관리자 감사 로깅 개요
적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3
마지막으로 수정된 항목: 2015-03-09
Microsoft Exchange Server 2010에서 관리자 감사 로깅을 사용하여 조직의 사용자 또는 관리자가 수행한 변경 작업을 기록할 수 있습니다. 변경 로그를 유지하면 변경 작업을 수행한 사용자의 변경 기록을 추적할 수 있습니다. 또한 변경 사항이 구현될 때 변경에 대한 상세 레코드가 포함된 변경 로그를 늘리고, 레코드를 사용하여 검색에 대한 규제 요구 사항 및 요청을 준수할 수 있습니다.
기본적으로 감사 로깅은 Microsoft Exchange Server 2010 SP1(서비스 팩 1)을 새로 설치할 때 사용하도록 설정되어 있습니다.
감사 대상
Exchange 관리 셸에서 직접 실행되는 cmdlet에 대해 감사가 수행됩니다. 또한 EMC(Exchange 관리 콘솔) 및 Exchange 웹 관리 인터페이스를 사용하여 수행되는 작업도 백그라운드에서 cmdlet을 실행하므로 마찬가지로 로깅됩니다.
cmdlet이 cmdlet 감사 목록에 있고 해당 cmdlet의 매개 변수 하나 이상이 매개 변수 감사 목록에 있는 경우 cmdlet은 실행 위치에 관계없이 감사됩니다. Get- 및 Search- cmdlet은 기록되지 않습니다. 감사 로깅은 어떤 개체를 확인했는지가 아닌 Exchange 조직에서 개체를 수정하기 위해 수행된 작업을 표시하기 위한 것입니다.
중요
cmdlet이 관리자 감사 로그 cmdlet 확장 에이전트를 호출하기 전에 오류가 발생할 경우에는 로깅되지 않습니다. 관리 감사 로그 에이전트가 호출된 후 오류가 발생하면 관련 오류와 함께 cmdlet이 기록됩니다. 자세한 내용은 이 항목 뒷부분의 관리 감사 로그 에이전트 섹션을 참조하십시오.
Microsoft Exchange Server 2007 관리 도구를 사용하여 변경된 내용은 기록되지 않습니다.
감사 로그 구성의 변경 내용은 구성 변경 시 셸이 열리는 컴퓨터에서 60분마다 새로 고쳐집니다. 변경 내용을 즉시 적용하려면 각 컴퓨터에서 셸을 닫은 후 다시 여십시오.
감사 로깅 구성
기본적으로 감사 로깅을 사용하도록 설정하면 Get- 또는 Search- cmdlet 이외의 cmdlet이 실행될 때마다 로그 항목이 만들어집니다. 실행되는 모든 cmdlet을 감사하지 않으려면 관심 있는 cmdlet과 매개 변수만 감사하도록 감사 로깅을 구성할 수 있습니다. 감사 로깅은 Set-AdminAuditLogConfig cmdlet으로 구성합니다. 다음 섹션에서 언급되는 매개 변수가 이 cmdlet과 함께 사용됩니다.
중요
관리자 감사 로그 구성의 변경 내용은 Set-AdministratorAuditLog cmdlet이 감사되는 cmdlet 목록에 포함되어 있는지 여부 또는 감사 로깅이 사용되는지 여부와 관계없이 항상 기록됩니다.
명령이 실행되면 Exchange는 사용된 cmdlet을 검사합니다. 실행된 cmdlet이 AdminAuditLogConfigCmdlets 매개 변수가 사용된 cmdlet과 일치하면 Exchange는 AdminAuditLogConfigParameters 매개 변수에 지정된 매개 변수를 확인합니다. 매개 변수 목록에서 하나 이상의 매개 변수가 일치하는 경우 Exchange는 AdminAuditLogMailbox 매개 변수를 사용하여 지정된 사서함에서 실행된 cmdlet을 기록합니다.
참고
Exchange 2010 RTM(Release To Manufacturing)을 사용하여 관리자 감사 로그 사서함을 지정합니다. Exchange 2010 SP1의 관리자 감사 로깅은 전용 사서함을 사용합니다. 이 전용 사서함은 변경하거나 구성할 수 없습니다.
다음 섹션에서는 감사 로깅 구성의 각 측면에 대한 추가 정보를 소개합니다.
감사 로깅 구성을 관리하는 방법에 대한 자세한 내용은 관리자 감사 로깅 구성을 참조하십시오.
cmdlet
로깅할 cmdlet 및 매개 변수의 목록을 제공하여 어떤 cmdlet을 감사할지 여부를 제어할 수 있습니다. 감사 로깅을 구성할 때 모든 cmdlet을 감사하도록 지정하거나, AdminAuditLogConfigCmdlets 매개 변수를 사용하여 원하는 cmdlet만 감사하도록 지정할 수 있습니다. New-Mailbox와 같이 전체 cmdlet 이름을 지정할 수도 있고, 또는 부분적인 cmdlet 이름을 지정하고 해당 이름을 별표(*) 등의 와일드카드 문자로 묶을 수 있습니다. 예를 들어 Transport 문자열이 포함된 cmdlet이 실행되면 로깅하려는 경우 *Transport*의 값을 지정할 수 있습니다. 전체 cmdlet 이름과 부분적인 cmdlet 이름을 동시에 혼합 사용하여 필요에 맞게 감사 로깅 구성을 지정할 수 있습니다.
매개 변수
로깅할 cmdlet을 지정하는 것뿐만 아니라 해당 cmdlet에 특정 매개 변수가 사용될 경우에만 cmdlet이 로깅되도록 지정할 수도 있습니다. AdminAuditLogConfigParameters 매개 변수를 사용하여 로깅해야 할 매개 변수를 지정합니다. cmdlet과 마찬가지로 전체 매개 변수 이름(예: Database)을 지정하거나, *Address*와 같이 와일드카드 문자(*)로 묶은 부분적인 매개 변수 이름을 지정하거나, 또는 이 두 가지를 조합하여 지정할 수 있습니다.
감사 로그 보존 기간
기본적으로 감사 로깅은 90일 동안 감사 로그 항목을 저장하도록 구성되어 있습니다. 90일이 지난 후 감사 로그 항목은 삭제됩니다. AdminAuditLogAgeLimit 매개 변수를 사용하여 감사 로그 보존 기간을 변경할 수 있습니다. 감사 로그 항목을 유지할 일수, 시간, 분 및 초를 지정할 수 있습니다. 값을 지정하려면 dd.hh:mm:ss 형식을 사용합니다. 여기서 각 항목은 다음을 나타냅니다.
dd 감사 로그 항목을 보존할 일수
hh 감사 로그 항목을 보존할 시간
mm 감사 로그 항목을 보존할 시간(분)
ss 감사 로그 항목을 보존할 시간(초)
여러 해는 dd 필드를 사용하여 지정해야 합니다. 예를 들어, 365일은 1년, 730일은 2년, 913일은 2년 6개월에 해당합니다. 예를 들어, 감사 로그 보존 기간을 2년 6개월로 설정하려면 913.00:00:00 구문을 사용합니다.
경고
감사 로그 보존 기간을 현재 보존 기간보다 작게 설정할 수 있습니다. 이 경우 보존 기간이 새 보존 기간을 초과하는 모든 감사 로그 항목이 삭제됩니다.
보존 기간을 0으로 설정할 경우 Exchange는 감사 로그의 모든 항목을 삭제합니다.
감사 로그 보존 기간을 구성할 수 있는 권한은 신뢰할 수 있는 사용자에게만 부여하는 것이 좋습니다.
Test Cmdlet
동사 Test로 시작하는 cmdlet은 기본적으로 기록되지 않습니다. TestCmdletLoggingEnabled 매개 변수를 $true로 설정하여 Test cmdlet을 기록하도록 지정할 수 있습니다. test cmdlet의 로깅을 사용하도록 설정할 수 있지만 짧은 기간 동안만 로깅하도록 설정하는 것이 좋습니다. test cmdlet은 대량의 데이터를 생성할 수 있기 때문입니다.
감사 로그
cmdlet이 기록될 때마다 감사 로그 항목이 만들어집니다. 감사 로그는 ECP(Exchange 제어판) 감사 보고서 페이지나 Search-AdminAuditLog 또는 New-AdminAuditLogSearch cmdlet을 사용해서만 액세스할 수 있는 숨겨진 전용 중재 사서함에 저장됩니다. 감사 로그는 Microsoft Office Outlook Web App 또는 Microsoft Outlook을 사용하여 열 수 없습니다. 다음 섹션에서는 다음에 대한 정보를 제공합니다.
로그에 포함된 내용
ECP 감사 보고서 페이지에서 사용할 수 있는 보고서
감사 로그 검색 cmdlet
참고
Exchange 2010 RTM(Release To Manufacturing)을 사용하여 관리자 감사 로그 사서함을 지정합니다. Exchange 2010 SP1의 관리자 감사 로깅은 전용 사서함을 사용합니다. 이 전용 사서함은 변경하거나 구성할 수 없습니다.
ECP 감사 보고서 페이지와 Search-AdminAuditLog 및 New-AdminAuditLogSearch cmdlet은 Exchange 2010 SP1 관리자 감사 로그에서만 작동합니다. Exchange 2010 RTM 감사 로그 사서함의 콘텐츠를 보려면 Outlook Web App 또는 Outlook 등의 전자 메일 클라이언트를 사용하여 해당 사서함을 열어야 합니다.
감사 로그 콘텐츠
각 감사 로그 항목에는 다음 표에 설명된 정보가 포함되어 있습니다. 감사 로그에는 하나 이상의 감사 로그 항목이 포함되어 있습니다. 감사 로그 항목 수는 Set-AdminAuditLog cmdlet을 사용하여 지정된 감사 로그 보존 기간으로 제어됩니다. 보존 기간을 초과하는 모든 감사 로그 항목은 삭제됩니다.
감사 로그 항목 필드
| 필드 | 설명 |
|---|---|
|
이 필드는 Exchange에서 내부적으로 사용합니다. |
|
이 필드에는 |
|
이 필드에는 |
|
이 필드에는 |
|
이 필드에는 |
|
이 필드에는 |
|
이 필드는 |
|
이 필드에는 |
|
이 필드에는 |
|
이 필드는 Exchange에서 내부적으로 사용합니다. |
|
이 필드는 Exchange에서 내부적으로 사용합니다. |
ECP 감사 보고서
ECP의 감사 보고서 페이지에는 다양한 유형의 준수 및 관리 구성 변경 내용에 대한 정보를 제공하는 여러 가지 보고서가 있습니다. 다음 보고서는 조직의 구성 변경 내용에 대한 정보를 제공합니다.
관리자 역할 변경 내용 이 보고서를 사용하여 지정된 시간대 내에서 지정하는 관리 역할 그룹에 대한 변경 내용을 검색할 수 있습니다. 반환되는 결과에는 변경된 역할 그룹, 변경한 사용자 및 변경 시간 및 내용이 포함되어 있습니다. 최대 3,000개의 항목이 반환될 수 있습니다. 검색에서 3,000개 이상의 항목을 반환할 수 있는 경우 구성 변경 내용 내보내기 보고서 또는 Search-AdminAuditLog cmdlet을 사용합니다.
구성 변경 내용 내보내기 이 보고서를 사용하여 지정된 시간대 내에 기록된 감사 로그 항목을 XML 파일로 내보낸 다음 사용자가 지정하는 받는 사람에게 이 파일을 전자 메일로 보낼 수 있습니다. XML 파일의 콘텐츠에 대한 자세한 내용은 관리자 감사 로그 구조를 참조하십시오.
이러한 보고서를 사용하는 방법에 대한 자세한 내용은 관리자 감사 로그 검색을 참조하십시오.
소송 자료 보호(litigation hold), 사서함 구성 변경 내용 및 비소유자 사서함 액세스에 대한 보고서도 또한 감사 보고서 페이지에 포함되어 있습니다. 이러한 보고서에 대한 자세한 내용은 다음 항목을 참조하십시오.
Search-AdminAuditLog Cmdlet
Search-AdminAuditLog cmdlet을 실행하는 경우 지정하는 검색 조건과 일치하는 모든 감사 로그 항목이 반환됩니다. 다음과 같은 검색 조건을 지정할 수 있습니다.
Cmdlet 관리자 감사 로그에서 검색하려는 cmdlet을 지정합니다.
매개 변수 관리자 감사 로그에서 검색하려는 매개 변수를 지정합니다. 검색할 cmdlet을 지정하는 경우 매개 변수만 검색할 수 있습니다.
종료 날짜 지정한 날짜 또는 그 이전에 발생한 로그 항목에 대한 관리자 감사 로그 결과의 범위를 지정합니다.
시작 날짜 지정한 날짜 또는 그 이후에 발생한 로그 항목에 대한 관리자 감사 로그 결과의 범위를 지정합니다.
개체 ID 지정한 변경된 개체를 포함하는 관리자 감사 로그 항목만 반환되어야 하는지 여부를 지정합니다.
사용자 ID cmdlet을 실행한 사용자의 지정한 ID를 포함하는 관리자 감사 로그 항목만 반환되어야 하는지 여부를 지정합니다.
성공적 완료 성공 또는 실패를 나타내는 관리자 감사 로그 항목만 반환되어야 하는지 여부를 지정합니다.
각 감사 로그 항목에는 감사 로그 콘텐츠의 표에 설명된 정보가 포함되어 있습니다. 기본적으로 지정한 기준과 일치하는 처음 1,000개의 로그 항목이 반환됩니다. 하지만 이 기본값을 무시하고 ResultSize 매개 변수를 사용하여 더 많거나 적은 수의 항목을 반환할 수 있습니다. ResultSize 매개 변수로 Unlimited 값을 지정하여 조건과 일치하는 모든 로그 항목을 반환할 수 있습니다.
Search-AdminAuditLog cmdlet을 사용하는 방법에 대한 자세한 내용은 관리자 감사 로그 검색을 참조하십시오.
New-AdminAuditLogSearch Cmdlet
New-AdminAuditLogSearch cmdlet은 Search-AdminAuditLog cmdlet과 동일하게 감사 로그를 검색합니다. 하지만 셸에서 감사 로그 검색 결과를 표시하는 대신 New-AdminAuditLogSearch cmdlet이 검색을 수행한 다음 사용자가 지정하는 받는 사람에게 검색 결과를 전자 메일로 보냅니다. 결과는 XML 첨부 파일로 전자 메일 메시지에 포함됩니다.
Search-AdminAuditLog cmdlet에서 사용되는 New-AdminAuditLogSearch cmdlet과 동일한 검색 조건을 사용할 수 있습니다. 검색 조건 목록은 Search-AdminAuditLog Cmdlet을 참조하십시오.
New-AdminAuditLogSearch cmdlet을 실행한 후 Exchange가 지정된 받는 사람에게 보고서를 배달하는 데 최대 15분까지 걸릴 수 있습니다. XML 파일 첨부 보고서의 최대 크기는 10MB입니다. XML 파일에는 감사 로그 콘텐츠의 표에 설명된 동일한 정보가 포함되어 있습니다. XML 파일의 구조에 대한 자세한 내용은 관리자 감사 로그 구조를 참조하십시오.
참고
Outlook Web App은 기본적으로 XML 첨부 파일을 열지 못하도록 합니다. Outlook Web App을 사용하여 XML 첨부 파일을 볼 수 있도록 Exchange을 구성하거나 Microsoft OfficeOutlook과 같은 다른 전자 메일 클라이언트를 사용하여 첨부 파일을 볼 수 있습니다. Outlook Web App에서 XML 첨부 파일을 볼 수 있도록 구성하는 방법에 대한 자세한 내용은 Outlook Web App 가상 디렉터리 보기 또는 구성을 참조하십시오.
New-AdminAuditLogSearch cmdlet을 사용하는 방법에 대한 자세한 내용은 관리자 감사 로그 검색을 참조하십시오.
수동 감사 로그 항목
실행 시 Exchange cmdlet 기록뿐만 아니라 Exchange 2010 SP1을 사용하여 수동으로 감사 로그에 로그 항목을 기록할 수도 있습니다. Exchange 2010 SP1은 Write-AdminAuditLog cmdlet을 사용하여 이를 지원합니다. 수동 로그에 포함하려는 사항은 다음과 같습니다.
사용자 지정 스크립트 입력 및 종료
변경 제어 정보
유지 관리 시작 및 종료 시간
Write-AdminAuditLog cmdlet에서 Comment 매개 변수를 사용하여 감사 로그에 포함할 텍스트 문자열을 지정합니다. Comment 매개 변수는 최대 500자의 영숫자 문자열을 허용합니다. Exchange cmdlet이 로그될 때 캡처된 모든 동일한 정보가 주석 문자열과 함께 수동 감사 로그 항목에 포함됩니다. 감사 로그에 포함된 각 필드에 대한 설명을 보려면 감사 로그 콘텐츠에 있는 표를 참조하십시오.
ECP 감사 보고서 페이지나 Search-AdminAuditLog 또는 New-AdminAuditLogSearch cmdlet을 사용하여 기타 로그 항목과 동일한 방식으로 수동 로그 항목을 검색할 수 있습니다.
수동 감사 로그 항목에서 Write-AdminAuditLog cmdlet의 Comment 매개 변수 콘텐츠를 보려면 관리자 감사 로그 검색을 참조하십시오.
Active Directory 복제
관리자 감사 로깅은 Active Directory 복제를 사용하여 지정한 구성 설정을 조직의 도메인 컨트롤러에 복제합니다. 복제 설정에 따라 변경한 내용이 Exchange 2010을 실행하는 조직 내 모든 서버에 즉시 적용되지 않을 수도 있습니다.
관리 감사 로그 에이전트
기본 제공 cmdlet 확장 에이전트인 관리자 감사 로그 에이전트는 Exchange 2010에서 cmdlet 작업의 관리자 감사 로깅을 수행합니다. 이 에이전트는 감사 로그 구성을 읽은 후 조직에서 실행되는 각 cmdlet에 대한 평가를 수행합니다. 감사 로그 구성에 지정한 조건이 실행 중인 cmdlet과 일치하는 경우 에이전트에서 감사 로그를 생성합니다.
관리자 감사 로그 에이전트는 기본적으로 사용하도록 설정되어 있으며, 감사 로깅이 작동하는 데 필요합니다. 사용하지 않도록 설정할 수 없으며 해당 우선 순위를 변경할 수 없습니다. cmdlet 확장 에이전트에 대한 자세한 내용은 Cmdlet 확장 에이전트 이해를 참조하십시오.
관리 감사 로그로 인해 데이터베이스가 급증할 수 있는 경우
관리 감사 로그는 기본적으로 Exchange Server 2010에서 사용됩니다. 로그 결과는 AdminAuditLogs 폴더의 중재 사서함에 저장됩니다. Exchange 관리 셸에서 cmdlet이 자주 실행되는 경우 여러 로그 항목이 생성되며 이로 인해 데이터베이스 크기가 빠르게 증가할 수 있습니다. 이 동작은 사용자 사서함이 없는 경우에도 발생할 수 있습니다.
AdminAuditLogs 폴더의 크기를 확인하려면 Exchange 관리 셸에서 다음 cmdlet을 실행합니다. Get-MailboxFolderstatistics "중재 사서함의 GUID" -FolderScope RecoverableItems –IncludeAnalysis 그런 다음 AdminAuditLogs 폴더의 항목 수와 크기를 확인합니다.
AdminAuditLogs 폴더의 항목 수가 많고 크기가 크면 다음 cmdlet을 실행하여 폴더에서 항목을 삭제합니다. Search-Mailbox 중재 사서함의 GUID -Dumpsteronly -deletecontent
cmdlet을 자주 실행하면 데이터베이스가 증가할 수 있습니다. 일반적으로 cmdlet은 주기적으로 실행되도록 예약된 스크립트에 있습니다. 관리 감사 로그를 증가시키는 cmdlet을 확인합니다. 관리 감사 로그에서 이 cmdlet을 제외할 수 있는지 확인한 후 Exchange 관리 셸에서 다음 cmdlet을 실행합니다. Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets cmdlet 이름. 예를 들면 다음 cmdlet을 실행합니다. Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets Add-DistributionGroupMember. cmdlet을 실행한 후에는 복제가 완료될 때까지 기다려야 합니다.