ADM: Audiot Logging

Print Friendly, PDF & Email

ADMINISTRATOR AUDIT LOGGING IN EXCHANGE 2010 RTM y SP1

Audit logging (introducido en 2010) nos permite monitorizar si se está siguiendo un estándar en la convención de nombres delos buzones, o revisar los cambios de configuración de nuestra organización Exchange a través de EMC, EMS o Exchange Web services

Audit Logging esta desactivado por defecto y se requiere estos pasos

  • definir que vamos a auditar: set-AdminAuditLogConfig –AdminAuditLogCmdlet -AdminAuditLogParameters
  • Configurar un Auditing Mailbox (2010 RTM). en SP1 ya no es necesario, se agregan en: search-admiAuditLog
  • Activar el Audit Loging (no activado en RTM y si activado por defecto es SP1)
  • Revisar las entradas producidas en los logs para ver que se está cambiando en nuestra organización

Configuring Audit cmdlets and Parameters List

El Auditing se puede configurar para que nos monitorice a nivel de CMDLET e incluso a nivel de parámetro. Por defecto está configurado para que monitorice todos los cmdlet de Exchange (*)


Si queremos cambiar los cmdlet a monitorizar cambiaremos los parámetros AdminAuditCmdletsList and AdminAuditParametersList, y que solo se puede hacer por la Shell

Para ver la propiedades del Audit log

Get-AdminAuditLogConfig

 


 

El Administrador audit log es dependiente de los audit log almacenados en Active Directory y al ser a nivel de organización los cambios dependen de la replicación de active directorio

 

Paso 1: definir que queremos auditar /2010 RTM y SP1)

Cmdlet:

Por defecto audita todos los cmdlet (*), y todos los parámetros (*). Por ejemplo si queremos auditor todo lo que sea “mailbox” (New-mailbox, New-mailboxdatabase) podemos usar un wildcard para expresar el cmdlet

  • Set-AdminAuditLogConfig -AdminAuditLogCmdlets *mailbox*


 

Para auditor todos los cmdlet

  • Set-AdminAuditLogConfig -AdminAuditLogCmdlets *

Para obtener los cmdlet que estamos auditando

  • Get-AdminAuditLogConfig | FL AdminAuditLogCmdlets


No podemos añadir nuevos cmdlets a la lista existente, si queremos añadir “connector“, debemos volver a escribir todos los cmdlet a auditar

  • Set-AdminAuditLogConfig -AdminAuditLogCmdlets *mailbox*, *Connector

Aquí tenemos una lista de cmdlets: http://technet.microsoft.com/en-us/library/bb124413(v=exchg.141).aspx

Parámetros:

Evidentemente para que se audite, el parámetro también debe estar en la lista, por lo que si como “AdminAuditLogParameters” ponemos un asterisco (*), se van a auditar todos los parámetros de *mailbox*

En otras palabras, las palabras en la lista de los cmdlet a auditar no son suficientes si los parámetros del cmdlet no coinciden, de ahí que con un (*) nos aseguramos que se auditen todos los parámetros del cmdlet mailbox

Si quisiéramos por ejemplo auditar todos los nombres para crear nuevos ítems, ya que hay que darle un “name”

  • New-Mailbox –name
  • New-DatabaseAvailabilityGroup -Name
  • New-SendConnector -Name


Set-AdminAuditLogConfig -AdminAuditLogParameters *Name



Paso 2 (only 2010 RTM): definir un auditing mailbox y activar el Audit log

2010 RTM cuando se audita los comandos los logs se envían a un “auditing mailbox” el cual es un buzón normal, creado por nosotros anteriormente. Este es el comando para enviar los logs al mail del auditing

NOTA: En la versión 2010 SP1 los logs se envían a un lugar en donde los podemos ver con Search-AdminAuditLog, el cual muestra por defecto hasta 1000 entradas o

 

  • activar el Auditing (2010 RTM y 2010 Sp1,SP2,SP3)

En 2010 RTM Tras haber activado el buzón, activamos el audit log. En la versión SP1 ya está activado por defecto

  • Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
  • Así llegaria el los al buzón de auditing


 

Paso 3 activar el Auditing (2010 RTM y 2010 Sp1,SP2,SP3)

En 2010 RTM Tras haber activado el buzón, activamos el audit log. En la versión SP1 ya está activado por defecto, pero por si acaso lo podemos activar de la siguiente forma

  • Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

 

 

Paso 4. Buscar el el audit log (2010 SP1-Sp2)

Como sabemos, el audit log ya viene habilitado por defecto es 2010 SP1 y superior. Simplemente hay que buscar los que queremos

Si solo ponemos el comando Search-AdminAuditLog a secas, nos mostrara hasta 1000 entradas. Pero podemos filtrar por:

  • Cmdlet
  • Startdate
  • Enddate
  • IsSuccess

    get-tras

  • Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitS endQuota -StartDate 01/24/2010 -EndDate 02/12/2010 -IsSuccess $true

En este ejemplo estamos filtrando para que nos muestre las modificaciones en el comando new-mailbox el 09-julio-2013

  • Search-AdminAuditLog -Cmdlets New-Mailbox -StartDate 07/09/2013



TEST CMDLET

Por defecto los cmdlets que empiezan por Test-* no son monitorizados (Test-Mailflow, Test-OwaConnectovity, etc…). Si queremos que se auditen, dentro del cmdlet Set-AdminAuditLogConfig tenemos que poner el parámetro TestCmdletLoggingEnabled a TRUE

  • set-AdminAuditLogConfig -TestCmdletLoggingEnabled $true

Be the first to comment

Leave a Reply