Estrutura de log de auditoria do administrador
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2015-03-09
Os logs de auditoria do administrador contêm um registro de todos os cmdlets e parâmetros que foram executados no Shell de Gerenciamento do Exchange, pelo Console de Gerenciamento do Exchange (EMC) e pelo Painel de Controle do Exchange (ECP). Eles são criados sob demanda quando você executa o relatório de Alterações na configuração de exportação no ECP, ou então quando você executa o cmdlet New-AdminAuditLogSearch no Shell. Para mais informações sobre os logs de auditoria, consulte Visão geral do log de auditoria do administrador.
Os logs de auditoria são arquivos XML contendo múltiplas entradas de log de auditoria. A tabela a seguir descreve cada marca de XML e seus atributos associados.
Marcas e atributos XML do log de auditoria
Elemento | Atributo | Descrição |
---|---|---|
|
|
Esta é a marca de declaração do documento XML. Esta marca está incluída em todos os arquivos XML de log de auditoria e contém o número da versão XML e o valor de codificação de caracteres. |
|
|
Esta marca contém todas as entradas de log de auditoria no arquivo XML. A marca Há somente uma marca |
|
|
Esta marca contém a entrada de log de auditoria de um cmdlet individual. Esta marca contém os atributos Há uma marca |
|
|
Este atributo contém a conta do usuário que executou o cmdlet no atributo |
|
|
Este atributo contém o nome do cmdlet que foi executado pelo usuário no atributo |
|
|
Este atributo contém o objeto que foi modificado pelo cmdlet especificado no atributo |
|
|
Este atributo contém a data e hora em que se executou o cmdlet no atributo |
|
|
Este atributo especifica se o cmdlet no atributo |
|
|
Este atributo contém a mensagem de erro que é gerada caso o cmdlet no atributo |
|
|
Esta marca contém todos os parâmetros especificados quando o cmdlet foi executado. A marca Há uma marca |
|
|
Esta marca contém um parâmetro individual que foi especificado quando o cmdlet foi executado. Esta marca contém os atributos Pode haver múltiplas marcas |
|
|
Este atributo contém o nome do parâmetro que foi especificado no cmdlet que foi executado. |
|
|
Este atributo contém o valor fornecido no parâmetro especificado no atributo |
|
|
Esta marca contém todas as propriedades modificadas pelo cmdlet que foi executado. A marca Há uma marca |
|
|
Esta marca contém uma propriedade individual que foi especificada quando o cmdlet foi executado. Esta marca contém os atributos Pode haver múltiplas marcas |
|
|
Este atributo contém o nome da propriedade que foi modificada quando o cmdlet foi executado. |
|
|
Este atributo inclui o valor contido na propriedade especificada no atributo |
|
|
Este atributo contém o valor para o qual a propriedade no atributo |
Exemplo de entrada de log de auditoria
O exemplo a seguir é de uma entrada de log de auditoria típica. Com base nas informações na entrada de log, sabemos que aconteceu o seguinte:
Em 5/3/2010 às 23h59 UTC, o usuário
Administrator
executou o cmdlet Set-Mailbox.Os dois parâmetros a seguir foram fornecidos quando o cmdlet Set-Mailbox foi executado:
Identity com um valor de
david
ProhibitSendReceiveQuota com um valor de
1.727 GB
As duas propriedades a seguir no objeto
david
foram modificadas:ProhibitSendReceiveQuota com um novo valor de
1.727 GB
, substituindo o valor antigo de523.4 MB
ObjectState com um novo valor de
Changed
, substituindo o valor antigo deUnchanged
A operação foi concluída com êxito e sem erros.
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="Wally14.extest.microsoft.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="Wally14.extest.microsoft.com/Users/David" RunDate="3/5/2010 11:59:12 PM" Succeeded="true" Error="None">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="1.727 GB (1,854,030,822 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue=" 523.4 MB (548,845,001 bytes) " NewValue="1.727 GB (1,854,030,822 bytes)" />
<Property Name="ObjectState" OldValue="Unchanged" NewValue="Changed" />
</ModifiedProperties>
</Event>
</SearchResults>