ExchangeBlog » Porady » Exchange 2010 Administrator Audit Log – skrypt

Exchange 2010 Administrator Audit Log – skrypt

  Przez Remigiusz Szatkowski | 07/06/2013 - 03:39 |

This post is also available in: angielski

Do tej pory opisaliśmy jak włączyć audyt operacji administratorów na Exchange 2010 oraz jak można w łatwy sposób przeszukiwać logi wykonanych operacji.

Jak włączyć Administrator Audit Log opisywaliśmy tutaj:

Exchange 2010 Administrator Audit Log – konfiguracja

Natomiast jak przeszukiwać logi opisaliśmy tutaj:

Exchange 2010 Administrator Audit Log – przeszukiwanie logów

 

Teraz skupimy się na zautomatyzowaniu zbierania logów z operacjami wykonywanymi przez administratorów Exchange.

Podczas konfiguracji Administrator Audit Log określaliśmy przez jaki czas będą przechowywane logi w ukrytej skrzynce arbitration mailbox.

Polecenie którym konfigurujemy jak długo logi mają być przetrzymywane przedstawiamy poniżej:

Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 60.00:00:00

 

Ilość dni definiujemy poprzez zapis: dd.hh:mm:ss czyli w powyższym przykładzie jest to 60 dni.

 

Uruchomienie opcji audytu czynności wykonywanych przez administratorów powoduje oczywiście przyrost wielkości skrzynki arbitration co może również powodować przyrost wielkości baz.

Aby określić wielkość folderu AdminAuditLogs skrzynki arbitration możemy użyć polecenia:

Get-MailboxFolderstatistics „Guid of arbitration mailbox” -FolderScope RecoverableItems –IncludeAnalysis

 

Jeżeli chcemy „wyczyścić” zawartość skrzynki w celu zmniejszenia jej rozmiaru możemy wpisac poniższe polecenie:

Search-Mailbox Guid of arbitration mailbox -Dumpsteronly -deletecontent

 

Oczywiście w przypadku gdy ilość operacji logowanych w audycie jest duża nie możemy ich w nieskończoność przechowywać na serwerze.
Dlatego lepszym rozwiązaniem jest ustawienie krótszego czasu przetrzymywania logów i wykonywanie cyklicznych eksportów logów.

Każdy eksport logów za pomocą polecenia New-AdminAuditLogSearch powoduje wysłanie wiadomości email z załączonym plikiem .XML w którym znajdują się operacje wykonane przez administratorów.

Struktura pliku .xml z logami opisana jest tutaj:

Administrator Audit Log Structure

Możemy taki plik zapisać, otworzyć za pomocą Excell i obejrzeć w bardziej przyjaznej formie.

Innym rozwiązaniem jest użycie polecenia Search-AdminAuditLog określając zakres dat jaki ma obejmować i wyeksportować zwrócone wyniki do pliku HTML.

Poniżej możecie pobrać skrypt, który tworzy raport operacji za ostatni miesiąc.
Skrypt tworzy plik .htm oraz wysyła go na skrzynkę administratora.
Najlepiej skrypt dodać do schedulera i uruchamiać raz w miesiącu.

Dzięki temu będziecie mieli historię operacji administratorów, która możecie w łatwy sposób przeglądać.

Skrypt możecie pobrać tutaj:

AdministratorAuditLog_monthly

 

Poprzednie artykuły:

Exchange 2010 Administrator Audit Log – konfiguracja

Exchange 2010 Administrator Audit Log – przeszukiwanie logów

 

 

Print Friendly


Related posts:

  1. Exchange 2010 Administrator Audit Log – przeszukiwanie logów
  2. Exchange 2010 Administrator Audit Log – konfiguracja
  3. Wyszukiwanie wiadomości skrypt GUI Message Tracking Log
Otagowany , , , , , , , .Dodaj do zakładek permalink.

One Response to Exchange 2010 Administrator Audit Log – skrypt

  1. Pingback:Exchange 2010 Administrator Audit Log – przeszukiwanie logów - ExchangeBlog

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>