在 Exchange Online 中查看管理员审核日志

  • 项目

注意

经典 Exchange 管理中心正在全球部署中弃用。 建议在Microsoft Purview 合规门户中搜索审核日志。 有关详细信息,请参阅 在 WW 服务中弃用经典 Exchange 管理中心在合规性门户中搜索审核日志

在没有Exchange Online邮箱Exchange Online组织或独立Exchange Online Protection (EOP) 组织中,可以使用 Exchange 管理中心 (EAC) 或 PowerShell 搜索和查看管理员审核日志中的条目。

管理员审核日志记录特定操作(基于Exchange Online PowerShell 或独立Exchange Online Protection PowerShell cmdlet),这些操作由管理员和已分配管理权限的用户完成。 管理员审核日志中的条目提供有关运行了哪些 cmdlet、使用了哪些参数、谁运行了 cmdlet 以及受影响的对象的信息。

注意

  • 管理员审核日志记录默认启用,你无法禁用它。
  • 管理员审核日志不会基于以 谓词 GetSearchTest 开头的 cmdlet 记录操作。
  • 在组织中进行更改后,将需要 15 分钟才能显示在审核日志搜索结果中。 如果管理员审核日志中未显示更改,请等待几分钟,然后再次运行搜索。
  • 审核日志条目将保留 90 天。 当某个条目超过 90 天时,会删除该条目。

开始前,有必要了解什么?

提示

是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange OnlineExchange Online Protection 的论坛。

使用 EAC 查看管理员审核日志

  1. 在 EAC 中,转到 “合规性管理>审核”,然后选择“ 运行管理员审核日志报告”。

  2. 在打开的 “搜索对管理员角色组的更改 ”页中,选择“ 开始日期 ”和“ 结束日期 ” (默认范围为过去两周) ,然后选择“ 搜索”。 在指定期间进行的所有配置更改都将显示并且可以使用以下信息进行排序:

    • 日期:进行配置更改的日期和时间。 日期和时间存储为协调世界时 (UTC) 格式。

    • Cmdlet:用于进行配置更改的 cmdlet 的名称。

    • 用户:进行配置更改的用户的用户帐户的名称。

      将分多页显示多达 5000 个条目。 如果您需要缩小结果范围,请指定一个较小的日期范围。 如果您选择单个搜索结果,将在详细信息窗格中显示以下附加信息:

    • 已修改的对象:由 cmdlet 修改的对象。

    • 参数 (Parameter:Value) :使用的 cmdlet 参数,以及使用 参数指定的任何值。

  3. 如果要打印特定的审核日志条目,请选择详细信息窗格中的“ 打印 ”按钮。

使用 PowerShell 查看管理员审核日志

可以使用Exchange Online PowerShell 或独立Exchange Online Protection PowerShell 搜索符合指定条件的审核日志条目。 使用以下语法:

Search-AdminAuditLog [-Cmdlets <Cmdlet1,Cmdlet2,...CmdletN>] [-Parameters <Parameter1,Parameter2,...ParameterN>] [-StartDate <UTCDateTime>] [-EndDate <UTCDateTime>] [-UserIds <"User1","User2",..."UserN">] [-ObjectIds <"Object1","Object2",..."ObjectN">] [-IsSuccess <$true | $false>]

注意

  • 只能将 Parameters 参数与 Cmdlets 参数一起使用。

  • ObjectIds 参数按 cmdlet 修改的对象筛选结果。 有效值取决于对象在审核日志中的表示方式。 例如:

    • 名称
    • 例如, (规范的可分辨名称,contoso.com/Users/Akia 祖海里)

    可能需要在此 cmdlet 上使用其他筛选参数来缩小结果范围,并确定感兴趣的对象类型。

  • UserIds 参数按执行更改的用户 (运行 cmdlet) 的用户筛选结果。

  • 对于 StartDateEndDate 参数,如果指定不带时区的日期/时间值,则该值位于协调世界时 (UTC) 。 若要指定此参数的日期/时间值,请使用下列方法之一:

    • 以 UTC 格式指定日期/时间值:例如,"2016-05-06 14:30:00z"。
    • 将日期/时间值指定为将本地时区中的日期/时间转换为 UTC 的公式:例如 (Get-Date "5/6/2016 9:30 AM").ToUniversalTime()。 有关详细信息,请参阅 Get-Date

  • 默认情况下,cmdlet 最多返回 1,000 个日志条目。 使用 ResultSize 参数可指定最多 250,000 个日志条目。 或者,使用 值 Unlimited 返回所有条目。

本示例将使用以下条件执行对所有审核日志条目的搜索:

  • 开始日期:2019 年 8 月 4 日
  • 结束日期:2019 年 10 月 3 日
  • Cmdlet:Update-RoleGroupMember
Search-AdminAuditLog -Cmdlets Update-RoleGroupMember -StartDate (Get-Date "08/04/2019").ToUniversalTime() -EndDate (Get-Date "10/03/2019").ToUniversalTime()

有关详细的语法和参数信息,请参阅 Search-AdminAuditLog

查看审核日志条目的详细信息

Search-AdminAuditLog cmdlet 返回本文后面的审核日志内容部分中所述的字段。 在 cmdlet 返回的字段中,两个字段 CmdletParametersModifiedProperties 包含默认情况下不返回的其他信息。

若要查看 CmdletParametersModifiedProperties 字段的内容,请执行以下步骤。

  1. 确定搜索时要使用的条件,然后运行 Search-AdminAuditLog cmdlet,并使用以下命令将结果存储在一个变量中。

    $Results = Search-AdminAuditLog <search criteria>

  2. 每个审核日志条目都存储为变量 $Results中的数组元素。 可以通过指定其数组元素索引来选择数组元素。 数组元素索引以零 (0) 开始,即第一个数组元素的索引为 0。 例如,如果要检索第 5 个数组元素,其索引为 4,则应使用以下命令进行检索。

    $Results[4]

  3. 上述命令将返回数组元素 4 中存储的日志条目。 若要查看此日志条目的 CmdletParametersModifiedProperties 字段的内容,请使用以下命令。

    $Results[4].CmdletParameters
$Results[4].ModifiedProperties

  4. 若要查看其他日志条目的 CmdletParametersModifiedParameters 字段的内容,请更改数组元素索引。

审核日志内容

每个审核日志条目都包含下表所述的信息。 审核日志包含一个或多个审核日志条目。

字段 说明
RunspaceId 此字段在内部使用。
ObjectModified 此字段包含由字段中指定的 cmdlet 修改的对象 CmdletName
CmdletName 此字段包含用户在该 Caller 字段中运行的 cmdlet 的名称。
CmdletParameters 此字段包含运行字段中的 cmdlet CmdletName 时指定的参数。 使用参数指定的值(如果有)也存储在此字段中,但是在默认输出中不可见。
ModifiedProperties 此字段包含对字段中 ObjectModified 的对象修改的属性。 同时存储在此字段中,但在默认输出中不可见的是 属性的旧值和存储的新值。
Caller 此字段包含字段中运行 cmdlet 的用户的 CmdletName 用户帐户。
ExternalAccess 此字段在内部使用。
Succeeded 此字段指定字段中的 cmdlet CmdletName 是否成功运行。 值为 TrueFalse
Error 如果字段中的 cmdlet CmdletName 未能成功完成,则此字段包含生成的错误消息。
RunDate 此字段包含运行字段中的 cmdlet CmdletName 的日期和时间。 日期和时间存储为协调世界时 (UTC) 格式。
OriginatingServer 此字段指示运行字段中指定的 CmdletName cmdlet 的服务器。
ClientIP 此字段在内部使用。
SessionId 此字段在内部使用。
AppId 此字段在内部使用。
ClientAppId 此字段在内部使用。
Identity 此字段在内部使用。
IsValid 此字段在内部使用。
ObjectState 此字段在内部使用。