В Exchange 2010 есть новая полезная функция, которая позволяет отслеживать все изменения выполняемые пользователями или администраторами в системе. Все действия, независимо от того где они были выполнены, в EMS, EMC или ECP будут сохраняться в журнале аудита. В данном режиме не логируются командлеты “Get”, так как в результате мы получим огромный лог обычных ежедневных операций.
Для успешной настройки логирования необходимо выполнить следующие действия. Для большинства из них мы будем использовать командлет Set-AdminAuditLogConfig.
Первым шагом для выполнения нашей задачи нам нужно создать ящик, в котором будут храниться логи аудита.
Аудит администратора по умолчанию выключен. Запустите командлет Get-AdminAuditLogConfig | fl для проверки:
Для включения аудита запустите следующий командлет:
Set-AdminAuditLogConfig –AdminAuditLogEnabled $true
Для настройки агента аудита, отсылающего почту на выбранный нами ящик выполните следующую команду:
Set-AdminAuditLogConfig –AdminAuditlogMailbox “AuditMailbox@mail.local”
Вы можете выбрать командлеты, которые будут подвергаться аудиту. К примеру вы можете логировать выполнение любых командлетов, связанных с транспортными функциями и почтовыми ящиками, использовав маску *mailbox* и *transport*.
Set-AdminAuditLogConfig –AdminAuditLogCmdlets *mailbox*, *transport*
Таким же способом мы можем отбирать логируемые параметры командлетов.
Set-AdminAuditLogConfig –AdminAuditLogParameters database, server
Подписаться на:
Комментарии к сообщению (Atom)
0 коммент.:
Отправить комментарий