blog.icewolf.ch

Let's talk about IT!
posts - 1314, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Exchange 2010 Administrator Audit Logging

Hallo zusammen,

Wie das Administrator Audit Logging von Exchange 2010 funktioniert ist bei Technet unter folgendem Artikel dokumentiert http://technet.microsoft.com/en-us/library/dd335052.aspx

Die Konfigurationseinstellung des Audit Loggings kann mit dem folgenden Befehl angezeigt werden.

Get-AdminAuditLogConfig | fl

Um das zu testen, löse ich als Administrator ein RemoteWipe für ein ActiveSync Device aus.

Nachdem das Gerät gelöscht ist logge ich mich auf dem Exchange Control Panel (ECP) ein. Unter dem Menüpunkt "Rollen und Überwachung" wähle ich "Überwachung" und "Administratorüberwachungsportokoll exportieren"

Ich kann noch den Zeitram eingrenzen, den ich dann angezeigt erhalte und an wen, dass das Logfile gesendet werden soll.

Dann geht das schon mal ein paar Minuten (mitunter 10 - 15 Minuten) bis das Email mit dem Logfile kommt. Auch sollte man schon mal ein paar Minuten zwischen dem Event und dem Versenden des AuditLogs verstreichen lassen. Es dauert nämlich ebenfalls so einige Zeit, bis die Events im AuditLog sind...

Das Logfile ist ein XML File. Hier kann dann nach der gewünschten Aktion gesucht werden. Man sieht hier genau, wer wann das Clear-ActiveSyncDevice aufgerufen hat.

Es ist übrigens auch ersichtlich, wenn der Benutzer selbst ein RemoteWipe im ECP ausführt.

Im Eventlog des Exchange Servers, ist zwar auch ersichtlich, dass das Clear-ActiveSyncDevice ausgeführt wurde. Jedoch nicht, wer das CMDlet ausgeführt hat und für welche Mailbox.

Grüsse
Andres Bohren

Print | posted on Wednesday, July 20, 2011 7:39 AM | Filed Under [ Exchange ]

Powered by:
Powered By Subtext Powered By ASP.NET