Просмотр и экспорт журнала аудита внешнего администратора в Exchange Online

  • Статья

Примечание.

Классический центр администрирования Exchange находится в процессе устаревания при развертывании по всему миру. Рекомендуется выполнить поиск по журналу аудита в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделах Прекращение поддержки классического центра администрирования Exchange в службе WW и Поиск в журнале аудита на портале соответствия требованиям.

В Exchange Online действия, выполняемые корпорацией Майкрософт и делегированными администраторами, регистрируются в журнале аудита администратора. Вы можете использовать Центр администрирования Exchange (EAC) или Exchange Online PowerShell для поиска и просмотра записей журнала аудита, чтобы определить, выполняли ли внешние администраторы какие-либо действия с конфигурацией вашей Exchange Online организации или изменили ее. Вы также можете использовать Exchange Online PowerShell для экспорта этих записей журнала аудита.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения: зависит от того, просматриваете ли вы записи журнала аудита действий администратора или экспортируете их из него. Предполагаемое время выполнения указывается для каждой процедуры.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Просмотр журнала аудита только администратора" в разделе Разрешения функций в Exchange Online.

  • Если вы собираетесь использовать Outlook в Интернете (прежнее название — Outlook Web App) для просмотра экспортированных записей, необходимо включить .xml вложения в Outlook в Интернете. Дополнительные сведения см. в разделе Настройка Outlook в Интернете разрешения XML-вложений.

  • Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш для Центра администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью на форуме Exchange Online.

Просмотр отчета журнала аудита действий внешнего администратора с помощью Центра администрирования Exchange

Предполагаемое время для завершения: 3 минуты

  1. Перейдите в раздел Аудит управления> соответствием и щелкните Просмотреть отчет журнала аудита внешнего администратора. Все изменения конфигурации, внесенные администраторами центра обработки данных Майкрософт и делегированными администраторами в течение указанного периода времени, отображаются и могут быть отсортированы с использованием следующих сведений:

    • Дата: дата и время изменения конфигурации. Дата и время хранятся в формате времени UTC.

    • Командлет: имя командлета, который использовался для изменения конфигурации.

      Если выбрать отдельный результат, в области сведений отображаются следующие сведения.

    • Дата и время запуска командлета.

    • Пользователь, запустивший командлет. Во всех записях в отчете журнала аудита действий внешнего администратора пользователь определяется как администратор и представляет собой администратора центра обработки данных Майкрософт или внешнего администратора.

    • Использованные параметры командлета, а также их значения в формате Параметр: значение.

  2. Чтобы распечатать определенную запись журнала аудита, выберите ее в области результатов поиска и щелкните Печать в области сведений.

  3. Чтобы сузить поиск, выберите даты в раскрывающихся меню Дата начала и Дата окончания, а затем щелкните Поиск.

Использование Exchange Online PowerShell для просмотра записей в отчете журнала аудита внешнего администратора

Предполагаемое время для завершения: 3 минуты

Командлет Search-AdminAuditLog с параметром ExternalAccess можно использовать для просмотра записей из журнала аудита администратора для действий, выполняемых администраторами центра обработки данных Майкрософт и делегированными администраторами.

Эта команда возвращает все записи в журнале аудита администратора для командлетов, выполняемых внешними администраторами.

Search-AdminAuditLog -ExternalAccess $true

Эта команда возвращает записи в журнале аудита администратора для командлетов, выполняемых внешними администраторами в период с 17 сентября 2013 г. по 2 октября 2013 г.

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

Дополнительные сведения см. в разделе Search-AdminAuditLog.

Экспорт журнала аудита администратора с помощью Exchange Online PowerShell

Предполагаемое время для завершения: приблизительно 24 часа

Командлет New-AdminAuditLogSearch с параметром ExternalAccess можно использовать для экспорта записей из журнала аудита администратора для действий, выполняемых администраторами центра обработки данных Майкрософт или делегированными администраторами. Microsoft Exchange извлекает записи в журнале аудита администратора, выполненные внешними администраторами, и сохраняет их в файл с именем SearchResult.xml. Этот XML-файл вкладывается в сообщение электронной почты, которое отправляется указанным получателям в течение 24 часов.

Следующая команда возвращает записи в журнале аудита администратора для командлетов, выполняемых внешними администраторами в период с 25 сентября 2013 г. по 24 октября 2013 г. Результаты поиска отправляются на admin@contoso.com SMTP-адреса и pilarp@contoso.com , а текст "Журнал аудита внешнего администратора" добавляется в строку темы сообщения.

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"

Примечание.

При включении параметра ExternalAccess в экспортируемый журнал аудита включаются только записи о действиях, выполняемых администратором центра обработки данных Майкрософт или делегированными администраторами. Если не включить параметр ExternalAccess , журнал аудита будет содержать записи о действиях, выполняемых администраторами в организации и внешними администраторами.

Чтобы убедиться, что команда для экспорта записей журнала аудита администратора, выполненная внешними администраторами, прошла успешно, и чтобы отобразить сведения о текущих поисках в журнале аудита администратора, выполните следующую команду:

Get-AuditLogSearch | Format-List

Дополнительные сведения

  • В Microsoft 365 и Office 365 вы можете делегировать возможность выполнения определенных административных задач авторизованному партнеру Корпорации Майкрософт. Среди этих административных задач — создание или редактирование пользователей, сброс их паролей и управление их лицензиями, управление доменами и назначение разрешений администратора другим пользователям в вашей организации. Когда вы разрешаете партнеру взять на себя эту роль, он называется делегированным администратором. Задачи, выполняемые делегированным администратором, регистрируются в журнале аудита администратора. Как описывалось ранее, действия, которые выполняют полномочные администраторы, можно просмотреть путем запуска отчета журнала аудита действий внешнего администратора или экспортировать с помощью командлета New-AdminAuditLogSearch с параметром ExternalAccess.

  • В журнале аудита администраторов записываются определенные действия на основе Exchange Online командлетов PowerShell, выполняемые администраторами и пользователями, которым назначены права администратора. В журнале также записываются действия внешних администраторов. В журнале аудита действий администраторов приведены сведения о выполненном командлете, использованных параметрах и измененных объектах.

  • В журнале аудита администратора не записываются действия, основанные на командлете PowerShell Exchange Online, который начинается с команд Get, Search или Test.

  • Записи журнала аудита хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется.