Применимо к: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu
Последнее изменение раздела: 2011-03-19
В журнале аудита записываются отдельные действия определенных пользователей. При включении ведения журнала аудита администраторы могут использовать его для отслеживания всех изменений объектов-получателей. Журнал аудита может помочь организации обеспечить соблюдение нормативных и законодательных требований. Тщательная настройка области ведения журнала аудита позволяет управлять тем, какие именно действия будут отслеживаться, что упрощает анализ и управление журналами аудита.
В этом разделе рассматриваются следующие вопросы:
Какие действия заносятся в журнал?
По умолчанию в журнал заносятся все действия, основанные на командлетах Windows PowerShell и не начинающиеся со слов Get или Test. Действие не обязательно должно выполняться напрямую в Windows PowerShell. Все действия на панели управления Exchange и в параметрах Outlook Web App основаны на командлетах Windows PowerShell. Всякий раз когда пользователи используют Windows PowerShell, панель управления Exchange или параметры Outlook Web App для любых действий, приводящих к созданию, изменению или удалению объекта, их действия будут занесены в журнал.
Как действия пользователей заносятся в журнал?
Данные журнала аудита записываются в сообщениях электронной почты, отправляемых в почтовый ящик аудита. Когда пользователь выполняет действие, подлежащее записи, в почтовый ящик, указанный как почтовый ящик аудита, где хранятся журналы аудита, отправляется сообщение электронной почты. Если действие затрагивает несколько командлетов, каждый из них указывается в отдельном сообщении. Если один и тот же командлет применяется к нескольким объектам, каждый объект также указывается в отдельном сообщении.
При планировании стратегии ведения журнала аудита следует определить, как должны архивироваться сообщения для журнала аудита, отправляемые в почтовый ящик аудита. Квота почтового ящика, то есть максимальный размер почтового ящика, составляет 10 ГБ, но служба электронной почты прекращает доставку электронной почты в почтовый ящик, когда его размер достигает предела запрета приема, который составляет 9,668 ГБ. В связи с этим при использовании Синхронизация каталога Outlook Live (OLSync) не следует использовать журналы аудита без тщательной настройки для сокращения области журнализируемых действий пользователей. В противном случае почтовый ящик аудита может быстро переполниться сообщениями.
Для просмотра журналов аудита можно использовать любой почтовый клиент, например Microsoft Office Outlook или Microsoft Office Outlook Web App, для доступа к указанному почтовому ящику аудита.
Каждое сообщение содержит следующие сведения.
| Элемент | Описание |
|---|---|
|
Тема сообщения |
Тема сообщения электронной почты имеет следующий формат: <Вызывающий> : <Имя командлета>. Вызывающий — это учетная запись пользователя, от имени которой запущен командлет. Имя командлета — это имя командлета, запущенного пользователем. |
|
Имя командлета |
Это имя командлета, запущенного пользователем. Каждое сообщение электронной почты должно содержать не более одного значения параметра Имя командлета. |
|
Измененный объект |
Это имя объекта, измененного командлетом. Каждое сообщение электронной почты должно содержать не более одного значения параметра Измененный объект. |
|
Параметр |
Параметры, использованные с командлетом, и значения, указанные для них. Если использовалось несколько параметров, будет показано несколько полей Параметр. |
|
Измененное свойство |
Имена и значения измененных свойств. Если изменялось несколько свойств, будет показано несколько полей Измененное свойство. |
|
Вызывающий |
Это учетная запись пользователя, от имени которой запущен командлет. Этот параметр задается идентификатором безопасности GUID. Чтобы сопоставить его с конкретным пользователем, выполните следующую команду: Например, если идентификатор безопасности |
|
Успешность |
Указывает, успешно ли запущен командлет. Значение равно |
|
Ошибка |
Сообщение об ошибке, созданное в случае сбоя командлета. Если командлет запущен успешно, значение равно |
|
Дата запуска |
Дата и время запуска командлета. Дата и время хранятся в формате UTC. |
Настройка ведения журнала аудита
Для настройки параметров ведения журнала аудита используется Windows PowerShell.
Сведения об установке и настройке Windows PowerShell и подключении к службе см. в разделе Использование Windows PowerShell.
Включение ведения журнала аудита
Выполните следующую команду:
Например, чтобы включить ведение журнала аудита и задать имеющийся почтовый ящик logging@contoso.edu для хранения журналов аудита, выполните следующую команду:
Примечание. Включить ведение журнала аудита без указания почтового ящика для хранения журналов аудита нельзя. Почтовый ящик, указываемый в качестве почтового ящика аудита, не нуждается в дополнительной конфигурации. Можно просто создать обычный почтовый ящик. Если ранее почтовый ящик был указан с помощью параметра AdminAuditLogMailbox, для включения ведения журнала аудита не требуется повторно указывать почтовый ящик с помощью параметра AdminAuditLogEnabled.
Настройка области аудита
Как было сказано ранее, по умолчанию в журнал аудита попадают все командлеты, кроме тех, что начинаются со слов Get или Test. Если требуется ограничить отслеживаемые командлеты или параметры, можно использовать параметры AdminAuditLogCmdlets и AdminAuditLogParameters в командлете Set-AdminAuditLogConfig.
Указание отслеживаемых командлетов и параметров
По умолчанию значение параметров AdminAuditLogCmdlets и AdminAuditLogParameters равно *, что означает, что аудиту подлежат все командлеты и параметры. Чтобы ограничить область аудита, можно указывать имена параметров и командлетов. Можно указать несколько командлетов и параметров, разделяя их имена запятыми. В именах командлетов и параметров также можно использовать подстановочные знаки ( *). Вот несколько примеров их использования в именах командлетов и параметров:
-
*-Mailbox
-
*Address*
-
Custom*
Например, чтобы ограничить аудит командлетами, имена которых начинаются со слова Remove, выполните следующую команду:
Включение ведения журнала аудита для командлетов Test
По умолчанию для командлетов, имена которых начинаются со слов Get или Test, журнализация не ведется. Используйте параметр TestCmdletLoggingEnabled командлета Set-AdminAuditLogConfig, чтобы включить или отключить ведение журнала для командлетов Test.
Чтобы включить ведение журнала для командлетов Test, запустите следующую команду:
Чтобы выключить ведение журнала для командлетов Test, запустите следующую команду:
Примечание. Командлеты Test могут возвращать значительные объемы данных. В связи с этим рекомендуется включать ведение журнала для командлетов Test лишь на короткое время.
