===== Аудит административных действий Exchange =====

=== Глобальные настройки аудита ===

По умолчанию Exchange сервер логирует различные административные действия, включая командлеты, которые выполнялись. Если административное действие было выполнено через ECP - всё равно будет записан соответствующий командлет, т.к. под "капотом" выполняется именно он. 

Глобальную настройку аудита можно посмотреть так: 

   Get-AdminAuditLogConfig | select AdminAuditLogEnabled
Параметр //Loglevel = None// - нормальная ситуация, у параметра есть второе значение - Verbose, это расширенное логирование, даже с параметром None - основная информация пишется в лог. 

Посмотреть значение можно так:

   Get-AdminAuditLogConfig | select LogLevel
=== Просмотр и получение сведений ===

В ECP можно смотреть логи через графическую оболочку в разделе //Compliance Management//. Можно проматривать логи прямо в вебе, а можно затребовать у сервера отчёт на почту. 

;#;
{{:exchange:exchange_admin_audit_ecp_view.jpg|}}
;#;

:!: Возможна ситуация, когда в веб-морде логи не отображаются, но могут фигурировать в полном отчёте в XML-формате. 

:!: Отправка отчёта на почту происходит через какое-то время (до суток), это нормальная ситуация.

Если отчёт или веб-форма нас не устраивает - можно запрашивать события через PowerShell. 

Пример запроса, в котором мы ищем учётную запись, предположительно выполнявшую действия:

   Search-AdminAuditLog | Where-Object caller -eq "Administrator@arasaka.local"
Можно также, к примеру, искать по параметрам //ObjectModified// или //CmdletName//, если нас интересует объект, который был изменен, или командлет, который выполнялся. 

{{tag>Exchange Microsoft PowerShell}}