Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-03-19
Поиск по журналу административного аудита позволяет определить
автора изменений организации, сервера и сведений получателя. Это
может помочь при определении причины неожиданного поведения, для
выявления недобросовестного администратора или для проверки
соблюдения всех требований. Дополнительные сведения о ведении
журнала административного аудита см. в разделе Общие сведения о ведении
журнала аудита администратора.
 Примечание. |
| Страница отчетов аудита панели управления Exchange (ECP),
командлет Search-AdminAuditLog и командлет
New-AdminAuditLogSearch работают только в журналах
административного аудита Microsoft Exchange Server 2010 с
пакетом обновления 1 (SP1). Для просмотра содержимого почтового
языка журнала аудита окончательной первоначальной версии Exchange
2010 следует открыть этот ящик с помощью Microsoft
Office Outlook Web App или почтового клиента (например,
Microsoft Outlook). |
Чтобы выполнить поиск изменений режима судебного удержания,
обратитесь к разделу Управление поиском по
нескольким почтовым ящикам.
Чтобы выполнить поиск по почтовому ящику журнала аудита,
обратитесь к разделу Управление ведением
журнала аудита почтовых ящиков.
Предварительные условия
Использование ECP для просмотра
изменений групп ролей управления
Запись «Ведение журнала административного аудита только
для просмотра» в разделе Разрешения
инфраструктуры Exchange и командной консоли.
Чтобы определить изменения в группах ролей управления
организации, можно использовать отчет «Изменение роли
администратора» на странице «Отчеты аудита» панели ECP. Отчет
«Изменение роли администратора» позволяет просмотреть список групп
ролей, которые были изменены в течение указанного периода. Также
можно просмотреть изменения для определенных групп ролей.
- Войдите в Outlook Web App.
- Нажмите кнопку Параметры, а затем щелкните элемент
Все параметры.
- В раскрывающемся списке рядом с элементом Почта >
Параметры выберите значение Моя организация из списка
Выбрать объекты для управления.
- Нажмите кнопку Отчеты, щелкните элемент Аудит, а
затем — элемент Изменения роли администратора.
- Выберите диапазон дат с помощью полей Дата начала и
Дата окончания.
- Выберите группы ролей, для которых необходимо отобразить
изменения, в поле Выбрать группы ролей или оставьте это поле
пустым, чтобы выполнить поиск изменений во всех группах ролей.
- Нажмите кнопку Поиск.
При нахождении изменений, соответствующих указанным
критериям, они будут отображены на панели Результаты поиска.
Щелкните группу ролей, чтобы отобразить изменения группы ролей в
области сведений.
Использование ECP для экспорта
журнала административного аудита
Запись «Ведение журнала административного аудита только
для просмотра» в разделе Разрешения
инфраструктуры Exchange и командной консоли.
Чтобы создать XML-файл, содержащий изменения,
произведенные в организации, можно использовать отчет «Экспорт
изменений конфигурации» на странице «Отчеты аудита» панели ECP.
Отчет «Экспорт изменений конфигурации» позволяет указать диапазон
дат для поиска записей журнала аудита, которые содержат изменения,
выполненные указанными пользователями. После этого XML-файл
отправляется получателю в виде вложения в сообщение электронной
почты. Максимальный размер XML-файла составляет 10 мегабайт
(МБ).
| Примечание. |
| Outlook Web App не позволяет открывать вложения XML по
умолчанию. В системе Exchange можно разрешить просмотр вложений XML
с помощью приложения Outlook Web App или же использовать другой
клиент электронной почты, например Microsoft Office Outlook.
Сведения о том, как включить в Outlook Web App просмотр вложений
XML, см. в разделе Просмотр и настройка
виртуальных каталогов Outlook Web App. |
- Войдите в Outlook Web App.
- Нажмите кнопку Параметры, а затем щелкните элемент
Все параметры.
- В раскрывающемся списке рядом с элементом Почта >
Параметры выберите значение Моя организация из списка
Выбрать объекты для управления.
- Щелкните элементы Отчеты, Аудит и Экспорт
изменений конфигурации.
- Выберите диапазон дат с помощью полей Дата начала и
Дата окончания.
- Выберите получателя XML-файла с помощью поля Выбрать
получателей журнала аудита.
- Нажмите кнопку Экспорт.
Если указанным критериям соответствуют записи журнала,
то XML-файл будет создан и отправлен указанному получателю в виде
вложения.
Использование командной строки для
поиска записей журнала аудита
Запись «Ведение журнала административного аудита только
для просмотра» в разделе Разрешения
инфраструктуры Exchange и командной консоли.
| Примечание. |
| Консоль управления Exchange невозможно использовать для поиска
записей журнала аудита. |
Для поиска записей, соответствующих указанным
критериям, можно использовать командную строку. Список критериев
поиска см. в разделе Общие сведения о ведении
журнала аудита администратора. В этой процедуре используется
командлет Search-AdminAuditLog, который отображает
результаты поиска в командной строке. Эти действия позволяют
вернуть набор результатов, который превышает ограничения,
определенные в командлете New-AdminAuditLogSearch или в
отчетах аудита панели ECP.
Чтобы отправить результаты поиска журнала аудита
получателю, обратитесь к разделу Использование командной строки для поиска
записей журнала аудита и отправки результатов получателям в
этом документе.
Чтобы выполнить поиск по указанному критерию журнала
аудита, используйте следующий синтаксис.
|
|
 Скопировать код |
Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >
|
| Примечание. |
Командлет Search-AdminAuditLog по умолчанию возвращает
максимум 1000 записей журнала. Используйте параметр
ResultSize, чтобы указать до 250 000 записей журнала.
Также можно использовать значение Unlimited для
возврата всех записей. |
В этом примере выполняется поиск всех записей журнала
аудита со следующими критериями:
- Дата начала 02/04/2010
- Дата окончания 02/04/2010
- Идентификаторы пользователей davids,
chrisd, kima
- Командлеты Set-Mailbox
- Параметры ProhibitSendQuota,
ProhibitSendReceiveQuota, IssueWarningQuota,
MaxSendsize, MaxReceiveSize
|
|
Скопировать код |
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendsize, MaxReceiveSize -StartDate 02/04/2010 -EndDate 04/03/2010 -UserIds davids, chrisd, kima
|
В этом примере выполняется поиск изменений определенных
почтовых ящиков. Это позволяет определить неполадку или
предоставить сведения для диагностики. Используются следующие
критерии:
- Дата начала 01/01/2010
- Дата окончания 08/03/2010
- Идентификатор объекта contoso.com/Users/DavidS
|
|
Скопировать код |
Search-AdminAuditLog -StartDate 01/01/2010 -EndDate 08/03/2010 -ObjectID contoso.com/Users/DavidS
|
Если поиск возвращает слишком много записей журнала,
рекомендуется выполнить действия, описанные в разделе Использование командной строки для поиска
записей журнала аудита и отправки результатов получателям этого
документа. Действия в этом разделе позволяют отправить XML-файл в
виде вложения сообщения электронной почты указанным отправителям,
чтобы быстрее извлечь интересующие данные.
Дополнительные сведения о синтаксисе и параметрах см. в
разделе Search-AdminAuditLog.
Просмотр
подробных сведений о записях журнала аудита
Командлет Search-AdminAuditLog возвращает поля,
описанные в разделе «Содержимое журнала аудита» Общие сведения о ведении
журнала аудита администратора. Поля CmdletParameters и
ModifiedProperties, возвращаемые командлетом, содержат
дополнительные сведения, которые невозможно просмотреть по
умолчанию.
Чтобы просмотреть содержимое полей
CmdletParameters и ModifiedProperties, выполните
указанные ниже действия. Кроме того, можно также использовать
процедуру в разделе Использование
командной строки для поиска записей журнала аудита и отправки
результатов получателям этого документа для создания
XML-файла.
В этой процедуре используются следующие основные
понятия:
- Определите критерии поиска, запустите командлет
Search-AdminAuditLog и сохраните результаты в переменной с
помощью следующей команды.
|
|
Скопировать код |
$Results = Search-AdminAuditLog <search criteria>
|
- Каждая запись журнала сохраняется в переменной
$Results в виде элемента массива. Чтобы выбрать
элемент массива, укажите его индекс. Индексы элементов массива
начинаются с 0 для первого элемента массива. Например, чтобы
получить пятый элемент массива с индексом 4, используйте следующую
команду.
|
|
Скопировать код |
$Results[4]
|
- Предыдущая команда возвращает запись журнала, хранящуюся в
элементе массива 4. Чтобы просмотреть содержимое полей
CmdletParameters и ModifiedProperties для этой записи
журнала, используйте следующие команды.
|
|
Скопировать код |
$Results[4].CmdletParameters
$Results[4].ModifiedProperties
|
- Чтобы просмотреть содержимое полей CmdletParameters и
ModifiedParameters в другой записи журнала, измените индекс
элемента массива.
Использование командной строки для
поиска записей журнала аудита и отправки результатов
получателям
Запись «Ведение журнала административного аудита только
для просмотра» в разделе Разрешения
инфраструктуры Exchange и командной консоли.
| Примечание. |
| Использование EMC для поиска записей журнала аудита и отправки
результатов получателям невозможно. |
Чтобы выполнить поиск записей журнала аудита по
указанным критериям и отправить результаты определенному
отправителю в виде XML-файла, используйте командную строку.
Результаты отправляются получателю в течение 15 минут. Список
критериев поиска см. в разделе Общие сведения о ведении
журнала аудита администратора.
| Примечание. |
| Outlook Web App не позволяет открывать вложения XML по
умолчанию. В системе Exchange можно разрешить просмотр вложений XML
с помощью приложения Outlook Web App или же использовать другой
клиент электронной почты, например Microsoft Office Outlook.
Сведения о том, как включить в Outlook Web App просмотр вложений
XML, см. в разделе Просмотр и настройка
виртуальных каталогов Outlook Web App. |
Чтобы выполнить поиск по указанному критерию журнала
аудита, используйте следующий синтаксис.
|
|
Скопировать код |
New-AdminAuditLogSearch -Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False > -StatusMailRecipients <recipient 1, recipient 2, ...> -Name <string to include in subject>
|
В этом примере выполняется поиск всех записей журнала
аудита со следующими критериями:
- Дата начала 02/04/2010
- Дата окончания 02/04/2010
- Идентификаторы пользователей davids, chrisd, kima
- Командлеты Set-Mailbox
- Параметры ProhibitSendQuota,
ProhibitSendReceiveQuota, IssueWarningQuota,
MaxSendsize, MaxReceiveSize
Эта команда отправляет результаты в почтовый ящик
davids. Строка темы сообщения содержит текст Mailbox limit
changes.
|
|
Скопировать код |
New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendsize, MaxReceiveSize -StartDate 02/04/2010 -EndDate 04/03/2010 -UserIds davids, chrisd, kima -StatusMailRecipients davids -Name "Mailbox limit changes"
|
| Примечание. |
| Отчет, создаваемый командлетом New-AdminAuditLogSearch,
имеет максимальный размер в 10 МБ. Если выполняемый поиск
возвращает отчет больше 10 МБ, следует изменить критерии поиска.
Например, можно сократить размер диапазона данных и выполнить
несколько отчетов, каждый из которых будет содержать часть
исходного диапазона данных. |
Дополнительные сведения о формате XML-файла см. в
разделе Структура журнала аудита
администратора.
Дополнительные сведения о синтаксисе и параметрах см. в
разделе New-AdminAuditLogSearch.
