メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。
トランスポートルールの変更の内容を確認する場合、管理者監査ログの機能を利用することで可能です。
なお、管理者監査ログはコマンドレットベースで記録されるため、トランスポートルールの変更については、Set-TransportRule として記録されます。
また、変更したユーザーや変更したルールのパラメーターについても記録されるため確認が可能です。
以下のサイトの手順にて、Exchange Online に接続してから実行してください。
[構文]
Search-UnifiedAuditLog -StartDate "<開始日時>" -EndDate "<終了日時>" -ResultSize <ログを取得する件数> -Operations "<コマンドレット>" -Formatted -RecordType ExchangeAdmin | Export-CSV -Path <ファイルの出力場所\ファイル名.csv> -Encoding UTF8 -NotypeInformation
[実行例]
Search-UnifiedAuditLog -StartDate "02/28/2017" -EndDate "03/13/2017" -ResultSize 5000 -Operations "Set-TransportRule" -Formatted -RecordType ExchangeAdmin | Export-CSV -Path "C:\Temp\AdminAuditLog.csv" -Encoding UTF8 -NotypeInformation
※上記実行例では C ドライブの Temp フォルダーへ AdminAuditlog というファイル名で保存しています。
※ 開始日 (StartDate)は、180 日前まで指定が可能です。
出力された CSV ファイルの確認方法
出力された Excel ファイルのリボンタブの [データ] > [フィルター] をクリックし、[L列] の [RunDate] を昇順にし、[D列] の [ObjectModified] より、該当するトランスポートルールを表示し、[H列] の [Caller] に記載されているアカウントがルール変更のの実行者となります。
[CmdletParameters] にて、変更したパラメーターが記録されます。
なお、[CmdletParameters] にて、以下のパラメーターは変更の有無に関わらず記録されることを確認してます。
[StopRuleProcessing]
[SetAuditSeverity]
[RuleErrorAction]
[Priority]
[Identity]
監査ログの取得結果について
ObjectModified : 設定対象オブジェクトの Name 値(どのユーザーやグループに対して行ったコマンドレットか)
CmdletName : 実行されたコマンドレット
CmdletParameters : [CmdletName] に記載されたコマンドに付与されたすべてのパラメーター
Caller : 実行した管理者ユーザー
※ データセンター側で実行されたログは Caller 項目に "********" と表示されます。
RunDate : 実行された日付
Succeeded : 成功かどうか
Name : 何を設定するか
Value : 設定の内容
