Bruge logføring af overvågning til at registrere brugerhandlinger

 

Gælder for: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Emne senest redigeret: 2011-03-19

 

Logføring af overvågning registrerer bestemte handlinger, der udføres af bestemte brugere. Administratorer kan bruge det til at opretholde en fortegnelse over alle ændringer, der er foretaget i modtagerobjekter. Logføring af overvågning kan hjælpe organisationen med at overholde lovmæssige og retslige krav. Hvis du konfigurerer omfanget af logføringen af overvågningen omhyggeligt, kan du kontrollere, præcist hvilke handlinger der logføres, så det bliver lettere at gennemse og administrere loggene.

I dette emne gennemgås følgende:

Hvilke handlinger logføres?

Som standard logføres alle handlinger, der er baseret på en Windows PowerShell-cmdlet-kommando, og som ikke begynder med verberne Get eller Test. Handlingen behøver ikke at blive udført direkte i Windows PowerShell. Alle handlinger i Kontrolpanel i Exchange og i Outlook Web App > Indstillinger er bygget oven på Windows PowerShell-cmdlet-kommandoer. Så hver gang en bruger benytter Windows PowerShell, Kontrolpanel i Exchange eller Outlook Web App > Indstillinger til at udføre en handling, der opretter, redigerer eller sletter et objekt, bliver handlingen logført.

Hvordan logføres brugerhandlinger?

Overvågningsdataene gemmes i e-mail-meddelelser, der sendes til en overvågningspostkasse. Når en bruger udfører en handling, der logføres, sendes der en e-mail-meddelelse til den postkasse, du har angivet som overvågningspostkassen, hvor overvågningsloggene gemmes. Hvis en handling involverer mere end én cmdlet-kommando, bliver hver enkelt cmdlet-kommando logført i en separat e-mail. Hvis den samme cmdlet benyttes på flere objekter, bliver hvert af objekterne logført i en separat e-mail.

Når du planlægger din strategi for logføring af overvågning, skal du tænke over, hvordan du vil arkivere de e-mails for overvågningslogføring, der sendes til overvågningspostkassen. Postkassegrænsen, den maksimale tilladte størrelse af en postkasse, er 10 GB, men e-mail-tjenesten holder op med at levere e-mail til en postkasse, når postkassen når den størrelse, der bestemmes af grænsen Forhindre modtagelse, som er 9,668 GB. Hvis du kører Mappesynkronisering til Outlook Live (OLSync), skal du derfor ikke udføre logføring af overvågning uden at konfigurere det omhyggeligt for at reducere de brugerhandlinger, der logføres. Ellers kan overvågningspostkassen hurtigt blive overfyldt med e-mails om overvågningslogføring.

Hvis du vil have vist overvågningsloggene, kan du benytte en hvilken som helst e-mail-klient, f.eks. Microsoft Office Outlook eller Microsoft Office Outlook Web App, til at få adgang til den angivne overvågningspostkasse.

Hver e-mail-meddelelse indeholder følgende oplysninger.

 

Element Beskrivelse

Message subject

Emnet for e-mail-meddelelsen er i formatet <Opkalder> : <Navn på cmdlet-kommando>. Caller er den brugerkonto, der benyttes til at køre cmdlet-kommandoen. Cmdlet Name er navnet på den cmdlet-kommando, som brugeren kørte.

Cmdlet Name

Navnet på den cmdlet-kommando, der blev kørt af brugeren. Hver e-mail-meddelelse må kun indeholde én værdi for Cmdlet Name.

Object Modified

Navnet på det objekt, der blev redigeret af cmdlet-kommandoen. Hver e-mail-meddelelse må kun indeholde én værdi for Object Modified.

Parameter

De parametre, der blev benyttet med cmdlet-kommandoen, og de værdier, der blev angivet for parametrene. Hvis der blev benyttet mere end én parameter, vises der flere Parameter-felter.

Property Modified

Navnene på de egenskaber, der blev ændret, og værdierne af de ændrede egenskaber. Hvis der blev ændret mere end én egenskab, vises der flere Property Modified-felter.

Caller

Den brugerkonto, der blev benyttet til at køre cmdlet-kommandoen.

Opkalderen angives som et sikkerheds-id (SID) GUID. Udfør denne kommando for at knytte SID'et til en bestemt bruger:

Get-user <SID>

Hvis SID'et S-1-5-21-2509217035-2741517866-3256245913-3907 for eksempel er angivet som Caller, skal du udføre følgende kommando i Windows PowerShell for at bestemme brugernavnet for SID'et:

Get-user S-1-5-21-2509217035-2741517866-3256245913-3907

Succeeded

Angiver, om cmdlet-kommandoen blev udført korrekt. Værdien er enten True eller False.

Error

Den fejlmeddelelse, der blev genereret, hvis cmdlet-kommandoen ikke blev udført korrekt. Hvis cmdlet-kommandoen blev udført korrekt, er værdien None.

Run Date

Viser den dato og det klokkeslæt, hvor cmdlet-kommandoen blev kørt. Datoen og klokkeslættet gemmes i UTC-format (Universal Time Code).

Gennemse indstillingerne for logføring af overvågning

Kør følgende kommando:

Get-AdminAuditLogConfig

Øverst på siden

 
Relaterede emner i hjælpen
Indlæser...
Der blev ikke fundet nogen ressourcer.