Ús del registre d'auditoria per enregistrar les accions dels usuaris

 

S'aplica a: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Última modificació del tema: 2011-03-19

 

El registre d'auditoria enregistra les accions específiques que porten a terme usuaris concrets. Els administradors poden utilitzar-lo per mantenir un registre de tots els canvis fets al objectes destinataris. El registre d'auditoria pot ajudar la vostra organització a complir requisits reglamentaris i legals. Si l'àmbit del registre d'auditoria es configura amb cura, es poden controlar exactament les accions que es registren, de manera que els registres d'auditoria siguin més fàcils de revisar i d'administrar.

En aquest tema, es tracten els punts següents:

Accions que s'inclouen al registre

Per defecte, s'inclou al registre qualsevol acció que estigui basada en un cmdlet del Windows PowerShell i que no comenci amb els verbs Get o Test. No cal que l'acció es dugui a terme directament al Windows PowerShell. Totes les accions del Tauler de control de l'Exchange i de l'Outlook Web App > Opcions es creen amb cmdlets del Windows PowerShell. Per tant, sempre que un usuari utilitzi el Windows PowerShell, el Tauler de Control de l'Exchange o l'opció Outlook Web App > Opcions per dur a terme una acció que creï, modifiqui o suprimeixi un objecte, aquesta acció s'inclourà al registre.

Mode en què s'inclouen al registre les accions dels usuaris

Les dades del registre d'auditoria s'emmagatzemen en missatges de correu electrònic que s'envien a una bústia de correu d'auditoria. Quan un usuari duu a terme una acció que s'inclou al registre, s'envia un missatge de correu electrònic a la bústia de correu que heu especificat com a bústia de correu d'auditoria, on s'emmagatzemen els registres d'auditoria. Si una acció implica més d'un cmdlet, cada cmdlet es registra en un correu electrònic diferent. Si s'utilitza el mateix cmdlet en diversos objectes, cada objecte es registra en un correu electrònic diferent.

Quan planifiqueu l'estratègia del registre d'auditoria, assegureu-vos de definir com voleu arxivar els correus electrònics del registre d'auditoria que s'envien a la bústia de correu d'auditoria. La quota de la bústia de correu (o mida màxima permesa d'una bústia de correu) és de 10 GB, però el servei de correu electrònic deixa de lliurar correu electrònic en una bústia de correu quan arriba a la mida especificada pel límit de prohibició de recepció, que és de 9,668 GB. Per aquesta raó, si executeu l'Outlook Live Directory Sync (OLSync), no hauríeu d'executar el registre d'auditoria sense configurar-lo acuradament per reduir l'àmbit de les accions d'usuari que registra. Si no ho feu així, pot ser que la bústia de correu s'ompli ràpidament amb els correus electrònics del registre d'auditoria.

Per visualitzar els registres d'auditoria podeu utilitzar qualsevol client de correu electrònic, com ara el Microsoft Office Outlook o el Microsoft Office Outlook Web App, per accedir a la bústia de correu d'auditoria que hàgiu especificat.

Cada missatge de correu electrònic conté la informació següent.

 

Element Descripció

Message subject

El tema del missatge de correu electrònic utilitza el format <Caller> : <Cmdlet Name>. Caller és el compte d'usuari que s'ha utilitzat per executar el cmdlet. Cmdlet Name és el nom del cmdlet executat per l'usuari.

Cmdlet Name

Nom del cmdlet executat per l'usuari. Cada missatge de correu electrònic només hauria de contenir un valor per a Cmdlet Name.

Object Modified

Nom de l'objecte modificat pel cmdlet. Cada missatge de correu electrònic només hauria de contenir un valor per a Object Modified.

Parameter

Els paràmetres utilitzats amb el cmdlet i els valors especificats per als paràmetres. Si s'ha utilitzat més d'un paràmetre, es mostren diversos camps Parameter.

Property Modified

Noms de les propietats que s'han modificat i valors de les propietats modificades. Si s'ha modificat més d'una propietat, es mostren diversos camps Property Modified.

Caller

Compte d'usuari que s'ha utilitzat per executar el cmdlet.

L'autor de la trucada s'expressa com a GUID d'identificador de seguretat (SID). Per assignar l'SID a un usuari específic, executeu l'ordre següent:

Get-user <SID>

Per exemple, si l'SID, S-1-5-21-2509217035-2741517866-3256245913-3907, apareix com a Caller, executeu l'ordre següent al Windows PowerShell per determinar el nom d'usuari de l'SID:

Get-user S-1-5-21-2509217035-2741517866-3256245913-3907

Succeeded

Especifica si el cmdlet s'ha executat correctament. El valor és True o False.

Error

Missatge d'error que es genera si el cmdlet no s'ha completat correctament. Si el cmdlet s'ha completat correctament, el valor és None.

Run Date

Mostra la data i l'hora d'execució del cmdlet. La data i l'hora s'emmagatzemen en el format de codi d'hora universal (UTC).

Visualitzar la configuració del registre d'auditoria

Executeu l'ordre següent:

Get-AdminAuditLogConfig

Principi de la pàgina

 
Temes de l'ajuda relacionats
S'està carregant...
No s'han trobat recursos.