系統管理員稽核記錄概觀

發行項
2016/08/31

適用版本： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間： 2015-03-09

您可使用 Microsoft Exchange Server 2010 中的系統管理員稽核記錄，來記錄使用者或系統管理員在組織中進行變更時所採取的動作。透過保留變更記錄，便可追蹤進行變更的人員身分。您也可在進行變更時以詳細的變更記錄擴大變更記錄範圍，使用記錄遵循規範需求，及要求探索等等。

依據預設，全新安裝的 Microsoft Exchange Server 2010 Service Pack 1 (SP1) 中會啟用稽核記錄。

稽核的項目

直接在 Exchange 管理命令介面中執行的指令程式會受到稽核。此外，也會記錄使用 Exchange 管理主控台 (EMC) 和 Exchange Web 管理介面執行的作業，因為這些作業會在背景執行指令程式。

不論指令程式是在何處執行，只要位於指令程式稽核清單上，且該指令程式的一或多個參數也在參數稽核清單上，就會稽核該指令程式。Get- 和 Search- Cmdlet 便會不記錄。稽核記錄的用途是顯示 Exchange 組織中修改物件所採取的動作，而非顯示已經檢視的物件。

重要

如果在指令程式呼叫管理稽核記錄指令程式延伸代理程式之前發生錯誤，則可能不會記錄指令程式。如果呼叫管理稽核記錄代理程式時發生錯誤，則會一併記錄 Cmdlet 及關聯的錯誤。如需詳細資訊，請參閱本主題稍後的管理稽核記錄代理程式一節。
使用 Microsoft Exchange Server 2007 管理工具進行的變更不記錄。
稽核記錄檔組態的變更，會在進行組態變更時開啟命令介面的電腦上，每 60 分鐘重新整理一次。如果您想要立即套用變更，請關閉並重新開啟每一部電腦上的命令介面。

稽核記錄設定

依據預設，如果啟用稽核記錄，則每次 Get- 或 Search- Cmdlet 以外的 Cmdlet 執行時，就會建立記錄項目。如果您不要稽核執行的每個指令程式，可以將稽核記錄設定為只稽核您想要的指令程式和參數。您可以使用 Set-AdminAuditLogConfig 指令程式來設定稽核記錄。下列各節中所參考的參數是搭配此指令程式使用。

重要

不論受稽核的指令程式清單中是否包含 Set-AdministratorAuditLog 指令程式，亦不論稽核記錄是否啟用或停用，對管理員稽核記錄組態所做的變更會一律予以記錄。

執行命令時，Exchange 會檢查所使用的指令程式。如果執行的指令程式與 AdminAuditLogConfigCmdlets 參數中所提供的任何指令程式相符，Exchange 便會檢查在 AdminAuditLogConfigParameters 參數中所指定的參數。如果參數清單中至少一或多個參數相符，則 Exchange 會記錄使用 AdminAuditLogMailbox 參數所指定信箱中執行的指令程式。

注意

使用 Exchange 2010 的量產發行 (RTM)，您可指定系統管理員稽核記錄信箱。Exchange 2010 SP1 中的系統管理員稽核記錄會使用專用的信箱。此專用的信箱無法變更或設定。

下列各節包含稽核記錄設定之各個層面的詳細資訊。

如需如何管理稽核記錄設定的詳細資訊，請參閱設定系統管理員稽核記錄。

Cmdlet

您可以透過提供想要記錄之指令程式及其參數的清單，控制要稽核的指令程式。當您設定稽核記錄時，可以指定稽核每個指令程式，或使用 AdminAuditLogConfigCmdlets 參數指定想要稽核的指令程式。您可以指定完整指令程式名稱 (例如 New-Mailbox)，或是指定部分指令程式名稱，並以星號 (*) 之類的萬用字元括住這些名稱。例如，如果您要在包含字串 Transport 的任何指令程式執行時進行記錄，可以指定 *Transport* 的值。您可以同時混合使用完整的指令程式名稱和部分的指令程式名稱，以符合您的稽核記錄設定需求。

參數

除了指定要記錄的指令程式外，您還可以指示只有在使用這些指令程式的特定參數時，才應該記錄指令程式。使用 AdminAuditLogConfigParameters 參數指定應該記錄的參數。與指令程式一樣，您可以指定完整的參數名稱 (例如 Database)，或是以萬用字元 (*) 括住部分的參數名稱 (例如 *Address*)，也可以使用這兩者的組合。

稽核記錄檔保留限制

依據預設，稽核記錄是設定為儲存 90 天的稽核記錄項目。在 90 天後，刪除稽核記錄項目。您可以使用 AdminAuditLogAgeLimit 參數變更稽核記錄檔保留限制。您可以指定應保留稽核記錄項目的天數、小時數、分鐘數和秒數。若要指定值，請使用格式 dd.hh:mm:ss，其對應如下：

dd 保留稽核記錄項目的天數。
hh 保留稽核記錄項目的時數。
mm 保留稽核記錄項目的分鐘數。
ss 保留稽核記錄項目的秒數。

您必須使用 dd 欄位指定多個年份。例如， 365 天等於 1 年，730 天等於 2 年，913 天等於 2 年 6 個月。例如，若要將稽核記錄保留限制設定為 2 年 6 個月，請使用 913.00:00:00 語法。

注意

您可以將稽核記錄保留限制設定為小於目前保留限制的值。若是這麼做，便會刪除任何保留期超過新保留限制的稽核記錄項目。
如果您將保留限制設為 0，則 Exchange 會刪除稽核記錄中的所有項目。
建議您僅將設定稽核記錄保留限制的權限授予您非常信任的使用者。

測試 Cmdlet

以動詞 Test 開頭的 Cmdlet 依據預設不會記錄。將 TestCmdletLoggingEnabled 參數設定為 $true，即可指定應該記錄 Test Cmdlet。雖然您可以啟用 Test Cmdlet 的記錄，不過建議您僅在短期間內執行此動作。因為 Test Cmdlet 會產生大量的資訊。

稽核記錄檔

每次記錄一個指令程式，就會建立一個稽核記錄項目。稽核記錄會儲存在隱藏的專用仲裁信箱中，只有使用 Exchange 控制台 (ECP) [稽核報告] 頁面或使用 Search-AdminAuditLog 或 New-AdminAuditLogSearch 指令程式才能存取。無法使用 Microsoft Office Outlook Web App 或 Microsoft Outlook 開啟稽核記錄。以下各節提供有關以下內容的資訊：

在記錄檔中包含的項目
ECP [稽核報告] 頁面上可用的報告
稽核記錄檔搜尋 Cmdlet

注意

使用 Exchange 2010 的量產發行 (RTM)，您可指定系統管理員稽核記錄信箱。Exchange 2010 SP1 中的系統管理員稽核記錄會使用專用的信箱。此專用的信箱無法變更或設定。
ECP [稽核報告] 頁面，以及 Search-AdminAuditLog 和 New-AdminAuditLogSearch Cmdlet，只能搭配 Exchange 2010 SP1 管理員稽核記錄運作。若要檢視 Exchange 2010 RTM 稽核記錄信箱的內容，您必須使用 Outlook Web App 或 Outlook 之類的電子郵件用戶端開啟該信箱。

稽核記錄檔內容

每個稽核記錄項目包含下列表格所描述的資訊。稽核記錄檔會包含一或多個的稽核記錄項目。稽核記錄項目的數量是由使用 Set-AdminAuditLog 指令程式所指定的稽核記錄保留限制所控制。超過保留限制的所有稽核記錄項目都會刪除。

稽核記錄檔輸入欄位

欄位	描述
`RunspaceId`	此欄位僅供 Exchange 內部使用。
`ObjectModified`	此欄位中包含的物件是由 `CmdletName` 欄位中指定的 Cmdlet 所修改。
`CmdletName`	此欄位包含的 Cmdlet 名稱是由 `Caller` 欄位中的使用者所執行。
`CmdletParameters`	此欄位包含的參數是 Cmdlet 在 `CmdletName` 欄位中執行時所指定。使用此參數所指定的值 (如果有) 也會儲存在此欄位中，但在預設輸出中不會顯現。如需如何存取此欄位中其他資訊的詳細資訊，請參閱搜尋系統管理員稽核記錄檔。
`ModifiedProperties`	此欄位包含在 `ObjectModified` 欄位中的物件上進行修改的屬性。屬性的舊值與已儲存的新值也會儲存在此欄位中，但在預設輸出中不會顯現。如需如何存取此欄位中其他資訊的詳細資訊，請參閱搜尋系統管理員稽核記錄檔。
`Caller`	此欄位包含在 `CmdletName` 欄位中執行該 Cmdlet 的使用者所屬的使用者帳戶。
`Succeeded`	這個欄位會指定 `CmdletName` 欄位中的 Cmdlet 是否成功執行。值為 `True` 或 `False`。
`Error`	如果 `CmdletName` 欄位中的 Cmdlet 無法順利完成，則此欄位會包含所產生的錯誤訊息。
`RunDate`	此欄位會包含 `CmdletName` 欄位中的 Cmdlet 執行時的日期和時間。日期和時間會以格林威治標準時間 (UTC) 格式儲存。
`Identity`	此欄位僅供 Exchange 內部使用。
`IsValid`	此欄位僅供 Exchange 內部使用。

ECP 稽核報告

ECP 中的 [稽核報告] 頁面有多個報告，可提供各種遵循與管理組態變更的資訊。下列報告提供您組織中組態變更的資訊：

管理員角色變更 此報告可讓您搜尋您在指定的時段內針對指定管理角色群組所做的變更。傳回的結果包含已經變更的角色群組、變更者的身分和變更時間，以及進行變更的項目。最多可傳回 3,000 個項目。如果您的搜尋可能會傳回 3,000 個以上的項目，請使用 [匯出組態變更] 報告或 Search-AdminAuditLog Cmdlet。
匯出組態變更 此報告可讓您將指定時段內記錄的稽核記錄項目匯出為 XML 檔案，然後將檔案以電子郵件傳送給您所指定的收件者。如需 XML 檔案內容的詳細資訊，請參閱系統管理員稽核記錄檔結構。

如需如何使用報告的詳細資訊，請參閱搜尋系統管理員稽核記錄檔。

[稽核報告] 頁面也包含訴訟保留、信箱組態變更及非擁有者信箱存取的報告。如需這些報告的詳細資訊，請參閱：

Search-AdminAuditLog Cmdlet

執行 Search-AdminAuditLog 指令程式時，會傳回與您所指定搜尋準則相符的所有稽核記錄項目。您可以指定下列搜尋準則：

Cmdlet 指定您要在系統管理員稽核記錄中搜尋的 Cmdlet。
參數指定您要在系統管理員稽核記錄中搜尋的參數。如果您已指定要搜尋的 Cmdlet，您可以僅搜尋參數。
結束日期 將管理員稽核記錄結果的範圍設定為在指定日期當天或之前發生的記錄項目。
開始日期 將管理員稽核記錄結果的範圍設定為在指定日期當天或之後發生的記錄項目。
物件識別碼 指定只應傳回包含所指定已變更物件的系統管理員稽核記錄項目
使用者識別碼 指定只應在系統管理員稽核記錄項目包含指定的使用者識別碼 (此使用者為當初執行 Cmdlet 的使用者) 時，才傳回系統管理員稽核記錄項目。
成功完成 指定是否只應傳回指出成功或失敗的系統管理員稽核記錄項目。

各個傳回的稽核記錄項目都包含稽核記錄檔內容中資料表所描述的資訊。依據預設，只會傳回符合指定準則的前 1,000 筆記錄項目。不過，您可以使用 ResultSize 參數覆寫這項預設設定，以傳回更多或更少的項目。您可以指定包含 ResultSize 參數的 Unlimited 值，以傳回與指定準則相符的所有記錄項目。

如需如何使用 Search-AdminAuditLog Cmdlet 的詳細資訊，請參閱搜尋系統管理員稽核記錄檔。

New-AdminAuditLogSearch Cmdlet

New-AdminAuditLogSearch Cmdlet 會搜尋稽核記錄檔，就像 Search-AdminAuditLog Cmdlet 一樣。不過，New-AdminAuditLogSearch Cmdlet 不會顯示命令介面中的稽核記錄搜尋結果，而會執行搜尋，然後將搜尋結果透過電子郵件傳送給您所指定的收件者。結果將以 XML 附件的形式包含在電子郵件訊息中。

您可以將相同的搜尋準則搭配使用 Search-AdminAuditLog Cmdlet 上使用的 New-AdminAuditLogSearch Cmdlet。如需搜尋準則的清單，請參閱Search-AdminAuditLog Cmdlet。

執行 New-AdminAuditLogSearch Cmdlet 後，Exchange 最多可能需要 15 分鐘的時間將報告傳遞至指定的收件者。XML 檔案附加的報告最大可為 10 MB。XML 檔案包含與稽核記錄檔內容中的資料表所描述的相同資訊。如需 XML 檔案結構的詳細資訊，請參閱系統管理員稽核記錄檔結構。

注意

UNRESOLVED_TOKEN_VAL()UNRESOLVED_TOKEN_VAL()UNRESOLVED_TOKEN_VAL()UNRESOLVED_TOKEN_VAL()UNRESOLVED_TOKEN_VAL()UNRESOLVED_TOKEN_VAL()根據預設，檢視或設定 Outlook Web App 虛擬目錄不允許您在開啟 XML 附件。您可以設定 Exchange 允許使用 Outlook Web App 檢視 XML 附件，或是使用另一種電子郵件用戶端，如 Microsoft OfficeOutlook 來檢視附件。如需如何設定 Outlook Web App 以允許檢視 XML 附件的詳細資訊，請參閱檢視或設定 Outlook Web App 虛擬目錄。

如需如何使用 New-AdminAuditLogSearch Cmdlet 的詳細資訊，請參閱搜尋系統管理員稽核記錄檔。

手動的稽核記錄項目

除了記錄執行時的 Exchange Cmdlet 之外，Exchange 2010 SP1 還可讓您手動將記錄項目寫入稽核記錄中。Exchange 2010 SP1 支援這使用 Write-AdminAuditLog Cmdlet。以下為您可能會想要手動記錄項目的情況：

自訂指令碼項目並結束
變更控制項資訊
維護開始和結束時間

藉由 Write-AdminAuditLog 指令程式，您可以使用 Comment 參數指定要包含於稽核記錄中的文字字串。Comment 參數接受最長為 500 個字元的英數字字串。手動稽核記錄項目及註解字串中包含的所有資訊與記錄 Exchange 指令程式時擷取的資訊相同。如需與稽核記錄中每個欄位的相關描述，請參閱稽核記錄檔內容中的表格。

您可以使用與其他記錄項目相同的方法擷取手動稽核記錄項目，方法是使用 ECP [稽核報告] 頁面或使用 Search-AdminAuditLog 或 New-AdminAuditLogSearch Cmdlet。

若要檢視手動稽核記錄項目中 Write-AdminAuditLog Cmdlet 上的 Comment 參數內容，請參閱搜尋系統管理員稽核記錄檔。

Active Directory 複寫

系統管理員稽核記錄依賴 Active Directory 複寫，將您指定的組態設定複寫到您組織中的網域控制站。根據您的複寫設定，您所做的變更可能不會立即套用到組織中執行 Exchange 2010 的所有伺服器。

管理稽核記錄代理程式

管理稽核記錄內建指令程式延伸代理會在 Exchange 2010 中執行指令程式作業的系統管理員稽核記錄。此代理程式會讀取稽核記錄組態，然後針對組織中執行的每個指令程式進行評估。如果您在稽核記錄組態中指定的準則與執行中的 Cmdlet 相符，則代理程式就會產生稽核記錄。

預設會啟用管理稽核記錄代理程式，如此稽核記錄才會正常運作。無法停用它，而且無法變更其優先順序。如需 Cmdlet 延伸代理程式的詳細資訊，請參閱了解 Cmdlet 延伸代理程式。

管理稽核記錄如何導致資料庫快速成長

依據預設，在 Exchange Server 2010 中會啟用管理稽核記錄。記錄結果會儲存於 AdminAuditLogs 資料夾的仲裁信箱中。如果指令程式經常在 Exchange 管理命令介面中執行，會產生多個記錄項目，這可能導致資料庫大小快速成長。即使沒有使用者信箱，也可能發生此行為。

若要判斷 AdminAuditLogs 資料夾的大小，請在 Exchange 管理命令介面中執行下列指令程式：Get-MailboxFolderstatistics "仲裁信箱的 Guid" -FolderScope RecoverableItems –IncludeAnalysis。接下來，檢視項目計數和 AdminAuditLogs 資料夾的大小。

如果項目計數和 AdminAuditLogs 資料夾的大小太高，請執行下列指令程式來刪除資料夾中的項目。Search-Mailbox 仲裁信箱的 Guid -Dumpsteronly -deletecontent。

經常執行的指令程式可能導致資料庫成長。通常，指令程式是在安排定期執行的指令碼中。請識別導致管理稽核記錄成長的指令程式。當您確認可從管理稽核記錄中排除該指令程式之後，請在 Exchange 管理命令介面中執行下列指令程式：Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets 指令程式名稱。例如，執行下列指令程式：Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets Add-DistributionGroupMember。當您執行指令程式之後，您必須等待複寫完成。

共用方式為