Registrazione di controllo dell'amministratore in Exchange Server
Si applica a: Exchange Server 2013
È possibile usare la registrazione di controllo amministratore in Microsoft Exchange Server 2013 per registrare quando un utente o un amministratore apporta una modifica all'organizzazione. Grazie ai registri delle modifiche, è possibile associare ciascuna modifica all'utente che l'ha effettivamente effettuata, inserire nei registri stessi informazioni dettagliate sulle modifiche al momento della relativa implementazione, agire in conformità ai requisiti normativi e alle richieste di produzione di documenti, e altro ancora.
Per impostazione predefinita, la registrazione di controllo è abilitata nelle nuove installazioni di Exchange 2013.
Aspetti controllati
Vengono controllati i cmdlet eseguiti direttamente in Exchange Management Shell. Inoltre, vengono registrate anche le operazioni eseguite utilizzando l'Interfaccia di amministrazione di Exchange, in quanto eseguono cmdlet in background.
Indipendentemente dalla posizione da cui viene eseguito, un cmdlet viene controllato se figura nell'elenco di controllo dei cmdlet e se uno o più dei relativi parametri figurano nell'elenco di controllo dei parametri. La registrazione dei controlli è stata concepita per poter verificare le azioni eseguite per modificare i vari oggetti all'interno di un'organizzazione Exchange, piuttosto che gli oggettti che sono stati visualizzati.
Importante
È possibile che un cmdlet non venga registrato se si verifica un errore prima che il cmdlet richiami l'agente di estensione cmdlet per la registrazione dei controlli dell'amministratore. Se si verifica un errore dopo il richiamo dell'agente per la registrazione dei controlli di amministrazione, il cmdlet viene registrato con l'errore associato. Per ulteriori informazioni, vedere la sezione Admin Audit Log Agent descritta più avanti in questo argomento.
Le modifiche apportate con Microsoft Exchange Server strumenti di gestione 2010 vengono registrate. Tuttavia, le modifiche apportate tramite gli strumenti di gestione Microsoft Exchange Server 2007 non vengono registrate.
Le modifiche alla configurazione del registro di controllo vengono aggiornate ogni 60 minuti sui computer che hanno Shell aperta al momento delle modifiche alla configurazione. Se si desidera applicare immediatamente le modifiche, chiudere e aprire di nuovo Shell su ogni computer.
Potrebbe essere necessario aspettare fino a 15 minuti dopo l'esecuzione di un comando affinché venga visualizzato nei risultati di ricerca del registro di controllo. Questo perché le voci del registro di controllo devono essere indicizzate prima di poter essere ricercate. Se un comando non viene visualizzato nel registro di controllo dell'amministratore, attendere qualche minuto ed eseguire nuovamente la ricerca.
Configurazione della registrazione di controllo
Per impostazione predefinita, se la registrazione di controllo è abilitata, viene creata una voce di log ogni volta che viene eseguito un cmdlet. Se non si desidera controllare ogni cmdlet eseguito, è possibile configurare la registrazione di controllo per verificare solo i cmdlet e i parametri desiderati. Configurare la registrazione di controllo con il cmdlet Set-AdminAuditLogConfig. I parametri a cui viene fatto riferimento nelle sezioni seguenti vengono utilizzati con questo cmdlet.
Importante
Le modifiche apportate alla configurazione dei registri dei controlli di amministrazione vengono sempre registrate, a prescindere che il cmdlet Set-AdministratorAuditLog sia presente nell'elenco dei cmdlet da registrare e che la registrazione dei controlli sia attivata.
Quando viene eseguito un comando, Exchange esamina il cmdlet utilizzato. Se il cmdlet eseguito corrisponde a uno dei cmdlet forniti con il parametro AdminAuditLogConfigCmdlets , Exchange controlla i parametri specificati nel parametro AdminAuditLogConfigParameters . Se viene trovata una corrispondenza tra almeno uno o più parametri dell'elenco dei parametri, Exchange registra il cmdlet eseguito nella cassetta postale specificata usando il parametro AdminAuditLogMailbox . Nelle sezioni seguenti sono disponibili ulteriori informazioni su ogni aspetto della configurazione della registrazione di controllo.
Per ulteriori informazioni sulla gestione della configurazione della registrazione dei controlli, vedere Amministratore di gestire la registrazione di controllo.
Cmdlet
È possibile verificare quali cmdlet vengono controllati fornendo un elenco di cmdlet e dei parametri relativi che si desidera registrare. Quando si configura la registrazione di controllo, è possibile specificare per controllare ogni cmdlet oppure è possibile specificare i cmdlet da controllare usando il parametro AdminAuditLogConfigCmdlets . È possibile specificare nomi di cmdlet completi, ad esempio New-Mailbox, oppure è possibile specificare nomi di cmdlet parziali e racchiuderli in caratteri jolly, ad esempio un asterisco (*). Ad esempio, se si desidera registrare quando viene eseguito un cmdlet che contiene la stringa Transport , è possibile specificare un valore di *Transport*. È possibile utilizzare un insieme di nomi completi e parziali per i cmdlet in modo da adattare la configurazione della registrazione di controllo alle proprie esigenze.
Parametri
Oltre a specificare quali cmdlet si desidera registrare, è possibile indicare anche che i cmdlet devono essere registrati solo se vengono utilizzati determinati parametri su tali cmdlet. Utilizzare il parametro AdminAuditLogConfigParameters per specificare quali parametri devono essere registrati. Come per i cmdlet, è possibile specificare nomi di parametri completi, ad Databaseesempio , o nomi di parametri parziali racchiusi in caratteri jolly (*), ad *Address*esempio , o una combinazione di entrambi.
Limite di validità del log di controllo
Per impostazione predefinita, la registrazione dei controlli viene configurata in modo che ciascuna voce del registro di controllo sia memorizzata per un periodo di 90 giorni. Trascorsi 90 giorni, la voce viene eliminata. È possibile modificare il periodo di validità del registro di controllo utilizzando il parametro AdminAuditLogAgeLimit. È possibile specificare il numero di giorni, ore, minuti e secondi in cui le voci del registro di controllo devono essere conservate. Per specificare un valore, usare il formato dd.hh:mm:ss in cui si applica quanto segue:
dd: numero di giorni per mantenere la voce del log di controllo.
hh: numero di ore per mantenere la voce del log di controllo.
mm: numero di minuti per mantenere la voce del log di controllo.
ss: numero di secondi per mantenere la voce del log di controllo.
È necessario specificare più anni usando il dd campo . Ad esempio, 365 giorni corrispondono a un anno, 730 a due anni e 913 a due anni e sei mesi. Ad esempio, per impostare il limite di validità del log di controllo su due anni e sei mesi, usare la sintassi 913.00:00:00.
Avviso
È possibile impostare il periodo di validità del registro di controllo su un valore inferiore a quello corrente. In questo caso, qualsiasi voce del registro di controllo il cui periodo di validità superi il nuovo valore verrà eliminata.
Se si imposta il limite di validità su 0, Exchange elimina tutte le voci nel log di controllo.
Si consiglia di concedere le autorizzazioni per la configurazione del periodo di validità del registro di controllo solo agli utenti molto attendibili.
Registrazione elevata
Per impostazione predefinita, il log di controllo dell'amministratore registra solo il nome del cmdlet, i parametri del cmdlet (e i valori specificati), l'oggetto che è stato modificato, chi ha eseguito il cmdlet, quando è stato eseguito il cmdlet e in quale server è stato eseguito il cmdlet. Il log di controllo dell'amministratore non registra le proprietà modificate nell'oggetto. Se si desidera che il log di controllo includa anche le proprietà dell'oggetto modificato, è possibile abilitare la registrazione dettagliata impostando il parametro LogLevel su Verbose. Quando si abilita la registrazione dettagliata, oltre alle informazioni registrate per impostazione predefinita, le proprietà modificate in un oggetto, inclusi i valori precedenti e nuovi, vengono incluse nel log di controllo.
Cmdlet di test
Per impostazione predefinita i cmdlet che iniziano con il verbo Test non vengono registrati. È possibile indicare che i cmdlet test devono essere registrati impostando il parametro TestCmdletLoggingEnabled su $true. Sebbene sia possibile abilitare la registrazione dei cmdlet di test, è consigliabile eseguire questa operazione solo per brevi periodi di tempo perché i cmdlet di test possono produrre una grande quantità di informazioni.
Log di audit
Ogniqualvolta viene registrato un cmdlet, si crea una voce di registro di controllo. I log di controllo vengono archiviati in una cassetta postale di arbitrato nascosta e dedicata a cui è possibile accedere solo tramite l'interfaccia di amministrazione di Exchange o il cmdlet Search-AdminAuditLog o New-AdminAuditLogSearch . Non può essere aperto usando Microsoft Outlook Web App o Microsoft Outlook. Nelle seguenti sezioni è possibile trovare informazioni sui seguenti argomenti:
Contenuto dei registri
Report disponibili nella pagina di controllo di EAC
Cmdlet di ricerca dei registri di controllo
Contenuto dei registri di controllo
Ciascuna voce del registro di controllo contiene le informazioni descritte nella tabella seguente. Il registro di controllo contiene una o più voci. Il numero di voci del log di controllo è controllato dal limite di validità del log di controllo specificato tramite il cmdlet Set-AdminAuditLogConfig . Qualsiasi voce di registro che superi il periodo di validità specificato viene eliminata.
Campi di immissione del registro di controllo
| Campo | Descrizione |
|---|---|
RunspaceId |
Questo campo viene utilizzato internamente da Exchange. |
ObjectModified |
Questo campo contiene l'oggetto modificato dal cmdlet specificato nel CmdletName campo . |
CmdletName |
Questo campo contiene il nome del cmdlet eseguito dall'utente nel Caller campo . |
CmdletParameters |
Questo campo contiene i parametri specificati durante l'esecuzione del CmdletName cmdlet nel campo. Sebbene non sia visibile nell'output predefinito, in questo campo viene memorizzato anche il valore specificato con il parametro (se presente). Per altre informazioni su come accedere alle informazioni aggiuntive in questo campo, vedere Cercare le modifiche al gruppo di ruoli o i log di controllo dell'amministratore. |
ModifiedProperties |
Questo campo contiene le proprietà modificate sull'oggetto nel ObjectModified campo . Sebbene non siano visibili nell'output predefinito, in questo campo sono presenti anche il precedente valore della proprietà e quello nuovo. Per altre informazioni su come accedere alle informazioni aggiuntive in questo campo, vedere Cercare le modifiche al gruppo di ruoli o i log di controllo dell'amministratore. Importante: questo campo viene popolato solo se il parametro LogLevel nel cmdlet Set-AdminAuditLogConfig è impostato su Verbose. |
Caller |
Questo campo contiene l'account utente dell'utente che ha eseguito il cmdlet nel CmdletName campo . |
Succeeded |
Questo campo specifica se il cmdlet nel campo è CmdletName stato eseguito correttamente. Il valore è True o False. |
Error |
Questo campo contiene il messaggio di errore generato se il cmdlet nel CmdletName campo non è stato completato correttamente. |
RunDate |
Questo campo contiene la data e l'ora in cui è stato eseguito il cmdlet nel CmdletName campo. La data e l'ora vengono memorizzati in formato UTC (Coordinated Universal Time). |
OriginatingServer |
Questo campo indica il server in cui è stato eseguito il CmdletName cmdlet specificato nel campo. |
Identity |
Questo campo viene utilizzato internamente da Exchange. |
IsValid |
Questo campo viene utilizzato internamente da Exchange. |
ObjectState |
Questo campo viene utilizzato internamente da Exchange. |
Rapporti di controllo dell'interfaccia di amministrazione di Exchange
Nella pagina di controllo dell'interfaccia di amministrazione di Exchange sono disponibili diversi report che forniscono informazioni sui vari tipi di modifiche alla conformità e alla configurazione amministrativa. I rapporti elencati di seguito contengono informazioni sulle modifiche di configurazione effettuate nell'organizzazione:
Report gruppo di ruoli amministratore: questo report consente di cercare le modifiche ai gruppi di ruoli di gestione specificate entro un intervallo di tempo specificato. I risultati restituiti dalla ricerca indicano quali gruppi di ruolo sono stati modificati, da quali utenti, quando e quali modifiche sono state apportate. Il numero massimo di risultati visualizzabili è 3.000. Nel caso siano restituibili più di 3.000 voci, utilizzare il rapporto Registro di controllo dell'amministratore o il cmdlet Search-AdminAuditLog.
Log di controllo amministratore: questo report consente di esportare le voci del log di controllo registrate entro un intervallo di tempo specificato in un file XML e quindi inviare il file tramite posta elettronica a un destinatario specificato. Per maggiori informazioni sui contenuti del file XML, vedere Struttura del Registro di controllo amministratore.
Per informazioni su come usare questi report, vedere Cercare le modifiche del gruppo di ruoli o i log di controllo dell'amministratore.
Per informazioni sugli altri report inclusi nella pagina di controllo , vedere Report di controllo di Exchange.
Cmdlet Search-AdminAuditLog
Quando si esegue il cmdlet Search-AdminAuditLog , vengono restituite tutte le voci del log di controllo che corrispondono ai criteri di ricerca specificati. È possibile specificare i seguenti criteri:
Cmdlet: specifica i cmdlet da cercare nel log di controllo dell'amministratore.
Parametri: specifica i parametri, separati da virgole, che si desidera cercare nel log di controllo dell'amministratore. È possibile ricercare dei parametri solo se nella ricerca viene specificato un cmdlet.
Data di fine: definisce l'ambito dei risultati del log di controllo dell'amministratore per le voci di log che si sono verificate in o prima della data specificata.
Data di inizio: definisce l'ambito dei risultati del log di controllo dell'amministratore per le voci di log che si sono verificate in o dopo la data specificata.
ID oggetto: specifica che devono essere restituite solo le voci del log di controllo dell'amministratore che contengono gli oggetti modificati specificati
ID utente: specifica che devono essere restituite solo le voci del log di controllo dell'amministratore che contengono gli ID specificati dell'utente che ha eseguito il cmdlet.
Completamento completato: specifica se devono essere restituite solo le voci del log di controllo amministratore che indicano un esito positivo o negativo.
Ciascuna voce del registro di controllo restituita dalla ricerca contiene le informazioni descritte nella tabella riportata nella sezione Audit Log Contents. Per impostazione predefinita, vengono restituite solo le prime 1.000 voci di registro corrispondenti ai criteri specificati. Per modificare questo valore e visualizzare un numero maggiore o inferiore di risultati utilizzare il parametro ResultSize. È possibile specificare un valore di Unlimited con il parametro ResultSize per restituire tutte le voci di log che corrispondono ai criteri specificati.
Per informazioni su come usare il cmdlet Search-AdminAuditLog , vedere Cercare le modifiche al gruppo di ruoli o i log di controllo dell'amministratore.
Cmdlet New-AdminAuditLogSearch
Il cmdlet New-AdminAuditLogSearch esegue la ricerca nel registro di controllo esattamente come il cmdlet Search-AdminAuditLog. Tuttavia, invece di visualizzare i risultati della ricerca nel log di controllo nella shell, il cmdlet New-AdminAuditLogSearch esegue la ricerca e quindi invia i risultati della ricerca a un destinatario specificato tramite un messaggio di posta elettronica. I risultati sono disponibili come allegato XML del messaggio di posta elettronica.
Con il cmdlet New-AdminAuditLogSearch è possibile utilizzare gli stessi criteri di ricerca validi per il cmdlet Search-AdminAuditLog. Per un elenco dei criteri di ricerca, vedere Search-AdminAuditLog Cmdlet.
Dall'esecuzione del cmdlet New-AdminAuditLogSearch, Exchange può impiegare fino a 15 minuti per consegnare il rapporto al destinatario specificato. Il rapporto allegato come file XML può avere le dimensioni massime di 10 megabyte (MB). Il file XML contiene le stesse informazioni descritte nella tabella contenuto del log di controllo. Per ulteriori informazioni sulla struttura del file XML, vedere Struttura del Registro di controllo amministratore.
Nota
Outlook Web App non consente di aprire gli allegati XML per impostazione predefinita. È possibile configurare Exchange per consentire la visualizzazione degli allegati XML con Outlook Web App oppure è possibile usare un altro client di posta elettronica, ad esempio Microsoft Outlook, per visualizzare l'allegato. Per informazioni su come configurare Outlook Web App per consentire la visualizzazione di un allegato XML, vedere Visualizzare o configurare Outlook Web App directory virtuali.
Per informazioni su come usare il cmdlet New-AdminAuditLogSearch , vedere Cercare le modifiche al gruppo di ruoli o i log di controllo dell'amministratore.
Voci manuali del log di controllo
Oltre a registrare i cmdlet di Exchange quando vengono eseguiti, Exchange 2013 consente di scrivere manualmente voci di log nel log di controllo. Exchange 2013 supporta questa operazione usando il cmdlet Write-AdminAuditLog . I casi in cui può essere necessario l'inserimento manuale di una voce di registro sono i seguenti:
Ingresso e uscita per uno script personalizzato
Modifica delle informazioni di controllo
Orari di inizio e fine della manutenzione
Con il cmdlet Write-AdminAuditLog , è necessario specificare una stringa di testo da includere nel log di controllo usando il parametro Comment . Il parametro Comment accetta una stringa alfanumerica fino a 500 caratteri. Nella voce del registro di controllo manuale insieme alla stringa di commento sono incluse tutte le stesse informazioni ottenere quando viene registrato un cmdlet di Exchange. Per una descrizione di ogni campo incluso nel log di controllo, vedere la tabella in Contenuto del log di controllo.
È possibile recuperare le voci del log di controllo manuale allo stesso modo di qualsiasi altra voce di log, usando la pagina di controllo EAC o i cmdlet Search-AdminAuditLog o New-AdminAuditLogSearch .
Per visualizzare il contenuto del parametro Comment nel cmdlet Write-AdminAuditLog in una voce del log di controllo manuale, vedere Cercare le modifiche al gruppo di ruoli o i log di controllo dell'amministratore.
Replica Active Directory
La registrazione dei controlli dell'amministratore si basa sulla replica di Active Directory per replicare le impostazioni di configurazione specificate nei controller di dominio nell'organizzazione. A seconda delle impostazioni di replica, le modifiche apportate potrebbero non essere applicate immediatamente a tutti i server che eseguono Exchange 2013 o Exchange 2010 nell'organizzazione.
Agente Registro di controllo di amministrazione
L'agente di estensione cmdlet predefinito del log di controllo Amministrazione esegue la registrazione di controllo amministratore delle operazioni dei cmdlet in Exchange 2013. Questo agente legge la configurazione del registro di controllo ed esegue una valutazione di ogni cmdlet eseguito nell'organizzazione. Se i criteri specificati nella configurazione del registro di controllo corrispondono al cmdlet in esecuzione, l'agente genererà una voce di controllo.
L'agente per la registrazione dei controlli dell'amministratore è abilitato per impostazione predefinita in modo che la registrazione di controllo funzioni correttamente. Non può essere disabilitato né è possibile modificarne la priorità. Per ulteriori informazioni sugli agenti di estensione cmdlet, vedere Agenti di estensione di cmdlet.