Запис дій користувача за допомогою журналювання аудиту

 

Застосовується до: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Останнє оновлення розділу: 2011-03-19

 

Журналювання аудиту записує певні дії, виконані певними користувачами. Адміністратори можуть використовувати його для ведення записів усіх змін, внесених до об’єктів одержувачів. Журналювання аудиту може допомогти вашій організації дотримуватися нормативних і законодавчих вимог. Ретельно настроївши область журналювання аудиту, можна точно вказати, які дії потрібно записувати, що полегшить перегляд журналів аудиту та керування ними.

У цьому розділі розглядаються такі питання:

Які дії записуються?

За промовчанням записується будь-яка дія, що базується на командлеті Windows PowerShell і не починається з дієслів Get або Test. Дію необов’язково виконувати безпосередньо у Windows PowerShell. Усі дії на панелі керування Exchange та у веб-застосунку Outlook Web App > «Параметри» створюються на базі командлетів Windows PowerShell. Тому під час кожного використання користувачем Windows PowerShell, панелі керування Exchange або веб-застосунку Outlook Web App > «Параметри» для виконання будь-якої дії, яка дає змогу створити, змінити чи видалити об’єкт, ця дія записується.

Як записуються дії користувача?

Дані журналювання аудиту зберігаються в повідомленнях електронної пошти, які надсилаються до поштової скриньки аудиту. Коли користувач виконує дію, що записується, повідомлення електронної пошти надсилається до поштової скриньки, указаної як поштова скринька аудиту, у якій зберігаються журнали аудиту. Якщо дія викликає кілька командлетів, тоді кожен командлет записується в окремому повідомленні. Якщо однаковий командлет використовується для кількох об’єктів, кожний об’єкт записується в окремому повідомленні.

Плануючи стратегію журналювання аудиту, обов’язково визначіть спосіб архівації повідомлень, що містять журнали аудиту та надсилаються до поштової скриньки аудиту. Квота на розмір поштової скриньки або максимально дозволений розмір поштової скриньки становить 10 ГБ, але служба електронної пошти припиняє доставку електронної пошти до поштової скриньки, коли цей розмір досягає значення, указаного для параметра обмеження Заборона отримання (9,668 ГБ). Тому, якщо запущено Outlook Live Directory Sync (OLSync), не слід запускати журналювання аудиту без його попереднього ретельного настроювання на звуження області дій користувача, які воно записує. В іншому випадку поштова скринька аудиту може швидко заповнитися повідомленнями, що містять журнали аудиту.

Щоб переглянути журнали аудиту, можна скористатися будь-яким поштовим клієнтом, наприклад застосунком Microsoft Office Outlook або веб-застосунком Microsoft Office Outlook Web App для отримання доступу до вказаної поштової скриньки аудиту.

Кожне повідомлення містить такі відомості.

 

Елемент Опис

Message subject

Тема повідомлення використовує формат <Абонент> : <Назва командлета>. Caller – це обліковий запис користувача, який використовується для запуску командлета. Cmdlet Name – це ім'я командлета, запущеного користувачем.

Cmdlet Name

Ім'я командлета, запущеного користувачем. Кожне повідомлення електронної пошти має містити лише одне значення для Cmdlet Name.

Object Modified

Ім’я об’єкта, зміненого командлетом. Кожне повідомлення має містити лише одне значення для параметра Object Modified.

Parameter

Параметри, використані з командлетом, і значення, указані для параметрів. Якщо використано кілька параметрів, відображається кілька полів Parameter.

Property Modified

Імена властивостей, що були змінені, і значення змінених властивостей. Якщо змінено кілька властивостей, відображається кілька полів Property Modified.

Caller

Обліковий запис користувача, який використовується для запуску командлета.

Абонент визначається як ідентифікатор захисту (SID) GUID. Щоб призначити ідентифікатор SID певному користувачу, запустіть таку команду:

Get-user <SID>

Наприклад, якщо ідентифікатор SID S-1-5-21-2509217035-2741517866-3256245913-3907 указано як Caller, для визначення імені користувача ідентифікатора SID запустіть у Windows PowerShell таку команду:

Get-user S-1-5-21-2509217035-2741517866-3256245913-3907

Succeeded

Указує, чи успішно виконано командлет. Значення – True або False.

Error

Повідомлення про помилку, що створюється в разі помилки виконання командлета. У разі успішного виконання командлета значення буде None.

Run Date

Відображає дату й час запуску командлета. Дата й час зберігаються у форматі всесвітнього координованого часу (UTC).

Перегляд параметрів журналювання аудиту

Запустіть таку команду:

Get-AdminAuditLogConfig

Початок сторінки

 
Пов’язані теми довідки
Триває завантаження...
Ресурси не знайдено.