Admin Audit Log
Mit der Administrator Überwachungsprotokollierung können Änderungen von Administratoren bzw. Benutzern an der Exchange Organisation überwacht werden. Es werden alle Cmdlets überwacht, die aus der Verwaltungs-Konsole, Verwaltungs-Shell und Web-Verwaltungsoberfläche aufgerufen werden.
Konfiguration der Administrator Überwachungsprotokollierung
Die Administrator Überwachungsprotokollierung muss einmalig für die Organisation aktiviert werden:
- Protokollierung aktivieren: Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
- Protokollierung von Test-Cmdlets deaktivieren: Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False
- Dauer der Protokollierung definieren: Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 90.00:00:00
Beispiel
Nach allen Änderungen suchen, die der User „Admin“ getätigt hat.
Search-AdminAuditLog -UserID Admin
Nach allen Änderungen suchen, die der User „Admin“ zwischen dem 1.1.2010 und dem 7.2.2013 getätigt hat und das Ergebnis an admin@test.local per E-Mail senden.
New-AdminAuditLogSearch -UserIds admin -StatusMailRecipients admin@test.local -StartDate 1/1/2010 -EndDate 7/2/2013
Mailbox Audit Log
Mit der Mailbox Überwachungsprotokollierung können Logins und Änderungen an einem Postfach nachvollzogen werden. Standardmäßig ist diese deaktiviert. Die Überwachung muss für jedes Postfach einzeln aktiviert werden.
Mailbox Audit Logging für alle Postfächer aktivieren
Get-Mailbox | Set-Mailbox -AuditEnabled $true
Beispiel
Search-MailboxAuditLog -ShowDetails | ft LogonUserDisplayName, LogonType, LastAccessed, ItemSubject