Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2010-06-24
В Microsoft Exchange Server 2010 поддерживается функция ведения журнала аудита администратора, позволяющая регистрировать изменения, вносимые в организацию пользователем или администратором. Ведение журнала изменений позволяет соотносить изменения с внесшим их пользователем, дополнять собственные журналы изменений подробными записями о применении изменения, обеспечивать соответствие нормативным требованиям и запросам на обнаружение, а также многое другое.
Ведение журнала аудита включено по умолчанию в новых установках Microsoft Exchange Server 2010 с пакетом обновления 1 (SP1).
Что подлежит аудиту
Командлеты, которые выполняются непосредственно в командной консоли Exchange подлежат аудиту. Кроме того, сведения об операциях, выполняемых с помощью консоли управления Exchange и веб-интерфейса управления Exchange также заносятся в журнал, так как данные операции запускают командлеты в фоновом режиме.
В журнал заносятся командлеты, независимо от места их выполнения, если они находятся в списке аудита командлетов и один или несколько параметров этих командлетов находятся в списке аудита параметров. Командлеты Get- и Search- в журнал не заносятся. Журнал аудита в большей степени показывает, какие действия выполнялись для изменения объектов в организации Exchange, а не какие объекты были просмотрены.
 Важно! |
|---|
| Командлет может быть не записан в журнал, если перед вызовом
командлетом агента расширения командлета журнала аудита
администратора произошла ошибка. Если ошибка произошла после вызова
агента ведения журнала аудита администратора, командлет заносится в
журнал вместе с соответствующей ошибкой. Дополнительные сведения
см. далее в разделе Агент журнала аудита
администратора. Изменения, внесенные с помощью средств управления Microsoft Exchange Server 2007, в журнал не заносятся. На компьютерах, на которых во время изменения конфигурации открыта командная консоль, изменения конфигурации журнала аудита обновляются каждые 60 минут. Если изменения необходимо применить немедленно, на каждом компьютере закройте и снова откройте командную консоль. |
Настройка ведения журнала аудита
По умолчанию, если ведение журнала аудита включено, запись журнала создается при каждом выполнении любого командлета, кроме командлетов Get- и Search-. Если не требуется выполнение аудита каждого запущенного командлета, можно настроить ведение журнала аудита для выполнения аудита только необходимых командлетов. Настройка ведения журнала аудита осуществляется с помощью командлета Set-AdminAuditLogConfig. Параметры, рассматриваемые в следующих разделах используются с этим командлетом.
| Важно! |
|---|
| Изменения в конфигурации журнала аудита администратора всегда фиксируются в журнале независимо от того, находится ли командлет Set-AdministratorAuditLog в списке аудита командлетов и включено или отключено ведение журнала аудита. |
При выполнении команды Exchange проверяет командлет, который был использован. Если выполненный командлет совпадает с каким-либо командлетом, указанным в параметре AdminAuditLogConfigCmdlets, система Exchange проверяет параметры указанные в параметре AdminAuditLogConfigParameters. При совпадении одного или нескольких параметров в списке параметров система Exchange заносит в журнал командлет, выполненный в почтовом ящике, указанном с помощью параметра AdminAuditLogMailbox. В следующих разделах содержатся сведения о каждом аспекте настройки ведения журнала аудита.
Дополнительные сведения об управлении конфигурацией ведения журнала аудита см. в разделе Настройка ведения журнала аудита администратора.
Командлеты
Можно указать командлеты для которых необходимо
осуществлять аудит, задав список командлетов и их параметров,
записи о которых необходимо вносить в журнал. При настройке ведения
журнала аудита, можно задать аудит каждого командлета или можно
указать командлеты для аудита с помощью параметра
AdminAuditLogConfigCmdlets. Имена командлетов можно указать
полностью, например New-Mailbox или указать часть имени,
поместив его между подстановочными символами, например символами
звездочки (*). Например, чтобы записывать в журнал все
выполнения командлетов, содержащих строковое значение
Transport, укажите значение *Transport*.
Можно использовать полные и частичные имена командлетов
одновременно, чтобы настроить ведение журнала аудита необходимым
образом.
Параметры
Кроме указания командлетов, записи о выполнении которых
следует заносить в журнал, можно также указать, чтобы в журнал
записывались командлеты, в которых используются определенные
параметры. Чтобы указать, какие параметры необходимо заносить в
журнал, используйте параметр AdminAuditLogConfigParameters.
Так же как в случае с командлетами, можно указать полное имя
параметра, например Database, часть имени с
подстановочным символом (*), например
*Address*, или комбинацию этих вариантов.
Время хранения журнала аудита
По умолчанию записи журнала аудита хранятся в течение
90 дней. По истечении 90 дней запись журнала аудита удаляется. С
помощью параметра AdminAuditLogAgeLimit можно изменить время
хранения журнала аудита. Можно указать число дней, часов, минут и
секунд, в течение которых необходимо хранить записи журнала аудита.
Чтобы задать значение, используйте формат dd.hh:mm:ss,
где:
- dd — количество дней хранения записи журнала аудита;
- hh — количество часов хранения записи журнала
аудита;
- mm — количество минут хранения записи журнала
аудита;
- ss — количество секунд хранения записи журнала
аудита.
Чтобы указать несколько лет, необходимо использовать
поле dd. Например, 365 дней соответствуют одному году;
730 дней — двум годам; 913 дней — двум годам и шести месяцам. Чтобы
установить для журнала аудита время хранения, равное двум годам и
шести месяцам, используйте следующую синтаксическую конструкцию:
913.00:00:00.
 Внимание! |
|---|
| Для времени хранения журнала аудита можно установить меньшее
значение по сравнению с текущим временем хранения. При этом все
записи журнала аудита, чей возраст превысит новое время хранения,
будут удалены. Если для времени хранения установлено значение 0, все записи в журнале аудита будут удалены системой Exchange. Разрешения на настройку времени хранения журнала аудита рекомендуется предоставлять только пользователям с высоким уровнем доверия. |
Командлеты проверки
По умолчанию командлеты, начинающиеся с команды
Test, не заносятся в журнал. Чтобы командлеты Test
заносились в журнал, для параметра TestCmdletLoggingEnabled
необходимо установить значение $true. Хотя регистрацию
командлетов проверки в журнале можно включить, это рекомендуется
делать на короткие периоды времени, так как командлеты проверки
могут выводить большое количество данных.
Журналы аудита
При каждой регистрации командлета в журнале создается запись журнала аудита. Журналы аудита хранятся в скрытом выделенном арбитражном почтовом ящике, доступ к которому можно получить только на странице Отчеты аудита панели управления Exchange (ECP) или с помощью командлетов Search-AdminAuditLog или New-AdminAuditLogSearch. Его невозможно открыть с помощью Microsoft Office Outlook Web App или Microsoft Outlook. В разделах далее представлены следующие сведения.
- Сведения, содержащиеся в журналах
- Отчеты, доступные на странице Отчеты аудита панели
управления Exchange
- Командлеты поиска в журнале аудита
 Примечание. |
|---|
| В окончательной первоначальной версии (RTM) Exchange 2010
пользователю необходимо было указывать почтовый ящик журнала аудита
администратора. В версии Exchange 2010 с пакетом обновления 1 (SP1)
для журнала аудита администратора используется выделенный почтовый
ящик. Этот выделенный почтовый ящик невозможно изменять или
настраивать. Страница Отчеты аудита панели управления Exchange и командлеты Search-AdminAuditLog и New-AdminAuditLogSearch работают только с журналами аудита администратора версии Exchange 2010 с пакетом обновления 1 (SP1). Чтобы просмотреть содержимое почтового ящика журнала аудита версии Exchange 2010 RTM, необходимо открыть этот почтовый ящик с помощью приложения Outlook Web App или почтового клиента, например Outlook. |
Содержимое журнала аудита
Каждая запись журнала аудита содержит сведения, описанные в следующей таблице. Журнал аудита содержит одну или несколько записей журнала аудита. Количество записей журнала аудита регулируется временем хранения журнала аудита, указанным с помощью командлета Set-AdminAuditLog. Все записи журнала аудита, превышающие время хранения, удаляются.
Поля записей журнала аудита
| Поле | Описание |
|---|---|
|
|
Это поле предназначено для внутреннего использования системой Exchange. |
|
|
В этом поле содержится объект, измененный с помощью командлета,
указанного в поле |
|
|
Это поле содержит имя командлета, запущенного пользователем,
указанным в поле |
|
|
В этом поле содержатся параметры, заданные при запуске
командлета, указанного в поле |
|
|
В этом поле содержатся свойства, которые были изменены в
объекте, указанном в поле |
|
|
Это поле содержит учетную запись пользователя, запустившего
командлет, указанный в поле |
|
|
В этом поле указывается, успешно ли был выполнен командлет,
указанный в поле |
|
|
Это поле содержит сообщение об ошибке, которое создается при
сбое выполнения командлета, указанного в поле
|
|
|
В этом поле содержатся дата и время выполнения командлета,
указанного в поле |
|
|
Это поле предназначено для внутреннего использования системой Exchange. |
|
|
Это поле предназначено для внутреннего использования системой Exchange. |
Страница «Отчеты аудита» панели управления Exchange
На странице Отчеты аудита панели управления Exchange представлено несколько отчетов, содержащих сведения о различных типах соответствия требованиям и изменениях конфигурации средств администрирования. Следующие отчеты содержат сведения об изменениях конфигурации организации.
- Изменения роли администратора Этот
отчет позволяет выполнять поиск изменений в указанных группах ролей
управления в пределах заданных временных рамок. Полученные
результаты содержат данные об измененных группах ролей, внесенных
изменениях, а также о том, кто и когда внес эти изменения. Может
быть возвращено не более 3000 записей. Если в результатах поиска
может быть выведено более 3000 записей, используйте отчет
Экспорт изменений конфигурации или командлет
Search-AdminAuditLog.
- Экспорт изменений конфигурации Этот
отчет позволяет экспортировать записи журнала аудита, записанные в
пределах заданных временных рамок, в файл XML, а затем отправлять
этот файл по электронной почте указанному получателю.
Дополнительные сведения о содержимом файла XML см. в разделе
Структура
журнала аудита администратора.
Дополнительные сведения об использовании этих отчетов см. в разделе Поиск в журнале аудита администратора.
Отчеты о судебном удержании, изменениях конфигурации почтовых ящиков и о доступе к почтовым ящикам посторонних пользователей также содержатся на странице Отчеты аудита. Дополнительные сведения об этих отчетах см. в следующих разделах.
Командлет Search-AdminAuditLog
При запуске командлета Search-AdminAuditLog возвращаются все записи журнала аудита, соответствующие указанным критериям поиска. Можно указать следующие критерии поиска.
- Командлеты Указывает командлеты,
которые необходимо найти в журнале аудита администратора.
- Параметры Указывает параметры, которые
необходимо найти в журнале аудита администратора. Поиск параметров
можно осуществлять, только если указан командлет для поиска.
- Дата окончания Задает область поиска
записей журнала аудита администратора, внесенных в указанную дату
или до нее.
- Дата начала Задает область поиска
записей журнала аудита администратора, внесенных в указанную дату
или после нее.
- Идентификаторы объекта Указывает, что
возвращаться должны только записи журнала аудита администратора,
содержащие указанные измененные объекты.
- Идентификаторы пользователей Указывает,
что возвращаться должны только записи журнала аудита
администратора, содержащие указанный идентификатор пользователя,
запустившего командлет.
- Успешное выполнение Указывает, что
возвращаться должны только записи журнала аудита администратора,
указывающие на успешное выполнение или сбой.
Каждая возвращенная запись журнала аудита содержит
сведения, описанные в таблице в разделе Содержимое журнала аудита. По умолчанию
возвращается только первая 1000 записей журнала, соответствующих
заданным критериям. Однако значение по умолчанию можно изменить с
помощью параметра ResultSize для вывода большего или
меньшего количества записей. Если для параметра ResultSize
установить значение Unlimited, возвращены будут все
записи журнала, соответствующие указанным критериям.
Дополнительные сведения об использовании командлета Search-AdminAuditLog см. в разделе Поиск в журнале аудита администратора.
Командлет New-AdminAuditLogSearch
Командлет New-AdminAuditLogSearch выполняет поиск в журнале аудита подобно командлету Search-AdminAuditLog. Однако вместо вывода результатов поиска в журнале аудита в командную консоль командлет New-AdminAuditLogSearch отправляет результаты поиска по электронной почте указанному получателю. Результаты включаются в сообщение электронной почты в качестве XML-вложения.
С командлетом New-AdminAuditLogSearch можно использовать такие же критерии поиска, как и с командлетом Search-AdminAuditLog. Список критериев поиска см. в разделе Командлет Search-AdminAuditLog.
После запуска командлета New-AdminAuditLogSearch системе Exchange может потребоваться до 15 минут, чтобы доставить отчет указанному получателю. Максимальный размер отчета в формате XML составляет 10 мегабайт (МБ). В файле XML содержатся такие же сведения, как в таблице в разделе Содержимое журнала аудита. Дополнительные сведения о структуре файла XML см. в разделе Структура журнала аудита администратора.
| Примечание. |
|---|
| Outlook Web App не позволяет открывать вложения XML по умолчанию. В системе Exchange можно разрешить просмотр вложений XML с помощью приложения Outlook Web App или же использовать другой клиент электронной почты, например Microsoft Office Outlook. Сведения о том, как включить в Outlook Web App просмотр вложений XML, см. в разделе Просмотр и настройка виртуальных каталогов Outlook Web App. |
Дополнительные сведения об использовании командлета New-AdminAuditLogSearch см. в разделе Поиск в журнале аудита администратора.
Внесение записей журнала аудита
вручную
Помимо внесения в журнал командлетов Exchange при их запуске, версия Exchange 2010 с пакетом обновления 1 (SP1) позволяет вручную вносить записи в журнал аудита. В версии Exchange 2010 с пакетом обновления 1 (SP1) эта функция поддерживается с помощью командлета Write-AdminAuditLog. Записи журнала можно вносить вручную в следующих случаях.
- Пользовательский сценарий входа и выхода
- Сведения об изменении элемента управления
- Время начала и окончания обслуживания
С помощью параметра Comment командлета Write-AdminAuditLog в журнал аудита можно внести текстовую строку. Параметр Comment принимает буквенно-цифровую строку длиной до 500 символов. Вместе с комментарием в ручную запись журнала аудита вносятся такие же данные, как и при внесении в журнал любого командлета Exchange. Описание всех полей журнала аудита см. в таблице в разделе Содержимое журнала аудита.
Просматривать записи журнала аудита, внесенные вручную, можно таким же образом, как и любые другие записи журнала — с помощью страницы Отчеты аудита панели управления или командлетов Search-AdminAuditLog и New-AdminAuditLogSearch.
Сведения о просмотре содержимого параметра Comment командлета Write-AdminAuditLog в записи журнала аудита, внесенной вручную, см. в разделе Поиск в журнале аудита администратора.
Репликация Active Directory
При ведении журнала аудита администратора используется репликация Служба каталогов Active Directory для выполнения репликации параметров конфигурации, указанных для контроллеров домена в организации. В зависимости от параметров репликации выполненные изменения не сразу применяются ко всем серверам Exchange 2010 в организации.
Агент журнала аудита
администратора
Встроенный агент расширения командлета журнала аудита администратора выполняет ведение журнала аудита администратора операций командлета в Exchange 2010. Этот агент считывает настройки журнала аудита и выполняет оценку каждого командлета, запущенного в организации. Если критерий, указанный в конфигурации журнала аудита, соответствует выполняемому командлету, агент создает журнал аудита.
Агент журнала аудита администратора включен по умолчанию, что необходимо для функции ведения журнала аудита. Его невозможно отключить, и его приоритет невозможно изменить. Дополнительные сведения об агентах расширения командлета см. в разделе Общие сведения об агентах расширения командлета.