Поиск изменений группы ролей или журналов аудита администраторов

 

Применимо к:Exchange Online, Exchange Server 2013

Последнее изменение раздела:2013-12-02

Поиск по журналу административного аудита позволяет определить автора изменений организации, сервера и сведений получателя. Это может помочь при определении причины неожиданного поведения, для выявления недобросовестного администратора или для проверки соблюдения всех требований. Дополнительные сведения о ведении журнала аудита администратора см. в разделе Ведение журнала аудита администратора.

Чтобы выполнить поиск по почтовому ящику журнала аудита, обратитесь к разделу Ведение журнала аудита почтового ящика.

СоветСовет.
В Exchange Online для просмотра записей в журнале аудита действий администратора можно использовать Центр администрирования Exchange. Дополнительные сведения см. в разделе Просмотр журнала аудита администратора.

  • Предполагаемое время для завершения каждой процедуры: менее 5 минут

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись «Ведение журнала административного аудита только для просмотра» в разделе Разрешения инфраструктуры Exchange и командной консоли.

  • Ведение журнала аудита действий администратора по умолчанию включено. Чтобы убедиться, что резервная непрерывная репликация включена, выполните следующую команду:

    Get-AdminAuditLogConfig | FL AdminAuditLogEnabled
    

    Значение True указывает на то, что служба SMTP запущена. Значение False показывает, что служба отключена. Чтобы включить ведение журнала аудита действий администратора для локальной организации Exchange, используйте следующую команду:

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $true
    
    ПримечаниеПримечание.
    Командлет Set-AdminAuditLogConfig недоступен в Exchange Online.

    Дополнительные сведения см. в разделе Управление ведением журнала аудита администраторов.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

Чтобы определить изменения в группах ролей управления организации, можно использовать отчет «Группы ролей администраторов» в EAC. Отчет «Группы ролей администраторов» позволяет просмотреть список групп ролей, которые были изменены в течение указанного периода. Также можно просмотреть изменения для определенных групп ролей.

  1. В EAC выберите пункты Управление соответствием требованиям > Аудит, а затем выберите команду Запустить отчет о группе ролей администраторов.

  2. Выберите диапазон дат с помощью полей Дата начала и Дата окончания.

  3. Щелкните Выбрать группы ролей, а затем выберите группы ролей, для которых требуется показать изменения, или оставьте это поле пустым, чтобы найти изменения во всех группах ролей.

  4. Нажмите кнопку Поиск.

При нахождении изменений, соответствующих указанным критериям, они будут отображены в результатах поиска. Щелкните группу ролей, чтобы отобразить изменения группы ролей в области сведений.

Чтобы создать XML-файл, который содержит изменения, внесенные в организацию, можно воспользоваться отчетом экспорта журнала аудита администраторов EAC. Этот отчет позволяет указать диапазон дат для поиска записей журнала аудита, которые содержат изменения, выполненные указанными пользователями. После этого XML-файл отправляется получателю в виде вложения в сообщение электронной почты. Максимальный размер XML-файла составляет 10 мегабайт (МБ).

ПримечаниеПримечание.
Outlook Web App не позволяет открывать вложения XML по умолчанию. В системе Exchange можно разрешить просмотр вложений XML с помощью приложения Outlook Web App или же использовать другой почтовый клиент, например Microsoft Outlook. Сведения о том, как включить в Outlook Web App просмотр вложений XML, см. в разделе Просмотр и настройка виртуальных каталогов Outlook Web App.
  1. В EAC выберите пункты Управление соответствием требованиям > Аудит, а затем выберите команду Экспортировать журнал аудита администраторов.

  2. Выберите диапазон дат с помощью полей Дата начала и Дата окончания.

  3. В поле Отправить отчет аудита нажмите кнопку Выбрать пользователей и укажите получателя отчета.

  4. Нажмите кнопку Экспорт.

Если указанным критериям соответствуют записи журнала, то XML-файл будет создан и отправлен указанному получателю в виде вложения.

Для поиска записей, соответствующих указанным критериям, можно использовать командную строку. Список критериев поиска см. в разделе Ведение журнала аудита администратора. В этой процедуре используется командлет Search-AdminAuditLog, который отображает результаты поиска в командной строке. Этот командлет позволяет вернуть набор результатов, который превышает ограничения, определенные в командлете New-AdminAuditLogSearch или в отчетах аудита EAC.

Чтобы отправить результаты поиска журнала аудита получателю, обратитесь к разделу Использование командной строки для поиска записей журнала аудита и отправки результатов получателям в этом документе.

Чтобы выполнить поиск по указанному критерию журнала аудита, используйте следующий синтаксис.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >
ПримечаниеПримечание.
Командлет Search-AdminAuditLog по умолчанию возвращает максимум 1000 записей журнала. Используйте параметр ResultSize, чтобы указать до 250 000 записей журнала. Также можно использовать значение Unlimited для возврата всех записей.

В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:

  • Дата начала   04.08.2012

  • Дата окончания   10/03/2012

  • Идентификаторы пользователей davids, chrisd, kima

  • Командлеты Set-Mailbox

  • Параметры ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima

В этом примере выполняется поиск изменений определенных почтовых ящиков. Это позволяет определить неполадку или предоставить сведения для диагностики. Используются следующие критерии:

  • Дата начала   01.05.2012

  • Дата окончания   10/03/2012

  • Идентификатор объекта contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2012 -EndDate 10/03/2012 -ObjectID contoso.com/Users/DavidS

Если поиск возвращает слишком много записей журнала, рекомендуется выполнить действия, описанные в разделе Использование командной строки для поиска записей журнала аудита и отправки результатов получателям этого документа. Действия в этом разделе позволяют отправить XML-файл в виде вложения сообщения электронной почты указанным отправителям, чтобы быстрее извлечь интересующие данные.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Search-AdminAuditLog.

Командлет Search-AdminAuditLog возвращает поля, описанные в разделе «Содержимое журнала аудита» в Ведение журнала аудита администратора. Поля CmdletParameters и ModifiedProperties, возвращаемые командлетом, содержат дополнительные сведения, которые невозможно просмотреть по умолчанию.

Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties, выполните указанные ниже действия. Кроме того, можно также использовать процедуру в разделе Использование командной строки для поиска записей журнала аудита и отправки результатов получателям этого документа для создания XML-файла.

В этой процедуре используются следующие основные понятия:

  1. Определите критерии поиска, запустите командлет Search-AdminAuditLog и сохраните результаты в переменной с помощью следующей команды.

    $Results = Search-AdminAuditLog <search criteria>
    
  2. Каждая запись журнала сохраняется в переменной $Results в виде элемента массива. Чтобы выбрать элемент массива, укажите его индекс. Индексы элементов массива начинаются с 0 для первого элемента массива. Например, чтобы получить пятый элемент массива с индексом 4, используйте следующую команду.

    $Results[4]
    
  3. Предыдущая команда возвращает запись журнала, хранящуюся в элементе массива 4. Чтобы просмотреть содержимое полей CmdletParameters и ModifiedProperties для этой записи журнала, используйте следующие команды.

    $Results[4].CmdletParameters
    $Results[4].ModifiedProperties
    
  4. Чтобы просмотреть содержимое полей CmdletParameters и ModifiedParameters в другой записи журнала, измените индекс элемента массива.

Чтобы выполнить поиск записей журнала аудита по указанным критериям и отправить результаты определенному отправителю в виде XML-файла, используйте командную строку. Результаты отправляются получателю в течение 15 минут. Список критериев поиска см. в разделе Ведение журнала аудита администратора.

ПримечаниеПримечание.
Outlook Web App не позволяет открывать вложения XML по умолчанию. В системе Exchange можно разрешить просмотр вложений XML с помощью приложения Outlook Web App или же использовать другой почтовый клиент, например Microsoft Outlook. Сведения о том, как включить в Outlook Web App просмотр вложений XML, см. в разделе Просмотр и настройка виртуальных каталогов Outlook Web App.

Чтобы выполнить поиск по указанному критерию журнала аудита, используйте следующий синтаксис.

New-AdminAuditLogSearch -Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False > -StatusMailRecipients <recipient 1, recipient 2, ...> -Name <string to include in subject>

В этом примере выполняется поиск всех записей журнала аудита со следующими критериями:

  • Дата начала   04.08.2012

  • Дата окончания   10/03/2012

  • Идентификаторы пользователей davids, chrisd, kima

  • КомандлетыSet-Mailbox

  • ПараметрыProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Эта команда отправляет результаты на SMTP-адрес davids@contoso.com. Строка темы сообщения содержит текст "Mailbox limit changes".

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"
ПримечаниеПримечание.
Отчет, создаваемый командлетом New-AdminAuditLogSearch, имеет максимальный размер в 10 МБ. Если выполняемый поиск возвращает отчет больше 10 МБ, следует изменить критерии поиска. Например, можно сократить размер диапазона данных и выполнить несколько отчетов, каждый из которых будет содержать часть исходного диапазона данных.

Дополнительные сведения о формате XML-файла см. в разделе Структура журнала аудита администратора.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-AdminAuditLogSearch.

 
Показ: