Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2010-06-24

В журналах аудита администратора содержатся записи всех командлетов и параметров, которые запускались в командной консоли Exchange, консоли управления Exchange (EMC) и панели управления Exchange (ECP). Они создаются по требованию, когда выполняется отчет об экспорте изменений в конфигурации в панели управления Exchange или запускается командлет New-AdminAuditLogSearch в командной консоли. Дополнительные сведения о журналах аудита см. в разделе Общие сведения о ведении журнала аудита администратора.

Журналы аудита хранятся в файлах XML и могут содержать записи нескольких журналов. В следующей таблице описаны все теги XML и связанные с ними атрибуты.

Теги XML и атрибуты журнала аудита

Элемент	Атрибут	Описание
`<?xml version="1.0" encoding="utf-8"?>`	`N/A`	Это тег объявления документа XML. Он включается в каждый файл XML журнала аудита и содержит номер версии XML и значение типа кодировки символов.
`SearchResults`	`N/A`	В этом теге содержатся все записи журнала аудита в файле XML. Тег `Event` является дочерним для этого тега. В файле XML имеется только один тег `SearchResults`.
`Event`		В этом теге содержится запись журнала аудита для отдельного командлета. В этом теге содержатся атрибуты `Caller`, `Cmdlet`, `ObjectModified`, `RunDate`, `Succeeded` и `Error`. Теги `CmdletParameters` и `ModifiedProperties` являются дочерними по отношению к этому тегу. В каждой записи журнала аудита имеется один тег `Event`.
	`Caller`	В этом атрибуте содержится учетная запись пользователя, запустившего командлет, указанный в атрибуте `Cmdlet`.
	`Cmdlet`	В этом атрибуте содержится имя командлета, запущенного пользователем, указанным в атрибуте `Caller`.
	`ObjectModified`	В этом атрибуте содержится объект, измененный с помощью командлета, указанного в атрибуте `Cmdlet`. Тег `ModifiedProperties` показывает, какие свойства данного объекта были изменены.
	`RunDate`	В этом атрибуте содержатся дата и время выполнения командлета, указанного в атрибуте `Cmdlet`. Дата и время хранятся в формате всемирного времени (UTC).
	`Succeeded`	Этот атрибут указывает, был ли успешно выполнен командлет, указанный в атрибуте `Cmdlet`. Значение может быть равно `True` или `False`.
	`Error`	В этом атрибуте содержится сообщение об ошибке, которое создается при сбое выполнения командлета, указанного в атрибуте `Cmdlet`. Если ошибка не обнаружена, то значение равно `None`.
`CmdletParameters`	`N/A`	В этом теге содержатся все параметры, заданные при запуске командлета. Тег `Parameter` является дочерним для этого тега. Имеется один тег `CmdletParameters` на каждый тег `Event`.
`Parameter`		В этом теге содержится отдельный параметр, заданный при запуске командлета. В этом теге содержатся атрибуты `Name` и `Value`. Может существовать несколько тегов `Parameter` на каждый тег `CmdletParameters`.
	`Name`	В этом атрибуте содержится имя параметра, заданного в командлете при его запуске.
	`Value`	В этом атрибуте содержится значение, заданное для параметра, который указан в атрибуте `Name`.
`ModifiedProperties`	`N/A`	В этом теге содержатся все свойства, которые были изменены в результате выполнения командлета. Тег `Property` является дочерним для этого тега. Имеется один тег `ModifiedProperties` на каждый тег `Event`.
`Property`		В этом теге содержится отдельное свойство, заданное при запуске командлета. В этом теге содержатся атрибуты `Name`, `OldValue` и `NewValue`. Может существовать несколько тегов `Property` на каждый тег `ModifiedProperties`.
	`Name`	В этом атрибуте содержится имя свойства, измененного в результате выполнения командлета.
	`OldValue`	В этом атрибуте содержится значение, которое содержалось в свойстве, указанном в атрибуте `Name`, до изменения этого свойства.
	`NewValue`	В этом атрибуте содержится значение, на которое было изменено свойство, указанное в атрибуте `Name`.

Пример записи в журнале аудита

Ниже приведен пример типичной записи журнала аудита. На основе данных в записи журнала можно сказать, что произошло следующее:

5 марта 2010 г. в 23:59 (UTC) пользователь Administrator запустил командлет Set-Mailbox.
При запуске командлета Set-Mailbox было задано два следующих параметра:
- Identity со значением david
- ProhibitSendReceiveQuota со значением 1.727 GB
Были изменены два следующих свойства объекта david:
- ProhibitSendReceiveQuota с новым значением 1.727 GB, которым было заменено старое значение 523.4 MB
- ObjectState с новым значением Changed, которым было заменено старое значение Unchanged
Операция успешно завершена без ошибок.

	Скопировать код
<?xml version="1.0" encoding="utf-8"?> <SearchResults> <Event Caller="Wally14.extest.microsoft.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="Wally14.extest.microsoft.com/Users/David" RunDate="3/5/2010 11:59:12 PM" Succeeded="true" Error="None"> <CmdletParameters> <Parameter Name="Identity" Value="david" /> <Parameter Name="ProhibitSendReceiveQuota" Value="1.727 GB (1,854,030,822 bytes)" /> </CmdletParameters> <ModifiedProperties> <Property Name="ProhibitSendReceiveQuota" OldValue=" 523.4 MB (548,845,001 bytes) " NewValue="1.727 GB (1,854,030,822 bytes)" /> <Property Name="ObjectState" OldValue="Unchanged" NewValue="Changed" /> </ModifiedProperties> </Event> </SearchResults>

Скопировать код

<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
  <Event Caller="Wally14.extest.microsoft.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="Wally14.extest.microsoft.com/Users/David" RunDate="3/5/2010 11:59:12 PM" Succeeded="true" Error="None">
	<CmdletParameters>
	<Parameter Name="Identity" Value="david" />
	<Parameter Name="ProhibitSendReceiveQuota" Value="1.727 GB (1,854,030,822 bytes)" />
	</CmdletParameters>
	<ModifiedProperties>
	<Property Name="ProhibitSendReceiveQuota" OldValue=" 523.4 MB (548,845,001 bytes) " NewValue="1.727 GB (1,854,030,822 bytes)" />
	<Property Name="ObjectState" OldValue="Unchanged" NewValue="Changed" />
	</ModifiedProperties>
  </Event>
</SearchResults>