Exchange Server 2010 – Admin Audit Log & Mailbox Audit Log

Admin Audit Log

Mit der Administrator Überwachungsprotokollierung können Änderungen von Administratoren bzw. Benutzern an der Exchange Organisation überwacht werden. Es werden alle Cmdlets überwacht, die aus der Verwaltungs-Konsole, Verwaltungs-Shell und Web-Verwaltungsoberfläche aufgerufen werden.

Konfiguration der Administrator Überwachungsprotokollierung

Die Administrator Überwachungsprotokollierung muss einmalig für die Organisation aktiviert werden:

  • Protokollierung aktivieren: Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
  • Protokollierung von Test-Cmdlets deaktivieren: Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False
  • Dauer der Protokollierung definieren: Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 90.00:00:00

Beispiel

Nach allen Änderungen suchen, die der User „Admin“ getätigt hat.

Search-AdminAuditLog -UserID Admin

Nach allen Änderungen suchen, die der User „Admin“ zwischen dem 1.1.2010 und dem 7.2.2013 getätigt hat und das Ergebnis an admin@test.local per E-Mail senden.

New-AdminAuditLogSearch -UserIds admin -StatusMailRecipients admin@test.local -StartDate 1/1/2010 -EndDate 7/2/2013

Mailbox Audit Log

Mit der Mailbox Überwachungsprotokollierung können Logins und Änderungen an einem Postfach nachvollzogen werden. Standardmäßig ist diese deaktiviert. Die Überwachung muss für jedes Postfach einzeln aktiviert werden.

Mailbox Audit Logging für alle Postfächer aktivieren

Get-Mailbox | Set-Mailbox -AuditEnabled $true

Beispiel

Search-MailboxAuditLog -ShowDetails | ft LogonUserDisplayName, LogonType, LastAccessed, ItemSubject

Kommentar verfassen