Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Gestion de la journalisation d’audit de l’administrateur

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Apprenez à configurer, activer et désactiver la journalisation d’audit de l’administrateur dans Exchange 2016, et à afficher les paramètres du journal d’audit de l’administrateur.

La journalisation d’audit de l’administrateur dans Exchange Server 2016 vous permet de créer une entrée de journal chaque fois qu’une cmdlet est exécutée. Les entrées de journal vous fournissent des informations sur la cmdlet qui a été exécutée, les paramètres utilisés, l’utilisateur qui a exécuté la cmdlet et les objets concernés. Pour plus d’informations sur la journalisation d’audit de l’administrateur, consultez la rubrique Journalisation d’audit de l’administrateur dans Exchange 2016.

Tâches de journalisation d’audit de l’administrateur

Spécifier les cmdlets à auditer

Spécifier les paramètres à auditer

Spécifier la durée de vie du journal d'audit de l'administrateur

Activer ou désactiver l'enregistrement des cmdlets de test

Désactiver la journalisation d'audit de l'administrateur

Activer la journalisation d'audit de l'administrateur

Afficher les paramètres de journalisation d'audit de l'administrateur

  • Durée d’exécution estimée de chaque procédure : moins de 5 minutes

  • Vous pouvez uniquement utiliser PowerShell pour effectuer cette procédure. Pour en savoir plus sur l’ouverture de l’environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Ouverture de l’environnement de ligne de commande Exchange Management Shell.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Connexion au service d'audit administrateur » dans la rubrique Infrastructure Exchange et des autorisations de PowerShell.

  • La journalisation d’audit de l’administrateur s’appuie sur la réplication Active Directory pour répliquer les paramètres de configuration spécifiés pour les contrôleurs de domaine de votre organisation. Selon vos paramètres de réplication, les modifications apportées ne prendront peut-être pas immédiatement effet sur l’ensemble des serveurs Exchange 2016 de votre organisation.

  • Les modifications apportées à la configuration du journal d’audit sont actualisées toutes les 60 minutes sur les ordinateurs ayant l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell ouvert au moment où la configuration est modifiée. Si vous souhaitez appliquer les modifications immédiatement, fermez et rouvrez l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell sur chaque ordinateur.

  • 15 minutes peuvent être nécessaires pour qu'une commande apparaisse dans les résultats de la recherche du journal d'audit après son exécution, car les entrées du journal d'audit doivent être indexées avant que ces dernières ne puissent faire l'objet d'une recherche. Si une commande n'apparaît pas dans le journal d'audit de l'administrateur, patientez quelques minutes, puis réeffectuez la recherche.

Par défaut, la connexion au service d'audit crée une entrée de journal pour chaque cmdlet exécutée. Si vous activez la connexion au service d'audit pour la première fois et que ce comportement vous convient, il n'est pas nécessaire de changer la liste d'audit de cmdlet. Si vous avez indiqué préalablement les cmdlets à auditer et que vous souhaitez maintenant toutes les auditer, vous pouvez le faire en indiquant le caractère générique astérisque (*) avec le paramètre AdminAuditLogCmdlets de la cmdlet Set-AdminAuditLogConfig, comme illustré dans la commande suivante :

Set-AdminAuditLogConfig -AdminAuditLogCmdlets *

Vous pouvez désigner les cmdlets à auditer en fournissant une liste de cmdlets à l'aide du paramètre AdminAuditLogCmdlets. Dans cette liste, vous pouvez fournir des cmdlets uniques, des cmdlets avec le caractère générique astérisque (*) ou un mélange des deux. Chaque entrée dans la liste est séparée par des virgules. Les valeurs suivantes sont toutes valides :

  • New-Mailbox

  • *TransportRule

  • *Management*

  • Set-Transport*

Cet exemple audite les cmdlets spécifiées dans la liste précédente.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Retour au début

Par défaut, la connexion au service d'audit crée une entrée de journal pour chaque cmdlet exécutée, quels que soient les paramètres spécifiés. Si vous activez la connexion au service d'audit pour la première fois et que ce comportement vous convient, il n'est pas nécessaire de changer la liste d'audit des paramètres. Si vous avez indiqué préalablement les paramètres à auditer et que vous souhaitez maintenant tous les auditer, vous pouvez le faire en indiquant le caractère générique astérisque (*) avec le paramètre AdminAuditLogParameters de la cmdlet Set-AdminAuditLogConfig, comme illustré dans la commande suivante :

Set-AdminAuditLogConfig -AdminAuditLogParameters *

Vous pouvez indiquer les paramètres que vous souhaitez auditer en utilisant le paramètre AdminAuditLogParameters. Dans la liste des paramètres à auditer, vous pouvez fournir des paramètres uniques, des paramètres avec le caractère générique astérisque (*) ou un mélange des deux. Chaque entrée dans la liste est séparée par des virgules. Les valeurs suivantes sont toutes valides :

  • Database

  • *Address*

  • Custom*

  • *Region

noteRemarque :
Pour la création d'une entrée de journal d'audit lors de l'exécution d'une commande, cette dernière doit inclure au moins un ou plusieurs paramètres qui existent sur au moins une ou plusieurs cmdlets spécifiées avec le paramètre AdminAuditLogCmdlets.

Cet exemple audite les paramètres spécifiés dans la liste précédente.

Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Retour au début

La durée de vie du journal d'audit détermine la durée de conservation des entrées du journal. Lorsqu'une entrée dépasse la durée de vie définie, elle est supprimée. La valeur par défaut est 90 jours.

Vous pouvez spécifier la durée de vie (jours), ou le nombre de jours, d’heures, de minutes et de secondes pendant lequel les entrées du journal d’audit doivent être conservées. Pour spécifier une valeur plus précise, utilisez le format jj.hh.mm:ss :

  • jj   Nombre de jours de conservation de l'entrée du journal d'audit

  • hh   Nombre d'heures de conservation de l'entrée de journal d'audit

  • mm   Nombre de minutes de conservation de l'entrée du journal d'audit

  • ss   Nombre de secondes de conservation de l'entrée du journal d'audit

CautionAttention :
Vous pouvez définir une durée de vie du journal d'audit inférieure à la durée de vie actuellement paramétrée. Dans ce cas, seront supprimées toutes les entrées du journal d'audit dont la durée de vie dépasse la nouvelle durée fixée.
Si vous définissez la durée de vie sur 0, Exchange supprimera toutes les entrées dans le journal d'audit.
Nous vous conseillons d’attribuer les autorisations pour configurer la durée de vie du journal d’audit uniquement aux utilisateurs de confiance.

Cet exemple spécifie une durée de vie de deux ans et six mois.

Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Retour au début

Les cmdlets qui commencent par le verbe Test ne sont pas enregistrées par défaut. parce que ces cmdlets de Test peuvent générer une quantité importante de données en peu de temps. Activez uniquement l'enregistrement des cmdlets de Test pour de courtes périodes.

Cette commande active l'enregistrement des cmdlets de Test.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $true

Cette commande désactive l'enregistrement des cmdlets de Test.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $false

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdminAuditLogConfig.

Pour désactiver la journalisation d’audit de l’administrateur, exécutez la commande suivante :

Set-AdminAuditLogConfig -AdminAuditLogEnabled $false

Pour activer la journalisation d’audit de l’administrateur, exécutez la commande suivante :

Set-AdminAuditLogConfig -AdminAuditLogEnabled $true

Pour afficher les paramètres de journalisation d’audit de l’administrateur que vous avez configurés pour votre organisation, exécutez la commande suivante :

Get-AdminAuditLogConfig

Retour au début

 
Afficher: