共用方式為

管理系統管理員稽核記錄

  • 發行項

適用於:Exchange Server 2013

Microsoft Exchange Server 2013 中的系統管理員稽核記錄可讓您在每次執行指定的 Cmdlet 時建立記錄專案。 記錄項目會提供執行的指令程式、使用的參數、指令程式的執行者,以及受影響的物件的相關資訊。 如需有關系統管理員稽核記錄的詳細資訊,請參閱系統管理員稽核記錄

開始之前有哪些須知?

  • 每項程序的預估完成時間:不到 5 分鐘

  • 您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱 Exchange 和 Shell 基礎 結構許可權主題中的專案。

  • 系統管理員稽核記錄依賴 Active Directory 複寫,將您指定的組態設定複寫到組織中的網域控制站。 根據您的複寫設定,您所做的變更可能不會立即套用至組織中的所有 Exchange 2013 伺服器。

  • 在進行組態變更時開啟 Shell 的電腦上,每隔 60 分鐘會重新整理稽核記錄組態的變更。 如果您想要立即套用變更,請關閉,然後在每部電腦上再次開啟殼層。

  • 命令在執行後最多可能需要 15 分鐘才會出現在稽核記錄搜尋結果中。 這是因為稽核記錄專案必須先編制索引,才能進行搜尋。 如果命令未出現在系統管理員稽核記錄中,請等候幾分鐘,然後再次執行搜尋。

  • 您必須使用命令介面來執行這些程序。

  • 如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。

指定要稽核的指令程式

根據預設,稽核記錄會為每個執行的 Cmdlet 建立記錄專案。 如果您是第一次啟用稽核記錄,而且想要此行為,則不需要變更 Cmdlet 稽核清單。 如果您先前已指定要稽核的 Cmdlet,且現在想要稽核所有 Cmdlet,您可以使用Set-AdminAuditLogConfig Cmdlet 上的AdminAuditLogCmdlets參數來指定星號 (*) 萬用字元,以稽核所有 Cmdlet,如下列命令所示。

Set-AdminAuditLogConfig -AdminAuditLogCmdlets *

您可以使用 AdminAuditLogCmdlets 參數提供 Cmdlet 清單,以指定要稽核的 Cmdlet。 當您提供要稽核的 Cmdlet 清單時,可以提供單一 Cmdlet、具有星號的 Cmdlet (*) 萬用字元,或兩者混合。 清單中的每個專案都會以逗號分隔。 下列值全都有效:

  • New-Mailbox
  • *TransportRule
  • *Management*
  • Set-Transport*

本範例將稽核上述清單中所指定的指令程式。

Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*

如需詳細的語法及參數資訊,請參閱 Set-AdminAuditLogConfig

指定要稽核的參數

根據預設,稽核記錄會為每個執行的 Cmdlet 建立記錄專案,而不論指定的參數為何。 如果您是第一次啟用稽核記錄,而且想要此行為,則不需要變更參數稽核清單。 如果您先前已指定要稽核的參數,而且現在想要稽核所有參數,您可以使用Set-AdminAuditLogConfig Cmdlet 上的AdminAuditLogParameters參數來指定星號 (*) 萬用字元,如下列命令所示。

Set-AdminAuditLogConfig -AdminAuditLogParameters *

您可以使用 AdminAuditLogParameters 參數來指定要稽核的參數。 當您提供要稽核的參數清單時,可以提供單一參數、具有星號的參數 (*) 萬用字元,或兩者混合。 清單中的每個專案都會以逗號分隔。 下列值全都有效:

  • Database
  • *Address*
  • Custom*
  • *Region

注意事項

若要在執行命令時建立稽核記錄專案,命令必須包含至少一或多個參數,這些參數至少存在於使用 AdminAuditLogCmdlets 參數指定的至少一或多個 Cmdlet 上。

本範例將稽核上述清單中所指定的參數。

Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region

如需詳細的語法及參數資訊,請參閱 Set-AdminAuditLogConfig

指定稽核記錄保留限制

稽核記錄的存留期限制會決定要保留稽核記錄專案的時間長度。 當記錄專案超過存留期限制時,就會將其刪除。 預設值為 90 天。

您可以指定應該保留稽核記錄專案的天數、小時數、分鐘數和秒數。 若要指定值,請使用下列適用的格式 dd.hh.mm:ss:

  • dd:保留稽核記錄專案的天數
  • hh:保留稽核記錄專案的時數
  • mm:保留稽核記錄專案的分鐘數
  • ss:保留稽核記錄專案的秒數

警告

您可以將稽核記錄存留期限制設定為小於目前年齡限制的值。 如果您這樣做,將會刪除任何年齡超過新年齡限制的稽核記錄專案。

如果您將存留期限制設為 0,Exchange 會刪除稽核記錄中的所有專案。

建議您僅將設定稽核記錄保留限制的權限授予您非常信任的使用者。

此範例指定保留限制為兩年六個月。

Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913.00:00:00

如需詳細的語法及參數資訊,請參閱 Set-AdminAuditLogConfig

啟用或停用 Test 指令程式的記錄

預設不會記錄以動詞 測試 開頭的 Cmdlet。 這是因為 Test Cmdlet 可以在短時間內產生大量資料。 只在短時間內啟用 測試 Cmdlet 的記錄。

此命令可啟用 Test 指令程式的記錄。

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $True

此命令可停用 Test 指令程式的記錄。

Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False

如需詳細的語法及參數資訊,請參閱 Set-AdminAuditLogConfig

停用系統管理員稽核記錄

若要停用系統管理員稽核記錄,請使用下列命令。

Set-AdminAuditLogConfig -AdminAuditLogEnabled $False

啟用系統管理員稽核記錄

若要啟用系統管理員稽核記錄,請使用下列命令。

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

檢視系統管理員稽核記錄設定

如果要檢視您為組織設定的系統管理員稽核記錄設定,請使用下列命令。

Get-AdminAuditLogConfig