none
Журнал аудита действий администратора Exchange 2013 RRS feed

  • Вопрос

  • Всем привет!

    Установлен Exchange 2013 SP1

    Администраторов у него несколько человек. Необходим лог в котором бы отображалось , что какой админ делал.

    В 2013 для этого имеется спец. лог "Журнал аудита действий администратора"

    Но захожу в Управление соответствием требованиям\Аудит\Просмотреть журнал аудита действий администратора

    и кадый раз независимо от выставляемых дат получаю

    "В этом рпедставлении нет элементов для отображения"

    Get-AdminAuditLogConfig

    [PS] C:\Users\sss\Desktop>get-adminauditlogconfig | format-list


    RunspaceId                   : c9e26336-d7b2-4a17-80c6-5748fa3ede88
    AdminAuditLogEnabled         : True
    LogLevel                     : None
    TestCmdletLoggingEnabled     : False
    AdminAuditLogCmdlets         : {*}
    AdminAuditLogParameters      : {*}
    AdminAuditLogExcludedCmdlets : {}
    AdminAuditLogAgeLimit        : 90.00:00:00
    AdminDisplayName             :
    ExchangeVersion              : 0.10 (14.0.100.0)
    Name                         : Admin Audit Log Settings
    DistinguishedName            : CN=Admin Audit Log Settings,CN=Global Settings,CN=Exchange1,CN=Microsoft Exchange,CN=Ser
                                   vices,CN=Configuration,DC=AFA,DC=local
    Identity                     : Admin Audit Log Settings
    Guid                         : 24764d27-b8e4-4d71-acd8-a1f6e3fb6ce7
    ObjectCategory               : AFA.local/Configuration/Schema/ms-Exch-Admin-Audit-Log-Config
    ObjectClass                  : {top, msExchAdminAuditLogConfig}
    WhenChanged                  : 24.09.2014 14:18:26
    WhenCreated                  : 24.09.2014 12:07:36
    WhenChangedUTC               : 24.09.2014 10:18:26
    WhenCreatedUTC               : 24.09.2014 8:07:36
    OrganizationId               :
    OriginatingServer            : dcafa.afa.local
    IsValid                      : True
    ObjectState                  : Unchanged

    показывает , что журнал включен, пробовали менять\удалять учетные записи и изменять другие настройки сервера,

    но в журнале это не отображается.

    Помогите настроить отображение.

    Заранее спасибо!

    • Перемещено Elina Lebedeva 29 сентября 2014 г. 7:13
    26 сентября 2014 г. 9:14

Все ответы

  • Добрый день, попробуйте Search-AdminAuditLog
    29 сентября 2014 г. 7:38
  • День добрый.

    В Exchange 2013 изменилась работа с логом администратора.

    Administrator audit logging

    Пример

    Exchange 2013 Administrator Audit Logging


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    29 сентября 2014 г. 8:05
    Модератор
  • Спасибо

    Пробовал

    Search-AdminAuditLog -Cmdlets *

    пусто , также как и через вэб интерфейс.

    Изменил режим лога на подробный (Verbose) - безрезультатно

    get-adminauditlogconfig

    показывает , что лог включен.

    Почему тогда нет записей?

    29 сентября 2014 г. 12:22
  • А вот так что покажет?

    Search-AdminAuditLog -ExternalAccess $true -StartDate 09/28/2014 -EndDate 09/29/2014


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    29 сентября 2014 г. 12:27
    Модератор
  • Попробовал.

    Результат - ничего, вообще пусто.

    Ещё такой момент - при инсталляции Ексча я забыл поставить Filter Pack 2010 + SP2

    доставил уже после установки Ексча

    Не может это как-то повлиять на ведение логов?

    29 сентября 2014 г. 13:34
  • Проверьте работу отчета через EAC.

    EAC auditing reports


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    29 сентября 2014 г. 13:57
    Модератор
  • Через Центр Администрирования выводит сообщение

    В этом представлении нет элементов для отображения

    Даты стоят с 15 по 30 сентября

    30 сентября 2014 г. 6:58
  • В логах была ошибка

    http://eventid.net/display-eventid-17-source-MSExchange%20RBAC-eventno-10926-phase-1.htm

    исправил включением пользователей из Microsoft Exchange System Objects\Monitoring MailBox в группу Organization Management

    Ошибка исчезла, но логи пока не появились. (подожду часик, они не сразу вроде должны писаться)

    И вообще насколько это правильное решение?

    Рекомендуют в Organization Management добавить сам сервер

    http://exchangeserverpro.com/forums/exchange-server-2010/4077-msexchange-rbac-event-17-a.html

    Как лучше поступить?

    30 сентября 2014 г. 8:17
  • Перед выдачей превилигированых прав данным почтовым ящикам,

    1. Их пере создал бы.

    Recreate Exchange 2013 Health Mailboxes

    2. Если не помогает, то выполнил /PrepareAD, для восстановления возможно порушеных прав.

    После этого дальше проверял.


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    30 сентября 2014 г. 9:46
    Модератор
  • Пересоздал учетки.

    Теперь в логах последовательно примерно с периодом в 3 минуты возникают 3 ошибки

    вначале 17, потом 23 и 258

    Смысл ошибок , мне кажется, выражен фразой

    The user "AFA.local/Microsoft Exchange System Objects/Monitoring Mailboxes/HealthMailbox59897623def049f796debd4bb080b0cf" isn't assigned to any management roles.

    ______________________________________________________________________________

    Имя журнала:   Application
    Источник:      MSExchange RBAC
    Дата:          30.09.2014 17:58:09
    Код события:   17
    Категория задачи:RBAC
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     Win2012R2.afa.local
    Описание:
    (Процесс w3wp.exe, идентификатор процесса 9424) "Авторизация RBAC возвращает сообщение "Доступ запрещен" для пользователя AFA.local/Microsoft Exchange System Objects/Monitoring Mailboxes/HealthMailbox59897623def049f796debd4bb080b0cf. Причина: на контроллере домена dcafa.afa.local отсутствуют назначения ролей, связанные с определенным пользователем"
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="MSExchange RBAC" />
        <EventID Qualifiers="49152">17</EventID>
        <Level>2</Level>
        <Task>2</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2014-09-30T13:58:09.000000000Z" />
        <EventRecordID>193394</EventRecordID>
        <Channel>Application</Channel>
        <Computer>Win2012R2.afa.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data>w3wp.exe</Data>
        <Data>9424</Data>
        <Data>AFA.local/Microsoft Exchange System Objects/Monitoring Mailboxes/HealthMailbox59897623def049f796debd4bb080b0cf</Data>
        <Data>dcafa.afa.local</Data>
      </EventData>
    </Event>
    ______________________________________________________________________

    Имя журнала:   Application
    Источник:      MSExchange RBAC
    Дата:          30.09.2014 17:58:09
    Код события:   23
    Категория задачи:RBAC
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     Win2012R2.afa.local
    Описание:
    (Процесс w3wp.exe, идентификатор процесса 9424) "Подключаемому модулю Exchange AuthZ не удается завершить метод GetApplicationPrivateData из-за исключения в приложении Microsoft.Exchange.Configuration.Authorization.CmdletAccessDeniedException: The user "AFA.local/Microsoft Exchange System Objects/Monitoring Mailboxes/HealthMailbox59897623def049f796debd4bb080b0cf" isn't assigned to any management roles.
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration.LoadRoleCmdletInfo(ADRawEntry user, ADRawEntry userToVerifyInScope, IConfigurationSession session, String organizationName, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, List`1 implicitRoleIds, RoleFilteringMode roleFilteringMode, SerializedAccessToken securityAccessToken, Dictionary`2& userAllScopes, List`1& userAllRoleEntries, Dictionary`2& userAllRoleTypes, ReadOnlyCollection`1& userAllRoleAssignments)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration.LoadRoleCmdletInfo(String organizationName, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, IList`1 logonUserRequiredRoleTypes, List`1 implicitRoleIds)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration..ctor(IIdentity logonIdentity, IIdentity impersonatedIdentity, ExchangeRunspaceConfigurationSettings settings, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, IList`1 logonUserRequiredRoleTypes, Boolean callerCheckedAccess, Boolean isPowerShellWebService, Boolean noCmdletAllowed, SnapinSet snapinSet)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeExpiringRunspaceConfiguration..ctor(IIdentity identity, ExchangeRunspaceConfigurationSettings settings, Boolean isPowerShellWebService)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.GetInitialSessionStateCore(PSSenderInfo senderInfo)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.<>c__DisplayClass13.<GetApplicationPrivateData>b__12()
       at Microsoft.Exchange.Configuration.Authorization.AuthZLogHelper.HandleExceptionAndRetry[T](String methodName, Func`1 func, Boolean throwException, T defaultReturnValue)".
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="MSExchange RBAC" />
        <EventID Qualifiers="49152">23</EventID>
        <Level>2</Level>
        <Task>2</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2014-09-30T13:58:09.000000000Z" />
        <EventRecordID>193395</EventRecordID>
        <Channel>Application</Channel>
        <Computer>Win2012R2.afa.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data>w3wp.exe</Data>
        <Data>9424</Data>
        <Data>GetApplicationPrivateData</Data>
        <Data>Microsoft.Exchange.Configuration.Authorization.CmdletAccessDeniedException: The user "AFA.local/Microsoft Exchange System Objects/Monitoring Mailboxes/HealthMailbox59897623def049f796debd4bb080b0cf" isn't assigned to any management roles.
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration.LoadRoleCmdletInfo(ADRawEntry user, ADRawEntry userToVerifyInScope, IConfigurationSession session, String organizationName, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, List`1 implicitRoleIds, RoleFilteringMode roleFilteringMode, SerializedAccessToken securityAccessToken, Dictionary`2&amp; userAllScopes, List`1&amp; userAllRoleEntries, Dictionary`2&amp; userAllRoleTypes, ReadOnlyCollection`1&amp; userAllRoleAssignments)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration.LoadRoleCmdletInfo(String organizationName, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, IList`1 logonUserRequiredRoleTypes, List`1 implicitRoleIds)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration..ctor(IIdentity logonIdentity, IIdentity impersonatedIdentity, ExchangeRunspaceConfigurationSettings settings, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, IList`1 logonUserRequiredRoleTypes, Boolean callerCheckedAccess, Boolean isPowerShellWebService, Boolean noCmdletAllowed, SnapinSet snapinSet)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeExpiringRunspaceConfiguration..ctor(IIdentity identity, ExchangeRunspaceConfigurationSettings settings, Boolean isPowerShellWebService)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.GetInitialSessionStateCore(PSSenderInfo senderInfo)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.&lt;&gt;c__DisplayClass13.&lt;GetApplicationPrivateData&gt;b__12()
       at Microsoft.Exchange.Configuration.Authorization.AuthZLogHelper.HandleExceptionAndRetry[T](String methodName, Func`1 func, Boolean throwException, T defaultReturnValue)</Data>
      </EventData>
    </Event>___________________________________________________________________

    Имя журнала:   Application
    Источник:      MSExchange RBAC
    Дата:          30.09.2014 17:58:09
    Код события:   258
    Категория задачи:RBAC
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     Win2012R2.afa.local
    Описание:
    (Процесс 9424, идентификатор процесса w3wp.exe) "Сбой общедоступного API Func GetApplicationPrivateData throws Exception Microsoft.Exchange.Configuration.Authorization.CmdletAccessDeniedException: The user "AFA.local/Microsoft Exchange System Objects/Monitoring Mailboxes/HealthMailbox59897623def049f796debd4bb080b0cf" isn't assigned to any management roles.
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration.LoadRoleCmdletInfo(ADRawEntry user, ADRawEntry userToVerifyInScope, IConfigurationSession session, String organizationName, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, List`1 implicitRoleIds, RoleFilteringMode roleFilteringMode, SerializedAccessToken securityAccessToken, Dictionary`2& userAllScopes, List`1& userAllRoleEntries, Dictionary`2& userAllRoleTypes, ReadOnlyCollection`1& userAllRoleAssignments)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration.LoadRoleCmdletInfo(String organizationName, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, IList`1 logonUserRequiredRoleTypes, List`1 implicitRoleIds)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration..ctor(IIdentity logonIdentity, IIdentity impersonatedIdentity, ExchangeRunspaceConfigurationSettings settings, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, IList`1 logonUserRequiredRoleTypes, Boolean callerCheckedAccess, Boolean isPowerShellWebService, Boolean noCmdletAllowed, SnapinSet snapinSet)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeExpiringRunspaceConfiguration..ctor(IIdentity identity, ExchangeRunspaceConfigurationSettings settings, Boolean isPowerShellWebService)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.GetInitialSessionStateCore(PSSenderInfo senderInfo)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.<>c__DisplayClass13.<GetApplicationPrivateData>b__12()
       at Microsoft.Exchange.Configuration.Authorization.AuthZLogHelper.HandleExceptionAndRetry[T](String methodName, Func`1 func, Boolean throwException, T defaultReturnValue)
       at Microsoft.Exchange.Configuration.Authorization.AuthZLogHelper.<>c__DisplayClassc`1.<ExecuteWSManPluginAPI>b__8()
       at Microsoft.Exchange.Diagnostics.CmdletInfra.Diagnostics.ExecuteAndLog[T](String funcName, Boolean missionCritical, LatencyTracker latencyTracker, ExEventLog eventLog, EventTuple eventTuple, Trace tracer, IsExceptionInteresting isExceptionInteresting, Action`1 onError, T defaultReturnValue, Func`1 func). RemotePS. Исключение: %4."
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="MSExchange RBAC" />
        <EventID Qualifiers="49152">258</EventID>
        <Level>2</Level>
        <Task>2</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2014-09-30T13:58:09.000000000Z" />
        <EventRecordID>193396</EventRecordID>
        <Channel>Application</Channel>
        <Computer>Win2012R2.afa.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data>9424</Data>
        <Data>w3wp.exe</Data>
        <Data>Func GetApplicationPrivateData throws Exception Microsoft.Exchange.Configuration.Authorization.CmdletAccessDeniedException: The user "AFA.local/Microsoft Exchange System Objects/Monitoring Mailboxes/HealthMailbox59897623def049f796debd4bb080b0cf" isn't assigned to any management roles.
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration.LoadRoleCmdletInfo(ADRawEntry user, ADRawEntry userToVerifyInScope, IConfigurationSession session, String organizationName, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, List`1 implicitRoleIds, RoleFilteringMode roleFilteringMode, SerializedAccessToken securityAccessToken, Dictionary`2&amp; userAllScopes, List`1&amp; userAllRoleEntries, Dictionary`2&amp; userAllRoleTypes, ReadOnlyCollection`1&amp; userAllRoleAssignments)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration.LoadRoleCmdletInfo(String organizationName, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, IList`1 logonUserRequiredRoleTypes, List`1 implicitRoleIds)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeRunspaceConfiguration..ctor(IIdentity logonIdentity, IIdentity impersonatedIdentity, ExchangeRunspaceConfigurationSettings settings, IList`1 roleTypeFilter, List`1 sortedRoleEntryFilter, IList`1 logonUserRequiredRoleTypes, Boolean callerCheckedAccess, Boolean isPowerShellWebService, Boolean noCmdletAllowed, SnapinSet snapinSet)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeExpiringRunspaceConfiguration..ctor(IIdentity identity, ExchangeRunspaceConfigurationSettings settings, Boolean isPowerShellWebService)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.GetInitialSessionStateCore(PSSenderInfo senderInfo)
       at Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.&lt;&gt;c__DisplayClass13.&lt;GetApplicationPrivateData&gt;b__12()
       at Microsoft.Exchange.Configuration.Authorization.AuthZLogHelper.HandleExceptionAndRetry[T](String methodName, Func`1 func, Boolean throwException, T defaultReturnValue)
       at Microsoft.Exchange.Configuration.Authorization.AuthZLogHelper.&lt;&gt;c__DisplayClassc`1.&lt;ExecuteWSManPluginAPI&gt;b__8()
       at Microsoft.Exchange.Diagnostics.CmdletInfra.Diagnostics.ExecuteAndLog[T](String funcName, Boolean missionCritical, LatencyTracker latencyTracker, ExEventLog eventLog, EventTuple eventTuple, Trace tracer, IsExceptionInteresting isExceptionInteresting, Action`1 onError, T defaultReturnValue, Func`1 func).</Data>
      </EventData>
    </Event>

    30 сентября 2014 г. 14:03
  • Вы второй пункт Setup.exe /PrepareAD, делали?

    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    • Предложено в качестве ответа aleksshchirin 10 апреля 2019 г. 9:13
    1 октября 2014 г. 8:09
    Модератор
  • Да, делал.

    Прошло без ошибок.

    2 октября 2014 г. 6:35
  • Большинство проблем по работе HM устранял, как описано в этом примере.

    Failed Security Audits 4625 HMWorker Exchange 2013


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    2 октября 2014 г. 7:38
    Модератор
  • Индексация для почтовых баз включена?

    Blog - Smtp25.ru
    Полезные ссылки - Links

    2 октября 2014 г. 9:00
    Отвечающий