Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-03-19
Ведение журнала аудита администратора в Microsoft Exchange
Server 2010 позволяет создавать запись журнала при каждом запуске
определенного командлета. В записях журнала уточняется, какой
командлет был выполнен, какие параметры использованы, кто выполнял
командлет, какие объекты были задействованы. Дополнительные
сведения о ведении журнала аудита администратора см. в разделе
Общие сведения о
ведении журнала аудита администратора.
Для настройки ведения журнала аудита администратора необходимо
использовать командную консоль.
Важно! |
При ведении журнала аудита администратора используется
репликация Служба каталогов Active Directory для выполнения
репликации параметров конфигурации, указанных для контроллеров
домена в организации. В зависимости от параметров репликации
выполненные изменения не сразу применяются ко всем серверам
Exchange 2010 в организации.
На компьютерах, на которых во время изменения конфигурации открыта
командная консоль, изменения конфигурации журнала аудита
обновляются каждые 60 минут. Если изменения необходимо применить
немедленно, на каждом компьютере закройте и снова откройте
консоль. |
Укажите командлеты для аудита
Запись «Ведение журнала аудита администратора» в
разделе Разрешения
инфраструктуры Exchange и командной консоли.
Примечание. |
Невозможно использовать консоль управления Exchange для
указания командлетов для аудита. |
По умолчанию в журналах аудита создается запись для
каждого выполняемого командлета. Если ведение журнала аудита
включено впервые и необходимо, чтобы это действие выполнялось
далее, список аудита командлетов изменять не требуется. Если были
указаны командлеты для аудита, но теперь необходимо выполнить аудит
всех командлетов, это можно сделать с помощью подстановочного знака
«звездочка» (*) с параметром AdminAuditLogCmdlets командлета
Set-AdminAuditLogConfig, как показано в следующей
команде:
|
Скопировать код |
Set-AdminAuditLogConfig -AdminAuditLogCmdlets *
|
Можно указать командлеты для аудита, задав список
командлетов с помощью параметра AdminAuditLogCmdlets. В
списке командлетов для аудита можно указать определенные
командлеты, командлеты с подстановочным знаком «звездочка» (*) или
и те и другие. Записи в списке разделяются запятыми. Допустимы
следующие значения:
New-Mailbox
*TransportRule
*Management*
Set-Transport*
В этом примере выполняется аудит командлетов, указанных
в предыдущем списке.
|
Скопировать код |
Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе Set-AdminAuditLogConfig.
Задание параметров для аудита
Запись «Ведение журнала аудита администратора» в
разделе Разрешения
инфраструктуры Exchange и командной консоли.
Примечание. |
Невозможно использовать консоль управления Exchange для
указания параметров для аудита. |
По умолчанию в журналах аудита создается запись для
каждого выполняемого командлета, независимо от указанных
параметров. Если ведение журнала аудита включено впервые и
необходимо, чтобы это действие выполнялось далее, список аудита
параметров изменять не требуется. Если были указаны параметры для
аудита, но теперь необходимо выполнить аудит всех параметров, это
можно сделать с помощью подстановочного знака «звездочка» (*) с
параметром AdminAuditLogParameters командлета
Set-AdminAuditLogConfig, как показано в следующей
команде:
|
Скопировать код |
Set-AdminAuditLogConfig -AdminAuditLogParameters *
|
Параметры для аудита можно указать с помощью параметра
AdminAuditLogParameters. В списке параметров для аудита
можно указать отдельные параметры, параметры с подстановочным
знаком «звездочка» (*) или и те и другие. Записи в списке
разделяются запятыми. Допустимы следующие значения:
Database
*Address*
Custom*
*Region
Примечание. |
Для создания записи журнала аудита при выполнении команды эта
команда должна включать в себя как минимум один или несколько
параметров одного или нескольких командлетов, указанных с помощью
параметра AdminAuditLogCmdlets. |
В этом примере выполняется аудит параметров, указанных
в предыдущем списке.
|
Скопировать код |
Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе Set-AdminAuditLogConfig.
Указание времени хранения журнала
аудита
Запись «Ведение журнала аудита администратора» в
разделе Разрешения
инфраструктуры Exchange и командной консоли.
Примечание. |
Невозможно использовать консоль управления Exchange для
указания времени хранения журнала аудита. |
Время хранения журнала аудита определяет период, в
течение которого будут храниться записи журнала аудита. При
превышении времени хранения записи журнала она удаляется. Значение
по умолчанию — один год.
Можно указать число дней, часов, минут и секунд, в
течение которых необходимо хранить записи журнала аудита. Чтобы
задать значение, используйте формат dd.hh.mm:ss, где:
- dd — количество дней хранения записи журнала аудита;
- hh — количество часов хранения записи журнала
аудита;
- mm — количество минут хранения записи журнала
аудита;
- ss — количество секунд хранения записи журнала
аудита.
Внимание! |
Для времени хранения журнала аудита можно установить меньшее
значение по сравнению с текущим временем хранения. При этом все
записи журнала аудита, длительность хранения которых превысит новое
время хранения, будут удалены.
Если для времени хранения установлено значение 0, все записи в
журнале аудита будут удалены системой Exchange.
Разрешения на настройку времени хранения журнала аудита
рекомендуется предоставлять только пользователям с высоким уровнем
доверия. |
В этом примере указывается время хранения, равное двум
годам и шести месяцам.
|
Скопировать код |
Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913.00:00:00
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе Set-AdminAuditLogConfig.
Включение и отключение ведения
журнала командлетов проверки
Запись «Ведение журнала аудита администратора» в
разделе Разрешения
инфраструктуры Exchange и командной консоли.
Примечание. |
Невозможно использовать консоль управления Exchange для
включения или отключения ведения журнала командлетов
Test. |
По умолчанию командлеты, начинающиеся с команды
Test, не заносятся в журнал. Причиной этого является то, что
командлеты Test могут создавать большой объем данных за
короткий период времени. Включать ведение журнала командлетов
Test рекомендуется только на короткий период времени.
Эта команда включает ведение журнала командлетов
Test.
|
Скопировать код |
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $True
|
Эта команда отключает ведение журнала командлетов
Test.
|
Скопировать код |
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе Set-AdminAuditLogConfig.
Другие задачи
После настройки ведения журнала аудита администратора
можно также выполнить другие действия: