Просмотр и экспорт журнала аудита действий внешнего администратора

Exchange Online
 

Применимо к:Exchange Online

Последнее изменение раздела:2016-12-09

В Exchange Online действия Майкрософт и полномочных администраторов регистрируются в журнале аудита действий администратора. Вы можете найти и просмотреть записи журнала аудита с помощью Центра администрирования или командной консоли Exchange, чтобы определить, изменяли ли внешние администраторы конфигурацию вашей организации Exchange Online. Вы также можете экспортировать эти записи журнала аудита с помощью командной консоли Exchange.

  • Предполагаемое время для завершения: зависит от того, просматриваете ли вы записи журнала аудита действий администратора или экспортируете их из него. Предполагаемое время выполнения указывается для каждой процедуры.

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Ведение журнала аудита действий администратора только для просмотра" в разделе Разрешения инфраструктуры Exchange и командной консоли.

  • При экспорте журнала аудита действий администратора Microsoft Exchange вкладывает журнал аудита в виде XML-файла в сообщение электронной почты, которое отправляется указанным получателям. Тем не менее по умолчанию XML-вложения блокируются в Outlook Web App. Если вы хотите использовать Outlook Web App для доступа к журналам аудита, необходимо разрешить XML-вложения в Outlook Web App. Выполните следующую команду, чтобы разрешить XML-вложения в приложении Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
    
  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

Предполагаемое время для завершения: 3 минуты

  1. Откройте раздел Управление соответствием > Аудит и щелкните Просмотреть отчет журнала аудита действий внешнего администратора. Будут показаны все изменения конфигурации, которые внесли администраторы центра обработки данных Майкрософт и полномочные администраторы в течение заданного периода времени. Их можно сортировать, используя следующую информацию.

    • Дата. Дата и время внесения изменения в конфигурацию. Дата и время хранятся в формате времени UTC.

    • Командлет. Имя командлета, который использовался для внесения изменения в конфигурацию.

      Если выбрать отдельный результат, в области сведений отображаются следующие сведения.

      • Дата и время запуска командлета.

      • Пользователь, запустивший командлет. Во всех записях в отчете журнала аудита действий внешнего администратора пользователь определяется как администратор и представляет собой администратора центра обработки данных Майкрософт или внешнего администратора.

      • Использованные параметры командлета, а также их значения в формате Параметр: значение.

  2. Чтобы распечатать определенную запись журнала аудита, выберите ее в области результатов поиска и щелкните Печать в области сведений.

  3. Чтобы сузить поиск, выберите даты в раскрывающихся меню Дата начала и Дата окончания, а затем щелкните Поиск.

Предполагаемое время для завершения: 3 минуты

Чтобы просмотреть записи журнала аудита, связанные с действиями, которые выполняют администраторы центра обработки данных Майкрософт и полномочные администраторы, используйте командлет Search-AdminAuditLog с параметром ExternalAccess.

Эта команда возвращает все записи в журнале аудита действий администратора для командлетов, которые выполняют внешние администраторы.

Search-AdminAuditLog -ExternalAccess $true

Эта команда возвращает все записи в журнале аудита действий администратора для командлетов, которые внешние администраторы запустили с 17 сентября по 2 октября 2013 г.

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

Дополнительные сведения см. в разделе Search-AdminAuditLog.

Предполагаемое время для завершения: приблизительно 24 часа

Чтобы экспортировать записи журнала аудита, связанные с действиями, которые выполняют администраторы центра обработки данных Майкрософт или полномочные администраторы, используйте командлет New-AdminAuditLogSearch с параметром ExternalAccess. Microsoft Exchange извлекает записи в журнале аудита действий, которые выполнили внешние администраторы, и сохраняет их в файле с именем SearchResult.xml. Этот XML-файл вкладывается в сообщение электронной почты, которое отправляется указанным получателям в течение 24 часов.

Следующая команда возвращает записи из журнала аудита действий администратора относительно командлетов, которые внешние администраторы запустили с 25 сентября по 24 октября 2013 г. Результаты поиска отправляются на SMTP-адреса admin@contoso.com и pilarp@contoso.com, а в строку темы сообщения добавляется текст "Журнал аудита действий внешнего администратора".

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"
ПримечаниеПримечание.
Если включить параметр ExternalAccess, в экспортируемый журнала аудита будут включены только записи для действий, которые выполняют администраторы центра обработки данных Майкрософт или полномочные администраторы. Если не включить параметр ExternalAccess, журнал аудита будет содержать записи для действий, которые выполняют как администраторы вашей организации, так и внешние администраторы.

Чтобы убедиться, что команда по экспорту записей журнала аудита действий внешних администраторов успешно выполнена, а также отобразить сведения о текущих операциях поиска журналов аудита действий администраторов, выполните следующую команду.

Get-AuditLogSearch | FL

  • В Office 365 вы можете предоставить возможность выполнять определенные административные задачи авторизованному партнеру корпорации Майкрософт. Среди этих административных задач — создание или редактирование пользователей, сброс их паролей и управление их лицензиями, управление доменами и назначение разрешений администратора другим пользователям в вашей организации. Если вы предоставите эту роль партнеру, он будет считаться полномочным администратором. Задачи, которые выполняет полномочный администратор, записываются в журнал аудита действий администратора. Как описывалось ранее, действия, которые выполняют полномочные администраторы, можно просмотреть путем запуска отчета журнала аудита действий внешнего администратора или экспортировать с помощью командлета New-AdminAuditLogSearch с параметром ExternalAccess. Дополнительные сведения см. в статье Добавление и удаление полномочного администратора.

  • В журнал аудита действий администратора записываются определенные действия администраторов и пользователей с правами администратора на основе командлетов Командная консоль Exchange. В журнале также записываются действия внешних администраторов. В журнале аудита действий администраторов приведены сведения о выполненном командлете, использованных параметрах и измененных объектах.

  • В журнал аудита действий администраторов не записываются действия на основе командлета Командная консоль Exchange, который начинается с глагола Get, Search или Test.

  • Записи журнала аудита хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется.

 
Показ: