Просмотр журнала аудита администратора в Exchange Online

Статья
04/04/2023

Примечание.

Классический центр администрирования Exchange находится в процессе устаревания при развертывании по всему миру. Рекомендуется выполнить поиск по журналу аудита в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделах Прекращение поддержки классического центра администрирования Exchange в службе WW и Поиск в журнале аудита на портале соответствия требованиям.

В Exchange Online организациях или автономных Exchange Online Protection организациях без Exchange Online почтовых ящиков можно использовать Центр администрирования Exchange (EAC) или PowerShell для поиска и просмотра записей в журнале аудита администратора.

Журнал аудита администратора записывает определенные действия на основе Exchange Online PowerShell или автономных командлетов PowerShell Exchange Online Protection, выполненных администраторами и пользователями, которым назначены права администратора. Записи в журнале аудита администратора содержат сведения о том, какой командлет был запущен, какие параметры использовались, кто выполнял командлет и какие объекты были затронуты.

Примечания.

Администратор ведение журнала аудита включено по умолчанию, и вы не можете отключить его.
В журнале аудита администратора не записываются действия, основанные на командлетах, которые начинаются с команд Get, Search или Test.
После внесения изменения в конфигурацию может потребоваться до 15 минут, чтобы оно появилось в результатах поиска в журнале аудита. Если изменение не отображается в журнале аудита администратора, подождите несколько минут и запустите поиск еще раз.
Записи журнала аудита хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется.

Что нужно знать перед началом работы

Сведения об открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в Exchange Online.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Сведения о подключении к автономному Exchange Online Protection PowerShell см. в статье Подключение к Exchange Online Protection PowerShell.
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Просмотр журнала аудита только администратора" в разделе Разрешения функций в Exchange Online.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этой статье, см. в разделе Сочетания клавиш для Центра администрирования Exchange в Exchange Online.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Online или Exchange Online Protection.

Просмотр журнала аудита администратора с помощью Центра администрирования

В Центре администрирования EAC перейдите в разделАудитуправления> соответствием и выберите Запуск отчета журнала аудита администратора.
На открывающейся странице Поиск изменений в группах ролей администратора выберите дату начала и дату окончания (диапазон по умолчанию — последние две недели), а затем нажмите кнопку Поиск. Все изменения конфигурации, внесенные за указанный период времени, отображаются и могут быть отсортированы с использованием следующих сведений:
- Дата: дата и время изменения конфигурации. Дата и время хранятся в формате времени UTC.
- Командлет: имя командлета, который использовался для изменения конфигурации.
- Пользователь: имя учетной записи пользователя, который внес изменения в конфигурацию.
  
  На нескольких страницах отображается до 5000 записей. Укажите меньший диапазон дат, чтобы сократить число результатов. Если выбрать отдельный результат, в области сведений отображаются следующие сведения.
- Объект изменен: объект, измененный командлетом .
- Параметры (Parameter:Value): используемые параметры командлета и любое значение, указанное в параметре .
Если вы хотите напечатать определенную запись журнала, нажмите кнопку Печать в области сведений.

Просмотр журнала аудита администратора с помощью PowerShell

Вы можете использовать Exchange Online PowerShell или автономную Exchange Online Protection PowerShell для поиска записей журнала аудита, соответствующих указанным условиям. Используйте следующий синтаксис.

Search-AdminAuditLog [-Cmdlets <Cmdlet1,Cmdlet2,...CmdletN>] [-Parameters <Parameter1,Parameter2,...ParameterN>] [-StartDate <UTCDateTime>] [-EndDate <UTCDateTime>] [-UserIds <"User1","User2",..."UserN">] [-ObjectIds <"Object1","Object2",..."ObjectN">] [-IsSuccess <$true | $false>]

Примечания.

Параметр Parameters можно использовать только вместе с параметром Командлеты .
Параметр ObjectIds фильтрует результаты по объекту, измененный командлетом . Допустимое значение зависит от того, как объект представлен в журнале аудита. Например:
- Имя
- Каноническое различающееся имя (например, contoso.com/Users/Akia Аль-Зухаири)
Скорее всего, вам потребуется использовать другие параметры фильтрации в этом командлете, чтобы сузить результаты и определить интересующие вас типы объектов.
Параметр UserIds фильтрует результаты по пользователю, который внес изменение (который выполнил командлет).
Если для параметров StartDate и EndDate указано значение даты и времени без часового пояса, значение будет указано в формате UTC. Чтобы указать значение даты или времени для этого параметра, воспользуйтесь одним из следующих вариантов:
- Укажите значение даты / времени в формате UTC: например, «2016-05-06 14: 30: 00z».
- Укажите значение даты и времени в качестве формулы, которая преобразует дату и время в местном часовом поясе в utc: например. (Get-Date "5/6/2016 9:30 AM").ToUniversalTime() Для получения дополнительной информации см. Get-Date.
По умолчанию командлет возвращает не более 1000 записей журнала. Используйте параметр ResultSize , чтобы указать до 250 000 записей журнала. Или используйте значение Unlimited для возврата всех записей.

В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:

Дата начала: 4 августа 2019 г.
Дата окончания: 3 октября 2019 г.
Командлеты: Update-RoleGroupMember

Search-AdminAuditLog -Cmdlets Update-RoleGroupMember -StartDate (Get-Date "08/04/2019").ToUniversalTime() -EndDate (Get-Date "10/03/2019").ToUniversalTime()

Дополнительные сведения о синтаксисе и параметрах см. в разделе Search-AdminAuditLog.

Просмотр подробных сведений о записях журнала аудита

Командлет Search-AdminAuditLog возвращает поля, описанные в разделе Содержимое журнала аудита далее в этой статье. Из полей, возвращаемых командлетом, два поля, CmdletParameters и ModifiedProperties, содержат дополнительные сведения, которые не возвращаются по умолчанию.

Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties, выполните указанные ниже действия.

Определите критерии поиска, запустите командлет Search-AdminAuditLog и сохраните результаты в переменной с помощью следующей команды.
```
$Results = Search-AdminAuditLog <search criteria>
```
Каждая запись журнала аудита хранится как элемент массива в переменной $Results. Чтобы выбрать элемент массива, укажите его индекс. Индексы элементов массива начинаются с 0 для первого элемента массива. Например, чтобы получить пятый элемент массива с индексом 4, используйте следующую команду.
```
$Results[4]
```
Предыдущая команда возвращает запись журнала, хранящуюся в элементе массива 4. Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties для этой записи журнала, используйте следующие команды.
```
$Results[4].CmdletParameters
$Results[4].ModifiedProperties
```
Чтобы просмотреть содержимое полей CmdletParameters и ModifiedParameters в другой записи журнала, измените индекс элемента массива.

Содержимое журнала аудита

Каждая запись журнала аудита содержит сведения, описанные в приведенной ниже таблице. Журнал аудита содержит одну или несколько записей.

Поле	Описание
`RunspaceId`	Это поле используется внутри.
`ObjectModified`	Это поле содержит объект, измененный командлетом, указанным в `CmdletName` поле .
`CmdletName`	Это поле содержит имя командлета, который был запущен пользователем в `Caller` поле .
`CmdletParameters`	Это поле содержит параметры, указанные при выполнении командлета `CmdletName` в поле. В этом поле, при наличии, также хранится, но не отображается в выходных данных по умолчанию, значение, указанное с помощью параметра.
`ModifiedProperties`	Это поле содержит свойства, которые были изменены для объекта в `ObjectModified` поле . В этом поле также хранятся значения свойств как старые, так и новые (сохраненные).
`Caller`	Это поле содержит учетную запись пользователя, который выполнил командлет в `CmdletName` поле .
`ExternalAccess`	Это поле используется внутри.
`Succeeded`	Это поле указывает, успешно ли выполнен командлет в `CmdletName` поле. Значение равно или `TrueFalse`.
`Error`	Это поле содержит сообщение об ошибке, созданное в случае неудачного завершения командлета `CmdletName` в поле.
`RunDate`	Это поле содержит дату и время выполнения командлета `CmdletName` в поле. Дата и время хранятся в формате времени UTC.
`OriginatingServer`	Это поле указывает сервер, на котором был запущен командлет, указанный `CmdletName` в поле.
`ClientIP`	Это поле используется внутри.
`SessionId`	Это поле используется внутри.
`AppId`	Это поле используется внутри.
`ClientAppId`	Это поле используется внутри.
`Identity`	Это поле используется внутри.
`IsValid`	Это поле используется внутри.
`ObjectState`	Это поле используется внутри.