Estrutura de log de auditoria do administrador
Aplica-se a: Exchange Server 2013
Os logs de auditoria do administrador contêm um registro de todos os cmdlets e parâmetros que foram executados no Shell de Gerenciamento do Exchange e pelo Centro de Administração do Exchange (EAC). Eles são criados sob demanda quando você executa o relatório de log de auditoria do administrador no EAC ou quando você executa o cmdlet New-AdminAuditLogSearch no Shell. Para obter mais informações sobre logs de auditoria, consulte Log de auditoria do administrador.
Os logs de auditoria são arquivos XML e podem conter várias entradas de log de auditoria. A tabela a seguir descreve cada marca XML e seus atributos associados.
Procurando tarefas de gerenciamento relacionadas aos logs de auditoria do administrador? Consulte Gerenciar log de auditoria de administrador.
| Elemento | Atributo | Descrição |
|---|---|---|
<?xml version="1.0" encoding="utf-8"?> |
N/A |
Esta é a marca de declaração de documento XML. Ele está incluído em todos os arquivos XML do log de auditoria e contém o número da versão XML e o valor de codificação do caractere. |
SearchResults |
N/A |
Essa marca contém todas as entradas de log de auditoria no arquivo XML. A Event marca é uma criança dessa marca. Há apenas uma SearchResults marca por arquivo XML. |
Event |
Essa marca contém a entrada de log de auditoria para um cmdlet individual. Essa marca contém os Calleratributos , Cmdlet, ObjectModified, RunDate, Succeeded, Errore OriginatingServer . As CmdletParameters marcas e ModifiedProperties são filhos dessa marca. Há uma Event marca por entrada de log de auditoria. |
|
Caller |
Esse atributo contém a conta de usuário do usuário que executou o cmdlet no Cmdlet atributo. |
|
Cmdlet |
Esse atributo contém o nome do cmdlet executado pelo usuário no Caller atributo. |
|
ObjectModified |
Esse atributo contém o objeto que foi modificado pelo cmdlet especificado no Cmdlet atributo. A ModifiedProperties marca mostra quais propriedades foram modificadas neste objeto. |
|
RunDate |
Esse atributo contém a data e a hora em que o cmdlet no Cmdlet atributo foi executado. |
|
Succeeded |
Esse atributo especifica se o cmdlet no Cmdlet atributo foi executado com êxito. O valor é True ou False. |
|
Error |
Esse atributo contém a mensagem de erro gerada se o cmdlet no Cmdlet atributo não tiver sido concluído com êxito. Se nenhum erro foi encontrado, o valor será definido como None. |
|
OriginatingServer |
Esse atributo contém o servidor no qual o cmdlet especificado no Cmdlet atributo foi executado. |
|
CmdletParameters |
N/A |
Essa marca contém todos os parâmetros especificados quando o cmdlet foi executado. A Parameter marca é uma criança dessa marca. Há uma CmdletParameters marca por Event marca. |
Parameter |
Essa marca contém um parâmetro individual que foi especificado quando o cmdlet foi executado. Essa marca contém os Name atributos e Value . Pode haver várias Parameter marcas por CmdletParameters marca. |
|
Name |
Esse atributo contém o nome do parâmetro especificado no cmdlet que foi executado. | |
Value |
Esse atributo contém o valor fornecido no parâmetro especificado no Name atributo. |
|
ModifiedProperties |
N/A |
Essa marca contém todas as propriedades que foram modificadas pelo cmdlet executado. A Property marca é uma criança dessa marca. Há uma ModifiedProperties marca por Event marca. Importante: essa marca só será preenchida se o parâmetro LogLevel no cmdlet Set-AdminAuditLogConfig for definido como Verbose. |
Property |
Essa marca contém uma propriedade individual especificada quando o cmdlet foi executado. Essa marca contém os Nameatributos , OldValuee NewValue . Pode haver várias Property marcas por ModifiedProperties marca. |
|
Name |
Esse atributo contém o nome da propriedade que foi modificada quando o cmdlet foi executado. | |
OldValue |
Esse atributo contém o valor contido na propriedade especificada no Name atributo antes de ser alterado. |
|
NewValue |
Esse atributo contém o valor para o qual a propriedade no Name atributo foi alterada. |
Entrada de log de auditoria de exemplo
A seguir está um exemplo de uma entrada de log de auditoria típica. Com base nas informações na entrada de log, sabemos que o seguinte ocorreu:
Em 18/10/2012 às 15h48 horário de verão do Pacífico (UTC-7), o usuário
Administratorexecutou o cmdlet Set-Mailbox.Os dois parâmetros a seguir foram fornecidos quando o cmdlet Set-Mailbox foi executado:
Identidade com um valor de
davidProhibitSendReceiveQuota com um valor de
10GB
As duas seguintes propriedades no objeto
davidforam modificadas:Observação
As propriedades modificadas são salvas no log de auditoria porque o parâmetro LogLevel no
Set-AdminAuditLogConfigcmdlet foi definido comoVerboseneste exemplo.-
ProhibitSendReceiveQuota com um novo valor de
10GB, que substituiu o valor antigo de35GB
-
ProhibitSendReceiveQuota com um novo valor de
A operação foi concluída com êxito sem erros.
<?xml version="1.0" encoding="utf-8"?>
<SearchResults>
<Event Caller="corp.e15a.contoso.com/Users/Administrator" Cmdlet="Set-Mailbox" ObjectModified="corp.e15a.contoso.com/Users/david" RunDate="2012-10-18T15:48:15-07:00" Succeeded="true" Error="None" OriginatingServer="WIN8MBX (15.00.0516.032)">
<CmdletParameters>
<Parameter Name="Identity" Value="david" />
<Parameter Name="ProhibitSendReceiveQuota" Value="10 GB (10,737,418,240 bytes)" />
</CmdletParameters>
<ModifiedProperties>
<Property Name="ProhibitSendReceiveQuota" OldValue="35 GB (37,580,963,840 bytes)" NewValue="10 GB (10,737,418,240 bytes)" />
</ModifiedProperties>
</Event>
</SearchResults>