Administrar el registro de auditoría de administrador
Se aplica a: Exchange Server 2013
El registro de auditoría de administrador en Microsoft Exchange Server 2013 le permite crear una entrada de registro cada vez que se ejecuta un cmdlet especificado. Las entradas de registro proporcionan información sobre el cmdlet que se ejecutó, los parámetros que se usaron, quién ejecutó el cmdlet y los objetos afectados. Para más información sobre el proceso de registro de auditoría del administrador, vea Registro de auditoría de administrador.
¿Qué necesita saber antes de empezar?
Tiempo estimado para completar cada procedimiento: menos de 5 minutos
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el Entrada "Registro de auditoría del administrador" en el tema Permisos de infraestructura de la Shell y de Exchange.
El registro de auditoría de administrador usa la replicación de Active Directory para replicar las opciones de configuración que se especifican en los controladores de dominio de la organización. En función de la configuración de replicación, es posible que los cambios que realice no se apliquen inmediatamente a todos los servidores de Exchange 2013 de su organización.
Los cambios en la configuración del registro de auditoría se actualizan cada 60 minutos en los equipos que tienen shell abierto al momento de realizar un cambio de configuración. Si desea aplicar los cambios de inmediato, cierre y vuelva a abrir el shell en cada equipo.
Un comando puede tardar hasta 15 minutos a partir de su ejecución en aparecer en los resultados de búsqueda del registro de auditoría. Esto se debe a que las entradas del registro de auditoría deben indexarse antes de que puedan realizarse búsquedas en ellas. Si un comando no aparece en el registro de auditoría del administrador, espere unos minutos y vuelva a hacer la búsqueda.
Debe usar el Shell para hacer este tipo de procedimientos.
Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server.
Especificar los cmdlets que se van a auditar
De manera predeterminada, el registro de auditoría crea una entrada de registro para cada cmdlet que se ejecuta. Si está habilitando el registro de auditoría por primera vez y quiere observar el comportamiento, no debe cambiar la lista de auditoría del cmdlet. Si previamente ha especificado cmdlets para auditar y ahora quiere auditar todos los cmdlets, puede auditar todos los cmdlets especificando el carácter comodín asterisco (*) con el parámetro AdminAuditLogCmdlets en el cmdlet Set-AdminAuditLogConfig , como se muestra en el siguiente comando.
Set-AdminAuditLogConfig -AdminAuditLogCmdlets *
Puede especificar qué cmdlets auditar proporcionando una lista de cmdlets mediante el parámetro AdminAuditLogCmdlets . Al proporcionar la lista de cmdlets que se van a auditar, puede proporcionar cmdlets únicos, cmdlets con caracteres comodín de asterisco (*) o una combinación de ambos. Cada entrada de la lista está separada por comas. Todos los siguientes valores son válidos:
New-Mailbox*TransportRule*Management*Set-Transport*
En este ejemplo, se auditan los cmdlets especificados en la lista anterior.
Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Especificar los parámetros que se van a auditar
De forma predeterminada, el registro de auditoría crea una entrada de registro para todos los cmdlets que se ejecutan, independientemente de los parámetros especificados. Si está habilitando el registro de auditoría por primera vez y quiere observar el comportamiento, no debe cambiar la lista de auditoría de parámetros. Si previamente ha especificado parámetros para auditar y ahora quiere auditar todos los parámetros, puede hacerlo especificando el carácter comodín asterisco (*) con el parámetro AdminAuditLogParameters en el cmdlet Set-AdminAuditLogConfig , como se muestra en el siguiente comando.
Set-AdminAuditLogConfig -AdminAuditLogParameters *
Puede especificar qué parámetros desea auditar mediante el parámetro AdminAuditLogParameters . Al proporcionar la lista de parámetros que se van a auditar, puede proporcionar parámetros únicos, parámetros con caracteres comodín de asterisco (*) o una combinación de ambos. Cada entrada de la lista está separada por comas. Todos los siguientes valores son válidos:
Database*Address*Custom**Region
Nota:
Para que se cree una entrada de registro de auditoría cuando se ejecute un comando, el comando debe incluir al menos uno o varios parámetros que existan en al menos uno o varios cmdlets especificados con el parámetro AdminAuditLogCmdlets .
En este ejemplo, se auditan los parámetros especificados en la lista anterior.
Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Especificar el límite de antigüedad del registro de auditoría
El límite de antigüedad del registro de auditoría determina durante cuánto tiempo se conservarán las entradas del registro de auditoría. Cuando una entrada del registro supera el límite de antigüedad, se elimina. El valor predeterminado es de 90 días.
Puede especificar el número de días, horas, minutos y segundos que se deben conservar en las entradas del registro de auditoría. Para especificar un valor, use el formato dd.hh.mm:ss donde se aplica lo siguiente:
- dd: número de días para mantener la entrada del registro de auditoría
- hh: número de horas para mantener la entrada del registro de auditoría
- mm: número de minutos para mantener la entrada del registro de auditoría
- ss: número de segundos para mantener la entrada del registro de auditoría
Advertencia
Puede definir el límite de antigüedad del registro de auditoría en un valor menor que el límite de antigüedad actual. Para ello, se eliminan todas las entradas del registro cuya antigüedad supere el nuevo límite de antigüedad.
Si establece el límite de edad en 0, Exchange elimina todas las entradas del registro de auditoría.
Se recomienda otorgar permiso para configurar el límite de antigüedad del registro de auditoría solamente a los usuarios de mayor confianza.
En este ejemplo, se especifica un límite de antigüedad de dos años y seis meses.
Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913.00:00:00
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Habilitar o deshabilitar el registro de los cmdlets Test
Los cmdlets que comienzan con el verbo Test no se registran de forma predeterminada. Esto se debe a que los cmdlets Test pueden generar una cantidad importante de datos en un período corto. Solamente puede habilitar el registro de los cmdlets Test durante períodos cortos de tiempo.
Este comando habilita el registro de los cmdlets Test.
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $True
Este comando deshabilita el registro de los cmdlets Test.
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Deshabilitación del registro de auditoría de administrador
Para deshabilitar el registro de auditoría de administrador, use el siguiente comando.
Set-AdminAuditLogConfig -AdminAuditLogEnabled $False
Habilitación del registro de auditoría de administrador
Para habilitar el registro de auditoría de administrador, use el siguiente comando.
Set-AdminAuditLogConfig -AdminAuditLogEnabled $True
Visualización de la configuración del registro de auditoría del administrador
Para ver la configuración de registro de auditoría de administrador que ha configurado para su organización, use el siguiente comando.
Get-AdminAuditLogConfig