Afficher le journal d’audit de l’administrateur dans Exchange Online
Remarque
Le centre d’administration Exchange classique est en train d’être déprécié dans le déploiement mondial. Nous vous recommandons d’effectuer une recherche dans le journal d’audit dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Dépréciation du centre d’administration Exchange classique dans le service WW et Rechercher dans le journal d’audit dans le portail de conformité.
Dans les organisations Exchange Online ou les organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, vous pouvez utiliser le Centre d’administration Exchange (EAC) ou PowerShell pour rechercher et afficher des entrées dans le journal d’audit de l’administrateur.
Le journal d’audit de l’administrateur enregistre des actions spécifiques, basées sur Exchange Online PowerShell ou des applets de commande PowerShell autonomes Exchange Online Protection, effectuées par les administrateurs et les utilisateurs auxquels des privilèges d’administration ont été attribués. Les entrées du journal d’audit de l’administrateur vous fournissent des informations sur l’applet de commande exécutée, les paramètres utilisés, qui a exécuté l’applet de commande et les objets affectés.
Remarques :
- Administration journalisation d’audit est activée par défaut et vous ne pouvez pas la désactiver.
- Le journal d’audit de l’administrateur n’enregistre pas les actions basées sur des applets de commande qui commencent par les verbes Get, Search ou Test.
- Lorsqu'une modification est apportée à votre organisation, cela peut prendre jusqu'à 15 minutes avant qu'elle n'apparaisse dans les résultats de recherche du journal d'audit. Si aucune modification n’apparaît dans le journal d’audit de l’administrateur, patientez quelques minutes et réexécutez la recherche.
- Les entrées du journal d'audit sont conservées pendant 90 jours. Lorsqu'une entrée remonte à plus de 90 jours, elle est supprimée.
Ce qu'il faut savoir avant de commencer
Pour ouvrir le Centre d’administration Exchange (EAC), consultez Centre d’administration Exchange dans Exchange Online.
Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell. Pour vous connecter à Exchange Online Protection PowerShell autonome, consultez Se connecter à Exchange Online Protection PowerShell.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Affichage seul de la journalisation de l’audit de l’administrateur » dans la rubrique Autorisations des fonctionnalités dans Exchange Online rubrique.
Pour plus d’informations sur les raccourcis clavier qui peuvent s’appliquer aux procédures décrites dans cet article, voir Raccourcis clavier pour le Centre d’administration Exchange dans Exchange Online.
Conseil
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums à Exchange Online ou Exchange Online Protection.
Utiliser le Centre d’administration Exchange pour afficher le journal d’audit de l’administrateur
Dans le CENTRE d’administration Exchange, accédez àAuditde gestion de> la conformité, puis choisissez Exécuter le rapport du journal d’audit de l’administrateur.
Dans la page Rechercher les modifications apportées aux groupes de rôles d’administrateur qui s’ouvre, choisissez une date de début et une date de fin (la plage par défaut correspond aux deux dernières semaines), puis choisissez Rechercher. Toutes les modifications de configuration effectuées pendant la période spécifiée sont affichées et peuvent être triées, avec les informations suivantes :
Date : date et heure auxquelles la modification de configuration a été apportée. La date et l'heure sont enregistrées au format temps universel coordonné (UTC).
Applet de commande : nom de l’applet de commande utilisée pour apporter la modification de configuration.
Utilisateur : nom du compte d’utilisateur de l’utilisateur qui a apporté la modification de configuration.
Jusqu’à 5 000 entrées peuvent s’afficher sur plusieurs pages. Si vous devez affiner vos résultats, spécifiez une plage de dates plus courte. Si vous sélectionnez un seul résultat de recherche, l'information supplémentaire suivante s'affiche dans le volet de détails :
Objet modifié : objet qui a été modifié par l’applet de commande .
Parameters (Parameter:Value) : paramètres d’applet de commande qui ont été utilisés et toute valeur spécifiée avec le paramètre .
Si vous souhaitez imprimer une entrée du journal d'audit spécifique, choisissez le bouton Imprimer dans le volet de détails.
Utiliser PowerShell pour afficher le journal d’audit de l’administrateur
Vous pouvez utiliser Exchange Online PowerShell ou Exchange Online Protection PowerShell autonome pour rechercher des entrées de journal d’audit qui répondent aux critères que vous spécifiez. Utilisez la syntaxe suivante :
Search-AdminAuditLog [-Cmdlets <Cmdlet1,Cmdlet2,...CmdletN>] [-Parameters <Parameter1,Parameter2,...ParameterN>] [-StartDate <UTCDateTime>] [-EndDate <UTCDateTime>] [-UserIds <"User1","User2",..."UserN">] [-ObjectIds <"Object1","Object2",..."ObjectN">] [-IsSuccess <$true | $false>]
Remarques :
Vous pouvez uniquement utiliser le paramètre Parameters avec le paramètre Cmdlets .
Le paramètre ObjectIds filtre les résultats en fonction de l’objet qui a été modifié par l’applet de commande . Une valeur valide dépend de la façon dont l’objet est représenté dans le journal d’audit. Par exemple :
- Nom
- Nom unique canonique (par exemple, contoso.com/Users/Akia Al-Zuhairi)
Vous devrez probablement utiliser d’autres paramètres de filtrage sur cette applet de commande pour affiner les résultats et identifier les types d’objets qui vous intéressent.
Le paramètre UserIds filtre les résultats par l’utilisateur qui a effectué la modification (qui a exécuté l’applet de commande).
Pour les paramètres StartDate et EndDate , si vous spécifiez une valeur de date/heure sans fuseau horaire, la valeur est en temps universel coordonné (UTC). Pour spécifier une valeur date/heure pour ce paramètre, utilisez l’une des options suivantes :
- Spécifier la valeur de date/heure au format UTC : par exemple, "06/05/2016 14:30:00z".
- Spécifiez la valeur de date/heure en tant que formule qui convertit la date/heure de votre fuseau horaire local au format UTC : par exemple,
(Get-Date "5/6/2016 9:30 AM").ToUniversalTime()
. Pour plus d’informations, consultez Get-Date.
L’applet de commande retourne un maximum de 1 000 entrées de journal par défaut. Utilisez le paramètre ResultSize pour spécifier jusqu’à 250 000 entrées de journal. Vous pouvez également utiliser la valeur
Unlimited
pour renvoyer toutes les entrées.
Cet exemple effectue une recherche portant sur toutes les entrées du journal d'audit avec les critères suivants :
- Date de début : 4 août 2019
- Date de fin : 3 octobre 2019
- Applets de commande : Update-RoleGroupMember
Search-AdminAuditLog -Cmdlets Update-RoleGroupMember -StartDate (Get-Date "08/04/2019").ToUniversalTime() -EndDate (Get-Date "10/03/2019").ToUniversalTime()
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Search-AdminAuditLog.
Afficher le détail des entrées du journal d’audit
L’applet de commande Search-AdminAuditLog retourne les champs décrits dans la section Contenu du journal d’audit plus loin dans cet article. Parmi les champs retournés par l’applet de commande, deux champs, CmdletParameters et ModifiedProperties, contiennent des informations supplémentaires qui ne sont pas retournées par défaut.
Pour afficher le contenu des champs CmdletParameters et ModifiedProperties, suivez la procédure ci-après.
Déterminez les critères sur lesquels doivent porter vos recherches, exécutez la cmdlet Search-AdminAuditLog et stockez les résultats dans une variable au moyen de la commande suivante.
$Results = Search-AdminAuditLog <search criteria>
Chaque entrée de journal d’audit est stockée en tant qu’élément de tableau dans la variable
$Results
. Vous pouvez sélectionner un élément de tableau en précisant son index. Les index des éléments de tableau commencent à zéro (0) pour le premier élément du tableau. Par exemple, pour extraire le cinquième élément de tableau dont l'index est 4, utilisez la commande suivante.$Results[4]
La commande précédente renvoie l'entrée du journal stockée dans l'élément de tableau 4. Pour afficher le contenu des champs CmdletParameters et ModifiedProperties pour cette entrée du journal, utilisez les commandes suivantes.
$Results[4].CmdletParameters $Results[4].ModifiedProperties
Pour afficher le contenu des champs CmdletParameters ou ModifiedParameters dans une autre entrée du journal, modifiez l'index de l'élément de tableau.
Contenu des journaux d'audit
Chaque entrée du journal d’audit contient les informations décrites dans le tableau suivant. Le journal d’audit contient une ou plusieurs entrées de journal d’audit.
Champ | Description |
---|---|
RunspaceId |
Ce champ est utilisé en interne. |
ObjectModified |
Ce champ contient l’objet qui a été modifié par l’applet de commande spécifiée dans le CmdletName champ . |
CmdletName |
Ce champ contient le nom de l’applet de commande qui a été exécutée par l’utilisateur dans le Caller champ . |
CmdletParameters |
Ce champ contient les paramètres qui ont été spécifiés lors de l’exécution de l’applet de commande dans le CmdletName champ. La valeur spécifiée avec le paramètre est également stockée dans ce champ, mais invisible dans la sortie par défaut, le cas échéant. |
ModifiedProperties |
Ce champ contient les propriétés qui ont été modifiées sur l’objet dans le ObjectModified champ . L’ancienne valeur de la propriété et la nouvelle valeur stockée sont également stockées dans ce champ, mais sont invisibles dans la sortie par défaut. |
Caller |
Ce champ contient le compte d’utilisateur de l’utilisateur qui a exécuté l’applet de commande dans le CmdletName champ . |
ExternalAccess |
Ce champ est utilisé en interne. |
Succeeded |
Ce champ spécifie si l’applet de commande dans le champ s’est CmdletName exécutée avec succès. La valeur est ou True False . |
Error |
Ce champ contient le message d’erreur généré si l’applet de commande dans le CmdletName champ n’a pas pu se terminer correctement. |
RunDate |
Ce champ contient la date et l’heure d’exécution de l’applet de commande dans le CmdletName champ. La date et l'heure sont enregistrées au format temps universel coordonné (UTC). |
OriginatingServer |
Ce champ indique le serveur sur lequel l’applet de commande spécifiée dans le CmdletName champ a été exécutée. |
ClientIP |
Ce champ est utilisé en interne. |
SessionId |
Ce champ est utilisé en interne. |
AppId |
Ce champ est utilisé en interne. |
ClientAppId |
Ce champ est utilisé en interne. |
Identity |
Ce champ est utilisé en interne. |
IsValid |
Ce champ est utilisé en interne. |
ObjectState |
Ce champ est utilisé en interne. |