Управление ведением журнала аудита действий администратора

Область применения: Exchange Server 2013 г.

Ведение журнала аудита администратора в Microsoft Exchange Server 2013 позволяет создавать запись журнала при каждом запуске указанного командлета. Записи журнала содержат сведения о том, какой командлет выполнялся, какие параметры использовались, кто выполнял командлет и какие объекты были затронуты. Дополнительные сведения о ведении журнала аудита администратора см. в разделе Administrator audit logging.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения каждой процедуры: менее 5 минут

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Ведение журнала аудита администратора" в разделе Разрешения инфраструктуры Exchange и оболочки .

  • При ведении журнала аудита администратора используется репликация Active Directory для выполнения репликации параметров конфигурации, указанных для контроллеров домена в организации. В зависимости от параметров репликации внесенные изменения могут быть применены не сразу ко всем серверам Exchange 2013 в организации.

  • На компьютерах, на которых во время изменения конфигурации открыта командная консоль, изменения конфигурации журнала аудита обновляются каждые 60 минут. Если изменения необходимо применить немедленно, на каждом компьютере закройте и снова откройте консоль.

  • После запуска команды может пройти до 15 минут, прежде чем она появится в результатах поиска журнала аудита. Это связано с тем, что перед поиском необходимо выполнить индексацию записей журнала аудита. Если команда не появляется в журнале аудита администратора, подождите несколько минут и снова выполните поиск.

  • Для выполнения этих процедур необходимо использовать командную консоль Exchange.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Как задать командлеты для аудита

По умолчанию в журналах аудита создается запись для каждого выполняемого командлета. Если ведение журнала аудита включено впервые и необходимо, чтобы это действие выполнялось далее, список аудита командлетов изменять не требуется. Если вы ранее указали командлеты для аудита и теперь хотите выполнить аудит всех командлетов, вы можете выполнить аудит всех командлетов, указав подстановочный знак звездочки (*) с помощью параметра AdminAuditLogCmdlets в командлете Set-AdminAuditLogConfig , как показано в следующей команде.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets *

Вы можете указать, какие командлеты следует выполнять аудит, предоставив список командлетов с помощью параметра AdminAuditLogCmdlets . При указании списка командлетов для аудита можно указать один командлеты, командлеты со звездочкой (*) подстановочными знаками или сочетание обоих командлетов. Записи в списке разделяются запятыми. Допустимы следующие значения:

  • New-Mailbox
  • *TransportRule
  • *Management*
  • Set-Transport*

В этом примере выполняется аудит командлетов, указанных в предыдущем списке.

Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-AdminAuditLogConfig.

Как задать параметры для аудита

По умолчанию в журналах аудита создается запись для каждого выполняемого командлета, независимо от указанных параметров. Если ведение журнала аудита включено впервые и необходимо, чтобы это действие выполнялось далее, список аудита параметров изменять не требуется. Если ранее вы указали параметры для аудита и теперь хотите выполнить аудит всех параметров, это можно сделать, указав подстановочный знак звездочки (*) с параметром AdminAuditLogParameters в командлете Set-AdminAuditLogConfig , как показано в следующей команде.

Set-AdminAuditLogConfig -AdminAuditLogParameters *

Вы можете указать параметры, которые требуется выполнить аудит, с помощью параметра AdminAuditLogParameters . При указании списка параметров для аудита можно указать отдельные параметры, параметры с подстановочными знаками звездочки (*) или сочетание обоих параметров. Записи в списке разделяются запятыми. Допустимы следующие значения:

  • Database
  • *Address*
  • Custom*
  • *Region

Примечание.

Для создания записи журнала аудита при выполнении команды команда должна включать по крайней мере один или несколько параметров, которые существуют по крайней мере в одном или нескольких командлетах, указанных с параметром AdminAuditLogCmdlets .

В этом примере выполняется аудит параметров, указанных в предыдущем списке.

Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-AdminAuditLogConfig.

Указание предельного срока действия журнала аудита

Время хранения журнала аудита определяет период, в течение которого будут храниться записи журнала аудита. При превышении времени хранения записи журнала она удаляется. Значение по умолчанию — 90 дней.

Можно указать число дней, часов, минут и секунд, в течение которых необходимо хранить записи журнала аудита. Чтобы указать значение, используйте формат dd.hh.mm:ss, где применяется следующее:

  • dd: количество дней для хранения записи журнала аудита
  • hh: количество часов для хранения записи в журнале аудита
  • mm: количество минут для хранения записи журнала аудита
  • ss: количество секунд для хранения записи журнала аудита.

Предупреждение

Для времени хранения журнала аудита можно установить меньшее значение по сравнению с текущим временем хранения. При этом все записи журнала аудита, длительность хранения которых превысит новое время хранения, будут удалены.

Если для ограничения по возрасту задано значение 0, Exchange удаляет все записи в журнале аудита.

Разрешения на настройку времени хранения журнала аудита рекомендуется предоставлять только пользователям с высоким уровнем доверия.

В этом примере указывается время хранения, равное двум годам и шести месяцам.

Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913.00:00:00

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-AdminAuditLogConfig.

Как включить или отключить ведение журнала для командлетов с глаголом Test

По умолчанию командлеты, начинающиеся с глагола Test, не заносятся в журнал. Причиной этого является то, что командлеты Test могут создавать большой объем данных за короткий период времени. Включать ведение журнала командлетов Test рекомендуется только на короткий период времени.

Эта команда включает ведение журнала командлетов Test.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $True

Эта команда отключает ведение журнала командлетов Test.

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False

Дополнительные сведения о синтаксисе и параметрах см. в статье Set-AdminAuditLogConfig.

Отключение ведения журнала аудита администратора

Чтобы отключить ведение журнала аудита администратора, используйте следующую команду.

Set-AdminAuditLogConfig -AdminAuditLogEnabled $False

Включение ведения журнала аудита администратора

Чтобы включить ведение журнала аудита администратора, используйте следующую команду.

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

Просмотр параметров ведения журнала аудита администратора

Чтобы просмотреть параметры ведения журнала аудита администратора, настроенные для организации, используйте следующую команду.

Get-AdminAuditLogConfig