Просмотр журнала аудита администратора в Exchange Online
Примечание.
Классический центр администрирования Exchange находится в процессе устаревания при развертывании по всему миру. Рекомендуется выполнить поиск по журналу аудита в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделах Прекращение поддержки классического центра администрирования Exchange в службе WW и Поиск в журнале аудита на портале соответствия требованиям.
В Exchange Online организациях или автономных Exchange Online Protection организациях без Exchange Online почтовых ящиков можно использовать Центр администрирования Exchange (EAC) или PowerShell для поиска и просмотра записей в журнале аудита администратора.
Журнал аудита администратора записывает определенные действия на основе Exchange Online PowerShell или автономных командлетов PowerShell Exchange Online Protection, выполненных администраторами и пользователями, которым назначены права администратора. Записи в журнале аудита администратора содержат сведения о том, какой командлет был запущен, какие параметры использовались, кто выполнял командлет и какие объекты были затронуты.
Примечания.
- Администратор ведение журнала аудита включено по умолчанию, и вы не можете отключить его.
- В журнале аудита администратора не записываются действия, основанные на командлетах, которые начинаются с команд Get, Search или Test.
- После внесения изменения в конфигурацию может потребоваться до 15 минут, чтобы оно появилось в результатах поиска в журнале аудита. Если изменение не отображается в журнале аудита администратора, подождите несколько минут и запустите поиск еще раз.
- Записи журнала аудита хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется.
Что нужно знать перед началом работы
Сведения об открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в Exchange Online.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Сведения о подключении к автономному Exchange Online Protection PowerShell см. в статье Подключение к Exchange Online Protection PowerShell.
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Просмотр журнала аудита только администратора" в разделе Разрешения функций в Exchange Online.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этой статье, см. в разделе Сочетания клавиш для Центра администрирования Exchange в Exchange Online.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Online или Exchange Online Protection.
Просмотр журнала аудита администратора с помощью Центра администрирования
В Центре администрирования EAC перейдите в разделАудитуправления> соответствием и выберите Запуск отчета журнала аудита администратора.
На открывающейся странице Поиск изменений в группах ролей администратора выберите дату начала и дату окончания (диапазон по умолчанию — последние две недели), а затем нажмите кнопку Поиск. Все изменения конфигурации, внесенные за указанный период времени, отображаются и могут быть отсортированы с использованием следующих сведений:
Дата: дата и время изменения конфигурации. Дата и время хранятся в формате времени UTC.
Командлет: имя командлета, который использовался для изменения конфигурации.
Пользователь: имя учетной записи пользователя, который внес изменения в конфигурацию.
На нескольких страницах отображается до 5000 записей. Укажите меньший диапазон дат, чтобы сократить число результатов. Если выбрать отдельный результат, в области сведений отображаются следующие сведения.
Объект изменен: объект, измененный командлетом .
Параметры (Parameter:Value): используемые параметры командлета и любое значение, указанное в параметре .
Если вы хотите напечатать определенную запись журнала, нажмите кнопку Печать в области сведений.
Просмотр журнала аудита администратора с помощью PowerShell
Вы можете использовать Exchange Online PowerShell или автономную Exchange Online Protection PowerShell для поиска записей журнала аудита, соответствующих указанным условиям. Используйте следующий синтаксис.
Search-AdminAuditLog [-Cmdlets <Cmdlet1,Cmdlet2,...CmdletN>] [-Parameters <Parameter1,Parameter2,...ParameterN>] [-StartDate <UTCDateTime>] [-EndDate <UTCDateTime>] [-UserIds <"User1","User2",..."UserN">] [-ObjectIds <"Object1","Object2",..."ObjectN">] [-IsSuccess <$true | $false>]
Примечания.
Параметр Parameters можно использовать только вместе с параметром Командлеты .
Параметр ObjectIds фильтрует результаты по объекту, измененный командлетом . Допустимое значение зависит от того, как объект представлен в журнале аудита. Например:
- Имя
- Каноническое различающееся имя (например, contoso.com/Users/Akia Аль-Зухаири)
Скорее всего, вам потребуется использовать другие параметры фильтрации в этом командлете, чтобы сузить результаты и определить интересующие вас типы объектов.
Параметр UserIds фильтрует результаты по пользователю, который внес изменение (который выполнил командлет).
Если для параметров StartDate и EndDate указано значение даты и времени без часового пояса, значение будет указано в формате UTC. Чтобы указать значение даты или времени для этого параметра, воспользуйтесь одним из следующих вариантов:
- Укажите значение даты / времени в формате UTC: например, «2016-05-06 14: 30: 00z».
- Укажите значение даты и времени в качестве формулы, которая преобразует дату и время в местном часовом поясе в utc: например.
(Get-Date "5/6/2016 9:30 AM").ToUniversalTime()
Для получения дополнительной информации см. Get-Date.
По умолчанию командлет возвращает не более 1000 записей журнала. Используйте параметр ResultSize , чтобы указать до 250 000 записей журнала. Или используйте значение
Unlimited
для возврата всех записей.
В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:
- Дата начала: 4 августа 2019 г.
- Дата окончания: 3 октября 2019 г.
- Командлеты: Update-RoleGroupMember
Search-AdminAuditLog -Cmdlets Update-RoleGroupMember -StartDate (Get-Date "08/04/2019").ToUniversalTime() -EndDate (Get-Date "10/03/2019").ToUniversalTime()
Дополнительные сведения о синтаксисе и параметрах см. в разделе Search-AdminAuditLog.
Просмотр подробных сведений о записях журнала аудита
Командлет Search-AdminAuditLog возвращает поля, описанные в разделе Содержимое журнала аудита далее в этой статье. Из полей, возвращаемых командлетом, два поля, CmdletParameters и ModifiedProperties, содержат дополнительные сведения, которые не возвращаются по умолчанию.
Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties, выполните указанные ниже действия.
Определите критерии поиска, запустите командлет Search-AdminAuditLog и сохраните результаты в переменной с помощью следующей команды.
$Results = Search-AdminAuditLog <search criteria>
Каждая запись журнала аудита хранится как элемент массива в переменной
$Results
. Чтобы выбрать элемент массива, укажите его индекс. Индексы элементов массива начинаются с 0 для первого элемента массива. Например, чтобы получить пятый элемент массива с индексом 4, используйте следующую команду.$Results[4]
Предыдущая команда возвращает запись журнала, хранящуюся в элементе массива 4. Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties для этой записи журнала, используйте следующие команды.
$Results[4].CmdletParameters $Results[4].ModifiedProperties
Чтобы просмотреть содержимое полей CmdletParameters и ModifiedParameters в другой записи журнала, измените индекс элемента массива.
Содержимое журнала аудита
Каждая запись журнала аудита содержит сведения, описанные в приведенной ниже таблице. Журнал аудита содержит одну или несколько записей.
Поле | Описание |
---|---|
RunspaceId |
Это поле используется внутри. |
ObjectModified |
Это поле содержит объект, измененный командлетом, указанным в CmdletName поле . |
CmdletName |
Это поле содержит имя командлета, который был запущен пользователем в Caller поле . |
CmdletParameters |
Это поле содержит параметры, указанные при выполнении командлета CmdletName в поле. В этом поле, при наличии, также хранится, но не отображается в выходных данных по умолчанию, значение, указанное с помощью параметра. |
ModifiedProperties |
Это поле содержит свойства, которые были изменены для объекта в ObjectModified поле . В этом поле также хранятся значения свойств как старые, так и новые (сохраненные). |
Caller |
Это поле содержит учетную запись пользователя, который выполнил командлет в CmdletName поле . |
ExternalAccess |
Это поле используется внутри. |
Succeeded |
Это поле указывает, успешно ли выполнен командлет в CmdletName поле. Значение равно или True False . |
Error |
Это поле содержит сообщение об ошибке, созданное в случае неудачного завершения командлета CmdletName в поле. |
RunDate |
Это поле содержит дату и время выполнения командлета CmdletName в поле. Дата и время хранятся в формате времени UTC. |
OriginatingServer |
Это поле указывает сервер, на котором был запущен командлет, указанный CmdletName в поле. |
ClientIP |
Это поле используется внутри. |
SessionId |
Это поле используется внутри. |
AppId |
Это поле используется внутри. |
ClientAppId |
Это поле используется внутри. |
Identity |
Это поле используется внутри. |
IsValid |
Это поле используется внутри. |
ObjectState |
Это поле используется внутри. |