Comment utiliser la journalisation d’audit administrateur dans Exchange Server
Vous pouvez utiliser la journalisation d’audit de l’administrateur dans Exchange Server pour journaliser lorsqu’un utilisateur ou un administrateur apporte une modification dans votre organisation. En conservant un journal des modifications, vous pouvez suivre les modifications jusqu’à la personne qui les a effectuées, renforcer vos journaux de modifications avec des enregistrements détaillés de la modification telle qu’elle a été mise en place, vous conformer aux exigences et demandes réglementaires sur les découvertes et bien plus.
Par défaut, la journalisation de l’audit administrateur est activée dans les nouvelles installations de Exchange Server.
Ce qui est analysé
Les cmdlets exécutées directement dans l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell sont auditées. De plus, les opérations effectuées à l'aide du Centre d'administration Exchange (CAE) sont également consignées, car elles exécutent des cmdlets en arrière-plan.
Les cmdlets, quel que soit l'endroit où elles sont exécutées, font l'objet d'un audit si une cmdlet figure sur la liste d'audits des cmdlets et si au moins un paramètre de cette cmdlet figure sur la liste d'audits des paramètres. L'enregistrement d'audit permet de montrer quelles actions ont été effectuées pour modifier des objets dans une organisation Exchange plutôt que de montrer les objets consultés.
Remarques :
Une cmdlet peut ne pas être enregistrée si une erreur s'est produite avant que la cmdlet appelle l'agent d'extension du journal d'audit d'administration. Si une erreur se produit après l'appel de l'agent du journal d'audit d'administration, la cmdlet, ainsi que l'erreur qui lui est associée, est enregistrée. Pour plus d’informations, consultez la section Administration Agent de journal d’audit plus loin dans cette rubrique.
Les modifications apportées à la configuration du journal d'audit sont actualisées toutes les 60 minutes sur les ordinateurs ayant l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell ouvert au moment où la configuration est modifiée. Si vous souhaitez appliquer les modifications immédiatement, fermez et rouvrez l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell sur chaque ordinateur.
Une commande peut prendre jusqu’à 15 minutes après son exécution pour apparaître dans les résultats de recherche du journal d’audit. Cela est dû au fait que les entrées du journal d’audit doivent être indexées avant de pouvoir faire l’objet d’une recherche. Si aucune commande n’apparaît dans le journal d’audit de l’administrateur, patientez quelques minutes et réexécutez la recherche.
Configuration de la journalisation d’audit de l’administrateur
Par défaut, lorsque la journalisation de l’audit administrateur est activée, une entrée de journal est créée chaque fois qu’une applet de commande est exécutée. Si vous ne souhaitez pas auditer chaque cmdlet, vous pouvez configurer la journalisation d'audit en la limitant aux cmdlets et paramètres de votre choix. La cmdlet Set-AdminAuditLogConfig vous permet de configurer la journalisation d'audit. Les paramètres référencés dans les sections suivantes sont utilisés avec cette cmdlet.
Importante
Les modifications apportées à la configuration de la journalisation d'audit de l'administrateur sont toujours consignées, que la cmdlet Set-AdminAuditLogConfig figure dans la liste des cmdlets auditées ou non et que la journalisation d'audit soit activée ou non.
Lorsqu'une commande est exécutée, Exchange inspecte la cmdlet utilisée. Si l’applet de commande exécutée correspond à l’une des applets de commande fournies avec le paramètre AdminAuditLogCmdlets , Exchange vérifie ensuite les paramètres spécifiés dans le paramètre AdminAuditLogParameters . Si au moins un paramètre de la liste des paramètres correspond, Exchange enregistre la cmdlet exécutée. Les sections suivantes contiennent d'autres informations sur chaque aspect de la configuration de la journalisation d'audit.
Pour plus d'informations sur la gestion de la configuration de la journalisation d'audit, consultez la rubrique Gestion de la journalisation d'audit de l'administrateur.
Cmdlets
Vous pouvez contrôler quelles cmdlets sont auditées en fournissant une liste de cmdlets et leurs paramètres associés que vous souhaitez enregistrer. Lorsque vous configurez la journalisation d'audit, vous pouvez opter pour un audit de chaque cmdlet ou désigner des cmdlets spécifiques à vérifier à l'aide du paramètre AdminAuditLogCmdlets. Vous pouvez spécifier des noms complets d’applet de commande, tels que New-Mailbox, ou spécifier des noms d’applet de commande partiels et les inclure dans des caractères génériques, tels qu’un astérisque (*). Par exemple, si vous souhaitez journaliser l’exécution d’une applet de *Transport*commande contenant la chaîneTransport, vous pouvez spécifier la valeur . Vous pouvez mélanger des noms complets et partiels de cmdlets pour personnaliser la configuration de l'enregistrement d'audit en fonction de vos besoins.
Pour auditer toutes les cmdlets, spécifiez uniquement le caractère générique (*). Il s’agit du paramètre par défaut.
Parameters
En plus de spécifier quelles cmdlets doivent être enregistrées dans le journal, vous pouvez également indiquer que les cmdlets ne seront enregistrés que si certains paramètres associés sont utilisés. Utilisez le paramètre AdminAuditLogParameters pour spécifier quels paramètres doivent être enregistrés. Comme avec les applets de commande, vous pouvez spécifier des noms de paramètres complets, tels que Database, ou des noms de paramètres partiels entourés de caractères génériques (*), tels que *Address*, ou une combinaison des deux.
Pour auditer tous les paramètres, spécifiez uniquement le caractère générique (*). Il s’agit du paramètre par défaut.
Durée de vie du journal d’audit de l’administrateur
Par défaut, la journalisation d’audit est configurée pour stocker les entrées de journal d’audit pendant 90 jours. Une fois ce délai passé, l’entrée du journal d’audit est supprimée. Vous pouvez modifier la durée de vie du journal d’audit à l’aide du paramètre AdminAuditLogAgeLimit. Par exemple, pour modifier la limite d’âge à 180 jours, utilisez la commande Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 180. Vous pouvez également spécifier le nombre de jours, d’heures, de minutes et de secondes correspondant à la durée de conservation des entrées de journal d’audit. Pour spécifier une valeur, utilisez le format dd.hh:mm:ss suivant :
dd : nombre de jours pendant lesquels conserver l’entrée du journal d’audit.
hh : nombre d’heures pendant lesquelles conserver l’entrée du journal d’audit.
mm : nombre de minutes pendant lesquelles conserver l’entrée du journal d’audit.
ss : nombre de secondes pendant lesquelles conserver l’entrée du journal d’audit.
Vous devez spécifier plusieurs années à l’aide du dd champ . Par exemple, 365 jours correspondent à une année, 730 jours à deux ans, 913 jours à deux ans et six mois. Par exemple, pour définir la limite d’âge du journal d’audit sur deux ans et six mois, utilisez la valeur 913.
Remarques :
Vous pouvez définir la durée de vie du journal d’audit de l’administrateur sur une valeur inférieure à la durée de vie actuelle. Ainsi, toutes les entrées du journal d’audit dont la durée de vie dépasse la nouvelle durée de vie seront supprimées.
Si vous définissez la limite d’âge sur 0, Exchange supprime toutes les entrées dans le journal d’audit.
Nous vous conseillons d’attribuer les autorisations pour configurer la durée de vie du journal d’audit uniquement aux utilisateurs de confiance.
Journalisation des informations détaillées
Par défaut, le journal d’audit de l’administrateur ne consigne que le nom de la cmdlet, les paramètres de la cmdlet (et les valeurs spécifiées), l’objet qui a été modifié, le nom de l’utilisateur qui a exécuté la cmdlet, l’heure d’exécution de la cmdlet et le serveur sur lequel elle a été exécutée. Le journal d'audit de l'administrateur ne consigne pas les propriétés de l'objet qui ont été modifiées. Si vous souhaitez que le journal d’audit de l’administrateur inclue également les propriétés de l’objet qui ont été modifiés, vous pouvez activer la journalisation détaillée en définissant le paramètre LogLevel sur Verbose. Lorsque vous activez la journalisation des informations détaillées, en plus des informations consignées par défaut, les propriétés modifiées d’un objet, notamment leurs anciennes et nouvelles valeurs, sont incluses dans le journal d’audit.
Cmdlets de test
Les cmdlets qui commencent par le verbe Test ne sont pas consignées par défaut. Vous pouvez indiquer que les applets de commande Test doivent être journalisées en définissant le paramètre TestCmdletLoggingEnabled sur $true. Même si vous pouvez activer la journalisation des cmdlets de test, nous vous recommandons de ne le faire que sur de courtes périodes, car elles peuvent générer un nombre important d’entrées de journal.
Journal d’audit de l’administrateur
Chaque fois qu’une cmdlet est consignée, une entrée de journal d’audit est créée. Les entrées du journal d'audit sont stockées dans le journal d'audit de l'administrateur, lequel est stocké dans une boîte aux lettres d'arbitrage dédiée et masquée, uniquement accessible via le Centre d'administration Exchange, la cmdlet Search-AdminAuditLog ou la cmdlet New-AdminAuditLogSearch. Les sections suivantes fournissent des informations sur :
ce que comprend le journal d'audit de l'administrateur ;
les rapports disponibles sur la page Audit du Centre d'administration Exchange ;
les cmdlets de recherche du journal d’audit de l’administrateur.
Contenu des journaux d'audit
Chaque entrée du journal d’audit contient les informations décrites dans le tableau suivant. Le journal d’audit contient une ou plusieurs entrées de journal d’audit. Le nombre d’entrées du journal d’audit est contrôlé par la limite d’âge du journal d’audit spécifiée à l’aide de la Set-AdminAuditLogConfig -AdminAuditLogAgeLimit commande . Toute entrée du journal d'audit qui dépasse la durée de vie spécifiée est supprimée.
Champs d'entrée de journal d'audit
| Champ | Description |
|---|---|
RunspaceId |
Ce champ est utilisé en interne par Exchange. |
ObjectModified |
Ce champ contient l’objet qui a été modifié par l’applet de commande spécifiée dans le CmdletName champ . |
CmdletName |
Ce champ contient le nom de l’applet de commande qui a été exécutée par l’utilisateur dans le Caller champ . |
CmdletParameters |
Ce champ contient les paramètres qui ont été spécifiés lors de l’exécution de l’applet de commande dans le CmdletName champ. La valeur spécifiée avec le paramètre est également stockée dans ce champ, mais invisible dans la sortie par défaut, le cas échéant. |
ModifiedProperties |
Ce champ contient les propriétés qui ont été modifiées sur l’objet dans le ObjectModified champ . L’ancienne valeur de la propriété et la nouvelle valeur stockée sont également stockées dans ce champ, mais sont invisibles dans la sortie par défaut. Important : ce champ est rempli uniquement si le paramètre LogLevel de l’applet de commande Set-AdminAuditLogConfig a la valeur verbose. |
Caller |
Ce champ contient le compte d’utilisateur de l’utilisateur qui a exécuté l’applet de commande dans le CmdletName champ . |
Succeeded |
Ce champ spécifie si l’applet de commande dans le champ s’est CmdletName exécutée avec succès. La valeur est ou TrueFalse. |
Error |
Ce champ contient le message d’erreur généré si l’applet de commande dans le CmdletName champ n’a pas pu se terminer correctement. |
RunDate |
Ce champ contient la date et l’heure d’exécution de l’applet de commande dans le CmdletName champ. La date et l'heure sont enregistrées au format temps universel coordonné (UTC). |
OriginatingServer |
Ce champ indique le serveur sur lequel l’applet de commande spécifiée dans le CmdletName champ a été exécutée. |
Identity |
Ce champ est utilisé en interne par Exchange. |
IsValid |
Ce champ est utilisé en interne par Exchange. |
ObjectState |
Ce champ est utilisé en interne par Exchange. |
Rapports d'audit du Centre d'administration Exchange (CAE)
La page Audit du CAE contient plusieurs rapports qui fournissent des informations sur différents types de modifications de configuration d’administration et de conformité. Les rapports suivants fournissent des informations sur les modifications de configuration dans votre organisation :
Rapport de groupe de rôles Administrateur : ce rapport vous permet de rechercher les modifications apportées aux groupes de rôles d’administration que vous spécifiez dans un délai spécifié. Les résultats renvoyés incluent les groupes de rôles qui ont été modifiés, par qui et leur date ainsi que les modifications qui ont été apportées. 3 000 entrées maximum peuvent être renvoyées. Si votre recherche peut renvoyer plus de 3 000 entrées, utilisez le rapport Journal d'audit de l'administrateur ou la cmdlet Search-AdminAuditLog.
Administration rapport du journal d’audit : ce rapport vous permet d’afficher les entrées du journal d’audit administrateur enregistrées dans un délai spécifié. Vous pouvez également exporter les entrées du journal vers un fichier XML, puis envoyer ce dernier par courrier électronique à un destinataire donné. Pour plus d'informations sur le contenu du fichier XML, consultez la rubrique Structure du journal d'audit de l'administrateur.
Pour plus d’informations sur l’utilisation de ces rapports, consultez Rechercher dans les modifications du groupe de rôles ou dans les journaux d’audit de l’administrateur.
Cmdlet Search-AdminAuditLog
Lorsque vous exécutez la cmdlet Search-AdminAuditLog, toutes les entrées du journal d'audit qui correspondent aux critères de recherche spécifiés sont renvoyées. Vous pouvez spécifier les critères de recherche suivants :
Applets de commande : spécifie les applets de commande que vous souhaitez rechercher dans le journal d’audit de l’administrateur.
Paramètres : spécifie les paramètres, séparés par des virgules, que vous souhaitez rechercher dans le journal d’audit de l’administrateur. Vous ne pouvez rechercher des paramètres que si vous avez spécifié une cmdlet à rechercher.
Date de fin : étend les résultats du journal d’audit administrateur aux entrées de journal qui se sont produites à ou avant la date spécifiée.
Date de début : étend les résultats du journal d’audit administrateur aux entrées de journal qui se sont produites à ou après la date spécifiée.
ID d’objet : spécifie que seules les entrées du journal d’audit administrateur qui contiennent les objets modifiés spécifiés doivent être retournées.
ID utilisateur : spécifie que seules les entrées du journal d’audit de l’administrateur qui contiennent les ID spécifiés de l’utilisateur qui a exécuté l’applet de commande doivent être retournées.
Réussite de l’exécution : spécifie si seules les entrées du journal d’audit de l’administrateur qui ont indiqué un succès ou un échec doivent être retournées.
Chaque entrée de journal d’audit renvoyée contient les informations décrites dans le tableau de la rubrique Contenu des journaux d’audit. Par défaut, seules les 1 000 premières entrées de journal qui correspondent aux critères que vous spécifiez sont renvoyées. Cependant, vous pouvez annuler cette valeur par défaut et renvoyer plus ou moins d’entrées à l’aide du paramètre ResultSize. Vous pouvez spécifier une valeur de Unlimited avec le paramètre ResultSize pour retourner toutes les entrées de journal qui correspondent aux critères spécifiés.
Pour plus d’informations sur l’utilisation de l’applet de commande Search-AdminAuditLog , consultez Rechercher les modifications du groupe de rôles ou les journaux d’audit de l’administrateur.
Cmdlet New-AdminAuditLogSearch
La cmdlet New-AdminAuditLogSearch effectue des recherches dans le journal d'audit de l'administrateur tout comme la cmdlet Search-AdminAuditLog. Cependant, au lieu d'afficher les résultats de la recherche dans l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell, la cmdlet New-AdminAuditLogSearch effectue la recherche, puis envoie les résultats par courrier électronique au destinataire spécifié. Les résultats sont inclus en tant que pièce jointe XML dans le message électronique.
Vous pouvez utiliser les mêmes critères de recherche avec la cmdlet New-AdminAuditLogSearch que ceux utilisés avec la cmdlet Search-AdminAuditLog. Pour obtenir la liste des critères de recherche, consultez la rubrique Cmdlet Search-AdminAuditLog.
Après exécution de la cmdlet New-AdminAuditLogSearch, Exchange peut prendre jusqu'à 15 minutes pour remettre le rapport au destinataire spécifié. Le rapport au format XML joint peut avoir une taille maximale de 10 Mo. Le fichier XML contient les mêmes informations décrites dans le tableau de la rubrique Contenu des journaux d'audit. Pour plus d'informations sur la structure du fichier XML, consultez la rubrique Structure du journal d'audit de l'administrateur.
Remarque
Outlook Web App ne vous permet pas d'ouvrir des pièces jointes au format XML par défaut. Vous pouvez soit configurer Exchange de façon à autoriser l'affichage des pièces jointes au format XML à l'aide d'Outlook Web App, soit utiliser un autre client de messagerie électronique, tel que Microsoft Outlook, de façon à afficher la pièce jointe. Pour plus d’informations sur la configuration d’Outlook Web App pour vous permettre d’afficher une pièce jointe XML, voir Afficher ou configurer Outlook sur le web répertoires virtuels dans Exchange Server.
Pour plus d’informations sur l’utilisation de l’applet de commande New-AdminAuditLogSearch , consultez Rechercher les modifications du groupe de rôles ou les journaux d’audit de l’administrateur.
Entrées manuelles du journal d’audit de l’administrateur
En plus de journaliser les applets de commande Exchange lorsqu’elles sont exécutées, Exchange Server vous permet d’écrire manuellement des entrées de journal dans le journal d’audit. Exchange Server la prend en charge à l’aide de l’applet de commande Write-AdminAuditLog. Les situations dans lesquelles vous devrez ajouter manuellement une entrée de journal sont les suivantes :
Entrée et sortie de script personnalisé
Informations de contrôle de modification
Heures de début et de fin de maintenance
Avec l’applet de commande Write-AdminAuditLog , vous spécifiez une chaîne de texte à inclure dans le journal d’audit à l’aide du paramètre Comment . Le paramètre Comment accepte une chaîne alphanumérique jusqu’à 500 caractères. Les informations incluses dans l'entrée de journal manuelle et la chaîne de commentaire sont exactement les mêmes que celles enregistrées avec une cmdlet Exchange. Pour une description de chaque champ du journal d'audit, consultez le tableau dans Contenu des journaux d'audit.
Vous pouvez extraire les entrées manuelles du journal d'audit de la même manière que n'importe quelle autre entrée à l'aide de la page Audit du Centre d'administration Exchange ou des cmdlets Search-AdminAuditLog ou New-AdminAuditLogSearch.
Pour afficher le contenu du paramètre Comment sur l’applet de commande Write-AdminAuditLog dans une entrée de journal d’audit manuelle, consultez Rechercher les modifications du groupe de rôles ou les journaux d’audit de l’administrateur.
Réplication Active Directory
L'enregistrement d'audit par un administrateur s'appuie sur la réplication Active Directory pour répliquer les paramètres de configuration que vous spécifiez pour les contrôleurs de domaine de votre organisation. Selon vos paramètres de réplication, les modifications que vous apportez ne prendront peut-être pas immédiatement effet sur l'ensemble des serveurs Exchange de votre organisation.
Agent du journal d'audit d'administration
L’agent d’extension d’applet de commande intégré Administration Audit Log effectue une journalisation d’audit administrateur des opérations d’applet de commande dans Exchange Server. Cet agent lit la configuration de la journalisation d’audit, puis effectue une évaluation de chaque cmdlet exécutée dans votre organisation. Si le critère que vous avez spécifié dans la configuration du journal d’audit de l’administrateur correspond à la cmdlet exécutée, l’agent génère une entrée de journal d’audit.
L’agent du journal d’audit de l’administrateur est activé par défaut pour que la journalisation d’audit puisse fonctionner. Il ne peut pas être désactivé et sa priorité ne peut pas être modifiée. Pour plus d'informations sur les agents d'extension de cmdlet, consultez la rubrique Cmdlet Extension Agents.