Utiliser l'enregistrement d'audit pour enregistrer les actions de l'utilisateur

 

S'applique à : Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Dernière rubrique modifiée : 2011-03-19

 

L'enregistrement d'audit consigne les actions spécifiques effectuées par des utilisateurs donnés. Les administrateurs peuvent l’utiliser pour conserver un enregistrement de toutes les modifications apportées aux objets destinataire. L'enregistrement d'audit peut aider votre organisation à se conformer à la réglementation et aux dispositions législatives applicables. Grâce à une configuration précise de l'étendue de l'enregistrement d'audit, vous pouvez décider des actions à enregistrer, ce qui facilite la consultation et la gestion des journaux d'audit.

Dans cette rubrique, nous allons couvrir les sujets suivants :

Quelles sont les actions enregistrées?

Par défaut, l'enregistrement concerne toute action basée sur un applet de commande Windows PowerShell qui ne commence pas par les verbes Get ou Test. L'action ne doit pas être nécessairement effectuée directement dans Windows PowerShell. Toutes les actions dans le Panneau de configuration Exchange et dans Outlook Web App > Options reposent sur les applets de commande Windows PowerShell. Par conséquent, dès qu'un utilisateur se sert de Windows PowerShell, du Panneau de configuration Exchange ou d'Outlook Web App > Options pour effectuer une action de création, de modification ou de suppression d'un objet, cette action est enregistrée.

De quelle façon les actions de l'utilisateur sont-elles enregistrées?

Les données d'enregistrement d'audit sont stockées dans des messages électroniques envoyés à une boîte aux lettres d'audit. Lorsqu'un utilisateur effectue une action qui est enregistrée, un message électronique est envoyé à la boîte aux lettres spécifiée comme boîte aux lettres d'audit, dans laquelle les journaux sont stockés. Si une action implique plusieurs applets de commande, chacun est enregistré dans un message électronique distinct. Si un même applet de commande est utilisé sur plusieurs objets, chaque objet est enregistré dans un message électronique distinct.

Lorsque vous planifiez votre stratégie d'enregistrement d'audit, réfléchissez au mode d'archivage des messages électroniques d'audit envoyés à la boîte aux lettres d'audit. Le quota de boîte aux lettres, qui correspond à la taille maximale autorisée d'une boîte aux lettres, est de 10 Go, cependant, le service de messagerie arrête la remise des messages vers une boîte aux lettres lorsque cette dernière atteint la taille spécifiée par la limite d'interdiction de réception, qui est de 9,668 Go. Par conséquent, si vous exécutez Synchronisation d’annuaires Outlook Live (OLSync), vous ne devez pas exécuter d'enregistrement d'audit sans configuration attentive préalable afin de réduire l'étendue des actions de l'utilisateur enregistrées. Autrement, la boîte aux lettres d'audit risque de se remplir rapidement de messages.

Pour afficher les journaux d'audit, vous pouvez utiliser n'importe quel client de messagerie électronique, tel que Microsoft Office Outlook ou Microsoft Office Outlook Web App pour accéder à la boîte aux lettres d'audit que vous avez spécifiée.

Chaque message électronique contient les informations suivantes.

 

Élément Description

Message subject

L'objet du message électronique utilise le format <Appelant> : <Nom de l'applet de commande>. Caller est le compte d'utilisateur utilisé pour exécuter l'applet de commande. Cmdlet Name est le nom de l'applet de commande exécuté par l'utilisateur.

Cmdlet Name

Nom de l'applet de commande exécuté par l'utilisateur. Chaque message électronique ne devrait contenir qu'une seule valeur pour le Cmdlet Name.

Object Modified

Nom de l'objet modifié par l'applet de commande. Chaque message électronique ne devrait contenir qu'une seule valeur pour Object Modified.

Parameter

Paramètres utilisés avec l'applet de commande, et valeurs spécifiées pour ces paramètres. Si plusieurs paramètres ont été utilisés, plusieurs champs Parameter sont affichés.

Property Modified

Nom des propriétés modifiées, et valeurs de ces propriétés. Si plusieurs propriétés ont été modifiées, plusieurs champs Property Modified sont affichés.

Caller

Compte utilisateur utilisé pour exécuter l'applet de commande.

L'appelant est exprimé sous forme de GUID d'identificateur de sécurité (SID). Pour mapper le SID à un utilisateur spécifique, exécutez la commande suivante :

Get-user <SID>

Par exemple, si le SID, S-1-5-21-2509217035-2741517866-3256245913-3907, est listé en tant que Caller, exécutez la commande suivante dans Windows PowerShell pour déterminer le nom d'utilisateur du SID :

Get-user S-1-5-21-2509217035-2741517866-3256245913-3907

Succeeded

Indique si l'exécution de l'applet de commande s'est correctement déroulée. La valeur est True ou False.

Error

Message d'erreur généré en cas d'échec d'exécution correcte de l'applet de commande. Si l'applet de commande s'exécute correctement, la valeur est None.

Run Date

Affiche la date et l'heure d'exécution de l'applet de commande. La date et l'heure sont stockées au format UTC (Universal Time Code).

Afficher les paramètres d'enregistrement d'audit

Exécutez la commande suivante :

Get-AdminAuditLogConfig

Haut de la page

 
Rubriques connexes
Chargement...
Aucune ressource n'a été trouvée.