Просмотр журнала аудита администратора

Exchange 2013
 

Применимо к:Exchange Online, Exchange Online Protection, Exchange Server 2013

Последнее изменение раздела:2016-05-03

В Microsoft Exchange Online Protection (EOP), Microsoft Exchange Online и Microsoft Exchange 2013 вы можете использовать Центр администрирования Exchange (EAC) для поиска и просмотра записей в журнале аудита действий администратора. В этот журнал записываются определенные действия на основе командлета Командная консоль Exchange, выполняемые администраторами и пользователями с правами администратора. В записях журнала уточняется, какой командлет выполнен, какие параметры использованы, кто выполнял командлет, а также какие объекты изменены.

ПримечаниеПримечание.
  • Ведение журнала аудита действий администратора по умолчанию включено.

  • В журнал аудита действий администратора не записываются действия на основе командлета Командная консоль Exchange, которые начинаются с глаголов Get, Search или Test.

  • Записи журнала аудита хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется.

  • Предполагаемое время выполнения: 5 минут

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Просмотр отчетов" в разделе Разрешения на функции в службе EOP.

  • Как было сказано ранее, ведение журнала аудита действий администратора по умолчанию включено. Чтобы убедиться в этом, выполните следующую команду.

    Get-AdminAuditLogConfig | FL AdminAuditLogEnabled
    

    В Exchange 2013 можно включить ведение журнала аудита действий администратора, если оно отключено, выполнив следующую команду.

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
    

    В Exchange Online Protection и Exchange Online ведение журнала аудита действий администратора всегда включено. Отключить его невозможно.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

  1. В Центре администрирования Exchange выберите пункты Управление соответствием требованиям > Аудит, а затем выберите команду Просмотреть отчет из журнала аудита действий администратора.

  2. Выберите начальную и конечную дату, а затем нажмите кнопку Поиск. Будут показаны все изменения конфигурации, внесенные в течение заданного периода времени. Их можно сортировать, используя следующую информацию:

    • Дата.   Дата и время внесения изменения в конфигурацию. Дата и время хранятся в формате времени UTC.

    • Командлет. Имя командлета, который использовался для изменения конфигурации.

    • Пользователь.   Имя учетной записи пользователя, который изменил конфигурацию.

    На нескольких страницах отображается до 5000 записей. Укажите меньший диапазон дат, чтобы сократить число результатов. Если выбрать отдельный результат, в области сведений отображаются следующие сведения.

    • Измененный объект. Объект, измененный с помощью командлета.

    • Параметры (параметр:значение).   Использованные параметры командлета, а также их значения.

  3. Если вы хотите напечатать определенную запись журнала, нажмите кнопку Печать в области сведений.

Если вы успешно выполнили отчет для журнала аудита действий администратора, изменения, внесенные в течение заданного периода, появится в области результатов поиска. Если результатов нет, измените диапазон дат и повторно запустите отчет.

ПримечаниеПримечание.
После внесения изменения в конфигурацию может потребоваться до 15 минут, чтобы оно появилось в результатах поиска в журнале аудита. Если изменение не появляется в журнале аудита администратора, подождите несколько минут и снова выполните поиск.
 
Показ: