Estrutura de log de auditoria do administrador

  • Artigo

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2015-03-09

Os logs de auditoria do administrador contêm um registro de todos os cmdlets e parâmetros que foram executados no Shell de Gerenciamento do Exchange, pelo Console de Gerenciamento do Exchange (EMC) e pelo Painel de Controle do Exchange (ECP). Eles são criados sob demanda quando você executa o relatório de Alterações na configuração de exportação no ECP, ou então quando você executa o cmdlet New-AdminAuditLogSearch no Shell. Para mais informações sobre os logs de auditoria, consulte Visão geral do log de auditoria do administrador.

Os logs de auditoria são arquivos XML contendo múltiplas entradas de log de auditoria. A tabela a seguir descreve cada marca de XML e seus atributos associados.

Marcas e atributos XML do log de auditoria

Elemento Atributo Descrição

<?xml version="1.0" encoding="utf-8"?>

N/A

Esta é a marca de declaração do documento XML. Esta marca está incluída em todos os arquivos XML de log de auditoria e contém o número da versão XML e o valor de codificação de caracteres.

SearchResults

N/A

Esta marca contém todas as entradas de log de auditoria no arquivo XML. A marca Event é um filho dessa marca.

Há somente uma marca SearchResults por arquivo XML.

Event

 

Esta marca contém a entrada de log de auditoria de um cmdlet individual. Esta marca contém os atributos Caller, Cmdlet, ObjectModified, RunDate, Succeeded e Error. CmdletParameters e ModifiedProperties são marcas filho dessa marca.

Há uma marca Event por entrada de log de auditoria.

 

Caller

Este atributo contém a conta do usuário que executou o cmdlet no atributo Cmdlet.

 

Cmdlet

Este atributo contém o nome do cmdlet que foi executado pelo usuário no atributo Caller.

 

ObjectModified

Este atributo contém o objeto que foi modificado pelo cmdlet especificado no atributo Cmdlet. A marca ModifiedProperties apresenta quais propriedades foram modificadas neste objeto.

 

RunDate

Este atributo contém a data e hora em que se executou o cmdlet no atributo Cmdlet. A data e a hora são armazenadas no formato UTC (Tempo Universal Coordenado).

 

Succeeded

Este atributo especifica se o cmdlet no atributo Cmdlet foi executado com êxito. O valor é True ou False.

 

Error

Este atributo contém a mensagem de erro que é gerada caso o cmdlet no atributo Cmdlet não seja finalizado com êxito. Se não houver erros, o valor será definido como None.

CmdletParameters

N/A

Esta marca contém todos os parâmetros especificados quando o cmdlet foi executado. A marca Parameter é um filho dessa marca.

Há uma marca CmdletParameters por marca Event.

Parameter

 

Esta marca contém um parâmetro individual que foi especificado quando o cmdlet foi executado. Esta marca contém os atributos Name e Value.

Pode haver múltiplas marcas Parameter por marca CmdletParameters.

 

Name

Este atributo contém o nome do parâmetro que foi especificado no cmdlet que foi executado.

 

Value

Este atributo contém o valor fornecido no parâmetro especificado no atributo Name.

ModifiedProperties

N/A

Esta marca contém todas as propriedades modificadas pelo cmdlet que foi executado. A marca Property é um filho dessa marca.

Há uma marca ModifiedProperties por marca Event.

Property

 

Esta marca contém uma propriedade individual que foi especificada quando o cmdlet foi executado. Esta marca contém os atributos Name, OldValue e NewValue.

Pode haver múltiplas marcas Property por marca ModifiedProperties.

 

Name

Este atributo contém o nome da propriedade que foi modificada quando o cmdlet foi executado.

 

OldValue

Este atributo inclui o valor contido na propriedade especificada no atributo Name antes da alteração.

 

NewValue

Este atributo contém o valor para o qual a propriedade no atributo Name foi alterada.

Exemplo de entrada de log de auditoria

O exemplo a seguir é de uma entrada de log de auditoria típica. Com base nas informações na entrada de log, sabemos que aconteceu o seguinte:

  • Em 5/3/2010 às 23h59 UTC, o usuário Administrator executou o cmdlet Set-Mailbox.

  • Os dois parâmetros a seguir foram fornecidos quando o cmdlet Set-Mailbox foi executado:

    • Identity com um valor de david

    • ProhibitSendReceiveQuota com um valor de 1.727 GB

  • As duas propriedades a seguir no objeto david foram modificadas:

    • ProhibitSendReceiveQuota com um novo valor de 1.727 GB, substituindo o valor antigo de 523.4 MB

    • ObjectState com um novo valor de Changed, substituindo o valor antigo de Unchanged

  • A operação foi concluída com êxito e sem erros.

<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
  <Event Caller="Wally14.extest.microsoft.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="Wally14.extest.microsoft.com/Users/David" RunDate="3/5/2010 11:59:12 PM" Succeeded="true" Error="None">
    <CmdletParameters>
      <Parameter Name="Identity" Value="david" />
      <Parameter Name="ProhibitSendReceiveQuota" Value="1.727 GB (1,854,030,822 bytes)" />
    </CmdletParameters>
    <ModifiedProperties>
      <Property Name="ProhibitSendReceiveQuota" OldValue=" 523.4 MB (548,845,001 bytes) " NewValue="1.727 GB (1,854,030,822 bytes)" />
      <Property Name="ObjectState" OldValue="Unchanged" NewValue="Changed" />
    </ModifiedProperties>
  </Event>
</SearchResults>