Ereignisse protokollieren

Active Directory effizient überwachen und Probleme erkennen

Exchange-Administratoren überwachen

In Exchange Server 2010 haben Unternehmen die Möglichkeit, Änderungen, die Administratoren am System durchführen, zu überprüfen. Nach der Installation protokolliert Exchange alle Änderungen am System automatisch. Jedes CMDlet, das Administratoren ausführen, erzeugt einen Protokolleintrag. In großen Umgebungen können diese Daten sehr umfassend sein.

Unter Kontrolle: Hier sehen Sie die Überwachungseinstellungen in Exchange Server 2010.
Unter Kontrolle: Hier sehen Sie die Überwachungseinstellungen in Exchange Server 2010.

Wollen Sie Änderungen an der Protokollierung vornehmen, müssen Sie das CMDlet Set-AdminAuditLogConfig mit der Option -AdminAuditLogCmdlets starten. Nach der Option -AdminAuditLogCmdlets schreiben Sie eine Liste der CMDlets, die Sie überwachen wollen. In der Liste können Sie auch mit dem Platzhalter * arbeiten, um mehrere CMDlets zu überwachen, zum Beispiel mit *mailbox*.

Wollen Sie nur einige Optionen der überwachten CMDlets im Protokoll aufnehmen, verwenden Sie die Option -AdminAuditLogParameters des CMDlets Set-AdminAuditLogConfig. Auch hier können Sie mit dem Platzhalter arbeiten, zum Beispiel Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address.

Eine ausführliche Liste der möglichen Optionen des CMDlets Set-AdminAuditLogConfig finden Sie im TechNet. Wollen Sie die aktuellen Einstellungen der Protokollierung anzeigen, verwenden Sie am besten das CMDlet Get-AdminAuditLogConfig | fl. Dieses zeigt in einer formatierten Liste alle Einstellungen an, die für die Protokollierung aktiviert und gesetzt sind.

Rufen Sie die Exchange-Systemsteuerung als Administrator über den Link https://<Servername>/ecp auf, klicken auf Rollen und Überwachung\Überwachung und dann auf Administratorüberwachungsportokoll exportieren, um das Protokoll anzuzeigen. Erfolgreiche Änderungen erhalten in der Spalte Succeeded die Option true.

Meldung: Exchange zeigt Änderungen auch in der Ereignisanzeige.
Meldung: Exchange zeigt Änderungen auch in der Ereignisanzeige.

Bei CMDlet sehen Sie das für die protokollierte Änderung verwendete CMDlet. Event Caller zeigt den Benutzernamen des Administrators an, ObjectModified das geänderte Objekt in der Exchange-Organisation. Das Datum der durchgeführten Änderung sehen Sie bei RunDate. Exchange protokolliert Änderungen in der Ereignisanzeige des Servers. Navigieren Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle\Microsoft\MSExchange Management.

Administratoren können die eigenen Änderungen in der Exchange-Verwaltungskonsole überwachen. Im Menüpunkt Ansicht aktivieren Sie die Option Befehlsprotokoll der Exchange-Verwaltungshell anzeigen. Wenn Sie auf Aktion\Befehlsprotokollierung starten klicken, zeichnet das Programm alle Änderungen auf. (mje)