易宝典——玩转O365中的EXO服务 之四十九 如何知道管理员进行了哪些操做

在企业中除了须要了解、跟踪管理员可能对用户邮箱的访问外，还须要跟踪管理员在邮件组织中进行的设置和操做，以便确认全部行为合规。而且保证邮件组织的稳定正确运行，以及在出现误操做或恶意操做时，可以及时进行排查修复故障。对须要追责的事件提供可靠的指引和证据。

所以，在Exchange Online中提供了管理员审核日志，用于记录管理员对组织和收件人配置进行的修改。能够用于跟踪误操做致使事件、肯定恶意操做的行为、验证相关操做是否符合合规要求。

1、跟踪管理员对用户帐户角色的调整

一般状况下，邮件组织的管理员能够经过本身的权限对企业中的用户授予必定管理角色，以便指定用户得到响应的管理权限。若是未经受权的这类操做，可能将给企业邮件系统带来维护上的极大困难，影响邮件系统正常运行的稳定性。

那么如何才能有效了解到哪些管理员为其余哪些用户进行过受权呢？这是在进行合规处理以及后续追责方面尤为须要的。Exchange Online为使用者提供了管理角色组更改报告，该报告能够展现管理员对组织中管理角色组成员修改的信息记录。

经过Exchange管理中心（EAC）能够很方便的导出管理角色组更改报告。在EAC中导航到“合规性管理”，在右侧选择“审核”，点击“运行管理员角色组报告”。

在打开的“搜索对管理员角色组的更改”窗口中，指定须要获取报告的起始日期和结束日期，还能够经过筛选器指定检索特定角色组的受权状况，若是不指定，则会检索全部角色组的受权状况。最后点击“搜索“，将在下方列出符合检索条件的角色组更改报告。

从报告中很容易看出哪一个管理员为哪一个用户在何时授予了哪一种管理角色权限。

2、利用管理员审核日志跟踪管理员操做

若是要想知道更多的管理员操做信息，能够经过管理员审核日志来获取。

对于管理员审核日志的获取有两个途径，分别是经过“运行管理员审核日志报告”和“导出管理员审核日志”。对于“运行管理员审核日志报告”能够查看管理员审核日志中有关组织管理员所作的配置更改。而“导出管理员审核日志”将会把日志导出为一个XML文件，和邮箱审核日志相同，Exchange Online会将该XML文件以邮件附件的形式发送到指定用户邮箱，所以，若是用户使用OWA做为客户端，那么必须为其启用容许OWA附件，具体操做能够参考《玩转O365中的EXO服务 之四十七 怎样获取邮箱审核日志》（https://blog.51cto.com/liulike/2359471）。

1、确认管理员审核日志功能是否已经启用

在Exchange Online中管理员审核日志是默认开启的，能够经过Get-AdminAuditLogConfig来确认该功能是否真实启用。

Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled

须要注意，在Exchange Online该功能是不能关闭的，但在Exchange Server中该功能能够经过Set-AdminAuditLogConfig来进行启用或禁用，如：

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

在确认已经启用管理员审核日志功能以后就能够查看或导出管理员审核日志了。

2、查看管理员审核日志

在EAC中导航到“合规性管理”，在右侧选择“审核”，点击“运行管理员审核日志报告”。

在“搜索以查看配置更改”窗口中，指定要检索的日志的起始日期和终止日期，若是不进行定义则会默认筛选近15日的日志。点击“搜索”进行检索，其结果将会显示在下方。

3、导出管理员审核日志

在EAC中导航到“合规性管理”，在右侧选择“审核”，点击“导出管理员审核日志”。

指定须要导出日志的起始日期和结束日期，以及将导出的XML文件发送至哪一个指定的用户邮箱，最后点击导出便可。

Exchange Online限制该XML的大小不超过10MB，因此在选择时间区间时，应尽可能精确，默认的时间范围为最近15天。另外，Exchange Online的日志导出通常持续时间较长，因此经过不可能立刻收到邮件，一般为24小时内发出，但实测也有更为缓慢的时候，要等到48-72小时或更长。

3、使用PowerShell查询并导出管理员审核日志

若是要使用一些高级或更加精确的筛选，可使用PowerShell来进行操做。好比，默认状况下只会筛选出1000条目，可是在PowerShell中使用_ResultSize_可指定符合条件的条目返回数。

1、查询管理员审核日志

如要筛选2019年3月7日至2019年3月8日，管理员在系统中对邮箱进行的发送和接收邮件大小限制等操做日志。可使用Search-AdminAuditLog来进行。

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

能够将其返回值赋予一个变量，经过指定查看该数组类型值的元素ID，能够查看具体的某一条日志记录。

$res = Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

$res[0]

能够经过该日志记录的各属性查看具体信息。

$res[0].CmdletParameters

2、导出管理员审核日志

能够经过New-AdminAuditLogSearch建立导出管理员审核日志。

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019 -StatusMailRecipients admin@lpwr.net -Name "Mail limit Setting 20190308"

一样，该操做Exchange Online在执行完成后，将会把符合筛选条件的日志条目以XML文件附件方式发送到指定的邮箱中，时间一样为24小时内。所以须要较长的等待，而且XML文件的大小会被限制在10MB之内。