Informes de auditoría de Exchange en Exchange 2013

Se aplica a: Exchange Server 2013

Use el registro de auditoría para solucionar los problemas de configuración mediante el seguimiento de cambios específicos efectuados por los administradores y como ayuda para cumplir los requisitos normativos, de cumplimiento normativo y de litigio. Microsoft Exchange proporciona dos tipos de registro de auditoría:

• El registro de auditoría de administrador guarda cualquier acción, basada en el cmdlet del Shell de administración de Exchange, que ha realizado un administrador. Esto puede ayudar a solucionar problemas de configuración o a identificar la causa de problemas relacionados con la seguridad o el cumplimiento normativo.

• El registro de auditoría de buzones registra cuando un administrador, un usuario delegado o la persona propietaria del buzón accede a este. Esto puede ayudarle a determinar quién ha accedido a un buzón y qué ha hecho.

Exportación de registros de auditoría

En la página Auditoría de administración> de cumplimiento del Centro de administración de Exchange (EAC), puede buscar y exportar entradas desde el registro de auditoría de administrador y el registro de auditoría del buzón.

• Exportar el registro de auditoría de administrador: cualquier acción realizada por un administrador basada en un cmdlet de Shell y que no comience con los verbos Get, Search o Test se registra en el registro de auditoría del administrador. Las entradas del registro de auditoría incluyen el cmdlet que se ejecutó, el parámetro y los valores utilizados con el cmdlet, así como el momento en el que la operación se realizó correctamente. Puede buscar y exportar las entradas del informe de auditoría de administrador. Al exportar los resultados de la búsqueda, Microsoft Exchange los guarda en un archivo XML y lo adjunta a un mensaje de correo electrónico. Para obtener más información, vea Search the role group changes or administrator audit logs.

  Nota:

  De manera predeterminada, las entradas del registro de auditoría del administrador se mantienen durante 90 días. Cuando una entrada tiene una antigüedad mayor que 90 días, se elimina. No se puede cambiar esta configuración en una organización basada en la nube. En cambio, es posible cambiarla en una organización de Exchange local mediante el cmdlet Set-AdminAuditLog.

• Exportar registros de auditoría de buzones: cuando el registro de auditoría de buzones está habilitado para un buzón de correo, Microsoft Exchange almacena un registro de acciones realizadas en los datos del buzón por los no propietarios en el registro de auditoría del buzón, que se almacena en una carpeta oculta en el buzón que se está auditando. El registro de auditoría de buzones también puede configurar las acciones del propietario del registro. Las entradas de este registro indican quién ha accedido al buzón y cuándo lo ha hecho, las acciones que ha realizado y si la acción se ha realizado correctamente. Al buscar entradas en el registro de auditoría de buzones y exportarlas, Microsoft Exchange guarda los resultados de la búsqueda en un archivo XML y lo adjunta a un mensaje de correo electrónico. Para obtener más información, vea Exportar registros de auditoría de buzones.

Ejecución de informes de auditoría

Cuando se ejecutan algunos de los siguientes informes en la página Auditoría del EAC, los resultados se muestran en el panel de detalles del informe.

• Ejecutar un informe de acceso al buzón de correo que no sea propietario: use este informe para buscar buzones a los que alguien que no sea el propietario del buzón tenga acceso a ellos. Para obtener más información, consulte Ejecución de un informe de acceso al buzón de correo del que no se es propietario.

• Ejecutar un informe de grupo de roles de administrador: use este informe para buscar los cambios realizados en los grupos de roles de administrador. Para obtener más información, vea Search the role group changes or administrator audit logs.

• Ejecutar un informe de detección y retención local: use este informe para buscar buzones que se han colocado o quitado de In-Place suspensión. Para obtener más información, consulte:

  • Conservación local y retención por juicio

  • Exhibición de documentos electrónicos locales

• Ejecutar un informe de suspensión por litigio por buzón: use este informe para buscar buzones que se colocaron o quitaron de la suspensión por juicio. Para obtener más información, consulte.

  • Ejecutar un informe de retención por litigio por buzón

  • Poner un buzón en retención por juicio

• Ejecutar el informe de registro de auditoría de administración: use este informe para ver las entradas del registro de auditoría de administrador. En lugar de exportar el registro de auditoría del administrador, que puede tardar hasta 24 horas para recibir en un mensaje de correo electrónico, puede ejecutar este informe en el EAC. Este informe registra los cambios de configuración que realizan los administradores en la organización. Se mostrarán hasta 5000 entradas en varias páginas. Para restringir la búsqueda, puede especificar un intervalo de fechas. Para obtener más información, consulte:

  • Ver el registro de auditoría del administrador

  • Registro de auditoría de administrador

Configuración del registro de auditoría

Para poder ejecutar los informes de auditoría y exportarlos, tiene que configurar el registro de auditoría para su organización.

Habilitación del registro de auditoría de buzones de correo

Tiene que habilitar el registro de auditoría de buzones de correo para el que desee ejecutar un informe de acceso al buzón de correo del que no se es propietario. Si el registro de la auditoría de buzones de correo no está habilitado para un buzón, no obtendrá ningún resultado para cuando ejecute un informe o exporte dicho registro.

Para habilitar el registro de auditoría de buzones de correo para un solo buzón, ejecute el siguiente comando en el Shell.

Set-Mailbox <Identity> -AuditEnabled $true

Para habilitar la auditoría de buzones de correo para todos los buzones de la organización, ejecute los siguientes comandos.

$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Para obtener más información sobre cómo configurar qué acciones se registran, vea Habilitar o deshabilitar el registro de auditoría de buzón de correo para un buzón.

Concesión de acceso a los usuarios a los informes de auditoría

De forma predeterminada, los administradores pueden obtener acceso y ejecutar cualquiera de los informes de la página Auditoría del EAC. Sin embargo, otros usuarios, como el administrador de registros o el personal jurídico, deben tener asignados los permisos necesarios.

La manera más fácil de conceder acceso de los usuarios consiste en agregarlos al grupo de funciones de administración de registros. También puede usar el Shell para conceder acceso a un usuario a la página Auditoría en el EAC mediante la asignación del rol Registros de auditoría al usuario.

Adición de un usuario al grupo de funciones de administración de registros

1. Vaya a Permisos>Administración Roles.

2. En la lista de grupos de roles, haga clic en Administración de registrosy, a continuación, haga clic en Editar

3. En Miembros, haga clic en .

4. En el cuadro de diálogo Seleccionar miembros, seleccione el usuario. Para buscar un usuario, escriba todo o parte de un nombre para mostrar y, a continuación, haga clic en También puede hacer clic en los encabezados de columna Nombre o Nombre para mostrar para ordenar la lista.

5. Haga clic en , a continuación, haga clic en Aceptar para volver a la página del grupo de roles.

6. Haga clic en Guardar para guardar los cambios realizados en el grupo de roles.

En el panel "Detalles", el usuario aparece en Miembros y puede acceder a la página "Auditoría" en el EAC, ejecutar informes de auditoría y exportar registros de auditoría.

Asignar el rol Registros de auditoría a un usuario

Ejecute el siguiente comando para asignar el rol Registros de auditoría a un usuario.

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Esto permite al usuario seleccionarAuditoríade administración de> cumplimiento en el EAC para ejecutar cualquiera de los informes. El usuario también puede exportar el registro de auditoría de buzón, así como exportar y ver el registro de auditoría del administrador.

Nota:

Para permitir que un usuario ejecute informes de auditoría pero no exporte los registros de auditoría, use el comando anterior para asignar el rol Registros de auditoría con permiso de vista.

Configuración de Outlook Web App para permitir datos adjuntos de XML

Al exportar el registro de auditoría de buzones de correo o el registro de auditoría de administrador, Microsoft Exchange adjunta el registro de auditoría, que es un archivo XML, a un mensaje de correo electrónico. Sin embargo, Outlook Web App bloquea los datos adjuntos de XML de forma predeterminada. Si desea usar Outlook Web App para obtener acceso a estos registros de auditoría, debe configurar Outlook Web App para que permita los datos adjuntos de XML.

Ejecute el siguiente comando para permitir datos adjuntos de XML en Outlook Web App.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'