Structure du journal d’audit de l’administrateur

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

Sapplique à :Exchange Server 2016

Découvrez le contenu du journal d’audit de l’administrateur dans Exchange 2016.

Les journaux d’audit de l’administrateur contiennent un enregistrement de toutes les cmdlets et de tous les paramètres exécutés dans l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell et par le Centre d’administration Centre d’administration Exchange (CAE). Ils sont créés à la demande lorsque vous exécutez le rapport du journal d’audit de l’administrateur dans le CAE, ou lorsque vous exécutez la cmdlet New-AdminAuditLogSearch dans l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell. Pour plus d’informations sur les journaux d’audit, consultez la rubrique Journalisation d’audit de l’administrateur dans Exchange 2016.

Les journaux d’audit sont des fichiers XML et peuvent contenir plusieurs entrées de journal d’audit. Le tableau suivant décrit chaque balise XML et ses attributs associés.

 

Élément Attribut Description

<?xml version="1.0" encoding="utf-8"?>

N/A

Il s’agit de la balise de déclaration de document XML. Elle est incluse dans chaque fichier XML de journal d’audit et contient le numéro de version XML et la valeur de codage de caractère.

SearchResults

N/A

Cette balise contient toutes les entrées du journal d’audit dans le fichier XML. La balise Event est un enfant de cette balise.

Il y a qu’un seule balise SearchResults par fichier XML.

Event

 

Cette balise contient l’entrée du journal d’audit pour une cmdlet individuelle. Cette balise contient les attributs Caller, Cmdlet, ObjectModified, RunDate, Succeeded, Error et OriginatingServer. Les balises CmdletParameters et ModifiedProperties sont des enfants de cette balise.

Il existe une balise Event par entrée de journal d’audit.

 

Caller

Cet attribut contient le compte de l’utilisateur qui a exécuté la cmdlet dans l’attribut Cmdlet.

 

Cmdlet

Cet attribut contient le nom de la cmdlet exécutée par l’utilisateur dans l’attribut Caller.

 

ObjectModified

Cet attribut contient l’objet modifié par la cmdlet spécifiée dans l’attribut Cmdlet. La balise ModifiedProperties affiche les propriétés qui ont été modifiées sur cet objet.

 

RunDate

Cet attribut contient la date et l’heure de l’exécution de la cmdlet dans l’attribut Cmdlet.

 

Succeeded

Cet attribut spécifie si la cmdlet a été correctement exécutée dans l’attribut Cmdlet. La valeur est True ou False.

 

Error

Cet attribut contient le message d’erreur qui est généré en cas d’échec de l’exécution de la cmdlet dans l’attribut Cmdlet. Si aucune erreur ne s’est produite, la valeur est définie sur None.

 

OriginatingServer

Cet attribut contient le serveur dans lequel la cmdlet spécifiée dans l’attribut Cmdlet a été exécutée.

CmdletParameters

N/A

Cette balise contient tous les paramètres spécifiés au moment de l’exécution de la cmdlet. La balise Parameter est un enfant de cette balise.

Il existe une seule balise CmdletParameters par balise Event.

Parameter

 

Cette balise contient un paramètre individuel spécifié au moment de l’exécution de la cmdlet. Cette balise contient les attributs Name et Value.

Il peut exister plusieurs balises Parameter par balise CmdletParameters.

 

Name

Cet attribut contient le nom du paramètre spécifié au moment de l’exécution de la cmdlet.

 

Value

Cet attribut contient la valeur fournie pour le paramètre spécifié dans l’attribut Name.

ModifiedProperties

N/A

Cette balise contient toutes les propriétés modifiées par la cmdlet exécutée. La balise Property est un enfant de cette balise.

Il existe une balise ModifiedProperties par balise Event.

importantImportant :
Cette balise n’est renseignée que si le paramètre LogLevel de la cmdlet Set-AdminAuditLogConfig est défini à Verbose.

Property

 

Cette balise contient une propriété individuelle spécifiée au moment de l’exécution de la cmdlet. Cette balise contient les attributs Name, OldValue et NewValue.

Il peut exister plusieurs balises Property par balise ModifiedProperties.

 

Name

Cet attribut contient le nom de la propriété modifiée au moment de l’exécution de la cmdlet.

 

OldValue

Cet attribut contient la valeur contenue dans la propriété spécifiée dans l’attribut Name avant sa modification.

 

NewValue

Cet attribut contient la valeur utilisée pour modifier la propriété dans l’attribut Name.

Vous trouverez ci-dessous un exemple type d’entrée dans le journal d’audit de l’administrateur.

<?xml version="1.0" encoding="utf-8"?>
<SearchResults>

  <Event Caller="corp.e16.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e16.contoso.com/Users/david" RunDate="2015-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.01.0396.030)">
    <CmdletParameters>
      <Parameter Name="Identity" Value="david" />
      <Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
    </CmdletParameters>
    <ModifiedProperties>
      <Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
    </ModifiedProperties>
  </Event>
</SearchResults>

Selon les informations contenues dans cette entrée de journal, nous savons que les événements suivants se sont produits :

  • Le 18/10/2015 à 15h48 heure avancée du Pacifique (UTC-7), l’utilisateur Administrator a exécuté la cmdlet Set-Mailbox.

  • Les deux paramètres suivants ont été fournis lors de l’exécution de la cmdlet Set-Mailbox :

    • Identity avec une valeur de david

    • ProhibitSendReceiveQuota avec une valeur de 10GB

  • La propriété ProhibitSendReceiveQuota sur l’objet david a été modifiée en appliquant une nouvelle valeur de 10GB, à la place de l’ancienne valeur de 35GB.

    noteRemarque :
    Les propriétés modifiées sont enregistrées dans le journal d’audit parce que le paramètre LogLevel de la cmdlet Set-AdminAuditLogConfig a été défini à Verbose dans cet exemple.
  • L’opération s’est terminée sans erreurs.

 
Afficher: