Buscar en los cambios del grupo de roles o en los registros de auditoría del administrador en Exchange 2013

  • Artículo

Se aplica a: Exchange Server 2013

Se puede buscar en los registros de auditoría de administrador para detectar quién ha efectuado cambios en la configuración de la organización, el servidor y los destinatarios. Esto es útil cuando se hace un seguimiento de la causa de un comportamiento inesperado, se quiere identificar a un administrador malintencionado o bien comprobar si se satisfacen los requisitos de obligado cumplimiento. Para obtener más información acerca del registro de auditoría del administrador, consulte Registro de auditoría de administrador.

Si desea buscar el registro de auditoría de buzón, consulte Registro de auditoría de buzones de correo.

¿Qué necesita saber antes de empezar?

  • Tiempo estimado para completar cada procedimiento: menos de 5 minutos

  • Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el Entrada "Registro de auditoría de administrador de sólo vista" en el tema Permisos de infraestructura de la Shell y de Exchange.

  • El registro de auditoría de administrador está habilitado de forma predeterminada. Para comprobar que se ha habilitado, ejecute el siguiente comando:

    Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled

    Un valor de indica que el registro de True auditoría de administrador está habilitado. Un valor de False indica que está deshabilitado. Si necesita habilitar el registro de auditoría de administrador para una organización de Exchange local, ejecute el siguiente comando:

    Set-AdminAuditLogConfig -AdminAuditLogEnabled $true

    Para más información, vea Administrar el registro de auditoría de administrador.

  • Para obtener información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este tema, vea Métodos abreviados de teclado para el Centro de administración de Exchange en Exchange 2013.

Sugerencia

¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server.

Uso de la EAC para ejecutar el informe de cambios de grupo de roles de administración

Si desea saber qué cambios en la pertenencia a grupos de roles de administración se han realizado en los grupos de roles de su organización, puede usar el informe Grupo de roles de administrador en el Centro de administración de Exchange (EAC). Gracias al informe de grupo de roles de administrador, puede ver una lista de los grupos de roles que han cambiado durante un intervalo de fechas concreto. También puede seleccionar los grupos de roles específicos de los que desea ver los cambios.

  1. En el EAC, seleccioneAuditoría de administración> de cumplimiento y, a continuación, haga clic en Ejecutar un informe de grupo de roles de administrador.

  2. Seleccione un intervalo de fechas mediante los campos Fecha de inicio y Fecha de finalización.

  3. Haga clic en Seleccionar grupos de funciones y, a continuación, seleccione los grupos de roles para los que desea mostrar los cambios o deje este campo en blanco para ver los cambios en todos los grupos de roles.

  4. Haga clic en Buscar.

Si se encuentran cambios con los criterios que ha especificado, se mostrará una lista de cambios en el panel de resultados. Al hacer clic en un grupo de roles, se muestran los cambios en el grupo de roles en el panel de detalles.

Uso de la EAC para exportar el registro de auditoría de administrador

Si desea crear un archivo XML que contenga los cambios realizados en la organización, utilice el informe de exportar el registro de auditoría del administrador en la EAC. Con el informe de exportar el registro de auditoría del administrador puede especificar un intervalo de fechas para buscar las entradas del registro de auditoría que contienen los cambios realizados por los usuarios que especifique. Después, el archivo XML se envía a un destinatario como datos adjuntos de correo electrónico. El tamaño máximo del archivo XML es 10 megabytes (MB).

Nota:

Outlook Web App no permite abrir datos adjuntos en formato XML de forma predeterminada. Puede configurar Exchange para poder ver datos XML adjuntos mediante Outlook Web App o puede recurrir a otro cliente de correo electrónico, como Microsoft Outlook, para ver los datos adjuntos. Para obtener información sobre cómo configurar Outlook Web App para que pueda ver datos adjuntos XML, consulte Ver o configurar Outlook Web App directorios virtuales.

  1. En el EAC, seleccioneAuditoría de administración> de cumplimiento y, a continuación, haga clic en Exportar el registro de auditoría de administrador.

  2. Seleccione un intervalo de fechas mediante los campos Fecha de inicio y Fecha de finalización.

  3. En el campo Enviar el informe de auditoría a, haga clic en Seleccionar usuarios y, a continuación, seleccione el destinatario al que desea enviar el informe.

  4. Haga clic en Exportar.

Si se encuentran entradas con los criterios especificados, se creará un archivo XML que se enviará como datos adjuntos de correo electrónico al destinatario que especifique.

Uso del Shell para buscar entradas del registro de auditoría

Puede utilizar el Shell para buscar entradas del registro de auditoría que coincidan con los criterios que especifique. Para obtener una lista de los criterios de búsqueda, consulte Registro de auditoría de administrador. En este procedimiento se utiliza el cmdlet Search-AdminAuditLog y se muestran los resultados de la búsqueda en el Shell. Utilice este cmdlet cuando tenga que devolver un conjunto de resultados que supera los límites definidos en el cmdlet New-AdminAuditLogSearch o en los Informes de auditoría de la EAC.

Si desea enviar resultados de búsqueda de registros de auditoría en un archivo adjunto de correo electrónico a un destinatario, consulte la sección Uso del shell para buscar entradas de registro de auditoría y enviar resultados a un destinatario más adelante en este tema.

Para buscar en el registro de auditoría los criterios que especifique, utilice la siguiente sintaxis.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Nota:

De manera predeterminada, el cmdlet Search-AdminAuditLog devuelve un máximo de 1.000 entradas de registro. Use el parámetro ResultSize para especificar hasta 250 000 entradas de registro. O bien, use el valor Unlimited para devolver todas las entradas.

En este ejemplo se buscan todas las entradas del registro de auditoría con los siguientes criterios:

  • Fecha de inicio: 08/04/2012

  • Fecha de finalización: 10/03/2012

  • Identificadores de usuario: davids, chrisd, kima

  • Cmdlets: Set-Mailbox

  • Parámetros: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize y MaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima

En este ejemplo se buscan los cambios realizados en un buzón específico. Esto resulta útil si está resolviendo problemas o necesita proporcionar información para una investigación. Se utilizan los siguientes criterios:

  • Fecha de inicio: 05/01/2012

  • Fecha de finalización: 10/03/2012

  • Id. de objeto: contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2012 -EndDate 10/03/2012 -ObjectID contoso.com/Users/DavidS

Si las búsquedas devuelven muchas entradas de registro, es recomendable utilizar el procedimiento descrito en Uso del Shell para buscar las entradas de registro de auditoría y enviar los resultados a un destinatario más adelante en este tema. El procedimiento de esta sección envía un archivo XML como dato adjunto de correo electrónico a los destinatarios que especifique, de modo que será más fácil extraer los datos que interesan.

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Search-AdminAuditLog.

Ver los detalles de las entradas del registro de auditoría

El cmdlet Search-AdminAuditLog devuelve los campos descritos en la sección "Contenido del registro de auditoría" de Registro de auditoría de administrador. Entre los campos que devuelve el cmdlet, CmdletParameters y ModifiedProperties contienen información adicional que no se puede ver de manera predeterminada.

Para ver el contenido de los campos CmdletParameters y ModifiedProperties siga los pasos que se describen a continuación. O utilice el procedimiento expuesto en Uso del Shell para buscar las entradas de registro de auditoría y enviar los resultados a un destinatario más adelante en este tema para crear un archivo XML.

En este procedimiento se aplican los siguientes conceptos:

  1. Decida los criterios que desea buscar, ejecute el cmdlet Search-AdminAuditLog y guarde los resultados en una variable utilizando el siguiente comando.

    $Results = Search-AdminAuditLog <search criteria>

  2. Cada entrada de registro de auditoría se almacena como un elemento de matriz en la variable $Results. Puede seleccionar un elemento de matriz especificando su índice de elemento de matriz. Los índices de elemento de matriz comienzan en cero (0) para el primer elemento de matriz. Por ejemplo, para recuperar el quinto elemento de matriz, que tiene un índice de 4, utilice el siguiente comando.

    $Results[4]

  3. El comando anterior devuelve la entrada de registro almacenada en el elemento de matriz 4. Para ver el contenido de los campos CmdletParameters y ModifiedProperties para esta entrada de registro, utilice los siguientes comandos.

    $Results[4].CmdletParameters
$Results[4].ModifiedProperties

  4. Para ver el contenido de los campos CmdletParameters o ModifiedParameters en otra entrada de registro, cambie el índice del elemento de matriz.

Uso del Shell para buscar las entradas de registro de auditoría y enviar los resultados a un destinatario

Puede utilizar el Shell para buscar las entradas de registro de auditoría que coincidan con los criterios que especifica y enviar los resultados como archivo XML de datos adjuntos al destinatario que especifique. Los resultados se envían al destinatario en 15 minutos. Para obtener una lista de los criterios de búsqueda, consulte Registro de auditoría de administrador.

Nota:

Outlook Web App no permite abrir datos adjuntos en formato XML de forma predeterminada. Puede configurar Exchange para poder ver datos XML adjuntos mediante Outlook Web App o puede recurrir a otro cliente de correo electrónico, como Microsoft Outlook, para ver los datos adjuntos. Para obtener información sobre cómo configurar Outlook Web App para que pueda ver datos adjuntos XML, consulte Ver o configurar Outlook Web App directorios virtuales.

Para buscar en el registro de auditoría los criterios que especifique, utilice la siguiente sintaxis.

New-AdminAuditLogSearch -Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False > -StatusMailRecipients <recipient 1, recipient 2, ...> -Name <string to include in subject>

En este ejemplo se buscan todas las entradas del registro de auditoría con los siguientes criterios:

  • Fecha de inicio: 08/04/2012

  • Fecha de finalización: 10/03/2012

  • Identificadores de usuario: davids, chrisd, kima

  • Cmdlets: Set-Mailbox

  • Parámetros: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

El comando envía los resultados a la davids@contoso.com dirección SMTP con "Cambios de límite de buzón" incluidos en la línea de asunto del mensaje.

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

Nota:

El informe que el cmdlet New-AdminAuditLogSearch genera puede tener un tamaño máximo de 10 MB. Si la búsqueda devuelve un informe de más de 10 MB, cambie los criterios que ha especificado. Por ejemplo, reduzca el intervalo de fechas y ejecute varios informes, cada uno con una parte del intervalo de fechas original.

Para obtener más información acerca del formato del archivo XML, consulte Estructura del registro de auditoría de administrador.

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-AdminAuditLogSearch.