Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Journalisation d’audit de l’administrateur dans Exchange 2016

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Obtenir des informations sur l’audit d’administrateur consignation dans Exchange 2016, et comment vous utilisez le journal d’audit pour suivre les modifications apportées aux objets dans votre organisation Exchange.

Vous pouvez utiliser audit administrateur Exchange Server 2016 connexion pour ouvrir une session lorsqu’un utilisateur ou un administrateur effectue une modification dans votre organisation. En conservant un journal des modifications, vous pouvez suivre les modifications apportées à la personne qui a effectué la modification, augmenter vos journaux de modification avec des enregistrements détaillés de la modification, telle qu’elle a été implémentée, satisfaire aux exigences réglementaires et aux demandes de découverte et bien plus encore.

Par défaut, la journalisation d’audit de l’administrateur est activée dans les nouvelles installations d’Exchange 2016.

Les cmdlets exécutées directement dans l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell sont auditées. De plus, les opérations effectuées à l’aide du Centre d’administration Exchange (CAE) sont également consignées, car elles exécutent des cmdlets en arrière-plan.

Les cmdlets, quel que soit l'endroit où elles sont exécutées, font l'objet d'un audit si une cmdlet figure sur la liste d'audits des cmdlets et si au moins un paramètre de cette cmdlet figure sur la liste d'audits des paramètres. Les cmdlets Get- et Search- ne sont pas enregistrées. L'enregistrement d'audit permet de montrer quelles actions ont été effectuées pour modifier des objets dans une organisation Exchange plutôt que de montrer les objets consultés.

importantImportant :
Une cmdlet peut ne pas être enregistrée si une erreur s'est produite avant que la cmdlet appelle l'agent d'extension du journal d'audit d'administration. Si une erreur se produit après l'appel de l'agent du journal d'audit d'administration, la cmdlet, ainsi que l'erreur qui lui est associée, est enregistrée. Pour plus d'informations, consultez la section Admin Audit Log Agent présentée ci-après dans cette rubrique.
Les modifications apportées à la configuration du journal d’audit sont actualisées toutes les 60 minutes sur les ordinateurs ayant l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell ouvert au moment où la configuration est modifiée. Si vous souhaitez appliquer les modifications immédiatement, fermez et rouvrez l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell sur chaque ordinateur.
15 minutes peuvent être nécessaires pour qu'une commande apparaisse dans les résultats de la recherche du journal d'audit après son exécution, car les entrées du journal d'audit doivent être indexées avant que ces dernières ne puissent faire l'objet d'une recherche. Si une commande n'apparaît pas dans le journal d'audit de l'administrateur, patientez quelques minutes, puis réeffectuez la recherche.

Retour au début

Par défaut, si la journalisation d’audit de l’administrateur est activée, une entrée de journal est créée à chaque exécution d’une cmdlet, autre que la cmdlet Get- ou Search-. Si vous ne souhaitez pas auditer chaque cmdlet, vous pouvez configurer la journalisation d’audit en la limitant aux cmdlets et paramètres de votre choix. La cmdlet Set-AdminAuditLogConfig vous permet de configurer la journalisation d’audit. Les paramètres référencés dans les sections suivantes sont utilisés avec cette cmdlet.

importantImportant :
Les modifications apportées à la configuration de la journalisation d’audit de l’administrateur sont toujours consignées, que la cmdlet Set-AdminAuditLogConfig figure dans la liste des cmdlets auditées ou non et que la journalisation d’audit soit activée ou non.

Lorsqu’une commande est exécutée, Exchange inspecte la cmdlet utilisée. Si la cmdlet exécutée correspond à une des cmdlets fournies avec le paramètre AdminAuditLogCmdlets, Exchange contrôle ensuite les paramètres spécifiés dans le paramètre AdminAuditLogParameters. Si au moins un paramètre de la liste des paramètres correspond, Exchange enregistre la cmdlet exécutée. Les sections suivantes contiennent d’autres informations sur chaque aspect de la configuration de la journalisation d’audit.

Pour plus d’informations sur la gestion de la configuration de la journalisation d’audit, consultez la rubrique Gestion de la journalisation d’audit de l’administrateur.

Vous pouvez contrôler quelles cmdlets sont auditées en fournissant une liste de cmdlets et leurs paramètres associés que vous souhaitez enregistrer. Lorsque vous configurez la journalisation d'audit, vous pouvez opter pour un audit de chaque cmdlet ou désigner des cmdlets spécifiques à vérifier à l'aide du paramètre AdminAuditLogCmdlets. Vous pouvez spécifier les noms complets des cmdlets, par exemple New-Mailbox, ou les noms partiels des cmdlets et placer ces noms entre des caractères génériques tels qu'un astérisque (*). Par exemple, pour tenir le journal de chaque exécution d'une cmdlet contenant la chaîne Transport, vous pouvez spécifier une valeur de*Transport*. Vous pouvez mélanger des noms complets et partiels de cmdlets pour personnaliser la configuration de l'enregistrement d'audit en fonction de vos besoins.

Pour auditer toutes les cmdlets, spécifiez uniquement le caractère générique (*). Il s’agit du paramètre par défaut.

En plus de spécifier quelles cmdlets doivent être enregistrées dans le journal, vous pouvez également indiquer que les cmdlets ne seront enregistrés que si certains paramètres associés sont utilisés. Utilisez le paramètre AdminAuditLogParameters pour spécifier quels paramètres doivent être enregistrés. Comme pour les cmdlets, vous pouvez spécifier les noms complets des paramètres, par exemple Database, ou utiliser des noms partiels placés entre des caractères génériques (*), tels que *Address*, ou une combinaison des deux.

Pour auditer tous les paramètres, spécifiez uniquement le caractère générique (*). Il s’agit du paramètre par défaut.

Retour au début

Par défaut, la journalisation d’audit est configurée pour stocker les entrées de journal d’audit pendant 90 jours. Une fois ce délai passé, l’entrée du journal d’audit est supprimée. Vous pouvez modifier la durée de vie du journal d’audit à l’aide du paramètre AdminAuditLogAgeLimit. Par exemple, pour définir la durée de vie sur 180 jours, utilisez la commande Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 180. Vous pouvez également spécifier le nombre de jours, d’heures, de minutes et de secondes correspondant à la durée de conservation des entrées de journal d’audit. Pour spécifier une valeur, utilisez le format dd.hh:mm:ss :

  • jj   Le nombre de jours durant lesquels conserver l'entrée du journal d'audit.

  • hh   Le nombre d'heures durant lesquelles conserver l'entrée du journal d'audit.

  • mm   Le nombre de minutes durant lesquelles conserver l'entrée du journal d'audit.

  • ss   Le nombre de secondes durant lesquelles conserver l'entrée du journal d'audit.

Vous devez spécifier plusieurs années à l’aide du champ dd. Par exemple, 365 jours correspondent à une année, 730 jours à deux ans, 913 jours à deux ans et six mois. Par exemple, pour définir la durée de vie du journal d’audit sur deux ans et six mois, utilisez la valeur 913.

CautionAttention :
Vous pouvez définir la durée de vie du journal d’audit de l’administrateur sur une valeur inférieure à la durée de vie actuelle. Ainsi, toutes les entrées du journal d’audit dont la durée de vie dépasse la nouvelle durée de vie seront supprimées.
Si vous définissez la durée de vie sur 0, Exchange supprimera toutes les entrées dans le journal d'audit.
Nous vous conseillons d’attribuer les autorisations pour configurer la durée de vie du journal d’audit uniquement aux utilisateurs de confiance.

Retour au début

Par défaut, le journal d’audit de l’administrateur ne consigne que le nom de la cmdlet, les paramètres de la cmdlet (et les valeurs spécifiées), l’objet qui a été modifié, le nom de l’utilisateur qui a exécuté la cmdlet, l’heure d’exécution de la cmdlet et le serveur sur lequel elle a été exécutée. Le journal d’audit de l’administrateur ne consigne pas les propriétés de l’objet qui ont été modifiées. Si vous souhaitez inclure les propriétés modifiées de l’objet dans le journal d’audit, vous pouvez activer la journalisation des informations détaillées en définissant le paramètre LogLevel sur Verbose. Lorsque vous activez la journalisation des informations détaillées, en plus des informations consignées par défaut, les propriétés modifiées d’un objet, notamment leurs anciennes et nouvelles valeurs, sont incluses dans le journal d’audit.

Les cmdlets qui commencent par le verbe Test ne sont pas consignées par défaut. Vous pouvez indiquer que les cmdlets Test doivent être consignées en définissant le paramètre TestCmdletLoggingEnabled sur $true. Même si vous pouvez activer la journalisation des cmdlets de test, nous vous recommandons de ne le faire que sur de courtes périodes, car elles peuvent générer un nombre important d’entrées de journal.

Retour au début

Chaque fois qu’une cmdlet est consignée, une entrée de journal d’audit est créée. Les entrées du journal d’audit sont stockées dans le journal d’audit de l’administrateur, lequel est stocké dans une boîte aux lettres d’arbitrage dédiée et masquée, uniquement accessible via le Centre d’administration Exchange, la cmdlet Search-AdminAuditLog ou la cmdlet New-AdminAuditLogSearch. Les sections suivantes fournissent des informations sur :

  • ce que comprend le journal d’audit de l’administrateur ;

  • les rapports disponibles sur la page Audit du Centre d’administration Exchange ;

  • les cmdlets de recherche du journal d’audit de l’administrateur.

Chaque entrée du journal d’audit contient les informations décrites dans le tableau suivant. Le journal d’audit contient une ou plusieurs entrées de journal d’audit. Le nombre d’entrées du journal d’audit est contrôlé par la durée de vie du journal d’audit spécifiée à l’aide de la commande Set-AdminAuditLogConfig -AdminAuditLogAgeLimit . Toute entrée du journal d’audit qui dépasse la durée de vie spécifiée est supprimée.

Champs d'entrée de journal d'audit

ChampDescription

RunspaceId

Ce champ est utilisé en interne par Exchange.

ObjectModified

Ce champ contient l'objet modifié par la cmdlet spécifiée dans le champ CmdletName.

CmdletName

Ce champ contient le nom de la cmdlet exécutée par l'utilisateur dans le champ Caller.

CmdletParameters

Ce champ contient les paramètres spécifiés lorsque la cmdlet dans le champ CmdletName a été exécutée. La valeur spécifiée avec le paramètre est également stockée dans ce champ, mais invisible dans la sortie par défaut, le cas échéant.

ModifiedProperties

Ce champ contient les propriétés modifiées d’un objet dans le champ ObjectModified. L’ancienne valeur de la propriété et la nouvelle valeur stockée sont également stockées dans ce champ, mais sont invisibles dans la sortie par défaut.

importantImportant :
Ce champ est uniquement renseigné si le paramètre LogLevel de la cmdlet Set-AdminAuditLogConfig est défini sur Verbose.

Caller

Ce champ contient le compte d'utilisateur de l'utilisateur qui a exécuté la cmdlet dans le champ CmdletName.

Succeeded

Ce champ indique si la cmdlet dans le champ CmdletName a été correctement exécutée. La valeur est True ou False.

Error

Ce champ contient le message d'erreur généré si la cmdlet dans le champ CmdletName n'a pas été correctement exécutée.

RunDate

Ce champ contient la date et l'heure à laquelle la cmdlet dans le champ CmdletName a été exécutée. La date et l'heure sont enregistrées au format temps universel coordonné (UTC).

OriginatingServer

Ce champ indique le serveur sur lequel la cmdlet spécifiée dans le champ CmdletName a été exécutée.

Identity

Ce champ est utilisé en interne par Exchange.

IsValid

Ce champ est utilisé en interne par Exchange.

ObjectState

Ce champ est utilisé en interne par Exchange.

Retour au début

La page Audit du CAE contient plusieurs rapports qui fournissent des informations sur différents types de modifications de configuration d’administration et de conformité. Les rapports suivants fournissent des informations sur les modifications de configuration dans votre organisation :

  • Rapport de groupe de rôles d'administrateur   Ce rapport vous permet de rechercher les modifications dans les groupes de rôles de gestion que vous spécifiez au cours d'une période. Les résultats renvoyés incluent les groupes de rôles qui ont été modifiés, par qui et leur date ainsi que les modifications qui ont été apportées. 3 000 entrées maximum peuvent être renvoyées. Si votre recherche peut renvoyer plus de 3 000 entrées, utilisez le rapport Journal d'audit de l'administrateur ou la cmdlet Search-AdminAuditLog.

  • Rapport du journal d’audit Admin   Ce rapport vous permet de vous permet d’afficher les entrées du journal d’administration d’audit enregistré dans un intervalle de temps spécifié. Vous pouvez également exporter des entrées du journal d’audit admin dans un fichier XML et envoyer le fichier par e-mail à un destinataire vous spécifiez. Pour plus d’informations sur le contenu du fichier XML, consultez Structure du journal d’audit de l’administrateur.

Pour plus d'informations sur l'utilisation de ces rapports, consultez la rubrique Rechercher les modifications des groupes de rôles ou les journaux d’audit de l’administrateur.

Retour au début

Lorsque vous exécutez la cmdlet Search-AdminAuditLog, toutes les entrées du journal d’audit qui correspondent aux critères de recherche spécifiés sont renvoyées. Vous pouvez spécifier les critères de recherche suivants :

  • Cmdlets   Spécifie les cmdlets que vous souhaitez rechercher dans le journal d’audit de l’administrateur.

  • Paramètres   Spécifie les paramètres, séparés par des virgules, que vous souhaitez rechercher dans le journal d’audit de l’administrateur. Vous ne pouvez rechercher des paramètres que si vous avez spécifié une cmdlet à rechercher.

  • Date de fin   Étend les résultats du journal d’audit de l’administrateur aux entrées du journal survenues à la date spécifiée ou avant cette date.

  • Date de début   Étend les résultats du journal d’audit de l’administrateur aux entrées du journal survenues à la date spécifiée ou après cette date.

  • Identificateurs d’objets   Précise que seules des entrées du journal d’audit de l’administrateur contenant les objets modifiés spécifiés peuvent être renvoyées.

  • Identificateurs d’utilisateurs   Précise que seules des entrées du journal d’audit de l’administrateur contenant les ID spécifiés de l’utilisateur qui a exécuté la cmdlet peuvent être renvoyées.

  • Exécution réussie   Spécifie si seules les entrées du journal d’audit de l’administrateur qui signalaient une réussite ou un échec doivent être renvoyées.

Chaque entrée de journal d’audit renvoyée contient les informations décrites dans le tableau de la rubrique Contenu des journaux d'audit. Par défaut, seules les 1 000 premières entrées de journal qui correspondent aux critères que vous spécifiez sont renvoyées. Cependant, vous pouvez annuler cette valeur par défaut et renvoyer plus ou moins d’entrées à l’aide du paramètre ResultSize. Vous pouvez spécifier une valeur de Unlimited avec le paramètre ResultSize pour renvoyer toutes les entrées de journal correspondant aux critères spécifiés.

Pour obtenir des informations sur l'utilisation de la cmdlet Search-AdminAuditLog, consultez la rubrique Rechercher les modifications des groupes de rôles ou les journaux d’audit de l’administrateur.

Retour au début

La cmdlet New-AdminAuditLogSearch effectue des recherches dans le journal d’audit de l’administrateur tout comme la cmdlet Search-AdminAuditLog. Cependant, au lieu d’afficher les résultats de la recherche dans l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell, la cmdlet New-AdminAuditLogSearch effectue la recherche, puis envoie les résultats par courrier électronique au destinataire spécifié. Les résultats sont inclus en tant que pièce jointe XML dans le message électronique.

Vous pouvez utiliser les mêmes critères de recherche avec la cmdlet New-AdminAuditLogSearch que ceux utilisés avec la cmdlet Search-AdminAuditLog. Pour obtenir la liste des critères de recherche, consultez la rubrique Search-AdminAuditLog Cmdlet.

Après exécution de la cmdlet New-AdminAuditLogSearch, Exchange peut prendre jusqu’à 15 minutes pour remettre le rapport au destinataire spécifié. Le rapport au format XML joint peut avoir une taille maximale de 10 Mo. Le fichier XML contient les mêmes informations décrites dans le tableau de la rubrique Contenu des journaux d'audit. Pour plus d’informations sur la structure du fichier XML, consultez la rubrique Structure du journal d’audit de l’administrateur.

noteRemarque :
Outlook Web App ne vous permet pas d’ouvrir des pièces jointes au format XML par défaut. Vous pouvez soit configurer Exchange de façon à autoriser l’affichage des pièces jointes au format XML à l’aide d’Outlook Web App, soit utiliser un autre client de messagerie électronique, tel que Microsoft Outlook, de façon à afficher la pièce jointe. Pour plus d’informations sur la configuration d’Outlook Web App afin de permettre l’affichage d’une pièce jointe au format XML, consultez la rubrique Afficher ou configurer les répertoires virtuels Outlook sur le web dans Exchange 2016.

Pour des informations sur l'utilisation de la cmdlet New-AdminAuditLogSearch, consultez la rubrique Rechercher les modifications des groupes de rôles ou les journaux d’audit de l’administrateur.

Retour au début

En plus d’enregistrer les cmdlets Exchange lorsqu’elles sont exécutées, Exchange 2016 vous permet d’écrire manuellement des entrées de journal dans le journal d’audit. Exchange 2016 prend en charge cette fonctionnalité à l’aide de la cmdlet Write-AdminAuditLog . Les situations dans lesquelles vous devrez ajouter manuellement une entrée de journal sont les suivantes :

  • Entrée et sortie de script personnalisé

  • Informations de contrôle de modification

  • Heures de début et de fin de maintenance

À l’aide de la cmdlet Write-AdminAuditLog , vous spécifiez une chaîne de texte à inclure dans le journal d’audit à l’aide du paramètre Comment. Le paramètre Comment accepte une chaîne alphanumérique comportant jusqu’à 500 caractères. Les informations incluses dans l’entrée de journal manuelle et la chaîne de commentaire sont exactement les mêmes que celles enregistrées avec une cmdlet Exchange. Pour une description de chaque champ du journal d’audit, consultez le tableau dans Contenu des journaux d'audit.

Vous pouvez extraire les entrées manuelles du journal d’audit de la même manière que n’importe quelle autre entrée à l’aide de la page Audit du Centre d’administration Exchange ou des cmdlets Search-AdminAuditLog ou New-AdminAuditLogSearch.

Pour afficher le contenu du paramètre Comment sur la cmdlet Write-AdminAuditLog dans une entrée de journal d'audit manuelle, consultez la rubrique Rechercher les modifications des groupes de rôles ou les journaux d’audit de l’administrateur.

Retour au début

L’enregistrement d’audit par un administrateur s’appuie sur la réplication Active Directory pour répliquer les paramètres de configuration que vous spécifiez pour les contrôleurs de domaine de votre organisation. Selon vos paramètres de réplication, les modifications que vous apportez ne prendront peut-être pas immédiatement effet sur l’ensemble des serveurs Exchange de votre organisation.

L’agent d’extension de la cmdlet intégré au journal d’audit de l’administrateur consigne les opérations des cmdlets dans Exchange 2016. Cet agent lit la configuration de la journalisation d’audit, puis effectue une évaluation de chaque cmdlet exécutée dans votre organisation. Si le critère que vous avez spécifié dans la configuration du journal d’audit de l’administrateur correspond à la cmdlet exécutée, l’agent génère une entrée de journal d’audit.

L’agent du journal d’audit de l’administrateur est activé par défaut pour que la journalisation d’audit puisse fonctionner. Il ne peut pas être désactivé et sa priorité ne peut pas être modifiée. Pour plus d’informations sur les agents d’extension de cmdlet, consultez la rubrique Agents d’extension des cmdlets.

Retour au début

 
Afficher: