Exchange Admin Audit Logging

Wer hat die Mailboxrechte geändert, User zu einer Verteilergruppe hinzugefügt? Antworten auf diese und mehr Fragen findet ihr im Exchange 2010 Audit Log.

Seit Exchange 2010 SP1 ist der Admin Audit Log standardmäßig aktiviert welcher alle aufgerufenen Powershell cmdlets mitprotokolliert (ausgenommen Get- und Search-) . Auch Aktionen die in der Konsole usw. ausgeführt werden sind darin protokolliert da im Hintergrund auch cmdlets ausgeführt werden.

Zu finden ist der Admin Audit Log im Exchange Control Panel (ECP) bzw. via Powershell mit Search-AdminAuditLog oder New-AdminAuditLogSearch .

Ich beschreibe hier mal vorerst nur den Weg via ECP:

  1. ECP öffnen – https://cas_server.domain.com/ecp
  2. Roles & Auditing
  3. Auditing
  4. Export the administrator audit log…
  5. Hier könnt ihr den gewünschten Zeitraum definieren und den Empfänger auswählen (wird als XML via Mail an die Empfänger geschickt). Der Versand kann bis zu 24 Stunden dauern! Bei unseren Tests dauerte es im Schnitt allerdings nur ca. 20 Minuten (2 Tage Zeitraum)

Das Ergebnis sieht dann ca. so aus:
In diesen Fall hat der User user1 eine Automatische Antwort für den definierten Zeitraum eingestellt.