Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Journalisation d’audit de l’administrateur dans Exchange 2016

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

Sapplique à :Exchange Server 2016

Obtenir des informations sur l’audit d’administrateur consignation dans Exchange 2016, et comment vous utilisez le journal d’audit pour suivre les modifications apportées aux objets dans votre organisation Exchange.

Vous pouvez utiliser audit administrateur Exchange Server 2016 connexion pour ouvrir une session lorsqu’un utilisateur ou un administrateur effectue une modification dans votre organisation. En conservant un journal des modifications, vous pouvez suivre les modifications apportées à la personne qui a effectué la modification, augmenter vos journaux de modification avec des enregistrements détaillés de la modification, telle qu’elle a été implémentée, satisfaire aux exigences réglementaires et aux demandes de découverte et bien plus encore.

Par défaut, la journalisation d’audit de l’administrateur est activée dans les nouvelles installations d’Exchange 2016.

Les cmdlets exécutées directement dans l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell sont auditées. De plus, les opérations effectuées à l’aide du Centre d’administration Exchange (CAE) sont également consignées, car elles exécutent des cmdlets en arrière-plan.

Applets de commande, où ils sont exécuté, sont audités si une applet de commande se trouve sur l’applet de commande l’audit de la liste et un ou plusieurs paramètres sur cette applet de commande se trouvent sur la liste des paramètres d’audit. L’enregistrement d’audit est destinée à afficher les actions qui ont été prises pour modifier des objets dans une organisation Exchange plutôt que les objets qui ont été visionnés.

Remarques :

  • Une cmdlet peut ne pas être enregistrée si une erreur s'est produite avant que la cmdlet appelle l'agent d'extension du journal d'audit d'administration. Si une erreur se produit après l'appel de l'agent du journal d'audit d'administration, la cmdlet, ainsi que l'erreur qui lui est associée, est enregistrée. Pour plus d'informations, consultez la section Admin Audit Log Agent présentée ci-après dans cette rubrique.

  • Les modifications apportées à la configuration du journal d’audit sont actualisées toutes les 60 minutes sur les ordinateurs ayant l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell ouvert au moment où la configuration est modifiée. Si vous souhaitez appliquer les modifications immédiatement, fermez et rouvrez l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell sur chaque ordinateur.

  • 15 minutes peuvent être nécessaires pour qu'une commande apparaisse dans les résultats de la recherche du journal d'audit après son exécution, car les entrées du journal d'audit doivent être indexées avant que ces dernières ne puissent faire l'objet d'une recherche. Si une commande n'apparaît pas dans le journal d'audit de l'administrateur, patientez quelques minutes, puis réeffectuez la recherche.

Retour au début

Par défaut, lors de l’administration d’audit, l’enregistrement est activé, une entrée de journal est créée à chaque exécution d’une applet de commande. Si vous ne voulez pas auditer chaque applet de commande est exécutée, vous pouvez configurer l’enregistrement d’audit pour auditer uniquement les applets de commande et les paramètres que qui vous intéressent. Vous configurez l’enregistrement d’audit avec l’applet de commande Set-AdminAuditLogConfig . Les paramètres référencés dans les sections suivantes sont utilisées avec cette applet de commande.

importantImportant :
Les modifications apportées à la configuration de la journalisation d’audit de l’administrateur sont toujours consignées, que la cmdlet Set-AdminAuditLogConfig figure dans la liste des cmdlets auditées ou non et que la journalisation d’audit soit activée ou non.

Lorsqu’une commande est exécutée, Exchange inspecte la cmdlet utilisée. Si la cmdlet exécutée correspond à une des cmdlets fournies avec le paramètre AdminAuditLogCmdlets, Exchange contrôle ensuite les paramètres spécifiés dans le paramètre AdminAuditLogParameters. Si au moins un paramètre de la liste des paramètres correspond, Exchange enregistre la cmdlet exécutée. Les sections suivantes contiennent d’autres informations sur chaque aspect de la configuration de la journalisation d’audit.

Pour plus d’informations sur la gestion de la configuration de la journalisation d’audit, consultez la rubrique Gestion de la journalisation d’audit de l’administrateur.

Vous pouvez contrôler quelles cmdlets sont auditées en fournissant une liste de cmdlets et leurs paramètres associés que vous souhaitez enregistrer. Lorsque vous configurez la journalisation d'audit, vous pouvez opter pour un audit de chaque cmdlet ou désigner des cmdlets spécifiques à vérifier à l'aide du paramètre AdminAuditLogCmdlets. Vous pouvez spécifier les noms complets des cmdlets, par exemple New-Mailbox, ou les noms partiels des cmdlets et placer ces noms entre des caractères génériques tels qu'un astérisque (*). Par exemple, pour tenir le journal de chaque exécution d'une cmdlet contenant la chaîne Transport, vous pouvez spécifier une valeur de*Transport*. Vous pouvez mélanger des noms complets et partiels de cmdlets pour personnaliser la configuration de l'enregistrement d'audit en fonction de vos besoins.

Pour auditer toutes les cmdlets, spécifiez uniquement le caractère générique (*). Il s’agit du paramètre par défaut.

En plus de spécifier quelles cmdlets doivent être enregistrées dans le journal, vous pouvez également indiquer que les cmdlets ne seront enregistrés que si certains paramètres associés sont utilisés. Utilisez le paramètre AdminAuditLogParameters pour spécifier quels paramètres doivent être enregistrés. Comme pour les cmdlets, vous pouvez spécifier les noms complets des paramètres, par exemple Database, ou utiliser des noms partiels placés entre des caractères génériques (*), tels que *Address*, ou une combinaison des deux.

Pour auditer tous les paramètres, spécifiez uniquement le caractère générique (*). Il s’agit du paramètre par défaut.

Retour au début

Par défaut, la journalisation d’audit est configurée pour stocker les entrées de journal d’audit pendant 90 jours. Une fois ce délai passé, l’entrée du journal d’audit est supprimée. Vous pouvez modifier la durée de vie du journal d’audit à l’aide du paramètre AdminAuditLogAgeLimit. Par exemple, pour définir la durée de vie sur 180 jours, utilisez la commande Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 180. Vous pouvez également spécifier le nombre de jours, d’heures, de minutes et de secondes correspondant à la durée de conservation des entrées de journal d’audit. Pour spécifier une valeur, utilisez le format dd.hh:mm:ss :

  • dd: entrée de journal le nombre de jours de conservation de l’audit.

  • hh: le nombre d’heures à conserver l’audit entrée du journal.

  • mm: entrée de journal le nombre de minutes pour effectuer l’audit.

  • ss: entrée de journal le nombre de secondes à l’audit.

Vous devez spécifier plusieurs années à l’aide du champ dd. Par exemple, 365 jours correspondent à une année, 730 jours à deux ans, 913 jours à deux ans et six mois. Par exemple, pour définir la durée de vie du journal d’audit sur deux ans et six mois, utilisez la valeur 913.

Remarques :

  • Vous pouvez définir la durée de vie du journal d’audit de l’administrateur sur une valeur inférieure à la durée de vie actuelle. Ainsi, toutes les entrées du journal d’audit dont la durée de vie dépasse la nouvelle durée de vie seront supprimées.

  • Si vous définissez la durée de vie sur 0, Exchange supprimera toutes les entrées dans le journal d'audit.

  • Nous vous conseillons d’attribuer les autorisations pour configurer la durée de vie du journal d’audit uniquement aux utilisateurs de confiance.

Retour au début

Par défaut, le journal d’audit admin enregistre uniquement le nom de l’applet de commande, paramètres d’applet de commande (et les valeurs spécifiés), l’objet qui a été modifié, qui a exécuté l’applet de commande, sur le serveur de l’applet de commande a été exécutée lors de l’exécution de l’applet de commande. Le journal d’audit admin n’enregistre pas les propriétés qui ont été modifiées sur l’objet. Si vous souhaitez que le journal d’audit admin d’inclure également les propriétés de l’objet qui ont été modifiées, vous pouvez activer la journalisation détaillée en définissant le paramètre LogLevel pour Verbose. Lorsque vous activez la journalisation détaillée, en plus des informations consignées par défaut, les propriétés modifiées sur un objet, y compris leurs valeurs anciennes et nouvelles, sont incluses dans le journal d’audit admin.

Les cmdlets qui commencent par le verbe Test ne sont pas consignées par défaut. Vous pouvez indiquer que les cmdlets Test doivent être consignées en définissant le paramètre TestCmdletLoggingEnabled sur $true. Même si vous pouvez activer la journalisation des cmdlets de test, nous vous recommandons de ne le faire que sur de courtes périodes, car elles peuvent générer un nombre important d’entrées de journal.

Retour au début

Chaque fois qu’une cmdlet est consignée, une entrée de journal d’audit est créée. Les entrées du journal d’audit sont stockées dans le journal d’audit de l’administrateur, lequel est stocké dans une boîte aux lettres d’arbitrage dédiée et masquée, uniquement accessible via le Centre d’administration Exchange, la cmdlet Search-AdminAuditLog ou la cmdlet New-AdminAuditLogSearch. Les sections suivantes fournissent des informations sur :

  • ce que comprend le journal d’audit de l’administrateur ;

  • les rapports disponibles sur la page Audit du Centre d’administration Exchange ;

  • les cmdlets de recherche du journal d’audit de l’administrateur.

Chaque entrée du journal d’audit contient les informations décrites dans le tableau suivant. Le journal d’audit contient une ou plusieurs entrées de journal d’audit. Le nombre d’entrées du journal d’audit est contrôlé par la durée de vie du journal d’audit spécifiée à l’aide de la commande Set-AdminAuditLogConfig -AdminAuditLogAgeLimit . Toute entrée du journal d’audit qui dépasse la durée de vie spécifiée est supprimée.

Champs d'entrée de journal d'audit

ChampDescription

RunspaceId

Ce champ est utilisé en interne par Exchange.

ObjectModified

Ce champ contient l'objet modifié par la cmdlet spécifiée dans le champ CmdletName.

CmdletName

Ce champ contient le nom de la cmdlet exécutée par l'utilisateur dans le champ Caller.

CmdletParameters

Ce champ contient les paramètres spécifiés lorsque la cmdlet dans le champ CmdletName a été exécutée. La valeur spécifiée avec le paramètre est également stockée dans ce champ, mais invisible dans la sortie par défaut, le cas échéant.

ModifiedProperties

Ce champ contient des propriétés qui ont été modifiées sur l’objet dans le champ ObjectModified . Également stocké dans ce champ, mais pas le sont visibles dans la sortie par défaut, l’ancienne valeur de la propriété et la nouvelle valeur qui a été stockée.

Important: ce champ est renseigné uniquement si le paramètre LogLevel sur l’applet de commande Set-AdminAuditLogConfig est défini sur Verbose.

Caller

Ce champ contient le compte d'utilisateur de l'utilisateur qui a exécuté la cmdlet dans le champ CmdletName.

Succeeded

Ce champ indique si la cmdlet dans le champ CmdletName a été correctement exécutée. La valeur est True ou False.

Error

Ce champ contient le message d'erreur généré si la cmdlet dans le champ CmdletName n'a pas été correctement exécutée.

RunDate

Ce champ contient la date et l'heure à laquelle la cmdlet dans le champ CmdletName a été exécutée. La date et l'heure sont enregistrées au format temps universel coordonné (UTC).

OriginatingServer

Ce champ indique le serveur sur lequel la cmdlet spécifiée dans le champ CmdletName a été exécutée.

Identity

Ce champ est utilisé en interne par Exchange.

IsValid

Ce champ est utilisé en interne par Exchange.

ObjectState

Ce champ est utilisé en interne par Exchange.

Retour au début

La page Audit du CAE contient plusieurs rapports qui fournissent des informations sur différents types de modifications de configuration d’administration et de conformité. Les rapports suivants fournissent des informations sur les modifications de configuration dans votre organisation :

  • Rapport de groupe de rôles d'administrateur   Ce rapport vous permet de rechercher les modifications dans les groupes de rôles de gestion que vous spécifiez au cours d'une période. Les résultats renvoyés incluent les groupes de rôles qui ont été modifiés, par qui et leur date ainsi que les modifications qui ont été apportées. 3 000 entrées maximum peuvent être renvoyées. Si votre recherche peut renvoyer plus de 3 000 entrées, utilisez le rapport Journal d'audit de l'administrateur ou la cmdlet Search-AdminAuditLog.

  • Rapport du journal d’audit Admin   Ce rapport vous permet de vous permet d’afficher les entrées du journal d’administration d’audit enregistré dans un intervalle de temps spécifié. Vous pouvez également exporter des entrées du journal d’audit admin dans un fichier XML et envoyer le fichier par e-mail à un destinataire vous spécifiez. Pour plus d’informations sur le contenu du fichier XML, consultez Structure du journal d’audit de l’administrateur.

Pour plus d'informations sur l'utilisation de ces rapports, consultez la rubrique Rechercher les modifications des groupes de rôles ou les journaux d’audit de l’administrateur.

Retour au début

Lorsque vous exécutez la cmdlet Search-AdminAuditLog, toutes les entrées du journal d’audit qui correspondent aux critères de recherche spécifiés sont renvoyées. Vous pouvez spécifier les critères de recherche suivants :

  • Applets de commande: Spécifie les applets de commande que vous souhaitez rechercher dans le journal d’audit d’admin.

  • Paramètres: Spécifie les paramètres, séparés par des virgules, vous souhaitez rechercher dans le journal d’audit d’admin. Vous ne pouvez rechercher des paramètres que si vous spécifiez une applet de commande pour rechercher.

  • Date de fin: étendues de l’audit d’administration consigner les résultats pour consigner les entrées qui s’est produite à ou avant la date spécifiée.

  • Date de début: étendues de l’audit d’administration consigner les résultats pour consigner les entrées qui ont eu lieu à ou après la date spécifiée.

  • ID d’objet: Spécifie qu’uniquement administrateur d’audit entrées du journal qui contiennent les objets modifiés spécifiés doivent être retournées.

  • ID utilisateur: Spécifie que seuls les admin entrées d’audit journal contenant les identificateurs spécifiés de l’utilisateur qui a exécuté l’applet de commande doivent être renvoyées.

  • Réussite: Spécifie si seules admin d’audit les écritures journal indiquant le succès ou l’échec doivent être retournés.

Chaque entrée de journal d’audit renvoyée contient les informations décrites dans le tableau de la rubrique Contenu des journaux d'audit. Par défaut, seules les 1 000 premières entrées de journal qui correspondent aux critères que vous spécifiez sont renvoyées. Cependant, vous pouvez annuler cette valeur par défaut et renvoyer plus ou moins d’entrées à l’aide du paramètre ResultSize. Vous pouvez spécifier une valeur de Unlimited avec le paramètre ResultSize pour renvoyer toutes les entrées de journal correspondant aux critères spécifiés.

Pour obtenir des informations sur l'utilisation de la cmdlet Search-AdminAuditLog, consultez la rubrique Rechercher les modifications des groupes de rôles ou les journaux d’audit de l’administrateur.

Retour au début

La cmdlet New-AdminAuditLogSearch effectue des recherches dans le journal d’audit de l’administrateur tout comme la cmdlet Search-AdminAuditLog. Cependant, au lieu d’afficher les résultats de la recherche dans l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell, la cmdlet New-AdminAuditLogSearch effectue la recherche, puis envoie les résultats par courrier électronique au destinataire spécifié. Les résultats sont inclus en tant que pièce jointe XML dans le message électronique.

Vous pouvez utiliser les mêmes critères de recherche avec la cmdlet New-AdminAuditLogSearch que ceux utilisés avec la cmdlet Search-AdminAuditLog. Pour obtenir la liste des critères de recherche, consultez la rubrique Search-AdminAuditLog Cmdlet.

Après exécution de la cmdlet New-AdminAuditLogSearch, Exchange peut prendre jusqu’à 15 minutes pour remettre le rapport au destinataire spécifié. Le rapport au format XML joint peut avoir une taille maximale de 10 Mo. Le fichier XML contient les mêmes informations décrites dans le tableau de la rubrique Contenu des journaux d'audit. Pour plus d’informations sur la structure du fichier XML, consultez la rubrique Structure du journal d’audit de l’administrateur.

noteRemarque :
Outlook Web App ne vous permet pas d’ouvrir des pièces jointes au format XML par défaut. Vous pouvez soit configurer Exchange de façon à autoriser l’affichage des pièces jointes au format XML à l’aide d’Outlook Web App, soit utiliser un autre client de messagerie électronique, tel que Microsoft Outlook, de façon à afficher la pièce jointe. Pour plus d’informations sur la configuration d’Outlook Web App afin de permettre l’affichage d’une pièce jointe au format XML, consultez la rubrique Afficher ou configurer les répertoires virtuels Outlook sur le web dans Exchange 2016.

Pour des informations sur l'utilisation de la cmdlet New-AdminAuditLogSearch, consultez la rubrique Rechercher les modifications des groupes de rôles ou les journaux d’audit de l’administrateur.

Retour au début

En plus d’enregistrer les cmdlets Exchange lorsqu’elles sont exécutées, Exchange 2016 vous permet d’écrire manuellement des entrées de journal dans le journal d’audit. Exchange 2016 prend en charge cette fonctionnalité à l’aide de la cmdlet Write-AdminAuditLog . Les situations dans lesquelles vous devrez ajouter manuellement une entrée de journal sont les suivantes :

  • Entrée et sortie de script personnalisé

  • Informations de contrôle de modification

  • Heures de début et de fin de maintenance

À l’aide de la cmdlet Write-AdminAuditLog , vous spécifiez une chaîne de texte à inclure dans le journal d’audit à l’aide du paramètre Comment. Le paramètre Comment accepte une chaîne alphanumérique comportant jusqu’à 500 caractères. Les informations incluses dans l’entrée de journal manuelle et la chaîne de commentaire sont exactement les mêmes que celles enregistrées avec une cmdlet Exchange. Pour une description de chaque champ du journal d’audit, consultez le tableau dans Contenu des journaux d'audit.

Vous pouvez extraire les entrées manuelles du journal d’audit de la même manière que n’importe quelle autre entrée à l’aide de la page Audit du Centre d’administration Exchange ou des cmdlets Search-AdminAuditLog ou New-AdminAuditLogSearch.

Pour afficher le contenu du paramètre Comment sur la cmdlet Write-AdminAuditLog dans une entrée de journal d'audit manuelle, consultez la rubrique Rechercher les modifications des groupes de rôles ou les journaux d’audit de l’administrateur.

Retour au début

L’enregistrement d’audit par un administrateur s’appuie sur la réplication Active Directory pour répliquer les paramètres de configuration que vous spécifiez pour les contrôleurs de domaine de votre organisation. Selon vos paramètres de réplication, les modifications que vous apportez ne prendront peut-être pas immédiatement effet sur l’ensemble des serveurs Exchange de votre organisation.

L’agent d’extension de la cmdlet intégré au journal d’audit de l’administrateur consigne les opérations des cmdlets dans Exchange 2016. Cet agent lit la configuration de la journalisation d’audit, puis effectue une évaluation de chaque cmdlet exécutée dans votre organisation. Si le critère que vous avez spécifié dans la configuration du journal d’audit de l’administrateur correspond à la cmdlet exécutée, l’agent génère une entrée de journal d’audit.

L’agent du journal d’audit de l’administrateur est activé par défaut pour que la journalisation d’audit puisse fonctionner. Il ne peut pas être désactivé et sa priorité ne peut pas être modifiée. Pour plus d’informations sur les agents d’extension de cmdlet, consultez la rubrique Agents d’extension des cmdlets.

Retour au début

 
Afficher: