Enterprise Vault™ 审核

Last Published:
Product(s): Enterprise Vault (12.3)

审核数据库条目的格式

在 Enterprise Vault 12.3 中,审核管理活动(“管理活动”审核目录)功能已得到增强。特别要指出的是,与以下领域中的管理活动相关的信息质量显著提升:

  • Exchange、SMTP 和搜索策略

  • Exchange 和 SMTP 任务

  • Exchange 和 SMTP 目标

  • Exchange 邮件类别

  • 归档

还对基于角色的管理、保管库存储和分区管理以及高级设置的审核进行了改进。

改进的信息可用于使用管理控制台或 PowerShell Cmdlet 执行的活动。

注意:

Veritas 正增强对多个版本的 Enterprise Vault 审核。本附录中的详细信息可能在未来版本中有所更改。

审核数据库中的 EVAuditView 数据库视图可用于显示审核条目,由以下列组成:

表:EVAuditView 列说明

列标题

内容的说明

AuditID

审核条目的唯一标识符。

Status

SUCCESSFAILURE。操作是已成功完成还是失败。

AuditDate

生成审核条目的操作的日期和时间。

UserName

执行操作的用户。

CategoryName

审核类别,如 Enterprise Vault 服务器的“计算机属性”中所定义。

SubCategoryName

审核条目的更具体分类。

ObjectID

已更改的实体的 ID,例如 Saveset ID、站点 ID、归档 ID。

Vault

仅对于大量审核,此列通常包含归档 ID 或 ArchivePoint ID。

Info

自由格式文本提供有关所执行操作的更多信息。

在 Enterprise Vault 12.3 及更高版本中,有关审核操作的更多详细信息将在此列中提供。不同审核条目中此列的内容是本附录的主题。

MachineName

从中生成审核条目的计算机。

Info 列已引入一种新格式,能够以结构化和一致的方式显示审核操作的有关信息。本附录的其余部分介绍了各种审核条目中 Info 列的内容。请注意,完整审核条目还包含上述列出的信息,例如日期和时间、执行操作的用户,以及已更改的实体的 ID。

我们建议您使用 SQL 查询根据条件(例如日期范围、用户名或 ObjectID)查看和过滤审核条目。

要在结果中返回格式化的 XML,请使用类似如下的查询:

USE EnterpriseVaultAudit 
SELECT TOP 50 ObjectID, AuditDate, UserName, 
  TRY_CAST(info AS XML) AS infoXML
FROM EVAuditView
ORDER BY auditid DESC
简单审核条目中的信息内容

以下示例显示了在更改 Exchange 邮箱策略中的设置时所创建的审核条目中 Info 列的内容。表:示例中 XML 字段的说明 介绍了包括的值。

<Update ObjectType="ExchangePolicyView" 
     ObjectName="Exchange Mailbox Policy 2">
  <Property Name="ProcessUnreadMail">
    <Previous Value="0" />
    <Current Value="1" />
  </Property>
  <Property Name="ProcessUnreadMail:TextValue">
    <Previous Value="Off" />
    <Current Value="On" />
  </Property>
</Update>

表:示例中 XML 字段的说明

XML 字段

说明

Update

操作的类型。通常为 CreateUpdateDelete

ObjectType

操作影响的实体的类型。这通常是数据库表或已更改视图的名称。但是,在某些条目中会提供更易用的名称。

ObjectName

已更改的实体的名称。如果没有合适的值,则可能不会填充 ObjectName

Property Name

与实体相关的属性的名称。(请参见注释 1。)

对于 CreateDelete 操作,列出了大多数属性,因为它们均获得或缺少一个值。(请参见注释 2。)

对于 Update 操作,仅包括已更改的属性。(请参见注释 3。)

Property Name 字段末尾的 :TextValue 指示以下值是设置的文本值。在示例中,为值 "0""1" 显示的文本值为 "Off""On"

Previous Value

执行操作之前属性的值。

Current Value

执行操作之后属性的值。

说明

  1. 名称通常是数据库中使用的名称,因此它可能不会与用户界面中的名称完全匹配。
  2. 为避免不必要的审核跟踪膨胀,部分非常频繁更改的属性不包括在内,例如 Exchange 邮箱的大小。
  3. 上下文中偶尔会包括其他属性。这也适用于其他类型的审核条目。
组合属性的信息内容

对于 Enterprise Vault 数据库中的某些设置,多个设置由单个值表示。审核条目将这些设置拆分为单独的属性。在 Update 条目中,通常只显示已更改的设置。

在 Exchange 邮箱策略的“快捷方式内容”选项卡上更改设置“包括横幅”“包括归档项目的链接”之后,已在审核条目中生成以下示例 Info 内容。这两个设置作为单个值存储在 Enterprise Vault 数据库中。 

<Update ObjectType="ExchangePolicyView" 
     ObjectName="Exchange Mailbox Policy 2">
  <Property Name="excShortcutDetail">
    <Previous Value="1000005" />
    <Current Value="1000029" />
  </Property>
  <Property Name="excShortcutDetail:IncludeArchivedBanner">
    <Previous Value="False" />
    <Current Value="True" />
  </Property>
  <Property Name="excShortcutDetail:IncludeLinkToArchivedItem">
    <Previous Value="False" />
    <Current Value="True" />
  </Property>
</Update>

如您所见,“包括横幅”“包括归档项目的链接”设置的有关信息将显示为单独属性。

多个设置存储在单个属性中时的信息内容

当删除 SMTP 目标时,已在审核条目中生成以下示例 Info 内容。

<Delete ObjectType="SmtpTargetViewEx" 
     ObjectName="JDoe@example.com">
  <Property Name="TargetId">
    <Current Value="19" />
  </Property>
  <Property Name="Address">
    <Current Value="JDoe@example.com" />
  </Property>
  <Property Name="poName">
    <Current Value="Default SMTP Policy" />
  </Property>
  <Property Name="RetentionCategoryName">
    <Current Value="RetCat01" />
  </Property>
  <Property Name="poPolicyEntryId">
    <Current Value="1781F4D98B1045F438445AC9
       8AD9579331s10000ev.local" />
  </Property>
  <Property Name="RetentionCategoryId">
    <Current Value="141E6B5A255237C4D83BB499
       390F27F091b10000ev.local" />
  </Property>
  <Property Name="ArchivingEnabled">
    <Current Value="1" />
  </Property>
  <Property Name="TargetType">
    <Current Value="1" />
  </Property>
  <Property Name="ArchiveInformation">
    <Current Value="<AI tn="JDoe@example.com" tid="19" 
       an="Archive1" at="2049" aid="1868FD2720BFF62
       4483309845BDCCFEDB1110000ev.local" vs="Store1" 
       ev="ev.local"/><AI tn="JDoe@example.com" tid=
       "19" an="Archive2" at="2049" aid="151D27
       0BA9638354DBE2B02FBFF7AF25C1110000ev.local" vs="Store1" 
       ev="ev.local"/><AI tn="JDoe@example.com" tid="19" 
       an="Archive3" at="2049" aid="13C3DC68A1FB836
       479CA542E4AE0CF9761110000ev.local" vs="Store2" 
       ev="ev.local"/>" />
  </Property>
</Delete>

ArchiveInformation 属性包含提供已分配给 SMTP 目标的三个归档的详细信息的 XML。

要使 ArchiveInformation 属性中的信息更具可读性,需为每个归档创建单独的审核条目。以下示例显示了上述 ArchiveInformation 属性中 Archive3 的审核条目。

<Delete ObjectType="SmtpTargetViewEx:ArchiveInformation" 
ObjectName="JDoe@example.com">
  <Property Name="TargetAddress">
    <Current Value="JDoe@example.com" />
  </Property>
  <Property Name="TargetId">
    <Current Value="19" />
  </Property>
  <Property Name="ArchiveName">
    <Current Value="Archive3" />
  </Property>
  <Property Name="ArchiveType">
    <Current Value="2049" />
  </Property>
  <Property Name="ArchiveId">
    <Current Value="13C3DC68A1FB836479CA542
       E4AE0CF9761110000ev.local" />
  </Property>
  <Property Name="VaultStoreName">
    <Current Value="Store2" />
  </Property>
  <Property Name="EvServer">
    <Current Value="ev.local" />
  </Property>
</Delete>

将单个审核条目拆分为多个条目有助于提高清晰度。例如,对于基于角色的管理更新和 SMTP 策略中的 X 标头管理,可能需要创建多个审核条目。