Администраторы крупных организаций Exchange, где есть несколько администраторов, хорошо знают, что иногда довольно трудно отследить изменения, произведенные с любым конфигурационным объектом в Exchange, с пользовательскими настройками, группами распределения или контактами. Знание о том, какие производились изменения, и когда они производились, может значительно помочь при решении различных проблем. Например, оно будет полезно для выяснения, были ли какие-нибудь коннекторы перенастроены в недавнее время, или при решении проблем с маршрутизацией сообщений. Запись конфигурационных изменений также полезна для документирования, и может требоваться при решении вопросов юридического характера.

Посмотрите на Рисунок 1, где показаны свойства почтового ящика. Тут вы видите, что последнее изменение почтового ящика произошло 25 февраля 2010 в 21:18. Однако не сразу понятно, какие именно изменения происходили, и, что более важно, кто их произвел.

В настоящем цикле статей мы изучим новую функцию в Exchange 2010, которая называется Administrator Audit Logging , и которая позволяет вам записывать различные команды Exchange Management Shell, выполненные с целью внести изменения в конфигурацию в организации Exchange. Функция Administrator audit logging отмечает тот факт, что команда запущена в Exchange Management Shell и, конечно, в консоли Exchange Management Console, которая сама запускает команды Exchange Management Shell. Кроме того, команды, запускаемые через Exchange Control Panel, также записываются.

А вот команды, начинающиеся на Get-, не вносятся в журнал. Примеры таких команд: Get-AcceptedDomain, Get-CASMailbox и т.д. Команды Get- не записываются, поскольку они не производят конфигурационных изменений.

Занесенные в журнал команды сохраняются как электронные сообщения в почтовом ящике, выбранном администратором Exchange. Поэтому важно, чтобы доступ к этому почтовому ящику был ограничен теми людьми, которым он необходим. Этот аспект функции administrator audit logging будет описан далее в этой статье.

Параметры функции Administrator Audit Logging

Настройку функции administrator audit logging можно провести с помощью команды Set-AdminAuditLogConfig и просмотреть с помощью команды Get-AdminAuditLogConfig. У команды Set-AdminAuditLogConfig есть много параметров, но самые важные ее параметры, о которых мы поговорим в этой статье, содержат 'log' в своих названиях. Так, мы можем воспользоваться командой Get-AdminAuditLogConfig и отправить результаты в format-list, выбрав показ только тех параметров, которые содержат log в своих именах. Для этого понадобится запустить следующую команду:

Get-AdminAuditLogConfig | fl *log*

Результат показан на Рисунке 2. Обратите внимание на то, что эта команда запускается при инсталляции Exchange 2010 по умолчанию, что означает, что показанные значения параметров являются значениями по умолчанию.

Теперь повнимательнее рассмотрим эти 6 параметров.

• AdminAuditLogEnabled - Как видите, по умолчанию этот параметр установлен в false, то есть функция audit logging по умолчанию отключена. Установка этого параметра в true, следовательно, включит функцию administrator audit logging.
• TestCmdletLoggingEnabled -Этот параметр контролирует возможность записи команд типа Test-. По умолчанию эти команды не записываются. Вот примеры команд типа Test-: Test-OutlookWebServices, Test-ReplicationHealth и т.д.
• AdminAuditLogCmdlets -Параметр AdminAuditLogCmdlets показывает, какие команды будут записываться при включенной функции administrator audit logging. По умолчанию записываются все команды, что устанавливается с помощью символа *. Как можно менять этот параметр, будет показано далее в этой статье.
• AdminAuditLogParameters - У любой команды могут быть собственные параметры, и данный параметр определяет, будут ли параметры записываться или нет. По умолчанию записываются все параметры команд, что устанавливается с помощью символа *.. Аналогично параметру AdminAuditLogCmdlets, способ изменения данного параметра будет описан позднее в этой статье.
• AdminAuditLogAgeLimit - Этот параметр в данный момент не функционирует в Exchange 2010, но предполагается, что он будет определять длительность хранения записей в журнале. Это достаточно полезная возможность, так как, поскольку журнальные сообщения хранятся как письма в электронной почте, существует возможность того, что множество записей в большой организации Exchange приведет к заполнению почтового ящика. Опять же, мы поговорим об этом параметре позднее.
• AdminAuditLogMailbox - Этот параметр определяет, какой почтовый ящик будет использоваться для хранения журнала. Как вы видите на Рисунке 2, этот параметр пуст по умолчанию, но в процессе настройки функции его нужно будет заполнять.

Настройка Administrator Audit Logging

Перед включением функции administrator audit logging имеет смысл настроить необходимые параметры, например, имя почтового ящика для хранения журнальных сообщений, а также список команд и их параметров, которые будут записываться. Ведь мы не хотим, чтобы при включенной функции не было бы почтового ящика для принятия результатов или записывались бы ненужные нам команды.

Давайте сначала взглянем на настройку почтового ящика. Для соответствующей настройки журнала используется команда Set-AdminAuditLogConfig с параметром AdminAuditLogMailbox. В приводимом ниже примере SMTP-адрес auditlog@neilhobson.com - это адрес почтового ящика, который специально создан для хранения результатов работы функции administrator audit logging. Обратите внимание: выбранный для этой цели почтовый ящик должен существовать в той же организации Exchange. Команда для выполнения этого действия выглядит примерно так:

Set-AdminAuditLogConfig 'AdminAuditLogMailbox auditlog@neilhobson.com

В случае успешного завершения после запуска этой команды не выводится никаких сообщений в Exchange Management Shell. Поэтому после запуска этой команды можно еще раз запустить команду Get-AdminAuditLogConfig для проверки конфигурации (см. Рисунок 3).

Имена команд, вносимых в журнал

Как уже упоминалось ранее в этой статье, по умолчанию записываются все команды за исключением команд типа Get-. Чтобы изменить такую настройку, нужно воспользоваться параметром AdminAuditLogCmdlets. При этом можно использовать как индивидуальные команды, так и команды с символом подстановки. Например, чтобы записывать только команду Set-TransportConfig, нужно запустить такую строку:

Set-AdminAuditLogConfig 'AdminAuditLogCmdlets Set-TransportConfig

Аналогично, в качестве примера использования символа подстановки, можно записывать все команды, заканчивающиеся на ReceiveConnector при помощи следующей строки:

Set-AdminAuditLogConfig 'AdminAuditLogCmdlets *ReceiveConnector

Этой командой мы устанавливаем запись команд New-ReceiveConnector, Set-ReceiveConnector и Remove-ReceiveConnector. А для записи всех команд, содержащих Config в названии, нужно запустить следующую команду:

Set-AdminAuditLogConfig 'AdminAuditLogCmdlets *Config*

Конечно, вероятнее всего, потребуется записывать команды нескольких типов. Для этого каждый тип нужно указать в параметре AdminAuditLogCmdlets, разделив их запятыми. Например, чтобы записывать все команды, заканчивающиеся на ReceiveConnector и имеющие Config в названии, выполняется следующая команда:

Set-AdminAuditLogConfig 'AdminAuditLogCmdlets *ReceiveConnector, *Config*

Существует и возможность того, что понадобится заносить в журнал все команды после того, как настройки по умолчанию были сбиты. Для этого используется следующая команда:

Set-AdminAuditLogConfig 'AdminAuditLogCmdlets *

Однако занесение в журнал всех команд в большой организации Exchange очевидно приведет к появлению множества записей, и, следовательно, нужно аккуратно обращаться с этой возможностью.

Заключение

Этим мы завершаем первую часть нашей статьи о функции administrator audit logging в Exchange 2010. В этой статье было описано, что представляет собой функция administrator audit logging, и начато рассмотрение различных возможных параметров. Во второй части мы завершим наш обзор настроек, после чего изучим рабочий пример использовании функции.