查看并导出外部管理审核日志

Exchange Online
 

适用于:Exchange Online

上一次修改主题:2016-12-09

在 Exchange Online 中,由 Microsoft 管理员和委派管理员执行的操作记录在管理员审核日志中。您可以使用 EAC 或 Exchange 命令行管理程序 搜索并查看审核日志条目,以确定外部管理员是否对 Exchange Online 组织执行了任何操作或者更改了其配置。您还可以使用 Exchange 命令行管理程序 导出这些审核日志条目。

  • 估计完成时间:根据您是从管理员审核日志中查看条目还是导出条目,完成时间会有差异。请参阅每个过程,了解估计完成时间。

  • 您必须先获得权限,然后才能执行此过程或多个过程。若要查看所需的权限,请参阅Exchange 和命令行管理程序基础结构权限主题中的“仅查看管理员审核日志记录”条目。

  • 当您导出管理员审核日志时,Microsoft Exchange 会将该审核日志(即一个 XML 文件)附加到发送到指定收件人的电子邮件。但是,默认情况下,Outlook Web App 将阻止 XML 附件。如果要使用 Outlook Web App 访问这些审核日志,则必须将 Outlook Web App 配置为允许 XML 附件。运行以下命令以在 Outlook Web App 中允许 XML 附件:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
    
  • 若要了解可能适用于此主题中过程的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

提示提示:
有疑问吗?请在 Exchange 论坛中寻求帮助。请访问以下论坛:Exchange ServerExchange OnlineExchange Online Protection

估计完成时间:3 分钟

  1. 转到“合规性管理”>“审核”,然后单击“查看外部管理员审核日志报告”。在指定期间由 Microsoft 数据中心管理员和委派管理员进行的所有配置更改都将显示,并且可以使用以下信息进行排序:

    • 日期   进行配置更改的日期和时间。日期和时间存储为协调世界时 (UTC) 格式。

    • Cmdlet   用于进行配置更改的 cmdlet 的名称。

      如果您选择单个搜索结果,将在详细信息窗格中显示以下信息:

      • 运行 cmdlet 的日期和时间。

      • 运行 cmdlet 的用户。对于外部管理员审核日志报告中的所有条目,将用户标识为“管理员”,表示 Microsoft 数据中心管理员或外部管理员。

      • 使用的 cmdlet 参数以及参数指定的任何值,格式为参数:值

  2. 如果您要打印特定的审核日志条目,可在搜索结果窗格中选中它,然后在详细信息窗格中单击“打印”。

  3. 若要缩小搜索范围,可以在“开始日期”和“结束日期”下拉菜单中选择日期,然后单击“搜索”。

估计完成时间:3 分钟

您可以使用 Search-AdminAuditLog cmdlet 和 ExternalAccess 参数查看管理员审核日志中的条目,以查看 Microsoft 数据中心管理员和委派管理员执行的操作。

此命令将在管理员审核日志中返回针对外部管理员运行的 cmdlet 的所有条目。

Search-AdminAuditLog -ExternalAccess $true

此命令将在管理员审核日志中返回针对外部管理员在 2013 年 9 月 17 日到 2013 年 10 月 2 日期间运行的 cmdlet 的所有条目。

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

有关详细信息,请参阅 Search-AdminAuditLog

估计完成时间:大约 24 小时

您可以使用 New-AdminAuditLogSearch cmdlet 和 ExternalAccess 参数导出管理员审核日志中的条目,以查看 Microsoft 数据中心管理员和委派管理员执行的操作。Microsoft Exchange 将在管理员审核日志中检索由外部管理员执行的条目,并将这些条目保存到名为 SearchResult.xml 的文件中。此 XML 文件将附加在 24 小时内发送到指定收件人的电子邮件中。

以下命令将在管理员审核日志中返回针对外部管理员在 2013 年 9 月 25 日到 2013 年 10 月 24 日之间运行的 cmdlet 的条目。搜索结果将发送至 admin@contoso.com 和 pilarp@contoso.com SMTP 地址,文本“外部管理员审核日志”将添加到邮件的主题行中。

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"
注意注意:
加入 ExternalAccess 参数后,导出的审核日志中将仅包括由 Microsoft 数据中心管理员或委派管理员执行的操作的条目。如果不加入 ExternalAccess 参数,审核日志将包含由组织内部管理员和外部管理员执行的操作的条目。

若要验证导出由外部管理员执行的管理员审核日志条目的命令是否成功,以及要显示有关当前管理员审核日志搜索的信息,请运行以下命令:

Get-AuditLogSearch | FL

  • 在 Office 365 中,您可以将执行某些管理任务的功能委派给 Microsoft 的授权合作伙伴。这些管理任务包括创建或编辑用户、重置用户密码、管理用户许可证、管理域,以及将管理员权限分配给组织中的其他用户。如果您授权合作伙伴扮演此角色,那么合作伙伴就称为委派管理员。由委派管理员执行的任务记录在管理审核日志中。如前所述,由委派管理员执行的操作可通过运行外部管理员审核日志报告进行查看或使用 New-AdminAuditLogSearch cmdlet 及 ExternalAccess 参数导出。有关详细信息,请参阅添加或删除委派管理员

  • 管理员审核日志根据管理员和具有指定管理权限的用户所执行的 Exchange 命令行管理程序 cmdlet 来记录特定的操作。此外还记录了由外部管理员执行的操作。管理员审核日志中的条目向您提供有关所运行的 cmdlet、所使用的参数、以及受影响的对象的相关信息。

  • 管理员审核日志不会记录基于以谓词 GetSearchTest 开头的 Exchange 命令行管理程序 cmdlet 的任何操作。

  • 审核日志条目将保留 90 天。当某个条目超过 90 天时,会删除该条目。

 
显示: