使用稽核記錄功能記錄用戶動作

 

適用版本: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

上次修改主題的時間: 2011-03-19

 

稽核記錄功能會記錄特定用戶所執行的特定動作。 管理員可用它保留对收件人物件所做的所有更改記錄。 稽核記錄有助於組織符合法規或法律要求。 您可以詳細設定稽核記錄的範圍,確切控制所要記錄的動作,使得稽核記錄檔更易於檢閱和管理。

本主題涵蓋下列小節:

會記錄哪些動作?

根據預設,任何依據 Windows PowerShell 指令程式建立,但未以動詞 GetTest 為開頭的動作都會記錄下來。 此動作不一定要直接在 Windows PowerShell 中執行。 Exchange 控制台以及 [Outlook Web App] > [選項] 中的所有動作都是建立在 Windows PowerShell 指令程式之上。 因此,不論用戶使用的是 Windows PowerShell、Exchange 控制台,還是 [Outlook Web App] > [選項] 來執行任何建立、修改或刪除物件的動作,系統都會將該動作記錄下來。

如何記錄用戶動作?

稽核記錄資料會儲存在傳送至稽核郵箱的電郵中。 當用戶執行會被記錄下來的動作時,系統就會將電郵傳送至您指定為稽核郵箱的郵箱,也就是儲存稽核記錄檔所在的地點。 如果一個動作牽涉到多個指令程式,則會以不同的電郵分別記錄每個指令程式。 如果同一個指令程式使用於多個物件,則以不同的電郵分別記錄每個物件。

規劃稽核記錄策略時,請務必仔細考慮您要如何封存傳送至稽核郵箱的稽核記錄電郵。 「郵箱配額」(也就是允許的郵箱大小上限) 為 10 GB,但是當郵箱達到「禁止接收」限制所指定的大小 (即 9.668 GB) 時,電郵服務就會停止將電郵傳遞至該郵箱。因此,如果您要執行 Outlook Live Directory Sync (OLSync),則必須仔細設定稽核記錄功能,以縮小記錄用戶動作的範圍。 否則,稽核記錄電郵可能很快就填滿稽核郵箱。

若要檢視稽核記錄檔,您可以使用任何電郵用戶端 (例如 Microsoft Office Outlook 或 Office Outlook Web App) 來存取您所指定的稽核郵箱。

每封電郵都會包含下列資訊。

 

項目 描述

Message subject

電郵的主旨會使用格式 <來電者>:<指令程式名稱>。 Caller是用來執行指令程式的用戶帳戶。 Cmdlet Name是用戶執行之指令程式的名稱。

Cmdlet Name

用戶所執行之指令程式的名稱。 每封電郵都只能包含一個Cmdlet Name值。

Object Modified

指令程式所修改之物件的名稱。 每封電郵都只能包含一個Object Modified值。

Parameter

搭配指令程式使用的參數以及參數所指定的值。 如果使用一個以上的參數,就會顯示多個Parameter欄位。

Property Modified

已修改的屬性名稱以及修改後的屬性值。 如果修改一個以上的屬性,就會顯示多個Property Modified欄位。

Caller

用來執行指令程式的用戶帳戶。

來電者可以用安全性識別碼 (SID) GUID 來表示。 若要將 SID 對應至特定用戶,請執行下列命令:

Get-user <SID>

例如,如果 SID S-1-5-21-2509217035-2741517866-3256245913-3907 已列為Caller,就在 Windows PowerShell 中執行下列命令,以判斷 SID 的用戶名稱:

Get-user S-1-5-21-2509217035-2741517866-3256245913-3907

Succeeded

指出指令程式是否執行成功。 值為 TrueFalse

Error

當指令程式無法成功完成時所產生的錯誤訊息。 如果成功完成指令程式,則值為 None

Run Date

顯示執行指令程式時的日期和時間。 日期和時間會使用國際標準時間 (UTC) 格式儲存。

檢視稽核記錄設定

執行下列命令:

Get-AdminAuditLogConfig

頁首

 
相關說明主題
正在載入...
找不到資源。