This post is also available in: angielski
Ostatnio opisywaliśmy jak włączyć i skonfigurować Administrator Audit Log w Microsoft Exchange 2010.
Exchange 2010 Administrator Audit Log – konfiguracja
Jak już będziemy logować operacje wykonywane przez administratorów Exchange, musimy od czasu do czasu przeglądać wpisy w logach.
Dostęp do logów możemy uzyskać za pomocą:
- konsoli ECP
- poleceniem Search-AdminAuditLog oraz New-AdminAuditLogSearch
ECP przeglądanie logów:
Uruchamiamy konsolę ECP następnie logujemy się do niej i wybieramy kolejno:
- Mail > Options, wybieramy My Organization
- Następnie klikamy Reporting, klikamy na Auditing, i wybieramy Export Configuration Changes.
- Wpisujemy zakres dat jakie nas interesują w Start Date i End Date
- Następnie wpisujemy osobę do której powinien trafić email z raportem w postaci pliku .xml wybierając Select users to email the audit log to.
- Na koniec naciskamy Export.
Po pewnym czasie w wybranej skrzynce powinna pojawić się wiadomość email z raportem operacji administratorów.
Eksport logów za pomocą EMS i Search-AdminAuditLog lub New-AdminAuditLogSearch:
Drugim sposobem wyświetlenia logów zawierających informacje o operacjach wykonywanych przez administratorów Exchange Server, jest użycie EMS (Exchange Management Shell) oraz polecenia Search-AdminAuditLog.
Aby wyświetlić wszystkie operacje przeprowadzone w określonym czasie używamy poniższego polecenia:
Search-AdminAuditLog -StartDate 01/05//2013 -EndDate 01/06/2013
Oczywiście możemy wyświetlić tylko określone operacje np.: zmiana ustawień skrzynki emailowej dla niektórych użytkowników:
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendsize, MaxReceiveSize -StartDate 01/05/2013 -EndDate 01/06/2013 -UserIds JSmith, AJohnson
Kolejną ciekawą opcją jest użycie polecenia New-AdminAuditLogSearch, dzięki któremu możemy przesłać logi z operacji wykonywanych przez administratorów na skrzynkę emailową w ciągu 15 minut.
Moim zdaniem jest to najwygodniejsza opcja, jeżeli chodzi o przeglądanie logów.
Przesłana wiadomość będzie zawierała załącznik XML z logami operacji, niestety załącznik nie może być większy niż 10MB.
Aby wyeksportować logi dotyczące zmian w grupach oraz przypisywaniu nowych ról możemy użyć poniższego polecenia:
New-AdminAuditLogSearch -Name "Role Group Change Audit" -Cmdlets New-RoleGroup, New-ManagementRoleAssignment -StatusMailRecipients "Admin"
Natomiast jeżeli chcemy wyeksportować informacje o zmianach wprowadzanych na skrzynkach możemy użyć poniższego polecenia:
New-AdminAuditLogSearch -Name "Mailbox Quota Change Audit" -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota -StartDate 01/05/2013 -EndDate 01/06/2013 -StatusMailRecipients Admin
Więcej informacji o poleceniach:
Kolejne artykuły:
Exchange 2010 Administrator Audit Log – konfiguracja
Exchange 2010 Administrator Audit Log – skrypt
English 
polski
Pingback:Exchange 2010 Administrator Audit Log – konfiguracja - ExchangeBlog