Admin Audit Log

  • Hallo Exchange Community,


    ich komme gerade in Kontakt mit dem Admin Auditing. Dies soll laut Antrag bei uns aktiviert werden. Nun ist Admin Auditing in Exchange 2013 default aktiv, ich bekomme aber in der Ausgabe keine Logeinträge angezeigt, obwohl ich zB zuletzt das Virtuelle Verzeichnis der EWS modifiziert habe.


    Rolle: Org Admin


    Folgende Werte sind aktiv (default):


    • AdminAuditLogEnabled: True
    • LogLevel: None
    • TestCmdletLoggingEnabled: False
    • AdminAuditLogCmdlets: {*}
    • AdminAuditLogParameters: {*}
    • AdminAuditLogExcludedCmdlets : {}
    • AdminAuditLogAgeLimit: 90.00:00:00


    Angezeigt wird im Admin Log aber nichts: Verwaltung und Compliance -> Überwachung -> Adminstratorüberwachungsprotokoll-Bericht ausführen -> Suche -> "Es gibt keine Elemente, die in dieser Ansicht angezeigt werden können"


    Ich bitte um Unterstützung.


    lcp



    Meine Informationen:

    https://docs.microsoft.com/de-…w-administrator-audit-log

    http://msexchangeguru.com/2015…inistrator-audit-logging/
    http://www.mustbegeek.com/view…it-logs-in-exchange-2016/

  • Lösung: In nicht englisch sprachigen Exchange 2013 und 2016 scheint ein Bug zu exisiterien, durch den es nicht möglich ist "Search-AdminAuditLog" mit dem Parameter "-Cmdlets xxxxx" auszuführen. Das ganze Log anzuzeigen oder nach Datum "-StartDate 08/04/2018 -EndDate 10/03/2018" zu filtern ist möglich. Die ECP verwendet immer den "-cmdlet xxxxx" Paramter (ggf. für alle cmdlets mit '*'), dementsprechend wird dort nichts ausgegeben.



    Falls jemand also auf das gleiche Problem trifft, einfach das gesamte Log für den Tag ausgeben und exportieren, anschließend das Log mit externen Tools durchsuchen:


    Search-AdminAuditLog -StartDate 08/04/2018 -EndDate 10/03/2018 >> C:\log.txt


    oder
    Search-AdminAuditLog -StartDate 08/04/2018 -EndDate 10/03/2018 | exprt-csv C:\log.csv
    oder
    New-AdminAuditLogSearch -StartDate 08/04/2018 -EndDate 10/03/2018 -StatusMailRecipients davids@contoso.com -Name "AdminAuditLog"