Journalisation d’audit de l’administrateur dans Exchange Server

S’applique à : Exchange Server 2013

Vous pouvez utiliser la journalisation d’audit de l’administrateur dans Microsoft Exchange Server 2013 pour journaliser lorsqu’un utilisateur ou un administrateur apporte une modification dans votre organisation. En conservant un journal des modifications, vous pouvez suivre les modifications jusqu’à la personne qui les a effectuées, renforcer vos journaux de modifications avec des enregistrements détaillés de la modification telle qu’elle a été mise en place, vous conformer aux exigences et demandes réglementaires sur les découvertes et bien plus.

Par défaut, la journalisation d’audit est activée dans les nouvelles installations d’Exchange 2013.

Ce qui est analysé

Les cmdlets exécutées directement dans l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell sont auditées. De plus, les opérations effectuées à l'aide du Centre d'administration Exchange (CAE) sont également consignées, car elles exécutent des cmdlets en arrière-plan.

Les cmdlets, quel que soit l'endroit où elles sont exécutées, font l'objet d'un audit si une cmdlet figure sur la liste d'audits des cmdlets et si au moins un paramètre de cette cmdlet figure sur la liste d'audits des paramètres. L'enregistrement d'audit permet de montrer quelles actions ont été effectuées pour modifier des objets dans une organisation Exchange plutôt que de montrer les objets consultés.

Importante

Une cmdlet peut ne pas être enregistrée si une erreur s'est produite avant que la cmdlet appelle l'agent d'extension du journal d'audit d'administration. Si une erreur se produit après l'appel de l'agent du journal d'audit d'administration, la cmdlet, ainsi que l'erreur qui lui est associée, est enregistrée. Pour plus d'informations, consultez la section Admin Audit Log Agent présentée ci-après dans cette rubrique.

Les modifications apportées à l’aide des outils de gestion Microsoft Exchange Server 2010 sont enregistrées. Toutefois, les modifications effectuées à l’aide des outils de gestion Microsoft Exchange Server 2007 ne sont pas journalisées.

Les modifications apportées à la configuration de l’enregistrement d’audit sont actualisées toutes les 60 minutes sur les ordinateurs ayant l’environnement de ligne de commande Exchange Management Shell ouvert au moment de la modification de la configuration. Si vous souhaitez appliquer les modifications immédiatement, fermez et rouvrez l’environnement de ligne de commande Exchange Management Shell sur chaque ordinateur.

Une commande peut prendre jusqu’à 15 minutes après son exécution pour apparaître dans les résultats de recherche du journal d’audit. Cela est dû au fait que les entrées du journal d’audit doivent être indexées avant de pouvoir faire l’objet d’une recherche. Si aucune commande n’apparaît dans le journal d’audit de l’administrateur, patientez quelques minutes et réexécutez la recherche.

Auditer la configuration de la journalisation

Par défaut, si la journalisation d’audit est activée, une entrée de journal est créée chaque fois qu’une applet de commande est exécutée. Si vous ne souhaitez pas auditer chaque cmdlet, vous pouvez configurer la journalisation d'audit en la limitant aux cmdlets et paramètres de votre choix. La cmdlet Set-AdminAuditLogConfig vous permet de configurer la journalisation d'audit. Les paramètres référencés dans les sections suivantes sont utilisés avec cette cmdlet.

Importante

Les modifications apportées à la configuration de l’enregistrement d’audit sont toujours consignées, que la cmdlet Set-AdministratorAuditLog figure dans la liste des cmdlet auditées ou non et que l’enregistrement d’audit administrateur soit activé ou non.

Lorsqu'une commande est exécutée, Exchange inspecte la cmdlet utilisée. Si l’applet de commande exécutée correspond à l’une des applets de commande fournies avec le paramètre AdminAuditLogConfigCmdlets , Exchange vérifie ensuite les paramètres spécifiés dans le paramètre AdminAuditLogConfigParameters . Si au moins un ou plusieurs paramètres de la liste des paramètres sont mis en correspondance, Exchange journalise l’applet de commande exécutée dans la boîte aux lettres spécifiée à l’aide du paramètre AdminAuditLogMailbox . Les sections suivantes contiennent d'autres informations sur chaque aspect de la configuration de la journalisation d'audit.

Pour plus d'informations sur la gestion de la configuration de la journalisation d'audit, consultez la rubrique Gestion de la journalisation d'audit de l'administrateur.

Cmdlets

Vous pouvez contrôler quelles cmdlets sont auditées en fournissant une liste de cmdlets et leurs paramètres associés que vous souhaitez enregistrer. Lorsque vous configurez la journalisation d’audit, vous pouvez spécifier pour auditer chaque applet de commande, ou vous pouvez spécifier les applets de commande que vous souhaitez auditer à l’aide du paramètre AdminAuditLogConfigCmdlets . Vous pouvez spécifier des noms complets d’applet de commande, tels que New-Mailbox, ou spécifier des noms d’applet de commande partiels et les inclure dans des caractères génériques, tels qu’un astérisque (*). Par exemple, si vous souhaitez journaliser l’exécution d’une applet de *Transport*commande contenant la chaîneTransport, vous pouvez spécifier la valeur . Vous pouvez mélanger des noms complets et partiels de cmdlets pour personnaliser la configuration de l’enregistrement d’audit en fonction de vos besoins.

Parameters

En plus de spécifier quelles cmdlets doivent être enregistrées dans le journal, vous pouvez également indiquer que les cmdlets ne seront enregistrés que si certains paramètres associés sont utilisés. Utilisez le paramètre AdminAuditLogConfigParameters pour spécifier quels paramètres doivent être enregistrés. Comme avec les applets de commande, vous pouvez spécifier des noms de paramètres complets, tels que Database, ou des noms de paramètres partiels entourés de caractères génériques (*), tels que *Address*, ou une combinaison des deux.

Limite d’âge du journal d’audit

Par défaut, l’enregistrement d’audit est configuré pour stocker les entrées de journal d’audit pendant 90 jours. Après 90 jours, l’entrée du journal d’audit est supprimée. Vous pouvez modifier la durée de vie du journal d’audit à l’aide du paramètre AdminAuditLogAgeLimit. Vous pouvez spécifier le nombre de jours, d’heures, de minutes et de secondes correspondant à la durée pendant laquelle les entrées de journal d’audit peuvent être conservées. Pour spécifier une valeur, utilisez le format dd.hh:mm:ss suivant :

  • dd : nombre de jours pendant lesquels conserver l’entrée du journal d’audit.

  • hh : nombre d’heures pendant lesquelles conserver l’entrée du journal d’audit.

  • mm : nombre de minutes pendant lesquelles conserver l’entrée du journal d’audit.

  • ss : nombre de secondes pendant lesquelles conserver l’entrée du journal d’audit.

Vous devez spécifier plusieurs années à l’aide du dd champ . Par exemple, 365 jours correspondent à une année, 730 jours à deux ans, 913 jours à deux ans et six mois. Par exemple, pour définir la limite d’âge du journal d’audit sur deux ans et six mois, utilisez la syntaxe 913.00:00:00.

Avertissement

Vous pouvez définir la limite d’âge du journal d’audit sur une valeur inférieure à la durée de vie actuelle. Si vous procédez de la sorte, toute entrée de journal d’audit dont l’âge dépasse la nouvelle limite d’âge sera supprimée.

Si vous définissez la limite d’âge sur 0, Exchange supprime toutes les entrées dans le journal d’audit.

Il est conseillé d’attribuer les autorisations pour configurer la limite d’âge du journal d’audit uniquement aux utilisateurs de confiance.

Journalisation des informations détaillées

Par défaut, le journal d’audit de l’administrateur enregistre uniquement le nom de l’applet de commande, les paramètres d’applet de commande (et les valeurs spécifiées), l’objet qui a été modifié, qui a exécuté l’applet de commande, le moment où l’applet de commande a été exécutée et sur le serveur sur lequel l’applet de commande a été exécutée. Le journal d’audit de l’administrateur n’enregistre pas les propriétés qui ont été modifiées sur l’objet. Si vous souhaitez que le journal d’audit inclue également les propriétés de l’objet modifié, vous pouvez activer la journalisation détaillée en définissant le paramètre LogLevel sur Verbose. Lorsque vous activez la journalisation détaillée, en plus des informations journalisées par défaut, les propriétés modifiées sur un objet, y compris leurs anciennes et nouvelles valeurs, sont incluses dans le journal d’audit.

Cmdlets de test

Les cmdlets qui commencent par le verbe Test ne sont pas consignées par défaut. Vous pouvez indiquer que les applets de commande Test doivent être journalisées en définissant le paramètre TestCmdletLoggingEnabled sur $true. Bien que vous puissiez activer la journalisation des applets de commande de test, nous vous recommandons de ne le faire que pendant de courtes périodes, car les applets de commande de test peuvent produire une grande quantité d’informations.

Journaux d’audit

Chaque fois qu’une cmdlet est enregistrée, une entrée de journal d’audit est créée. Les journaux d’audit sont stockés dans une boîte aux lettres d’arbitrage masquée et dédiée, accessible uniquement à l’aide du CAE ou de l’applet de commande Search-AdminAuditLog ou New-AdminAuditLogSearch . Il ne peut pas être ouvert à l’aide de Microsoft Outlook Web App ou de Microsoft Outlook. Les sections ci-dessous fournissent les informations suivantes :

  • Le contenu des journaux

  • Rapports disponibles sur la page d’audit du CAE

  • Les cmdlets de recherche de journal d’audit

Contenu des journaux d'audit

Chaque entrée du journal d’audit contient les informations décrites dans le tableau suivant. Le journal d’audit contient une ou plusieurs entrées de journal d’audit. Le nombre d’entrées du journal d’audit est contrôlé par la limite d’âge du journal d’audit spécifiée à l’aide de l’applet de commande Set-AdminAuditLogConfig . Toute entrée du journal d’audit qui dépasse la durée de vie spécifiée est supprimée.

Champs d'entrée de journal d'audit

Champ Description
RunspaceId Ce champ est utilisé en interne par Exchange.
ObjectModified Ce champ contient l’objet qui a été modifié par l’applet de commande spécifiée dans le CmdletName champ .
CmdletName Ce champ contient le nom de l’applet de commande qui a été exécutée par l’utilisateur dans le Caller champ .
CmdletParameters Ce champ contient les paramètres qui ont été spécifiés lors de l’exécution de l’applet de commande dans le CmdletName champ. La valeur spécifiée avec le paramètre est également stockée dans ce champ, mais invisible dans la sortie par défaut, le cas échéant. Pour plus d’informations sur la façon d’accéder aux informations supplémentaires dans ce champ, consultez Rechercher les modifications du groupe de rôles ou journaux d’audit de l’administrateur.
ModifiedProperties Ce champ contient les propriétés qui ont été modifiées sur l’objet dans le ObjectModified champ . L’ancienne valeur de la propriété et la nouvelle valeur stockée sont également stockées dans ce champ, mais sont invisibles dans la sortie par défaut. Pour plus d’informations sur la façon d’accéder aux informations supplémentaires dans ce champ, consultez Rechercher les modifications du groupe de rôles ou journaux d’audit de l’administrateur.

Important : ce champ est rempli uniquement si le paramètre LogLevel de l’applet de commande Set-AdminAuditLogConfig a la valeur Verbose.
Caller Ce champ contient le compte d’utilisateur de l’utilisateur qui a exécuté l’applet de commande dans le CmdletName champ .
Succeeded Ce champ spécifie si l’applet de commande dans le champ s’est CmdletName exécutée avec succès. La valeur est ou TrueFalse.
Error Ce champ contient le message d’erreur généré si l’applet de commande dans le CmdletName champ n’a pas pu se terminer correctement.
RunDate Ce champ contient la date et l’heure d’exécution de l’applet de commande dans le CmdletName champ. La date et l'heure sont enregistrées au format temps universel coordonné (UTC).
OriginatingServer Ce champ indique le serveur sur lequel l’applet de commande spécifiée dans le CmdletName champ a été exécutée.
Identity Ce champ est utilisé en interne par Exchange.
IsValid Ce champ est utilisé en interne par Exchange.
ObjectState Ce champ est utilisé en interne par Exchange.

Rapports d'audit du Centre d'administration Exchange (CAE)

La page d’audit dans le CENTRE d’administration Exchange contient plusieurs rapports qui fournissent des informations sur différents types de modifications de conformité et de configuration administrative. Les rapports suivants fournissent des informations sur les modifications de configuration dans votre organisation :

  • Rapport de groupe de rôles Administrateur : ce rapport vous permet de rechercher les modifications apportées aux groupes de rôles d’administration que vous spécifiez dans un délai spécifié. Les résultats renvoyés incluent les groupes de rôles qui ont été modifiés, par qui et leur date ainsi que les modifications qui ont été apportées. 3 000 entrées maximum peuvent être renvoyées. Si votre recherche peut renvoyer plus de 3 000 entrées, utilisez le rapport Journal d'audit de l'administrateur ou la cmdlet Search-AdminAuditLog.

  • Journal d’audit de l’administrateur : ce rapport vous permet d’exporter les entrées du journal d’audit enregistrées dans un délai spécifié vers un fichier XML, puis d’envoyer le fichier par e-mail à un destinataire que vous spécifiez. Pour plus d'informations sur le contenu du fichier XML, consultez la rubrique Structure du journal d'audit de l'administrateur.

Pour plus d’informations sur l’utilisation de ces rapports, consultez Rechercher dans les modifications du groupe de rôles ou dans les journaux d’audit de l’administrateur.

Pour plus d’informations sur les autres rapports inclus dans la page d’audit , consultez Rapports d’audit Exchange.

Cmdlet Search-AdminAuditLog

Lorsque vous exécutez l’applet de commande Search-AdminAuditLog , toutes les entrées du journal d’audit qui correspondent aux critères de recherche que vous spécifiez sont retournées. Vous pouvez spécifier les critères de recherche suivants :

  • Applets de commande : spécifie les applets de commande que vous souhaitez rechercher dans le journal d’audit de l’administrateur.

  • Paramètres : spécifie les paramètres, séparés par des virgules, que vous souhaitez rechercher dans le journal d’audit de l’administrateur. Vous ne pouvez rechercher des paramètres que si vous avez spécifié une cmdlet à rechercher.

  • Date de fin : limite les résultats du journal d’audit de l’administrateur aux entrées de journal qui se sont produites à la date spécifiée ou avant.

  • Date de début : limite les résultats du journal d’audit de l’administrateur aux entrées de journal qui se sont produites à la date spécifiée ou après.

  • ID d’objet : spécifie que seules les entrées du journal d’audit de l’administrateur qui contiennent les objets modifiés spécifiés doivent être retournées.

  • ID utilisateur : spécifie que seules les entrées du journal d’audit de l’administrateur qui contiennent les ID spécifiés de l’utilisateur qui a exécuté l’applet de commande doivent être retournées.

  • Réussite de l’exécution : spécifie si seules les entrées du journal d’audit de l’administrateur indiquant un succès ou un échec doivent être retournées.

Chaque entrée de journal d’audit renvoyée contient les informations décrites dans le tableau dans Audit Log Contents. Par défaut, seules les 1 000 premières entrées de journal qui correspondent aux critères que vous spécifiez sont renvoyées. Cependant, vous pouvez annuler cette valeur par défaut et renvoyer plus ou moins d’entrées à l’aide du paramètre ResultSize. Vous pouvez spécifier une valeur de Unlimited avec le paramètre ResultSize pour retourner toutes les entrées de journal qui correspondent aux critères spécifiés.

Pour plus d’informations sur l’utilisation de l’applet de commande Search-AdminAuditLog , consultez Rechercher les modifications du groupe de rôles ou les journaux d’audit de l’administrateur.

Cmdlet New-AdminAuditLogSearch

La cmdlet New-AdminAuditLogSearch effectue des recherches dans le journal d’audit tout comme la cmdlet Search-AdminAuditLog. Toutefois, au lieu d’afficher les résultats de la recherche dans le journal d’audit dans l’interpréteur de commandes, l’applet de commande New-AdminAuditLogSearch effectue la recherche, puis envoie les résultats de la recherche à un destinataire que vous spécifiez via un e-mail. Les résultats sont inclus en tant que pièce jointe XML dans le message électronique.

Vous pouvez utiliser les mêmes critères de recherche avec la cmdlet New-AdminAuditLogSearch que ceux utilisés avec la cmdlet Search-AdminAuditLog. Pour obtenir la liste des critères de recherche, consultez Search-AdminAuditLog Cmdlet.

Après exécution de la cmdlet New-AdminAuditLogSearch, Exchange peut prendre jusqu'à 15 minutes pour remettre le rapport au destinataire spécifié. Le rapport sous forme de fichier XML joint peut avoir une taille maximale de 10 mégaoctets (Mo). Le fichier XML contient les mêmes informations que celles décrites dans le tableau contenu du journal d’audit. Pour plus d'informations sur la structure du fichier XML, consultez la rubrique Structure du journal d'audit de l'administrateur.

Remarque

Outlook Web App ne vous permet pas d'ouvrir des pièces jointes au format XML par défaut. Vous pouvez soit configurer Exchange de façon à autoriser l'affichage des pièces jointes au format XML à l'aide d'Outlook Web App, soit utiliser un autre client de messagerie électronique, tel que Microsoft Outlook, de façon à afficher la pièce jointe. Pour plus d’informations sur la configuration d’Outlook Web App pour vous permettre d’afficher une pièce jointe XML, voir Afficher ou configurer des répertoires virtuels Outlook Web App.

Pour plus d’informations sur l’utilisation de l’applet de commande New-AdminAuditLogSearch , consultez Rechercher les modifications du groupe de rôles ou les journaux d’audit de l’administrateur.

Entrées manuelles du journal d’audit

En plus de journaliser les applets de commande Exchange lorsqu’elles sont exécutées, Exchange 2013 vous permet d’écrire manuellement des entrées de journal dans le journal d’audit. Exchange 2013 prend en charge cette opération à l’aide de l’applet de commande Write-AdminAuditLog . Les situations dans lesquelles vous devrez ajouter manuellement une entrée de journal sont les suivantes :

  • Entrée et sortie de script personnalisé

  • Informations de contrôle de modification

  • Heures de début et de fin de maintenance

Avec l’applet de commande Write-AdminAuditLog , vous spécifiez une chaîne de texte à inclure dans le journal d’audit à l’aide du paramètre Comment . Le paramètre Comment accepte une chaîne alphanumérique jusqu’à 500 caractères. Les informations incluses dans l'entrée de journal manuelle et la chaîne de commentaire sont exactement les mêmes que celles enregistrées avec une cmdlet Exchange. Pour obtenir une description de chaque champ inclus dans le journal d’audit, consultez le tableau contenu du journal d’audit.

Vous pouvez récupérer les entrées manuelles du journal d’audit de la même façon que n’importe quelle autre entrée de journal, à l’aide de la page d’audit du CAE ou des applets de commande Search-AdminAuditLog ou New-AdminAuditLogSearch .

Pour afficher le contenu du paramètre Comment sur l’applet de commande Write-AdminAuditLog dans une entrée de journal d’audit manuelle, consultez Rechercher les modifications du groupe de rôles ou les journaux d’audit de l’administrateur.

Réplication Active Directory

L'enregistrement d'audit par un administrateur s'appuie sur la réplication Active Directory pour répliquer les paramètres de configuration que vous spécifiez pour les contrôleurs de domaine de votre organisation. Selon vos paramètres de réplication, les modifications que vous apportez peuvent ne pas être appliquées immédiatement à tous les serveurs exécutant Exchange 2013 ou Exchange 2010 dans votre organisation.

Agent du journal d'audit d'administration

L’agent d’extension d’applet de commande intégré Administration Journal d’audit effectue la journalisation d’audit administrateur des opérations d’applet de commande dans Exchange 2013. Cet agent lit la configuration de la journalisation d’audit, puis effectue une évaluation de chaque cmdlet exécutée dans votre organisation. Si le critère que vous avez spécifié dans la configuration du journal d’audit correspond à la cmdlet exécutée, l’agent génère un journal d’audit.

L’agent du journal d’audit d’administration est activé par défaut afin que l’enregistrement d’audit puisse fonctionner. Il ne peut pas être désactivé et sa priorité ne peut pas être modifiée. Pour plus d'informations sur les agents d'extension de cmdlet, consultez la rubrique Agents d'extension des cmdlets.