Consulter le journal d’audit de l’administrateur

Exchange 2013
 

Sapplique à :Exchange Online, Exchange Online Protection, Exchange Server 2013

Dernière rubrique modifiée :2016-05-03

Dans Microsoft Exchange Online Protection (EOP), Microsoft Exchange Online et Microsoft Exchange 2013, vous pouvez utiliser le Centre d’administration Exchange (CAE) pour rechercher et afficher des entrées dans le journal d’audit de l’administrateur. Le journal d’audit de l’administrateur enregistre des actions spécifiques, basées sur la cmdlet Environnement de ligne de commande Exchange Management Shell, effectuées par les administrateurs et les utilisateurs disposant de privilèges d’administration. Les entrées du journal d’audit de l’administrateur vous fournissent des informations sur la cmdlet qui a été exécutée, les paramètres utilisés, l’utilisateur qui a exécuté la cmdlet et les objets concernés.

RemarqueRemarque :
  • La journalisation d’audit de l’administrateur est activée par défaut.

  • Le journal d’audit de l’administrateur n’enregistre aucune action basée sur une cmdlet Environnement de ligne de commande Exchange Management Shell qui commence avec le verbe Get, Search ou Test.

  • Les entrées du journal d’audit sont conservées pendant 90 jours. Lorsqu’une entrée remonte à plus de 90 jours, elle est supprimée.

  • Durée d’exécution estimée : 5 minutes

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Afficher les rapports » dans la rubrique Autorisations des fonctionnalités dans EOP.

  • Comme indiqué précédemment, la journalisation d’audit de l’administrateur est activée par défaut. Pour vérifier qu’elle a été activée, vous pouvez exécuter la commande suivante :

    Get-AdminAuditLogConfig | FL AdminAuditLogEnabled
    

    Dans Exchange 2013, vous pouvez activer la journalisation d’audit de l’administrateur si elle est désactivée en exécutant la commande suivante.

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
    

    Dans Exchange Online Protection et Exchange Online, la journalisation d’audit de l’administrateur est toujours activée. Elle ne peut pas être désactivée.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d’administration Exchange.

ConseilConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection

  1. Dans le CAE, accédez à Gestion de la conformité > Audit, puis sélectionnez Exécuter le rapport du journal d’audit de l’administrateur.

  2. Choisissez une date de début et une date de fin, puis choisissez Rechercher. Toutes les modifications de configuration effectuées pendant la période spécifiée sont affichées et peuvent être triées, avec les informations suivantes :

    • Date   Date et heure auxquelles la modification de configuration a été effectuée. La date et l’heure sont enregistrées au format temps universel coordonné (UTC).

    • Cmdlet   Nom de la cmdlet qui a été utilisée pour la modification de configuration.

    • Utilisateur   Nom du compte de l’utilisateur qui a effectué la modification de configuration.

    Jusqu’à 5 000 entrées s’affichent sur plusieurs pages. Si vous devez affiner vos résultats, spécifiez une plage de dates plus courte. Si vous sélectionnez un seul résultat de recherche, l’information supplémentaire suivante s’affiche dans le volet de détails :

    • Objet modifié   Objet qui a été modifié par la cmdlet.

    • Paramètres (Parameter:Value)   Paramètres de cmdlet qui ont été utilisés et valeurs indiquées avec ces paramètres.

  3. Si vous souhaitez imprimer une entrée du journal d’audit spécifique, choisissez le bouton Imprimer dans le volet de détails.

Si vous avez exécuté avec succès un rapport de journal d’audit de l’administrateur, les modifications de configuration effectuées dans la plage de dates indiquée sont affichées dans le volet des résultats de la recherche. Si aucun résultat n’apparaît, modifiez la plage de dates et réexécutez le rapport.

RemarqueRemarque :
Lorsqu’une modification est apportée à votre organisation, cela peut prendre jusqu’à 15 minutes avant qu’elle n’apparaisse dans les résultats de recherche du journal d’audit. Si une modification n’apparaît pas dans le journal d’audit de l’administrateur, patientez quelques minutes, puis réeffectuez la recherche.
 
Afficher: