Структура журнала аудита действий администратора
Область применения: Exchange Server 2013 г.
Журналы аудита администратора содержат запись всех командлетов и параметров, которые были запущены в командной консоли Exchange и в Центре администрирования Exchange (EAC). Они создаются по запросу при запуске отчета журнала аудита администратора в Центре администрирования Exchange или при выполнении командлета New-AdminAuditLogSearch в оболочке. Дополнительные сведения о журналах аудита см. в разделе Ведение журнала аудита администратора.
Журналы аудита хранятся в файлах XML и могут содержать записи нескольких журналов. В следующей таблице описаны все теги XML и связанные с ними атрибуты.
Ищете задачи управления, связанные с журналами аудита администратора? См. раздел Управление ведением журнала аудита администратора.
| Элемент | Атрибут | Описание |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
N/A |
Это тег объявления документа XML. Он включается в каждый файл XML журнала аудита и содержит номер версии XML и значение типа кодировки символов. |
SearchResults |
N/A |
В этом теге содержатся все записи журнала аудита в файле XML. Тег Event является дочерним для этого тега. Для КАЖДОГО XML-файла существует только один SearchResults тег. |
Event |
В этом теге содержится запись журнала аудита для отдельного командлета. Этот тег содержит атрибуты Caller, Cmdlet, ObjectModified, RunDate, Succeeded, Errorи OriginatingServer . Теги CmdletParameters и ModifiedProperties являются дочерними элементами этого тега. Существует один Event тег для каждой записи журнала аудита. |
|
Caller |
Этот атрибут содержит учетную запись пользователя, который выполнил командлет в атрибуте Cmdlet . |
|
Cmdlet |
Этот атрибут содержит имя командлета, который был запущен пользователем в атрибуте Caller . |
|
ObjectModified |
Этот атрибут содержит объект, измененный командлетом, указанным в атрибуте Cmdlet . Тег ModifiedProperties показывает, какие свойства были изменены для этого объекта. |
|
RunDate |
Этот атрибут содержит дату и время выполнения командлета в атрибуте Cmdlet . |
|
Succeeded |
Этот атрибут указывает, успешно ли выполнен командлет в атрибуте Cmdlet . Значение равно или TrueFalse. |
|
Error |
Этот атрибут содержит сообщение об ошибке, созданное в случае неудачного завершения командлета в атрибуте Cmdlet . Если ошибка не обнаружена, значение задается в None. |
|
OriginatingServer |
Этот атрибут содержит сервер, на котором был запущен командлет, указанный в атрибуте Cmdlet . |
|
CmdletParameters |
N/A |
В этом теге содержатся все параметры, заданные при запуске командлета. Тег Parameter является дочерним для этого тега. На каждый тег приходится по одному CmdletParameters тегу Event . |
Parameter |
В этом теге содержится отдельный параметр, заданный при запуске командлета. Этот тег содержит атрибуты Name и Value . На тег CmdletParameters может быть несколько Parameter тегов. |
|
Name |
В этом атрибуте содержится имя параметра, заданного в командлете при его запуске. | |
Value |
Этот атрибут содержит значение, указанное в параметре, указанном в атрибуте Name . |
|
ModifiedProperties |
N/A |
В этом теге содержатся все свойства, которые были изменены в результате выполнения командлета. Тег Property является дочерним для этого тега. На каждый тег приходится по одному ModifiedProperties тегу Event . Важно! Этот тег заполняется только в том случае, если параметр LogLevel в командлете Set-AdminAuditLogConfig имеет значение Verbose. |
Property |
В этом теге содержится отдельное свойство, заданное при запуске командлета. Этот тег содержит атрибуты Name, OldValueи NewValue . На тег ModifiedProperties может быть несколько Property тегов. |
|
Name |
В этом атрибуте содержится имя свойства, измененного в результате выполнения командлета. | |
OldValue |
Этот атрибут содержит значение, которое содержалось в свойстве, указанном в атрибуте Name до его изменения. |
|
NewValue |
Этот атрибут содержит значение, на которое было изменено свойство в атрибуте Name . |
Пример записи в журнале аудита
Ниже приведен пример типичной записи журнала аудита. На основе сведений в записи журнала мы знаем, что произошло следующее:
18.10.2012 в 15:48 по тихоокеанскому времени (UTC-7) пользователь
Administratorвыполнил командлет Set-Mailbox.При запуске командлета Set-Mailbox было задано два следующих параметра:
Удостоверение со значением
davidProhibitSendReceiveQuota со значением
10GB
Были изменены два следующих свойства объекта
david:Примечание.
Измененные свойства сохраняются в журнале аудита, так как в этом примере параметру LogLevel в командлете
Set-AdminAuditLogConfigбыло присвоено значениеVerbose.- ProhibitSendReceiveQuota с новым значением
10GB, которое заменило старое значение35GB
- ProhibitSendReceiveQuota с новым значением
Операция успешно завершена без ошибок.
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e15a.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e15a.contoso.com/Users/david" RunDate="2012-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.00.0516.032)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>