В Exchange 2010 есть новая полезная функция, которая позволяет отслеживать все изменения выполняемые пользователями или администраторами в системе. Все действия, независимо от того где они были выполнены, в EMS, EMC или ECP будут сохраняться в журнале аудита. В данном режиме не логируются командлеты “Get”, так как в результате мы получим огромный лог обычных ежедневных операций.
Для успешной настройки логирования необходимо выполнить следующие действия. Для большинства из них мы будем использовать командлет Set-AdminAuditLogConfig.
- Настроить отдельный почтовый ящик на хранение всех логов. Когда какое либо действие логируется, полная информация о нем записывается в лог и отправляется в данный почтовый ящик.
- Необходимо включить функцию аудита.
- Необходимо настроить агента аудита для отправки логов в почтовый ящик.
- Можно настроить список командлетов, которые будут подвергаться аудиту.
- Можно настроить параметры, которые будут попадать под логирование.
Первым шагов для выполнения нашей задачи нам нужно создать ящик, в котором будут храниться логи аудита, например “Audit Mailbox”.
Аудит администратора по умолчанию выключен. Запустите командлет Get-AdminAuditLogConfig | fl для проверки:
Для включения аудита запустите следующий командлет:
Set-AdminAuditLogConfig –AdminAuditLogEnabled $true
Для настройки агента аудита, отсылающего почту на выбранный нами ящик выполните следующую команду:
Set-AdminAuditLogConfig –AdminAuditlogMailbox “AuditMailbox@Hew10.local”
Вы можете выбрать командлеты, которые будут подвергаться аудиту. К примеру вы можете логировать выполнение любых командлетов, связанных с транспортными функциями и почтовыми ящиками, использовав маску *mailbox* и *transport*.
Set-AdminAuditLogConfig –AdminAuditLogCmdlets *mailbox*, *transport*
Таким же способом мы можем отбирать логируемые параметры командлетов.
Set-AdminAuditLogConfig –AdminAuditLogParameters database, server
Для демонстрации данной функции я создам новый почтовый ящик с именем “Audit Test”.
Залогившись в ящик “Audit Mailbox”, на пересылку логов в который мы настроили агента аудита, я вижу новое сообщение.
Заголовок сообщения указывает на аккаунт пользователя выполневшего командлет и на сам командлет.
В теле письма можно найти много дополнительной информации, включая дату запуска командлета и успешность его выполнения.
Интересное:
У меня вообще довольно много блогов в RSS, на которые я подписан и постоянно читаю. Хочу поделиться ссылкой на один неплохой seo блог, за которым слежу с любопытством. Хотя блог относительно молодой, но почти постоянно в нем поднимаются интересные темы.
One Comment