headermask image
Рекомендую: Фриланс-биржа | Кэшбэк-сервис | Интернет-бухгалтерия

Audit Logging в Exchange 2010

В Exchange 2010 есть новая полезная функция, которая позволяет отслеживать все изменения выполняемые пользователями или администраторами в системе. Все действия, независимо от того где они были выполнены, в EMS, EMC или ECP будут сохраняться в журнале аудита. В данном режиме не логируются командлеты “Get”, так как в результате мы получим огромный лог обычных ежедневных операций.

Для успешной настройки логирования необходимо выполнить следующие действия. Для большинства из них мы будем использовать командлет Set-AdminAuditLogConfig.

  1. Настроить отдельный почтовый ящик на хранение всех логов. Когда какое либо действие логируется, полная информация о нем записывается в лог и отправляется в данный почтовый ящик.
  2. Необходимо включить функцию аудита.
  3. Необходимо настроить агента аудита для отправки логов в почтовый ящик.
  4. Можно настроить список командлетов, которые будут подвергаться аудиту.
  5. Можно настроить параметры, которые будут попадать под логирование.

Первым шагов для выполнения нашей задачи нам нужно создать ящик, в котором будут храниться логи аудита, например “Audit Mailbox”.

Аудит администратора по умолчанию выключен. Запустите командлет Get-AdminAuditLogConfig | fl для проверки:

exchange_admin_logging_1.jpg

Для включения аудита запустите следующий командлет:

Set-AdminAuditLogConfig –AdminAuditLogEnabled $true

exchange_admin_logging_2.jpg

Для настройки агента аудита, отсылающего почту на выбранный нами ящик выполните следующую команду:

Set-AdminAuditLogConfig –AdminAuditlogMailbox “AuditMailbox@Hew10.local”

exchange_admin_logging_3.jpg

Вы можете выбрать командлеты, которые будут подвергаться аудиту. К примеру вы можете логировать выполнение любых командлетов, связанных с транспортными функциями и почтовыми ящиками, использовав маску *mailbox* и *transport*.

Set-AdminAuditLogConfig –AdminAuditLogCmdlets *mailbox*, *transport*

exchange_admin_logging_4.jpg

Таким же способом мы можем отбирать логируемые параметры командлетов.

Set-AdminAuditLogConfig –AdminAuditLogParameters database, server

exchange_admin_logging_5.jpg

Для демонстрации данной функции я создам новый почтовый ящик с именем “Audit Test”.

exchange_admin_logging_6.jpg

Залогившись в ящик “Audit Mailbox”, на пересылку логов в который мы настроили агента аудита, я вижу новое сообщение.

exchange_admin_logging_7.jpg

Заголовок сообщения указывает на аккаунт пользователя выполневшего командлет и на сам командлет.

exchange_admin_logging_8.jpg

В теле письма можно найти много дополнительной информации, включая дату запуска командлета и успешность его выполнения.

exchange_admin_logging_9.jpg

Интересное:

У меня вообще довольно много блогов в RSS, на которые я подписан и постоянно читаю. Хочу поделиться ссылкой на один неплохой seo блог, за которым слежу с любопытством. Хотя блог относительно молодой, но почти постоянно в нем поднимаются интересные темы.

Похожие посты
  • Бэкап Exchange 2010 и Exchange 2007 SP2 с помощью Windows Server Backup
  • Exchange 2010 OWA: редирект на устаревший URL с ошибкой HTTP 500 Error
  • Ошибка “An IIS directory entry couldn’t be created. The error message is Access is denied ” после установки Exchange 2010
  • Ошибка установки Exchange Server 2010 SP2
  • Как узнать размер базы Exchange с помощью PowerShell
  • Exchange 2010: Настройка IP Block List Providers на сервере Edge
  • Установка необходимых компонент для Exchange 2010 в Windows 2008 SP2
  • Делегирование прав на установку Exchange Server 2010
  • Блокировка отправки писем на определенные домены в Exchange Server 2010
  • Перемещение почтового ящика в Exchange 2010…
  • One Comment

    1. Приветствую, в Exchange 2010 SP1 команда:
      Set-AdminAuditLogConfig –AdminAuditlogMailbox “AuditMailbox@domen.local”
      Не работает, каким образом можно назначить почтовый ящик для сбора логов аудита в данном случае?

      1. xck on August 29th, 2012 at 8:08 am