Exchange 2010 Administrator Audit Log – przeszukiwanie logów

Ostatnio opisywaliśmy jak włączyć i skonfigurować Administrator Audit Log w Microsoft Exchange 2010.

Exchange 2010 Administrator Audit Log – konfiguracja

 

Jak już będziemy logować operacje wykonywane przez administratorów Exchange, musimy od czasu do czasu przeglądać wpisy w logach.

 

Dostęp do logów możemy uzyskać za pomocą:

  • konsoli ECP 
  • poleceniem Search-AdminAuditLog oraz New-AdminAuditLogSearch

 

ECP przeglądanie logów:

Uruchamiamy konsolę ECP następnie logujemy się do niej i wybieramy kolejno:

  1. Mail > Options, wybieramy My Organization
  2. Następnie klikamy Reporting, klikamy na Auditing, i wybieramy Export Configuration Changes.
  3. Wpisujemy zakres dat jakie nas interesują w Start Date i End Date
  4. Następnie wpisujemy osobę do której powinien trafić email z raportem w postaci pliku .xml wybierając Select users to email the audit log to.
  5. Na koniec naciskamy Export.

Po pewnym czasie w wybranej skrzynce powinna pojawić się wiadomość email z raportem operacji administratorów.

Continue reading

Exchange 2010 Administrator Audit Log – konfiguracja

audit

W środowisku Microsoft Exchange 2010 administrowanym przez wiele osób, czasami dobrze jest wiedzieć co kto utworzył, zmodyfikował lub usunął.

Do takich zadań możemy wykorzystać Administrator Audit Log.

 

W przypadku Microsoft Exchange 2010, logi audytu operacji wykonywanych przez administratorów umieszczane były w skrzynce emailowej podawanej podczas konfiguracji Audytu.

 

Wraz z wprowadzeniem SP1 dla Microsoft Exchange 2010, system nie potrzebował już dedykowanej skrzynki emailowej, wszystkie logi audytu administratorów zapisywane są od tej pory w ukrytej skrzynce arbitration.

Aby sprawdzić czy w naszym środowisku Microsoft Exchange uruchomiony jest Audyt Administratorów wystarczy w EMS wpisać:

Get-AdminAuditLogConfig | FL

 

otrzymamy informacje o tym czy Audyt jest włączony, co jest audytowane, oraz przez jaki czas przetrzymywane są logi audytu jak poniżej:

Continue reading