Registro de auditoría de buzones en Exchange Server

Dado que los buzones de correo pueden contener información confidencial y de alto impacto comercial, así como información de identificación personal, es importante realizar un seguimiento de quién inicia sesión en los buzones de la organización y qué acciones se llevan a cabo. Es especialmente importante que lleve un seguimiento del acceso a los buzones por parte de usuarios que no sean el propietario del buzón en cuestión. Estos usuarios se denominan usuarios delegados.

Mediante el registro de auditoría de buzones de correo, puede registrar el acceso de buzones de correo por parte de propietarios de buzones, delegados (incluidos los administradores con permisos de acceso completos a buzones de correo) y los administradores.

Al habilitar el registro de auditoría para un buzón de correo, se pueden especificar las acciones de usuario (por ejemplo, acceso, traslado o eliminación de mensajes) que se registrarán para un tipo de inicio de sesión (administrador, usuario delegado o propietario). Las entradas del registro de auditoría también incluyen información importante, tal como la dirección IP del cliente, el nombre de host y el proceso o cliente utilizado para acceder al buzón. Para los elementos movidos, la entrada incluye el nombre de la carpeta de destino.

Registros de auditoría de buzón de correo

Los registros de auditoría del buzón de correo se generan para cada buzón que tenga habilitado el registro de auditoría del buzón de correo. Las entradas del registro se almacenan en la carpeta de elementos recuperables en el buzón auditado, en la subcarpeta Auditorías. Esto garantiza que las entradas del registro de auditoría estén disponibles en una ubicación única, independientemente del método de acceso del cliente que se haya usado para acceder al buzón o del servidor o equipo que un administrador use para acceder al registro de auditoría de buzón. Si mueve un buzón de correo a otro servidor de buzones de correo, también se moverán los registros de auditoría del buzón de correo pertinentes porque se encuentran en el buzón de correo.

De forma predeterminada, las entradas de un registro de auditoría de buzón se conservan en el buzón de correo durante 90 días y luego se eliminan. Puede modificar este período de retención mediante el parámetro AuditLogAgeLimit con el cmdlet Set-Mailbox . Si un buzón está en retención en contexto o en retención por juicio, las entradas del registro de auditoría solo se conservarán hasta que se haya alcanzado el período de retención del registro de auditoría de buzón. Para conservar las entradas del registro de auditoría durante más tiempo, debe aumentar el período de retención cambiando el valor del parámetro AuditLogAgeLimit . También puede exportar entradas del registro de auditoría antes de que se alcance el período de retención. Para obtener más información, vea:

Habilitación del registro de auditoría de buzón

El registro de auditoría de buzón se habilita por buzón de correo. El cmdlet Set-Mailbox permite habilitar o deshabilitar el registro de auditoría de buzón. Para obtener más información, vea Habilitar o deshabilitar el registro de auditoría de buzones para un buzón.

Al habilitar el registro de auditoría de buzón en un buzón de correo, el acceso al buzón de correo y algunas acciones realizadas por los administradores y delegados se registran de forma predeterminada. Para registrar las acciones que lleva a cabo el propietario del buzón de correo, es necesario especificar las acciones de propietario que se deben auditar.

Acciones de buzón de correo registradas por el registro de auditoría de buzón

En la siguiente tabla se enumeran las acciones registradas por el registro de auditoría de buzón de correo, incluidos los tipos de inicio de sesión para los que se puede registrar la acción. Tenga en cuenta que un administrador al que se haya asignado el permiso Acceso total en el buzón de un usuario se considera usuario delegado.

Si ya no necesita que se auditen determinados tipos de acciones de buzón de correo, tendrá que modificar la configuración de registro de auditoría del buzón para deshabilitarlas. Las entradas de registro existentes no se purgan hasta que se ha alcanzado el límite de antigüedad de las entradas del registro de auditaría.

Acción Descripción Admin Delegado Propietario
Copiar Se copia un elemento en otra carpeta. No No
Crear Se crea un elemento en la carpeta Calendario, Contactos, Notas o Tareas en el buzón. Por ejemplo, se crea una nueva convocatoria de reunión. Tenga en cuenta que la creación de carpetas o mensajes no se audita. Sí1 Sí1
FolderBind Se obtiene acceso a una carpeta de buzón de correo. Sí1 2 No
HardDelete Se elimina un elemento de la carpeta Elementos recuperables de forma permanente. Sí1 Sí1
MailboxLogin El usuario inició sesión en su buzón. No No Yes3
MessageBind Se abre o se obtiene acceso a un elemento desde el panel de lectura. No No
Mover Se mueve un elemento a otra carpeta. Sí1
MoveToDeletedItems Se mueve un elemento a la carpeta Elementos eliminados. Sí1
SendAs Se envía un mensaje con los permisos Enviar como. Sí1 Sí1 No
SendOnBehalf Se envía un mensaje con los permisos Enviar en nombre de. Sí1 No
SoftDelete Se elimina un elemento de la carpeta Elementos eliminados. Sí1 Sí1
Actualizar Se actualizan las propiedades de un elemento. Sí1 Sí1

1 Auditado de forma predeterminada si la auditoría está habilitada para un buzón.

2 Las entradas para las acciones de enlace de carpetas realizadas por los delegados se consolidan. Se genera una entrada de registro para el acceso a cada carpeta en un plazo de 24 horas.

3 La auditoría de inicios de sesión de propietarios en un buzón solo funciona para inicios de sesión pop3, IMAP4 o OAuth. No funciona para los inicios de sesión NTLM o Kerberos en el buzón.

Buscar el registro de auditoría del buzón de correo

Puede usar los métodos indicados a continuación para buscar entradas del registro de auditoría de buzón:

  • Buscar sincrónicamente en un único buzón: puede usar el cmdlet Search-MailboxAuditLog para buscar sincrónicamente entradas de registro de auditoría de buzones de correo para un único buzón. El cmdlet muestra los resultados de la búsqueda en la ventana del Shell de administración de Exchange. Para obtener más información, vea Search Mailbox Audit Log for a Mailbox.

  • Búsqueda asincrónica de uno o varios buzones: puede crear una búsqueda de registro de auditoría de buzones para buscar registros de auditoría de buzones de correo de forma asincrónica para uno o varios buzones y, a continuación, enviar los resultados de la búsqueda a una dirección de correo electrónico especificada. Los resultados de la búsqueda se envían como datos adjuntos XML. Para crear la búsqueda, use el cmdlet New-MailboxAuditLogSearch. Para obtener más información, vea Create a Mailbox Audit Log Search.

  • Usar informes de auditoría en el Centro de administración de Exchange (EAC): Puede usar la pestaña Auditoría del EAC para ejecutar un informe de acceso de buzones de correo que no es propietario (contiene entradas para acciones de administrador y eliminación) o exportar entradas que no son de propietario del registro de auditoría de buzones de correo. Para obtener más información, consulte:

Entradas de registro de auditoría de buzón

En la siguiente tabla se describen los campos registrados en una entrada del registro de auditoría de buzón.

Campo Se rellena con
Operation Una de las acciones siguientes:
Copiar
Crear
FolderBind
HardDelete
MailboxLogin
MessageBind
Mover
MoveToDeletedItems
SendAs
SendOnBehalf
SoftDelete
Update
OperationResult Uno de los resultados siguientes:
Failed
PartiallySucceededed
Succeeded
LogonType Tipo de inicio de sesión del usuario que realizó la operación. Entre los tipos de inicio de sesión, se incluyen:
Propietario
Delegado
Administrador
DestFolderId GUID de la carpeta de destino para las operaciones de movimiento.
DestFolderPathName Ruta de acceso de la carpeta de destino para las operaciones de movimiento.
FolderId GUID de la carpeta.
FolderPathName Ruta de acceso de la carpeta.
ClientInfoString Detalles que identifican qué cliente o qué componente de Exchange realizó la operación.
ClientIPAddress Dirección IP del equipo cliente.
ClientMachineName Nombre del equipo cliente.
ClientProcessName Nombre del proceso de la aplicación cliente.
ClientVersion Versión de la aplicación cliente.
InternalLogonType El tipo de usuario interno (una persona de su organización) que ha realizado la operación. Los posibles valores para este campo son los mismos que los del campo LogonType.
MailboxOwnerUPN Nombre principal de usuario (UPN) del propietario del buzón.
MailboxOwnerSid Identificador de seguridad del propietario del buzón (SID).
DestMailboxOwnerUPN Nombre principal de usuario (UPN) del propietario del buzón de destino, registrado para operaciones entre buzones.
DestMailboxOwnerSid SID del propietario del buzón de destino, registrado para operaciones entre buzones.
DestMailboxOwnerGuid GUID del propietario del buzón de destino.
CrossMailboxOperation Información sobre si la operación registrada es una operación entre buzones (por ejemplo, copiar o mover mensajes entre buzones).
LogonUserDisplayName Nombre para mostrar del usuario que ha iniciado sesión.
DelegateUserDisplayName Nombre para mostrar del usuario delegado.
LogonUserSid SID del usuario que ha iniciado sesión.
SourceItems Identificador de elemento de los elementos de buzón donde se haya realizado la acción registrada (por ejemplo, mover o eliminar). Para las operaciones realizados en varios elementos, este campo se devuelve como un conjunto de elementos.
SourceFolders GUID de la carpeta de origen.
ItemId Identificador del elemento.
ItemSubject Asunto del elemento.
MailboxGuid GUID del buzón.
MailboxResolvedOwnerName Nombre resuelto por el usuario del buzón con el formato DOMAINSamAccountName\ .
LastAccessed Hora en que se realizó la operación.
Identity Identificador de entrada de registro de auditoría.

Más información

  • Acceso de administrador a buzones: un administrador considera que un administrador solo tiene acceso a los buzones en los siguientes escenarios:

  • Omitir el registro de auditoría de buzones: el acceso a buzones de correo mediante procesos automatizados autorizados, como cuentas usadas por herramientas de terceros o cuentas usadas para la supervisión legal, puede crear un gran número de entradas de registro de auditoría de buzones de correo y puede que no sea de interés para su organización. Puede configurar estas cuentas para que se omita el registro de auditoría de buzón. Para obtener más información, vea Bypass a User Account From Mailbox Audit Logging.

  • Registrar acciones del propietario del buzón: para buzones como el buzón de búsqueda de detección, que puede contener información más confidencial, considere la posibilidad de habilitar el registro de auditoría de buzones para acciones de propietario del buzón, como la eliminación de mensajes.