目录
1、技术规范
1)通过使用管理员(Administrator Audit Logging)来记录管理员在组织中进行的操作和更改,以遵守法规要求和发现请求等。
2)默认情况下,在新安装的 Exchange Server 中已启用管理员审核日志记录。
3)如果命令调用 Admin Audit Log 扩展代理前发生错误,则该命令可能不会记录;如果命令调用 Admin Audit Log 扩展代理后发生错误,则将记录该命令的相关错误。
- 默认 Admin Audit Log agent 默认已启用、不能禁用、不能修改其优先级。
4)审核日志配置将在服务器的 Exchange Management Shell 中每 60 分钟刷新一次。如果需要立即应用该设置,清关闭并重新打开 Exchange Management Shell。
5)审核日志依赖于 Active Directory 复制将指定的配置设置复制到组织中的域控制器。
6)命令执行完毕后,可能约 15 分钟后才出现在审核日志搜索结果中。
7)审核日志保存在隐藏、专用的 Arbitration Mailbox 中。
2、启用管理员审核日志记录
(默认已启用)
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true
Get-AdminAuditLogConfig | fl *log*
3、配置管理员审核日志记录
1)保留期:
● 默认情况下,保留期为 90 天。
● 使用以下命令修改保留期:
Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 180<