Was tun Ihre Exchange-Admins, was habe ich getan?
Administratives audit logging in Microsoft Exchange Server 2010 ermöglicht die Kontrolle darüber, wann jemand eine spezifische administrative Tätigkeit ausführt. Alle PowerShell-Befehle (cmdlets) können geloggt und ausgewertet werden. Damit hat jeder Exchange Administrator die grundlegenden Werkzeuge zum Reporting und Auditing.
Was kann auditiert werden?
Potentiell können alle (GUI-) Tools überwacht werden, die im Hintergrund Cmdlets ausführen.
- Cmdlets, die in der EMS ausgeführt werden
- EMC
- Exchange Web Management Interface (OWA)
Hinweis: Get- cmdlets werden nicht auditiert
Die Logeinträge werden in eine dafür zu konfigurierende Mailbox geschrieben. Wenn man nicht alle cmdlets auditieren möchte, dann ist es möglich, eine Submenge zu definieren.
Vorgehen
- Administratives Logging aktivieren
Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
(erfordert Mitgliedschaft in Organizational role) - Audit Postfach konfigurieren
Set-AdminAuditLogConfig -AdminAuditLogMailbox audit@xchg10.com - Scope des Audits festlegen
cmdlets
Legt man keine Einschränkung fest, werden alle cmdlet-Aktionen im Audit erfasst. Dies entspricht der Einstellung "Set-AdminAuditLogConfig -AdminAuditLogCmdlets *"
Will man nur bestimmte cmdlet-Aktionen im Audit erfassen, dann ist folgendes möglich:
Geben Sie eine Liste der cmdlets mit, wobei Wildcards und/oder ein vollständiger Pcmdlet-Name genutzt werden kann..
Beispiel:
Set-AdminAuditLogConfig -AdminAuditLogCmdlets "New-Accepted Domain", *Mailbox*
Parameter
Legt man keine Einschränkung fest, so werden zu jedem cmdlet alle Aufrufe erfasst, gleich welche Parameter mit dem Aufruf übergeben wurden. Dies entspricht Set-AdminAuditLogConfig -AdminAuditLogParameters *
Will man nur bestimmte Parameter im Audit erfassen, dann ist folgendes möglich:
Geben Sie eine Liste der Parameter mit, wobei Wildcards und/oder ein vollständiger Parametername genutzt werden kann.
Beispiel:
Set-AdminAuditLogConfig -AdminAuditLogParameters Lastname, Firstname
- Check der Konfiguration
Die aktuellen Einstellungen lassen sich überprüfen mit
Get-AdminAuditLogConfig - Änderungen
Wendet man eine der bisher dargestellten cmdlets an, dann wird die bisherige Konfiguration überschrieben. Dies kann man mit ein wenig Scripting vermeiden. Siehe dazu den Technet-Artikel "Modifying Multivalued Properties" - Nachvollziehen
Bislang ist nur der "Einblick" in das Audit-Postfach dokumentiert. Vielleicht gibt es bei der finalen Version noch Auswertungstools.
