Panoramica sulla registrazione controlli dell'amministratore
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2015-03-09
Quando un utente o un amministratore apporta una modifica all'organizzazione, per registrare le azioni effettuate da un utente o amministratore, è possibile utilizzare la funzionalità di registrazione di controllo dell'amministratore disponibile in Microsoft Microsoft Exchange Server 2010. Grazie ai registri delle modifiche, è possibile associare ciascuna modifica all'utente che l'ha effettivamente effettuata, inserire nei registri stessi informazioni dettagliate sulle modifiche al momento della relativa implementazione, agire in conformità ai requisiti normativi e alle richieste di produzione di documenti, e altro ancora.
Per impostazione predefinita, nelle nuove installazioni di Microsoft Exchange Server 2010 Service Pack 1 (SP1) la registrazione dei controlli è attivata.
Cosa viene controllato
Vengono controllati i cmdlet eseguiti direttamente in Exchange Management Shell. Inoltre, vengono registrate anche le operazioni eseguite con Exchange Management Console (EMC) e l'interfaccia di gestione Web di Exchange dal momento che queste operazioni eseguono i cmdlet in background.
Indipendentemente dalla posizione da cui viene eseguito, un cmdlet viene controllato se figura nell'elenco di controllo dei cmdlet e se uno o più dei relativi parametri figurano nell'elenco di controllo dei parametri. I cmdlet Get- e Search- non vengono registrati. La registrazione dei controlli è stata concepita per poter verificare le azioni eseguite per modificare i vari oggetti all'interno di un'organizzazione Exchange, piuttosto che gli oggettti che sono stati visualizzati.
Importante
È possibile che un cmdlet non venga registrato se si verifica un errore prima che il cmdlet richiami l'agente di estensione cmdlet per la registrazione dei controlli dell'amministratore. Se si verifica un errore dopo il richiamo dell'agente per la registrazione dei controlli di amministrazione, il cmdlet viene registrato con l'errore associato. Per ulteriori informazioni, vedere la sezione Agente per la registrazione dei controlli dell'amministratore riportata più avanti in questo argomento.
Le modifiche apportate utilizzando gli strumenti di gestione di Microsoft Exchange Server 2007 non vengono registrati.
Le modifiche alla configurazione del registro di controllo vengono aggiornate ogni 60 minuti sui computer che hanno Shell aperto al momento delle modifiche alla configurazione. Se si desidera applicare immediatamente le modifiche, chiudere e aprire di nuovo Shell su ogni computer.
Configurazione della registrazione di controllo
Per impostazione predefinita, se la registrazione dei controlli è attivata, viene creata una voce di registro ogni volta che si esegue un qualsiasi cmdlet, eccetto che per i cmdlet Get- e Search-. Se non si desidera controllare ogni cmdlet eseguito, è possibile configurare la registrazione di controllo per verificare solo i cmdlet e i parametri desiderati. Configurare la registrazione di controllo con il cmdlet Set-AdminAuditLogConfig. I parametri a cui viene fatto riferimento nelle sezioni seguenti vengono utilizzati con questo cmdlet.
Importante
Le modifiche apportate alla configurazione dei registri dei controlli di amministrazione vengono sempre registrate, a prescindere che il cmdlet Set-AdministratorAuditLog sia presente nell'elenco dei cmdlet da registrare o che la registrazione dei controlli sia attivata.
Quando viene eseguito un comando, Exchange esamina il cmdlet utilizzato. Se il cmdlet eseguito corrisponde a uno qualsiasi dei cmdlet forniti con il parametro AdminAuditLogConfigCmdlets, Exchange controllerà quindi i parametri specificati nel parametro AdminAuditLogConfigParameters. Se si verifica la corrispondenza con almeno uno dei parametri presenti nell'elenco, Exchange registra il cmdlet eseguito nella cassetta postale specificata utilizzando il parametro AdminAuditLogMailbox.
Nota
Nella versione di produzione (RTM) di Exchange 2010 occorre specificare una cassetta postale per la registrazione dei controlli di amministrazione. In Exchange 2010 SP1 la registrazione dei controlli di amministrazione utilizza una cassetta postale dedicata che non può essere modificata né configurata.
Nelle sezioni seguenti sono disponibili ulteriori informazioni su ogni aspetto della configurazione della registrazione di controllo.
Per ulteriori informazioni su come gestire la configurazione delle registrazioni di controllo, Configurazione della registrazione di controllo dell'amministratore.
Cmdlet
È possibile verificare quali cmdlet vengono controllati fornendo un elenco di cmdlet e dei parametri relativi che si desidera registrare. Quando si configura la registrazione di controllo, è possibile specificare di controllare ogni cmdlet o è possibile specificare i cmdlet che si desidera controllare utilizzando il parametro AdminAuditLogConfigCmdlets. È possibile specificare nomi completi, ad esempio New-Mailbox o nomi parziali per i cmdlet e racchiuderli tra caratteri jolly, ad esempio un asterisco (*). Ad esempio, se si desidera eseguire la registrazione quando un cmdlet che contiene la stringa Transport viene eseguito, è possibile specificare un valore di *Transport*. È possibile utilizzare un insieme di nomi completi e parziali per i cmdlet in modo da adattare la configurazione della registrazione di controllo alle proprie esigenze.
Parametri
Oltre a specificare quali cmdlet si desidera registrare, è possibile indicare anche che i cmdlet devono essere registrati solo se vengono utilizzati determinati parametri su tali cmdlet. Utilizzare il parametro AdminAuditLogConfigParameters per specificare quali parametri devono essere registrati. Come con i cmdlet, è possibile specificare per i parametri nomi completi, ad esempio Database o nomi parziali racchiusi tra caratteri jolly (*), ad esempio *Address* o una combinazione di entrambi.
Periodo di validità del registro di controllo
Per impostazione predefinita, la registrazione dei controlli viene configurata in modo che ciascuna voce del registro di controllo sia memorizzata per un periodo di 90 giorni. Trascorsi 90 giorni, la voce viene eliminata. È possibile modificare il periodo di validità del registro di controllo utilizzando il parametro AdminAuditLogAgeLimit. Il periodo di tempo in cui si desidera che le voci del registro di controllo siano conservate può essere specificato impostando il numero di giorni, ore, minuti e secondi desiderato. Per specificare un valore, utilizzare il formato dd.hh:mm:ss ove si applica quanto segue:
dd Numero di giorni in cui mantenere la voce del registro di controllo.
hh Numero di ore in cui mantenere la voce del registro di controllo.
mm Numero di minuti in cui mantenere la voce del registro di controllo.
ss Numero di secondi in cui mantenere la voce del registro di controllo.
Per specificare più anni utilizzare il campo dd. Ad esempio, 365 giorni corrispondono a un anno, 730 a due anni e 913 a due anni e sei mesi. Per impostare il periodo di validità del registro di controllo su due anni e sei mesi, utilizzare la sintassi 913.00:00:00.
Avviso
È possibile impostare il periodo di validità del registro di controllo su un valore inferiore a quello corrente. In questo caso, qualsiasi voce del registro di controllo il cui periodo di validità superi il nuovo valore verrà eliminata.
Se si imposta il periodo di validità su 0, Exchange elimina tutte le voci dal registro di controllo.
Si consiglia di fornire l'autorizzazione per configurare il periodo di validità del registro di controllo esclusivamente a utenti estremamente fidati.
Cmdlet di test
Per impostazione predefinita i cmdlet che iniziano con il verbo Test non vengono registrati. È possibile specificare la registrazione dei cmdlet Test impostando il parametro TestCmdletLoggingEnabled su $true. Sebbene l'attivazione della registrazione dei cmdlet di test sia consentita, si consiglia di avvalersene solo per brevi periodi di tempo, dal momento che questi possono generare una grande quantità di dati.
Registri di controllo
Ogniqualvolta viene registrato un cmdlet, si crea una voce di registro di controllo. I registri di controllo vengono memorizzati in una cassetta postale di arbitraggio dedicata e nascosta accessibile esclusivamente dalla pagina dei rapporti di controllo del Pannello di controllo di Exchange oppure tramite il cmdlet Search-AdminAuditLog o New-AdminAuditLogSearch. Non è possibile aprire i registri di controllo utilizzando Microsoft Office Outlook Web App o Microsoft Outlook. Nelle seguenti sezioni è possibile trovare informazioni sui seguenti argomenti:
Contenuto dei registri
Rapporti disponibili nella pagina dei rapporti di controllo del Pannello di controllo (ECP)
Cmdlet di ricerca dei registri di controllo
Nota
Nella versione di produzione (RTM) di Exchange 2010 occorre specificare una cassetta postale per la registrazione dei controlli di amministrazione. In Exchange 2010 SP1 la registrazione dei controlli di amministrazione utilizza una cassetta postale dedicata che non può essere modificata né configurata.
La pagina dei rapporti di controllo del Pannello di controllo (ECP) e i cmdlet Search-AdminAuditLog e New-AdminAuditLogSearch sono validi solo per i registri di controllo di amministrazione di Exchange 2010 SP1. Per visualizzare il contenuto di una cassetta postale di registrazione di controllo nella versione di produzione (RTM) di Exchange 2010 occorrerà aprirla utilizzando Outlook Web App o un client di posta elettronica come, ad esempio, Outlook.
Contenuto dei registri di controllo
Ciascuna voce del registro di controllo contiene le informazioni descritte nella tabella seguente. Il registro di controllo contiene una o più voci. Il numero delle voci dipende dal periodo di validità del registro specificato tramite il cmdlet Set-AdminAuditLog. Qualsiasi voce di registro che superi il periodo di validità specificato viene eliminata.
Campi di immissione del registro di controllo
| Campo | Descrizione |
|---|---|
|
Questo campo viene utilizzato internamente da Exchange. |
|
Questo campo contiene l'oggetto modificato dal cmdlet specificato nel campo |
|
Questo campo contiene il nome del cmdlet eseguito dall'utente indicato nel campo |
|
Questo campo contiene i parametri che sono stati specificati quando è stato eseguito il cmdlet indicato nel campo |
|
Questo campo contiene le proprietà modificate nell'oggetto indicato nel campo |
|
Questo campo contiene l'account utente di chi ha eseguito il cmdlet indicato nel campo |
|
Questo campo indica se il cmdlet specificato nel campo |
|
Questo campo contiene il messaggio di errore che viene generato se l'esecuzione del cmdlet indicato nel campo |
|
Questo campo indica la data e l'ora di esecuzione del cmdlet specificato nel campo |
|
Questo campo viene utilizzato internamente da Exchange. |
|
Questo campo viene utilizzato internamente da Exchange. |
Rapporti di controllo del Pannello di controllo (ECP)
Dalla pagina dei rapporti di controllo del Pannello di controllo (ECP) è possibile accedere a diversi rapporti che forniscono le informazioni disponibili sulle modifiche apportate alla configurazione amministrativa e di conformità. I rapporti elencati di seguito contengono informazioni sulle modifiche di configurazione effettuate nell'organizzazione:
Modifiche dei ruoli di amministrazione Questo rapporto consente di visualizzare le modifiche apportate ai gruppi di ruolo di gestione nell'intervallo di tempo specificato. I risultati restituiti dalla ricerca indicano quali gruppi di ruolo sono stati modificati, da quali utenti, quando e quali modifiche sono state apportate. Il numero massimo di risultati visualizzabili è 3.000. Nel caso siano restituibili più di 3.000 voci, utilizzare il rapporto Modifiche della configurazione di esportazione o il cmdlet Search-AdminAuditLog.
Modifiche della configurazione di esportazione Questo rapporto consente di esportare le voci del registro di controllo generate in un intervallo di tempo specificato in un file XML e, quindi, di inviare tale file al destinatario desiderato. Per ulteriori informazioni sul contenuto del file XML, vedere Struttura dei log di controllo dell'amministratore.
Per informazioni su come utilizzare questi rapporti, vedere Eseguire la ricerca nel log di controllo dell'amministratore.
Nella pagina dei rapporti di controllo sono disponibili anche i rapporti sui blocchi per dispute, le modifiche di configurazione per le cassette postali e le informazioni sull'accesso alle cassette postali da parte di utenti non proprietari. Per ulteriori informazioni su questi rapporti, vedere:
Cmdlet Search-AdminAuditLog
Quando si esegue il cmdlet Search-AdminAuditLog, vengono restituite tutte le voci del registro di controllo corrispondenti ai criteri di ricerca specificati. È possibile specificare i seguenti criteri:
Cmdlet Consente di specificare i cmdlet che si desidera ricercare nel registro dei controlli di amministrazione.
Parametri Consente di specificare i parametri che si desidera ricercare nel registro dei controlli di amministrazione. È possibile ricercare dei parametri solo se nella ricerca viene specificato un cmdlet.
Data di fine Consente di impostare i risultati della ricerca nel registro controlli di amministrazione in modo da visualizzare solo le voci generate in corrispondenza o prima della data specificata.
Data di inizio Consente di impostare i risultati della ricerca nel registro controlli di amministrazione in modo da visualizzare solo le voci generate in corrispondenza o dopo la data specificata.
ID oggetto Consente di specificare che devono essere restituite solo le voci del registro controlli di amministrazione contenenti gli oggetti modificati desiderati.
ID utente Consente di specificare che devono essere restituite solo le voci del registro controlli di amministrazione contenenti l'ID utente di chi ha eseguito il cmdlet desiderato.
Operazione completata Consente di specificare se devono essere restituite solo le voci del registro controlli di amministrazione che indicano esito positivo o negativo.
Ciascuna voce del registro di controllo restituita dalla ricerca contiene le informazioni descritte nella tabella riportata nella sezione Contenuto dei registri di controllo. Per impostazione predefinita, vengono restituite solo le prime 1.000 voci di registro corrispondenti ai criteri specificati. Per modificare questo valore e visualizzare un numero maggiore o inferiore di risultati utilizzare il parametro ResultSize. Se si desidera che la ricerca restituisca tutte le voci di registro corrispondenti ai criteri immessi, impostare il parametro ResultSize su Unlimited.
Per ulteriori informazioni sull'utilizzo del cmdlet Search-AdminAuditLog, vedere Eseguire la ricerca nel log di controllo dell'amministratore.
Cmdlet New-AdminAuditLogSearch
Il cmdlet New-AdminAuditLogSearch esegue la ricerca nel registro di controllo esattamente come il cmdlet Search-AdminAuditLog. Tuttavia, dopo aver eseguito la ricerca, anziché mostrare i risultati in Shell, il cmdlet New-AdminAuditLogSearch li invia tramite posta elettronica al destinatario specificato. I risultati sono disponibili come allegato XML del messaggio di posta elettronica.
Con il cmdlet New-AdminAuditLogSearch è possibile utilizzare gli stessi criteri di ricerca validi per il cmdlet Search-AdminAuditLog. Per un elenco dettagliato di tali criteri, vedere Cmdlet Search-AdminAuditLog.
Dall'esecuzione del cmdlet New-AdminAuditLogSearch, Exchange può impiegare fino a 15 minuti per consegnare il rapporto al destinatario specificato. Il rapporto allegato come file XML può avere le dimensioni massime di 10 megabyte (MB). Il file XML contiene le informazioni descritte nella tabella riportata nella sezione Contenuto dei registri di controllo. Per ulteriori informazioni sulla struttura del file XML, vedere Struttura dei log di controllo dell'amministratore.
Nota
Outlook Web App non consente di aprire gli allegati XML per impostazione predefinita. È possibile configurare Exchange per consentire la visualizzazione degli allegati XML con Outlook Web App, oppure è possibile utilizzare un altro client di posta elettronica, ad esempio Microsoft OfficeOutlook, per visualizzare l'allegato. Per informazioni su come configurare Outlook Web App per consentire di visualizzare un allegato XML, vedere Visualizzazione o configurazione delle directory virtuali di Outlook Web App.
Per ulteriori informazioni sull'utilizzo del cmdlet New-AdminAuditLogSearch, vedere Eseguire la ricerca nel log di controllo dell'amministratore.
Voci di registro di controllo manuali
Oltre a registrare i cmdlet di Exchange ogniqualvolta vengono eseguiti, Exchange 2010 SP1 consente di inserire manualmente nel registro di controllo le voci desiderate. Exchange 2010 SP1 supporta questa funzionalità tramite il cmdlet Write-AdminAuditLog. I casi in cui può essere necessario l'inserimento manuale di una voce di registro sono i seguenti:
Ingresso e uscita per uno script personalizzato
Modifica delle informazioni di controllo
Orari di inizio e fine della manutenzione
Con il cmdlet Write-AdminAuditLog è possibile specificare una stringa di testo da includere nel registro di controllo tramite il parametro Comment. Il parametro Comment accetta una stringa alfanumerica costituita da massimo 500 caratteri. Nella voce del registro di controllo manuale insieme alla stringa di commento sono incluse tutte le stesse informazioni ottenere quando viene registrato un cmdlet di Exchange. Per una descrizione di ciascun campo incluso nel registro di controllo, vedere la tabella in Contenuto dei registri di controllo.
È possibile richiamare le voci di registro manuali esattamente come avviene con qualsiasi altra voce di registro, ossia dalla pagina dei rapporti di controllo del Pannello di controllo (ECP) oppure tramite il cmdlet Search-AdminAuditLog o New-AdminAuditLogSearch.
Per visualizzare i contenuti del parametro Comment del cmdlet Write-AdminAuditLog relativamente a una voce di registro di controllo manuale, vedere Eseguire la ricerca nel log di controllo dell'amministratore.
Replica di Active Directory
La registrazione controlli dell'amministratore si basa sulla replica di Active Directory per replicare le impostazioni di configurazione specificate nei controller di dominio nell'organizzazione. In base alle impostazioni della replica, le modifiche apportate potrebbero non essere immediatamente applicate a tutti i server Exchange 2010 dell'organizzazione.
Agente per la registrazione dei controlli dell'amministratore
L'agente di estensione cmdlet incorporato per la registrazione dei controlli dell'amministratore esegue la registrazione delle operazioni dei cmdlet in Exchange 2010. Questo agente legge la configurazione del registro di controllo ed esegue una valutazione di ogni cmdlet eseguito nell'organizzazione. Se i criteri specificati nella configurazione del registro di controllo corrispondono al cmdlet in esecuzione, l'agente genererà una voce di controllo.
L'agente per la registrazione dei controlli dell'amministratore è abilitato per impostazione predefinita in modo che la registrazione di controllo funzioni correttamente. Non può essere disabilitato né è possibile modificarne la priorità. Per ulteriori informazioni sugli agenti di estensione cmdlet, vedere Informazioni sugli agenti di estensione cmdlet.
In che modo i registri del controllo dell'amministratore possono causare una crescita rapida del database
Per impostazione predefinita, il registro di controllo di amministrazione è abilitato in Exchange Server 2010. I risultati del registro vengono memorizzati nella cassetta postale di arbitraggio nella cartella AdminAuditLogs. Se i cmdlet vengono eseguiti frequentemente in Exchange Management Shell, vengono generate più voci di registro e ciò potrebbe causare la crescita rapida delle dimensioni del database. Questo comportamento può verificarsi anche se non esiste alcuna cassetta postale dell'utente.
Per determinare le dimensioni della cartella AdminAuditLogs, eseguire il seguente cmdlet in Exchange Management Shell: Get-MailboxFolderstatistics "Guid of arbitration mailbox" -FolderScope RecoverableItems –IncludeAnalysis. Visualizzare quindi le dimensioni della cartella AdminAuditLogs e il numero di elementi presenti.
Se il numero di elementi e le dimensioni della cartella AdminAuditLogs sono elevati, eseguire il seguente cmdlet per eliminare elementi dalla cartella: Search-Mailbox "Guid of arbitration mailbox" -Dumpsteronly -deletecontent.
Un cmdlet che viene eseguito spesso può causare la crescita del database. Generalmente, il cmdlet si trova in uno script programmato per essere eseguito periodicamente. Identificare il cmdlet che causa la crescita del registro di controllo di amministrazione. Dopo aver verificato che il cmdlet può essere eseguito dal registro di controllo di amministrazione, eseguire il seguente cmdlet in Exchange Management Shell: Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets nome cmdlet. Ad esempio, eseguire il seguente cmdlet: Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets Add-DistributionGroupMember. Dopo aver eseguito il cmdlet, è necessario attendere il completamento della replica.