Structure du journal d’audit de l’administrateur
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2015-03-09
Les journaux d’audit d’administration contiennent un enregistrement de l’ensemble des cmdlets et paramètres exécutés dans l’environnement de la ligne de commande Exchange Management Shell et par la console de gestion Exchange et le Panneau de configuration Exchange. Ils sont créés à la demande lorsque vous exécutez le rapport Modification de la configuration de l’exportation dans le Panneau de configuration Exchange ou lorsque vous exécutez la cmdlet New-AdminAuditLogSearch dans l’environnement de ligne de commande Exchange Management Shell. Pour plus d’informations sur les journaux d’audit, voir Vue d'ensemble de l'enregistrement d'audit d'administrateur.
Les journaux d’audit sont des fichiers XML et peuvent contenir plusieurs entrées de journal d’audit. Le tableau suivant décrit chaque balise XML et ses attributs associés.
Balises XML et attributs des journaux d’audit
Élément | Attribut | Description |
---|---|---|
|
|
Il s’agit de la balise de déclaration de document XML. Elle est incluse dans chaque fichier XML de journal d’audit et contient le numéro de version XML et la valeur de codage de caractère. |
|
|
Cette balise contient toutes les entrées du journal d’audit dans le fichier XML. La balise Il y a qu’un seule balise |
|
|
Cette balise contient l’entrée du journal d’audit pour une cmdlet individuelle. Cette balise contient les attributs Il existe une balise |
|
|
Cet attribut contient le compte de l’utilisateur qui a exécuté la cmdlet dans l’attribut |
|
|
Cet attribut contient le nom de la cmdlet exécutée par l’utilisateur dans l’attribut |
|
|
Cet attribut contient l’objet modifié par la cmdlet spécifiée dans l’attribut |
|
|
Cet attribut contient la date et l’heure de l’exécution de la cmdlet dans l’attribut |
|
|
Cet attribut spécifie si la cmdlet a été correctement exécutée dans l’attribut |
|
|
Cet attribut contient le message d’erreur qui est généré en cas d’échec de l’exécution de la cmdlet dans l’attribut |
|
|
Cette balise contient tous les paramètres spécifiés au moment de l’exécution de la cmdlet. La balise Il existe une seule balise |
|
|
Cette balise contient un paramètre individuel spécifié au moment de l’exécution de la cmdlet. Cette balise contient les attributs Il peut exister plusieurs balises |
|
|
Cet attribut contient le nom du paramètre spécifié au moment de l’exécution de la cmdlet. |
|
|
Cet attribut contient la valeur fournie pour le paramètre spécifié dans l’attribut |
|
|
Cette balise contient toutes les propriétés modifiées par la cmdlet exécutée. La balise Il existe une balise |
|
|
Cette balise contient une propriété individuelle spécifiée au moment de l’exécution de la cmdlet. Cette balise contient les attributs Il peut exister plusieurs balises |
|
|
Cet attribut contient le nom de la propriété modifiée au moment de l’exécution de la cmdlet. |
|
|
Cet attribut contient la valeur contenue dans la propriété spécifiée dans l’attribut |
|
|
Cet attribut contient la valeur utilisée pour modifier la propriété dans l’attribut |
Exemple d’entrée de journal d’audit
Vous trouverez ci-dessous un exemple type d’entrée de journal d’audit. Selon les informations contenues dans l’entrée de journal, nous savons que les événements suivants se sont produits :
Le 03/05/2010 à 23 h 59 (UTC), l’utilisateur
Administrator
a exécuté la cmdlet Set-Mailbox.Les deux paramètres suivants ont été fournis lors de l’exécution de la cmdlet Set-Mailbox :
Identity avec une valeur de
david
ProhibitSendReceiveQuota avec une valeur de
1.727 GB
Les deux propriétés suivantes sur l’objet
david
ont été modifiées :ProhibitSendReceiveQuota avec une nouvelle valeur «
1.727 GB
», remplaçant la valeur précédente qui était «523.4 MB
».ObjectState avec une nouvelle valeur «
Changed
», remplaçant la valeur précédente qui était «Unchanged
».
L’opération s’est terminée sans erreurs.
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="Wally14.extest.microsoft.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="Wally14.extest.microsoft.com/Users/David" RunDate="3/5/2010 11:59:12 PM" Succeeded="true" Error="None">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="1.727 GB (1,854,030,822 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue=" 523.4 MB (548,845,001 bytes) " NewValue="1.727 GB (1,854,030,822 bytes)" />
<Property Name="ObjectState" OldValue="Unchanged" NewValue="Changed" />
</ModifiedProperties>
</Event>
</SearchResults>