This post is also available in: angielski
W środowisku Microsoft Exchange 2010 administrowanym przez wiele osób, czasami dobrze jest wiedzieć co kto utworzył, zmodyfikował lub usunął.
Do takich zadań możemy wykorzystać Administrator Audit Log.
W przypadku Microsoft Exchange 2010, logi audytu operacji wykonywanych przez administratorów umieszczane były w skrzynce emailowej podawanej podczas konfiguracji Audytu.
Wraz z wprowadzeniem SP1 dla Microsoft Exchange 2010, system nie potrzebował już dedykowanej skrzynki emailowej, wszystkie logi audytu administratorów zapisywane są od tej pory w ukrytej skrzynce arbitration.
Aby sprawdzić czy w naszym środowisku Microsoft Exchange uruchomiony jest Audyt Administratorów wystarczy w EMS wpisać:
Get-AdminAuditLogConfig | FL
otrzymamy informacje o tym czy Audyt jest włączony, co jest audytowane, oraz przez jaki czas przetrzymywane są logi audytu jak poniżej:
Z otrzymanych wyników najważniejsze są:
- AdminAuditLogEnabled – domyślnie przyjmuje wartość False co oznacza wyłaczony Audyt. Aby uruchomić audyt operacji wykonywanych przez admininstratora należy ustawić ten parametr na True
- TestCmdletLoggingEnabled – określa czy logi audytu mają zawierać polecania zaczynające się od Test- takie jak: Test-OutlookWebServices, Test-ReplicationHealth. Domyślnie parametr ten jest wyłączony (False).
- AdminAuditLogCmdlets – parametr ten umożliwia określnie jakie polecenia wykonywane przez administratorów mają znajdować się w logach audytu. Domyślnie audytowane są wszystkie polecenia ponieważ parametr ma wartość *
- AdminAuditLogParameters – określa jakie parametry poleceń mają być zapisywane w audycie. Jeżeli w poprzednim parametrze podaliśmy konkretne polecenia, wówczas tutaj możemy podać parametry jakie są używane razem z tymi poleceniami. Domyślnie również tutaj wpisana jest * czyli interesują nas wszystkie parametry i opcje używane z CMDlet-ami
- AdminAuditLogAgeLimit – parametr ten określa jak długo będą przechowywane logi audytu operacji administratorów, domyślnie jest to 90 dni.
Włączenie Audytu Operacji wykonywanych przez Administratorów:
Aby uruchomić Audytowanie operacji wykonywanych przez Administratorów Microsoft Exchange musimy użyć polecenia:
Set-AdminAuditLogConfig
z odpowiednimi parametrami, które chcemy ustawić.
Domyślnie podczas włączenia Audytu, logowane są wszystkie operacje wykonywane przez administratorów Exchange Server.
Dlatego uruchamiając audyt musimy jedynie użyć parametru AdminAuditLogEnabled oraz dodatkowo możemy określić jak długo trzymane będą logi audytu jak poniżej:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $True -AdminAuditLogAgeLimit 60
Jeżeli chcemy logować wykonywanie określonych poleceń wykonywanych przez administratorów np.: utworzenie nowej skrzynki, tworzenie lub zmiana reguły transportowej itp możemy użyć polecenia jak poniżej:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $True -AdminAuditLogCmdlets New-Mailbox, *TransportRule, Set-Transport*
Jeżeli interesują nas tylko zmiany wykonywane w ReceiveConnector oraz polecenia zawierające słowo Config możemy użyć:
Set-AdminAuditLogConfig -AdminAuditLogCmdlets *ReceiveConnector, *Config*
Natomiast jeżeli wcześniej logowaliśmy tylko określone polecenia a teraz chcemy logować wszystkie, musimy wpisać:
Set-AdminAuditLogConfig -AdminAuditLogCmdlets *
Poniżej możecie znaleźć więcej informacji na temat poleceń:
Kolejne artykuły:
Exchange 2010 Administrator Audit Log – przeszukiwanie logów
Exchange 2010 Administrator Audit Log – skrypt
Pingback:Exchange 2010 Administrator Audit Log – przeszukiwanie logów - ExchangeBlog
Pingback:Exchange 2010 Administrator Audit Log – skrypt - ExchangeBlog