Differences

This shows you the differences between two versions of the page.

--- аудит_административных_действий_exchange [2025/09/19 14:17] – created jp
+++ аудит_административных_действий_exchange [2025/09/19 14:45] (current) – jp
@@ Line 1: / Line 1: @@
 ===== Аудит административных действий Exchange =====
+=== Глобальные настройки аудита ===
+По умолчанию Exchange сервер логирует различные административные действия, включая командлеты, которые выполнялись. Если административное действие было выполнено через ECP - всё равно будет записан соответствующий командлет, т.к. под "капотом" выполняется именно он.
+Глобальную настройку аудита можно посмотреть так:
+   Get-AdminAuditLogConfig | select AdminAuditLogEnabled
+Параметр //Loglevel = None// - нормальная ситуация, у параметра есть второе значение - Verbose, это расширенное логирование, даже с параметром None - основная информация пишется в лог.
+Посмотреть значение можно так:
+   Get-AdminAuditLogConfig | select LogLevel
+=== Просмотр и получение сведений ===
+В ECP можно смотреть логи через графическую оболочку в разделе //Compliance Management//. Можно проматривать логи прямо в вебе, а можно затребовать у сервера отчёт на почту.
+;#;
+{{:exchange:exchange_admin_audit_ecp_view.jpg|}}
+;#;
+:!: Возможна ситуация, когда в веб-морде логи не отображаются, но могут фигурировать в полном отчёте в XML-формате.
+:!: Отправка отчёта на почту происходит через какое-то время (до суток), это нормальная ситуация.
+Если отчёт или веб-форма нас не устраивает - можно запрашивать события через PowerShell.
+Пример запроса, в котором мы ищем учётную запись, предположительно выполнявшую действия:
+   Search-AdminAuditLog | Where-Object caller -eq "Administrator@arasaka.local"
+Можно также, к примеру, искать по параметрам //ObjectModified// или //CmdletName//, если нас интересует объект, который был изменен, или командлет, который выполнялся.
+{{tag>Exchange Microsoft PowerShell}}