Exportación de registros de auditoría de buzones en Exchange 2013

Se aplica a: Exchange Server 2013

Cuando un buzón de correo tiene habilitada la auditoría, Microsoft Exchange guarda la información en el registro de auditoría de buzones de correo siempre que un usuario que no sea el propietario obtenga acceso al buzón de correo. Cada entrada de registro incluye información acerca de quién tuvo acceso al buzón y en qué momento, las acciones realizadas por el usuario que es no propietario y si la acción se realizó correctamente. Las entradas del registro de auditoría de buzones de correo se retienen, de manera predeterminada, durante 90 días. Puede usar el registro de auditoría de buzones de correo para determinar si un usuario que no es el propietario ha tenido acceso a un buzón de correo.

Al exportar las entradas de los registros de auditoría de buzones de correo, Microsoft Exchange registra las entradas en un archivo XML y lo adjunta a un mensaje de correo electrónico que se envía a los destinatarios especificados.

Antes de empezar

• Tiempo estimado para completar cada procedimiento: Los tiempos varían.

• Los procedimientos descritos en este tema requieren permisos específicos. Vea cada procedimiento para ver la información de permisos.

• Para obtener información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este tema, vea Métodos abreviados de teclado para el Centro de administración de Exchange en Exchange 2013.

Sugerencia

¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server.

Configuración del registro de auditoría de buzones de correo

Desde habilitar registro de auditoría de buzones de correo en cada buzón que desee auditar para poder exportar y consultar los registros de auditoría. También debe configurar Microsoft Outlook Web App para permitir que los documentos adjuntos XML utilicen Outlook Web App para acceder el registro de auditoría.

Paso 1: Habilitación del registro de auditoría de buzones de correo

Tiene que habilitar el registro de auditoría de buzones de correo para el que desee ejecutar un informe de acceso al buzón de correo del que no se es propietario. Si el registro de la auditoría de buzones de correo no está habilitado para un buzón de correo, no obtendrá ningún resultado para él cuando exporte dicho registro de auditoría de buzones de correo.

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el Entrada "Registro de auditoría de buzones" en el tema Permisos de directivas de mensajería y conformidad.

Para habilitar el registro de auditoría de buzones de correo para un solo buzón de correo, ejecute el comando en el Shell.

Set-Mailbox <Identity> -AuditEnabled $true

Para habilitar la auditoría de buzones de correo para todos los buzones de usuarios de la organización, ejecute los siguientes comandos.

$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"

$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Paso 2: Configuración de Outlook Web App para permitir datos adjuntos de XML

Al exportar el informe de auditoría de buzones de correo, Microsoft Exchange adjunta el registro de auditoría, que es un archivo XML, a un mensaje de correo electrónico. Sin embargo, Outlook Web App bloquea los datos adjuntos de XML de forma predeterminada. Para acceder al registro de auditoría exportado, debe usar Microsoft Outlook o configurar Outlook Web App para permitir adjuntos XML.

Entrada "Directivas de buzones de Outlook Web App" Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el en el tema Permisos de dispositivos móviles y clientes.

Realice los procedimientos siguientes para permitir datos adjuntos de XML en Outlook Web App. En Exchange Server 2013, use el valor Default del parámetro Identity.

1. Ejecute el siguiente comando para agregar XML a la lista de tipos de archivo permitidos en Outlook Web App.

   Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
   

2. Ejecute el siguiente comando para quitar XML de la lista de tipos de archivos bloqueados en Outlook Web App.

   Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
   

¿Cómo saber si el proceso se ha completado correctamente?

Para comprobar que configuró correctamente el registro de auditoría de buzones de correo, haga lo siguiente:

1. Ejecute el siguiente comando para comprobar que se configuró el registro de auditoría para los buzones de correo.

   Get-Mailbox | Format-List Name,AuditEnabled
   

   Un valor de True para la propiedad AuditEnabled comprueba que el registro de auditoría está habilitado.

2. Ejecute el siguiente comando para comprobar que se permiten datos adjuntos XML en Outlook Web App.

   Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
   

   Compruebe que .xml se incluye en la lista de tipos de archivo permitidos.

3. Ejecute el siguiente comando para comprobar que los datos adjuntos XML se han quitado de la lista de archivos bloqueados en Outlook Web App.

   Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
   

   Compruebe que .xml no está incluido en la lista de tipos de archivo bloqueados.

Exportación del registro de auditoría de buzones de correo

Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte el Entrada "Registro de auditoría de administrador de sólo vista" en el tema Permisos de infraestructura de la Shell y de Exchange.

1. En el Centro de administración de Exchange (EAC), vaya a Auditoría de administración de> cumplimiento.

2. Haga clic en Exportar registros de auditoría de buzones de correo.

3. Configure los siguientes criterios de búsqueda para exportar las entradas del informe de auditoría de buzones de correo:

   • Fechas de inicio y finalización: seleccione el intervalo de fechas para que las entradas se incluyan en el archivo exportado.

   • Buzones para los que buscar el registro de auditoría: seleccione los buzones para los que recuperar las entradas de registro de auditoría.

   • Tipo de acceso no propietario: seleccione una de las siguientes opciones para definir el tipo de acceso que no es propietario para el que recuperar entradas:

   • Todos los usuarios que no son propietarios: busque acceso por parte de administradores y usuarios delegados dentro de la organización.

   • Usuarios externos: busque acceso por parte de los administradores del centro de datos de Microsoft.

   • Administradores y usuarios delegados: busque acceso por parte de administradores y usuarios delegados dentro de la organización.

   • Administradores: busque acceso por parte de los administradores de su organización.

   • Destinatarios: seleccione los usuarios a los que se va a enviar el registro de auditoría del buzón.

4. Haga clic en Exportar.

   Exchange recupera entradas en el registro de auditoría del buzón que cumplen los criterios de búsqueda, las guarda en un archivo denominado SearchResult.xml y, a continuación, adjunta el archivo XML a un mensaje de correo electrónico enviado a los destinatarios especificados.

¿Cómo saber si el proceso se ha completado correctamente?

Inicie sesión en el buzón al que se envió el registro de auditoría de buzones de correo. Si exportó correctamente el registro de auditoría, recibirá un mensaje de Exchange. El registro de auditoría de buzones (llamado SearchResult.xml) se adjuntará a este mensaje. Si ha configurado correctamente Outlook Web App para permitir datos adjuntos XML, puede descargar el archivo XML adjunto.

Consulta del registro de auditoría de buzones de correo

Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte el Entrada "Registro de auditoría de administrador de sólo vista" en el tema Permisos de infraestructura de la Shell y de Exchange.

Para guardar y ver el archivo SearchResult.xml:

1. Inicie sesión en el buzón al que se envió el registro de auditoría de buzones de correo.

2. En la bandeja de entrada, abra los datos adjuntos de XML enviados por Microsoft Exchange. Observe que el cuerpo del mensaje de correo electrónico contiene los criterios de búsqueda.

3. Haga clic en el archivo adjunto y seleccione la opción de descargar el archivo XML.

4. Abra el archivo SearchResult.xml en Microsoft Excel.

Más información

• Entradas en el registro de auditoría del buzón de correo: en el ejemplo siguiente se muestra una entrada del registro de auditoría de buzón contenida en el archivo SearchResult.xml. Cada entrada va precedida por una etiqueta XML <Event> y termina con la etiqueta XML </Event>. Esta entrada muestra que el administrador purgó el mensaje con el asunto "Notification of litigation hold" de la carpeta Elementos recuperables en el buzón de correo de David el 30 de abril de 2010.

  <Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
    Owner="PPLNSL-dom\david50001-1363917750"
    LastAccessed="2010-04-30T11:01:55.140625-07:00"
    Operation="HardDelete"
    OperationResult="Succeeded"
    LogonType="Admin"
  FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
    FolderPathName="\Recoverable Items\Deletions"
    ClientInfoString="Client=OWA;Action=ViaProxy"
    ClientIPAddress="10.196.241.168"
    InternalLogonType="Owner"
    MailboxOwnerUPN="david@contoso.com"
    MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
    CrossMailboxOperation="false"
    LogonUserDN="Administrator"
    LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
    <SourceItems>
     <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
      Subject="Notification of litigation hold"
      FolderPathName="\Recoverable Items\Deletions" />
    </SourceItems>
  </Event>
  

• Campos útiles en el registro de auditoría del buzón: esta es una descripción de los campos útiles en el registro de auditoría del buzón. Pueden ayudarle a identificar la información concreta acerca de cada instancia de acceso de no propietario a un buzón de correo.

  Campo	Descripción
  Owner	El propietario del buzón al que obtuvo acceso un usuario que no es el propietario.
  LastAccessed	La fecha y hora en que se obtuvo acceso al buzón de correo.
  Operation	La acción que realizó el usuario no propietario. Para obtener más información, vea la sección "¿Qué se registra en el registro de auditoría del buzón?" en Ejecución de un informe de acceso de buzón que no es propietario en Exchange 2013.
  OperationResult	Si la acción que realizó el usuario no propietario se efectuó correctamente o no.
  LogonType	El tipo de acceso no propietario. Los valores son: administrator, delegate y external.
  FolderPathName	El nombre de la carpeta que contenía el mensaje afectado por el usuario no propietario.
  ClientInfoString	Información acerca del cliente de correo usado por el usuario no propietario para tener acceso al buzón de correo.
  ClientIPAddress	Dirección IP del equipo que usó el usuario no propietario para tener acceso al buzón.
  InternalLogonType	El tipo de inicio de sesión de la cuenta que usó el usuario no propietario para tener acceso a este buzón de correo.
  MailboxOwnerUPN	Dirección de correo electrónico del propietario del buzón de correo.
  LogonUserDN	Nombre para mostrar del usuario no propietario.
  Subject	Línea de asunto del mensaje de correo electrónico afectado por el usuario que no es propietario.