none
Exchange 2016 管理者稽核紀錄(Admin Audit) RRS feed

  • 問題

  • 各位前輩好

         小弟測試Exchange2016 的稽核功能,目前與協力原廠測試軟體,發現一個奇怪的情況

    就是小弟執行參考以下文件

    https://docs.microsoft.com/zh-tw/exchange/policy-and-compliance/admin-audit-logging/admin-audit-logging?view=exchserver-2019

    去設定管理者的稽核紀錄設定,然後我執行以下三行指令,Exchange都有顯示黃色對應訊訊息

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogCmdlets * -AdminAuditLogParameters *
    Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogCmdlets *Mailbox* -AdminAuditLogParameters *Address*

    然後工程師測試了幾個指令(包含建立與刪除mailbox.....建立/修改/刪除OWA Policy 等管理者行為),但是他執行以下指令

    Search-AdminAuditLog > c:\test.log

    卻說Exchange2016 (我目前更新到U16) 沒有"啟用"稽核紀錄.....

    請問諸位前輩們,要怎樣確認我"的的確確" 有啟用了上述的設定?? 如果我的確是"啟用"了稽核機路,那可否請教,為何我執行了上述新增/刪除/修改的行為卻沒有產生相關紀錄??

    麻煩諸位前輩了...Windows Server我比較熟,但是Exchange基本上我沒在碰...所以還望諸位前輩指導


    wyldkao

    2020年9月14日 下午 11:56

解答

  • 您好,

    1. 根據我的了解,默認情況下Admin Audit Log 默認是開啟的,如果您沒有進行特定的設置,那麼Admin Audit Log將是啟用的狀態。此外,您還可以運行以下命令行查看Admin Audit Log的狀態。

    Get-AdminAuditLogConfig | Format-LisT

    2. 若Admin Audit Log處於啟用狀態,根據您提供的截圖,您最後運行的命令行為“Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogCmdlets *Mailbox* -AdminAuditLogParameters *Address*”,該命令行的作用為:僅當名稱中具有字符串“ Address”的參數在名稱中具有字符串“ Mailbox”的cmdlet上運行時,才會生成日誌條目,若不包含符合的參數和字符串,將不會產生相關記錄,所以請確保工程師所測試的命令行中包含符合條件的參數和字符串。

    若您想記錄組織中的每個cmdlet和每個參數的日誌,您可以運行以下命令行。此外需要注意的是命令運行後,最多可能需要 15 分鐘才會出現在審核日誌搜索結果中。這是因為審核日誌條目必須先編制索引,然後才能進行搜索。如果命令未顯示在管理員審核日誌中,請等待幾分鐘,然後再次運行搜索。

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogCmdlets * -AdminAuditLogParameters *

    以下截圖為我在測試環境中的測試,首先我運行以上命令行,使Admin Audit Log記錄所有cmdlet和參數的日誌,之後新建一個郵箱,運行命令行查看Admin Audit Log將會顯示我新建郵箱所使用的cmdlet和參數

    此致,

    Lucas Liu


    如果以上回復對您有所幫助,建議您將其“標記為答复”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們:tnsf@microsoft.com.

    2020年9月15日 上午 02:59

所有回覆

  • 如上

         我執行上述的Mailbox / Policy等異動指令,然後執行

    Search-AdminAuditLog > c:\test.log

    結果所有的AdminAuditLog都是顯示以下的紀錄(看起來是顯示Audit被啟用....但是我卻看不到任何管理者執行的異動指令)

    ==================================================

    RunspaceId         : db198183-440d-4158-a875-7ac3c2adc341
    ObjectModified     : Admin Audit Log Settings
    CmdletName         : Set-AdminAuditLogConfig
    CmdletParameters   : {AdminAuditLogParameters, AdminAuditLogCmdlets, AdminAuditLogEnabled}
    ModifiedProperties : {}
    Caller             : Administrator@testinglab.idv.tw
    ExternalAccess     : False
    Succeeded          : True
    Error              : 
    RunDate            : 9/14/2020 10:21:05 PM
    OriginatingServer  : EX2016E (15.01.1979.002)
    Identity           : AQMkAGNmM2FiYWMzLTljYWUtNDhjYS1hYjIwLTVhNjM3YjNkNTZhMwBGAAAD4zGZUDKDX0q7YaAuE/RHBAcAgl8cle6kdkmvQM
                         VoyA4xnAAAAgEbAAAAgl8cle6kdkmvQMVoyA4xnAAAARm0hwAAAA==
    IsValid            : True
    ObjectState        : New


    wyldkao

    2020年9月15日 上午 12:47
  • 您好,

    1. 根據我的了解,默認情況下Admin Audit Log 默認是開啟的,如果您沒有進行特定的設置,那麼Admin Audit Log將是啟用的狀態。此外,您還可以運行以下命令行查看Admin Audit Log的狀態。

    Get-AdminAuditLogConfig | Format-LisT

    2. 若Admin Audit Log處於啟用狀態,根據您提供的截圖,您最後運行的命令行為“Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogCmdlets *Mailbox* -AdminAuditLogParameters *Address*”,該命令行的作用為:僅當名稱中具有字符串“ Address”的參數在名稱中具有字符串“ Mailbox”的cmdlet上運行時,才會生成日誌條目,若不包含符合的參數和字符串,將不會產生相關記錄,所以請確保工程師所測試的命令行中包含符合條件的參數和字符串。

    若您想記錄組織中的每個cmdlet和每個參數的日誌,您可以運行以下命令行。此外需要注意的是命令運行後,最多可能需要 15 分鐘才會出現在審核日誌搜索結果中。這是因為審核日誌條目必須先編制索引,然後才能進行搜索。如果命令未顯示在管理員審核日誌中,請等待幾分鐘,然後再次運行搜索。

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogCmdlets * -AdminAuditLogParameters *

    以下截圖為我在測試環境中的測試,首先我運行以上命令行,使Admin Audit Log記錄所有cmdlet和參數的日誌,之後新建一個郵箱,運行命令行查看Admin Audit Log將會顯示我新建郵箱所使用的cmdlet和參數

    此致,

    Lucas Liu


    如果以上回復對您有所幫助,建議您將其“標記為答复”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們:tnsf@microsoft.com.

    2020年9月15日 上午 02:59
  • 超詳細的回答...

    感謝您...


    wyldkao

    2020年9月16日 上午 02:32
  • 您好,

    很高興得知您的問題已經得到解決。

    此致,

    Lucas Liu


    如果以上回復對您有所幫助,建議您將其“標記為答复”. 如果您對我們的論壇支持有任何的建議,可以通過此郵箱聯繫我們:tnsf@microsoft.com.

    2020年9月16日 上午 06:16