配置管理员审核日志记录
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2012-07-23
通过 Microsoft Exchange Server 2010 中的管理员审核日志记录,可以在每次运行指定 cmdlet 时创建一个日志条目。日志条目对运行的 cmdlet、使用的参数、运行 cmdlet 的用户以及受影响的对象进行了详细介绍。有关管理员审核日志记录的详细信息,请参阅管理员审核日志记录概述。
必须使用命令行管理程序配置管理员审核日志记录。
.gif "重要") 重要说明: |
|---|
| 管理员审核日志记录依赖 Active Directory 复制功能将指定的配置设置复制到贵组织中的域控制器。根据复制设置,所做的更改可能不会立即应用于组织中的所有 Exchange 2010 服务器。 在打开了命令行管理程序的计算机上,在对审核日志配置进行更改之后,所做的更改会每隔 60 分钟刷新一次。如果想要立即应用所做的更改,请在每台计算机上关闭并重新打开命令行管理程序。 |
指定要审核的 cmdlet
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅 Exchange 和命令行管理程序基础结构权限主题中的“管理员审核日志记录”条目。
备注
不能使用 EMC 指定要审核的 cmdlet。
默认情况下,审核日志记录会为每个运行的 cmdlet 创建日志条目。如果您是第一次启用审核日志记录并且希望执行此行为,则不必更改 cmdlet 审核列表。如果以前指定了要审核的 cmdlet,但现在希望审核所有的 cmdlet,则可以通过在 Set-AdminAuditLogConfig cmdlet 上使用 AdminAuditLogCmdlets 参数指定星号 (*) 通配符来审核所有的 cmdlet,如以下命令所示。
Set-AdminAuditLogConfig -AdminAuditLogCmdlets *
通过使用 AdminAuditLogCmdlets 参数提供 cmdlet 列表,可以指定需要审核的 cmdlet。提供要审核的 cmdlet 列表时,可以提供单个 cmdlet、带有星号 (*) 通配符的 cmdlet,或这两者的混合。列表中的每个条目都以逗号分隔。以下所有值均有效:
New-Mailbox*TransportRule*Management*Set-Transport*
此示例审核前面列表中指定的 cmdlet。
Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*
有关详细的语法和参数信息,请参阅 Set-AdminAuditLogConfig。
指定要审核的参数
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅Exchange 和命令行管理程序基础结构权限主题中的“管理员审核日志记录”条目。
备注
不能使用 EMC 指定要审核的参数。
默认情况下,审核日志记录会为每个运行的 cmdlet 创建日志条目,无需考虑指定的参数。如果您是第一次启用审核日志记录并且希望执行此行为,则不必更改参数审核列表。如果以前指定了要审核的参数,但现在希望审核所有的参数,则可以通过在 Set-AdminAuditLogConfig cmdlet 上使用 AdminAuditLogParameters 参数指定星号 (*) 通配符来审核所有的参数,如以下命令所示。
Set-AdminAuditLogConfig -AdminAuditLogParameters *
可以使用 AdminAuditLogParameters 参数指定要审核的参数。提供参数列表进行审核时,可以提供单个参数、带有星号 (*) 通配符的参数,或两者的混合。列表中的每个条目都以逗号分隔。以下所有值均有效:
Database*Address*Custom**Region
备注
如果要在运行某个命令时创建审核日志条目,则该命令必须至少包括一个或多个参数,这些参数存在于使用 AdminAuditLogCmdlets 参数指定的至少一个或多个 cmdlet 上。
此示例审核前面列表中指定的参数。
Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region
有关语法和参数的详细信息,请参阅 Set-AdminAuditLogConfig。
指定审核日志期限
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅Exchange 和命令行管理程序基础结构权限主题中的“管理员审核日志记录”条目。
备注
不能使用 EMC 指定审核日志期限。
审核日志期限确定审核日志条目将保留多长时间。当日志条目超过此期限时,系统将删除该日志条目。默认值为一年。
可以指定审核日志条目应保留的天数、小时数、分钟数和秒数。若要指定值,请使用格式 dd.hh.mm:ss,其中应用了以下条件:
dd 保留审核日志条目的天数
hh 保留审核日志条目的小时数
mm 保留审核日志条目的分钟数
ss 保留审核日志条目的秒数
警告
可以将审核日志期限设置为小于当前期限的值。如果您这样做,则会删除寿命超过新期限的所有审核日志条目。
如果将期限设置为 0,则 Exchange 会删除审核日志中的所有条目。
建议您仅向高度信任的用户授予配置审核日志期限的权限。
此示例指定两年零六个月的期限。
Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913.00:00:00
有关语法和参数的详细信息,请参阅 Set-AdminAuditLogConfig。
启用或禁用 Test cmdlet 的日志记录
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅Exchange 和命令行管理程序基础结构权限主题中的“管理员审核日志记录”条目。
备注
不能使用 EMC 启用或禁用 Test cmdlet 的日志记录。
默认情况下,不记录以谓词 Test 开头的 cmdlet。这是因为 Test cmdlet 可能会在短时间内生成大量数据。只能在短时间内启用 Test cmdlet 的日志记录。
此命令启用 Test cmdlet 的日志记录。
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $True
此命令禁用 Test cmdlet 的日志记录。
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False
有关语法和参数的详细信息,请参阅 Set-AdminAuditLogConfig。
其他任务
配置管理员审核日志记录后,您可能还需要: