les éléments suivants s’appliquent :

• dd : nombre de jours pour conserver l’entrée du journal d’audit

• hh : nombre d’heures pendant lesquelles conserver l’entrée du journal d’audit

• mm : nombre de minutes pour conserver l’entrée du journal d’audit

• ss : nombre de secondes pour conserver l’entrée du journal d’audit

Cet exemple spécifie une durée de vie de deux ans et six mois.

Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Activer ou désactiver l'enregistrement des cmdlets de test

Les cmdlets qui commencent par le verbe Test ne sont pas enregistrées par défaut. parce que ces cmdlets de Test peuvent générer une quantité importante de données en peu de temps. Activez uniquement l'enregistrement des cmdlets de Test pour de courtes périodes.

Cette commande active l'enregistrement des cmdlets de Test.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $true

Cette commande désactive l'enregistrement des cmdlets de Test.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $false

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Désactiver la journalisation d’audit de l’administrateur

Pour désactiver la journalisation d’audit de l’administrateur, exécutez la commande suivante :

Set-AdminAuditLogConfig -AdminAuditLogEnabled $false

Activer la journalisation d’audit de l’administrateur

Pour activer la journalisation d’audit de l’administrateur, exécutez la commande suivante :

Set-AdminAuditLogConfig -AdminAuditLogEnabled $true

Afficher les paramètres de journalisation d’audit de l’administrateur

Pour afficher les paramètres de journalisation d’audit de l’administrateur que vous avez configurés pour votre organisation, exécutez la commande suivante :

Get-AdminAuditLogConfig