По умолчанию Exchange сервер логирует различные административные действия, включая командлеты, которые выполнялись. Если административное действие было выполнено через ECP - всё равно будет записан соответствующий командлет, т.к. под “капотом” выполняется именно он.

Глобальную настройку аудита можно посмотреть так:

 Get-AdminAuditLogConfig | select AdminAuditLogEnabled

Параметр Loglevel = None - нормальная ситуация, у параметра есть второе значение - Verbose, это расширенное логирование, даже с параметром None - основная информация пишется в лог.

Посмотреть значение можно так:

 Get-AdminAuditLogConfig | select LogLevel

В ECP можно смотреть логи через графическую оболочку в разделе Compliance Management. Можно проматривать логи прямо в вебе, а можно затребовать у сервера отчёт на почту.

Возможна ситуация, когда в веб-морде логи не отображаются, но могут фигурировать в полном отчёте в XML-формате.

Отправка отчёта на почту происходит через какое-то время (до суток), это нормальная ситуация.

Если отчёт или веб-форма нас не устраивает - можно запрашивать события через PowerShell.

Пример запроса, в котором мы ищем учётную запись, предположительно выполнявшую действия:

 Search-AdminAuditLog | Where-Object caller -eq "Administrator@arasaka.local"

Можно также, к примеру, искать по параметрам ObjectModified или CmdletName, если нас интересует объект, который был изменен, или командлет, который выполнялся.