Bruke overvåkingslogging til å registrere brukerhandlinger

 

Gjelder: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Emnet sist endret: 2011-03-19

 

Overvåkingslogging brukes til å registrere bestemte handlinger som utføres av bestemte brukere. Administratorer kan bruke det til å opprettholde en historie over alle endringer utført på mottakerobjekter. Overvåkingslogging kan være til hjelp for at organisasjonen skal kunne oppfylle forskriftsmessige og juridiske krav. Hvis du konfigurerer omfanget av overvåkingslogging nøye, kan du kontrollere nøyaktig hvilke handlinger som logges, slik at overvåkingsloggene blir enklere å se gjennom og administrere.

I dette emnet dekker vi følgende:

Hvilke handlinger logges?

Alle handlinger som er basert på en Windows PowerShell-cmdlet og ikke begynner med verbet Get eller Test, blir som standard logget. Handlingen trenger ikke å bli utført direkte i Windows PowerShell. Alle handlinger i Exchange-kontrollpanelet og i Outlook Web App > Alternativer er basert på Windows PowerShell-cmdleter. Hver gang Windows PowerShell, Exchange-kontrollpanelet eller Outlook Web App > Alternativer brukes av en bruker til å utføre en handling som oppretter, endrer eller sletter et objekt, blir handlingen logget.

Hvordan logges brukerhandlinger?

Dataene for overvåkingslogging lagres i e-postmeldinger som sendes til en overvåkingspostboks. Når en bruker utfører en handling som logges, blir en e-postmelding sendt til postboksen du har angitt som overvåkingspostboksen, der overvåkingsloggene lagres. Hvis en handling omfatter flere cmdleter, blir hver cmdlet logget i en egen e-postmelding. Hvis samme cmdlet brukes på flere objekter, blir hvert objekt logget i en egen e-postmelding.

Når du planlegger strategien for overvåkingsloggingen, må du finne ut hvordan du vil arkivere e-postmeldingene for overvåkingslogging som sendes til overvåkingspostboksen. Postbokskvoten, eller maksimumsstørrelsen på en postboks, er 10 GB, men e-posttjenesten slutter å levere e-post til en postboks når den når størrelsen som er angitt av Forhindre mottak-grensen, som er 9,668 GB. Hvis du kjører Outlook Live-katalogsynkronisering (OLSync), må du derfor ikke kjøre overvåkingslogging uten å konfigurere den nøye for å redusere omfanget av brukerhandlinger som logges. Ellers kan det hende at overvåkingspostboksen fylles raskt med e-postmeldinger for overvåkingslogging.

Du kan bruke en hvilken som helst e-postklient, for eksempel Microsoft Office Outlook eller Microsoft Office Outlook Web App, til å få tilgang til overvåkingspostboksen og vise overvåkingsloggene.

Hver e-postmelding inneholder følgende informasjon:

 

Element Beskrivelse

Message subject

Emnet for e-postmeldingen har formatet <Oppringer> : <Cmdlet-navn>. Caller er brukerkontoen som brukes til å kjøre cmdleten. Cmdlet Name er navnet på cmdleten som brukeren kjører.

Cmdlet Name

Navnet på cmdleten som brukeren kjørte. Hver e-postmelding skal bare inneholde én verdi for Cmdlet Name.

Object Modified

Navnet på objektet som ble endret av cmdleten. Hver e-postmelding skal bare inneholde én verdi for Object Modified.

Parameter

Parameterne som ble brukt med cmdleten, og verdiene som ble angitt for parameterne. Hvis det ble brukt flere parametere, vises flere Parameter-felt.

Property Modified

Navnene på egenskapene som ble endret, og verdiene til de endrede egenskapene. Hvis flere egenskaper ble endret, vises flere Property Modified-felt.

Caller

Brukerkontoen som brukes til å kjøre cmdleten.

Oppkalleren uttrykkes som en SID GUID (SID – sikkerhets-ID). Kjør følgende kommando hvis du vil tilordne SIDen til en bestemt bruker:

Get-user <SID>

Hvis SIDen S-1-5-21-2509217035-2741517866-3256245913-3907 for eksempel er oppført som Caller, kjører du følgende kommando i Windows PowerShell for å fastsette brukernavnet for SIDen:

Get-user S-1-5-21-2509217035-2741517866-3256245913-3907

Succeeded

Angir om cmdleten ble kjørt uten feil. Verdien er enten True eller False.

Error

Feilmeldingen som ble generert hvis cmdleten ikke ble fullført uten feil. Hvis cmdleten ble fullført uten feil, er verdien None.

Run Date

Viser datoen og klokkeslettet da cmdleten ble kjørt. Datoen og klokkeslettet lagres i UTC-format (Coordinated Universal Time).

Vise innstillingene for overvåkingslogging

Kjør følgende kommando:

Get-AdminAuditLogConfig

Øverst på siden

 
Beslektede hjelpeemner
Laster inn ...
Finner ingen ressurser.