使用稽核記錄功能記錄使用者動作

 

上次修改主題的時間: 2011-03-19

 

稽核記錄功能會記錄特定使用者所執行的特定動作。 系統管理員可使用它來維護針對收件者物件所做所有變更的記錄。 稽核記錄有助於組織符合法規或法律要求。 您可以詳細設定稽核記錄的範圍,確切控制所要記錄的動作,使得稽核記錄檔更易於檢閱和管理。

本主題涵蓋下列小節:

會記錄哪些動作?

根據預設,任何依據 Windows PowerShell 指令程式建立,但未以動詞 GetTest 為開頭的動作都會記錄下來。 此動作不一定要直接在 Windows PowerShell 中執行。 Exchange 控制台以及 [Outlook Web App] > [選項] 中的所有動作都是建立在 Windows PowerShell 指令程式之上。 因此,不論使用者使用的是 Windows PowerShell、Exchange 控制台,還是 [Outlook Web App] > [選項] 來執行任何建立、修改或刪除物件的動作,系統都會將該動作記錄下來。

如何記錄使用者動作?

稽核記錄資料會儲存在傳送至稽核信箱的電子郵件中。 當使用者執行會被記錄下來的動作時,系統就會將電子郵件傳送至您指定為稽核信箱的信箱,也就是儲存稽核記錄檔所在的位置。 如果一個動作牽涉到多個指令程式,則會以不同的電子郵件分別記錄每個指令程式。 如果同一個指令程式使用於多個物件,則以不同的電子郵件分別記錄每個物件。

規劃稽核記錄策略時,請務必仔細考慮您要如何封存傳送至稽核信箱的稽核記錄電子郵件。 「信箱配額」(也就是允許的信箱大小上限) 為 10 GB,但是當信箱達到「禁止接收」限制所指定的大小 (即 9.668 GB) 時,電子郵件服務就會停止將電子郵件傳遞至該信箱。因此,如果您要執行 Outlook Live Directory Sync (OLSync),則必須仔細設定稽核記錄功能,以縮小記錄使用者動作的範圍。 否則,稽核記錄電子郵件可能很快就填滿稽核信箱。

若要檢視稽核記錄檔,您可以使用任何電子郵件用戶端 (例如 Microsoft Office Outlook 或 Office Outlook Web App) 來存取您所指定的稽核信箱。

每封電子郵件都會包含下列資訊。

 

項目 描述

Message subject

電子郵件的主旨會使用格式 <來電者>:<指令程式名稱>。 Caller是用來執行指令程式的使用者帳戶。 Cmdlet Name是使用者執行之指令程式的名稱。

Cmdlet Name

使用者所執行之指令程式的名稱。 每封電子郵件都只能包含一個Cmdlet Name值。

Object Modified

指令程式所修改之物件的名稱。 每封電子郵件都只能包含一個Object Modified值。

Parameter

搭配指令程式使用的參數以及參數所指定的值。 如果使用一個以上的參數,就會顯示多個Parameter欄位。

Property Modified

已修改的屬性名稱以及修改後的屬性值。 如果修改一個以上的屬性,就會顯示多個Property Modified欄位。

Caller

用來執行指令程式的使用者帳戶。

來電者可以用安全性識別碼 (SID) GUID 來表示。 若要將 SID 對應至特定使用者,請執行下列命令:

Get-user <SID>

例如,如果 SID S-1-5-21-2509217035-2741517866-3256245913-3907 已列為Caller,就在 Windows PowerShell 中執行下列命令,以判斷 SID 的使用者名稱:

Get-user S-1-5-21-2509217035-2741517866-3256245913-3907

Succeeded

指出指令程式是否執行成功。 值為 TrueFalse

Error

當指令程式無法成功完成時所產生的錯誤訊息。 如果成功完成指令程式,則值為 None

Run Date

顯示執行指令程式時的日期和時間。 日期和時間會使用國際標準時間 (UTC) 格式儲存。

檢視稽核記錄設定

執行下列命令:

Get-AdminAuditLogConfig

頁首

 
相關說明主題
正在載入…
找不到資源。