Structure du journal d’audit de l’administrateur

  • Article

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2015-03-09

Les journaux d’audit d’administration contiennent un enregistrement de l’ensemble des cmdlets et paramètres exécutés dans l’environnement de la ligne de commande Exchange Management Shell et par la console de gestion Exchange et le Panneau de configuration Exchange. Ils sont créés à la demande lorsque vous exécutez le rapport Modification de la configuration de l’exportation dans le Panneau de configuration Exchange ou lorsque vous exécutez la cmdlet New-AdminAuditLogSearch dans l’environnement de ligne de commande Exchange Management Shell. Pour plus d’informations sur les journaux d’audit, voir Vue d'ensemble de l'enregistrement d'audit d'administrateur.

Les journaux d’audit sont des fichiers XML et peuvent contenir plusieurs entrées de journal d’audit. Le tableau suivant décrit chaque balise XML et ses attributs associés.

Balises XML et attributs des journaux d’audit

Élément Attribut Description

<?xml version="1.0" encoding="utf-8"?>

N/A

Il s’agit de la balise de déclaration de document XML. Elle est incluse dans chaque fichier XML de journal d’audit et contient le numéro de version XML et la valeur de codage de caractère.

SearchResults

N/A

Cette balise contient toutes les entrées du journal d’audit dans le fichier XML. La balise Event est un enfant de cette balise.

Il y a qu’un seule balise SearchResults par fichier XML.

Event

 

Cette balise contient l’entrée du journal d’audit pour une cmdlet individuelle. Cette balise contient les attributs Caller,Cmdlet,ObjectModified,RunDate,Succeeded et Error. Les balises CmdletParameters et ModifiedProperties sont des enfants de cette balise.

Il existe une balise Event par entrée de journal d’audit.

 

Caller

Cet attribut contient le compte de l’utilisateur qui a exécuté la cmdlet dans l’attribut Cmdlet.

 

Cmdlet

Cet attribut contient le nom de la cmdlet exécutée par l’utilisateur dans l’attribut Caller.

 

ObjectModified

Cet attribut contient l’objet modifié par la cmdlet spécifiée dans l’attribut Cmdlet. La balise ModifiedProperties affiche les propriétés qui ont été modifiées sur cet objet.

 

RunDate

Cet attribut contient la date et l’heure de l’exécution de la cmdlet dans l’attribut Cmdlet. La date et l’heure sont enregistrées au format temps universel coordonné (UTC).

 

Succeeded

Cet attribut spécifie si la cmdlet a été correctement exécutée dans l’attribut Cmdlet. La valeur est True ou False.

 

Error

Cet attribut contient le message d’erreur qui est généré en cas d’échec de l’exécution de la cmdlet dans l’attribut Cmdlet. Si aucune erreur ne s’est produite, la valeur est définie sur None.

CmdletParameters

N/A

Cette balise contient tous les paramètres spécifiés au moment de l’exécution de la cmdlet. La balise Parameter est un enfant de cette balise.

Il existe une seule balise CmdletParameters par balise Event.

Parameter

 

Cette balise contient un paramètre individuel spécifié au moment de l’exécution de la cmdlet. Cette balise contient les attributs Name et Value.

Il peut exister plusieurs balises Parameter par balise CmdletParameters.

 

Name

Cet attribut contient le nom du paramètre spécifié au moment de l’exécution de la cmdlet.

 

Value

Cet attribut contient la valeur fournie pour le paramètre spécifié dans l’attribut Name.

ModifiedProperties

N/A

Cette balise contient toutes les propriétés modifiées par la cmdlet exécutée. La balise Property est un enfant de cette balise.

Il existe une balise ModifiedProperties par balise Event.

Property

 

Cette balise contient une propriété individuelle spécifiée au moment de l’exécution de la cmdlet. Cette balise contient les attributs Name, OldValue et NewValue.

Il peut exister plusieurs balises Property par balise ModifiedProperties.

 

Name

Cet attribut contient le nom de la propriété modifiée au moment de l’exécution de la cmdlet.

 

OldValue

Cet attribut contient la valeur contenue dans la propriété spécifiée dans l’attribut Name avant sa modification.

 

NewValue

Cet attribut contient la valeur utilisée pour modifier la propriété dans l’attribut Name.

Exemple d’entrée de journal d’audit

Vous trouverez ci-dessous un exemple type d’entrée de journal d’audit. Selon les informations contenues dans l’entrée de journal, nous savons que les événements suivants se sont produits :

  • Le 03/05/2010 à 23 h 59 (UTC), l’utilisateur Administrator a exécuté la cmdlet Set-Mailbox.

  • Les deux paramètres suivants ont été fournis lors de l’exécution de la cmdlet Set-Mailbox :

    • Identity avec une valeur de david

    • ProhibitSendReceiveQuota avec une valeur de 1.727 GB

  • Les deux propriétés suivantes sur l’objet davidont été modifiées :

    • ProhibitSendReceiveQuota avec une nouvelle valeur « 1.727 GB », remplaçant la valeur précédente qui était « 523.4 MB ».

    • ObjectState avec une nouvelle valeur « Changed », remplaçant la valeur précédente qui était « Unchanged ».

  • L’opération s’est terminée sans erreurs.

<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
  <Event Caller="Wally14.extest.microsoft.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="Wally14.extest.microsoft.com/Users/David" RunDate="3/5/2010 11:59:12 PM" Succeeded="true" Error="None">
    <CmdletParameters>
      <Parameter Name="Identity" Value="david" />
      <Parameter Name="ProhibitSendReceiveQuota" Value="1.727 GB (1,854,030,822 bytes)" />
    </CmdletParameters>
    <ModifiedProperties>
      <Property Name="ProhibitSendReceiveQuota" OldValue=" 523.4 MB (548,845,001 bytes) " NewValue="1.727 GB (1,854,030,822 bytes)" />
      <Property Name="ObjectState" OldValue="Unchanged" NewValue="Changed" />
    </ModifiedProperties>
  </Event>
</SearchResults>