Habilitar o deshabilitar el registro de auditoría de buzones para un buzón de correo en Exchange Server
Con el registro de auditoría de buzones en Exchange Server, puede realizar un seguimiento de los inicios de sesión en un buzón, así como de las acciones que se realizan mientras el usuario ha iniciado sesión. Al habilitar el registro de auditoría de buzón en un buzón de correo, algunas acciones realizadas por los administradores y delegados se registran de forma predeterminada. De forma predeterminada, no se registra ninguna de las acciones realizadas por el propietario del buzón. Para más información sobre el registro de auditoría de buzones y las acciones que se pueden registrar, consulte Registro de auditoría de buzones en Exchange Server.
Precaución
La auditoría de las acciones del propietario del buzón puede generar una gran cantidad de entradas de registro de auditoría del buzón de correo, por lo que está deshabilitada de forma predeterminada. Solo se recomienda activar la auditoría de algunas acciones específicas de propietario necesaria para cumplir con los requisitos empresariales o de cumplimiento.
¿Qué necesita saber antes de empezar?
Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte la entrada "Registro de auditoría de buzones" en el tema Directiva de mensajería y permisos de cumplimiento en Exchange Server.
Las entradas del registro de auditoría del buzón de correo se conservan, de forma predeterminada, durante 90 días. En la sección Más información se explica cómo se conservan las entradas.
No se puede usar el Centro de administración de Exchange (EAC) para habilitar o deshabilitar el registro de auditoría del buzón de correo. Tiene que usar el Shell de administración de Exchange. Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.
Un administrador al que se haya asignado el permiso Acceso total en el buzón de un usuario se considera usuario delegado.
Solo se considera que un administrador ha tenido acceso a un buzón en los escenarios siguientes:
La exhibición de documentos electrónicos local se usa para realizar búsquedas en un buzón.
El cmdlet New-MailboxExportRequest se usa para exportar un buzón de correo.
Microsoft Exchange Server MAPI Editor se usa para obtener acceso al buzón de correo.
Habilitar o deshabilitar el registro de auditoría del buzón de correo
Puede usar el Shell de administración de Exchange para habilitar o deshabilitar los registros de auditoría del buzón para un buzón de correo. Esto habilita o deshabilita los registros de todas las operaciones especificadas por el administrador, los delegados y el propietario del buzón de correo.
En este ejemplo se habilita el registro de auditoría del buzón de Ben Smith.
Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true
En este ejemplo se habilita el registro de auditoría de todos los buzones de correo de los usuarios de su organización.
Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}
En este ejemplo se deshabilita el registro de auditoría del buzón de Ben Smith.
Set-Mailbox -Identity "Ben Smith" -AuditEnabled $false
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-Mailbox.
Configurar el registro de auditoría del buzón de correo para el acceso del administrador, el delegado y el propietario
Cuando el registro de auditoría del buzón está habilitado para un buzón de correo, solo se registran las acciones del administrador, el delegado y el propietario especificadas en la configuración de registros de auditoría para el buzón de correo.
En este ejemplo se especifica que las MessageBind acciones y FolderBind realizadas por los administradores se registrarán para el buzón de Ben Smith.
Set-Mailbox -Identity "Ben Smith" -AuditAdmin MessageBind,FolderBind -AuditEnabled $true
En este ejemplo se especifica que las SendAs acciones o SendOnBehalf realizadas por los usuarios delegados se registrarán para el buzón de Ben Smith.
Set-Mailbox -Identity "Ben Smith" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true
En este ejemplo se especifica que la HardDelete acción realizada por el propietario del buzón de correo se registrará para el buzón de Ben Smith.
Set-Mailbox -Identity "Ben Smith" -AuditOwner HardDelete -AuditEnabled $true
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-Mailbox.
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha habilitado correctamente el registro de auditoría del buzón para un buzón de correo y que ha especificado las configuraciones de registro de acceso correctas para un administrador, delegado o propietario, use el cmdlet Get-Mailbox para recuperar la configuración del registro de auditoría del buzón para ese buzón de correo.
Este ejemplo recupera la configuración del buzón de correo de Ben Smith y canaliza las opciones de auditoría especificadas, como el límite de antigüedad del registro de auditoría, hacia el cmdlet Format-List.
Get-Mailbox "Ben Smith" | Format-List Audit*
Un valor de True para la propiedad AuditEnabled comprueba que el registro de auditoría está habilitado.
En este ejemplo se recupera la configuración de auditoría de todos los buzones de correo de los usuarios de la organización.
Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Format-List Name,Audit*
Más información
Al ejecutar el cmdlet Get-Mailbox no se muestran todas las acciones que se auditan para cada tipo de usuario. Pero puede ejecutar los comandos siguientes para mostrar todas las acciones auditadas para un tipo específico de inicio de sesión de usuario.
Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
De forma predeterminada, las entradas del registro de auditoría del buzón de correo se conservan durante 90 días. Cuando una entrada tiene una antigüedad mayor que 90 días, se elimina. Puede usar el cmdlet Set-Mailbox para cambiar esta configuración para que los elementos se conserven durante más o menos tiempo.
En este ejemplo se aumenta a 180 días el límite de antigüedad para las entradas del registro de auditoría del buzón de correo en el buzón de Paula Núñez.
Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180
En este ejemplo se reduce a 60 días el límite de antigüedad para las entradas del registro de auditoría del buzón de correo para todos los buzones de usuario de la organización.
Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Set-Mailbox -AuditLogAgeLimit 60