Когда-то аудит в Exchange не был самым удобным средством поиска информации, так как было весьма непросто получать читаемые результаты из собранных данных. .

Я рассматривал в своей статье вопрос включения аудита действий администраторов и доступа к записям аудита в Exchange 2010 еще в апреле 2011 года (см. Windows IT Pro/RE № 9 за 2011 год). Помимо включения административного аудита по умолчанию во вновь развернутых организациях (http://technet.microsoft.com/en-us/library/dd335144(v=exchg.150).aspx) с тех пор изменилось не так уж много. Действительно, кроме перемещения параметров аудита с вкладки управления соответствием в панели управления Exchange 2010 (ECP) в новый центр администрирования Exchange 2013 (EAC), развитие этой важной темы управления фактически стоит на месте.

Возможно, это было так потому, что никому особенно и дела не было до административного аудита. Или, быть может, потому, что все быстро забывали об аудите сразу после того, как включали его для соблюдения каких-то нормативных требований. Или, возможно, все мы так сильны в PowerShell, чтобы многократно запускать команду Search-AdminAuditLog (http://technet.microsoft.com/en-us/library/ff459250(v=exchg.150).aspx) для извлечения полезной информации из записей аудита. Либо мы просто ждали, что Microsoft сделает что-то более стоящее, предоставив новую полезную функцию в EAC.

Как выяснилось, это было сделано только в Exchange 2013 CU3. Возможно, вы даже не заметили данного изменения, так как секция аудита в EAC является не самым посещаемым местом, однако если вы зайдете туда, то увидите новую готовую к использованию функцию View the Administrator Audit Log («Просмотр журнала административного аудита»).

Вызов этой функции приводит к открытию в EAC нового окна для отображения записей административного аудита за последние две недели. Вы можете по своему желанию изменить диапазон дат, однако сейчас мы остановимся на том, что именно можно увидеть при просмотре записей аудита.

Как оказалось, там можно отыскать довольно интересные записи, которые могут помочь узнать, кто что делал в Exchange. Конечно, если вы единственный администратор, этот вопрос не очень занимателен, ибо ответ очевиден, но если за работу Exchange отвечает целая команда, то не всегда бывает легко выяснить, кто именно и когда какие внес изменения.

Рассмотрим пример, показанный на приведенном снимке экрана. На нем показана запись аудита от 16 января 2014 года с информацией о том, что администратор (точнее, тот, кто вошел в систему с учетной записью Administrator) выполнил команду Set-MailboxServer для установки политики активации базы данных на сервере ExServer2 в состояние blocked («заблокирована»). Результатом действия такой команды будет запрет выполнения службой Active Manager в случае сбоя автоматического перехода к копиям баз данных на сервере ExServer2, а это никто не станет делать без уважительной причины. В нашем случае активация баз данных на сервере была заблокирована для установки кумулятивного обновления, что является действием, рекомендованным Microsoft для выполнения установки обновлений на серверы, входящие в DAG-группу (хороший пример сценария для автоматизации этого процесса можно найти по адресу http://michaelvh.wordpress.com/2013/11/).

 

Пример записи аудита
Экран. Пример записи аудита

Возможность доступа к записям административного аудита с помощью простого механизма поиска и просмотра — разумный шаг вперед. Однако это мало помогает тем, кто работает в крупных организациях, по причине огромного количества ежедневно создаваемых записей аудита. В таких обстоятельствах администраторам, скорее всего, по-прежнему придется регулярно запускать команду Search-AdminAuditLog для сканирования и извлечения сведений о необычных событиях, таких как размонтирование баз данных или создание новых транспортных правил. Надеюсь, им удастся автоматизировать эти действия с помощью сценариев.

Приятно видеть, что разработчики Exchange наконец-то приложили определенные усилия к тому, чтобы секция аудита в EAC стала более содержательной и полезной. Однако это только начало, и предстоит еще многое сделать для того, чтобы средство просмотра журналов аудита стало действительно ценным инструментом.