Exportar registros de auditoría de buzonesExport mailbox audit logs

Cuando un buzón de correo tiene habilitada la auditoría, Microsoft Exchange guarda la información en el registro de auditoría de buzones de correo siempre que un usuario que no sea el propietario obtenga acceso al buzón de correo. Cada entrada de registro incluye información acerca de quién tuvo acceso al buzón y en qué momento, las acciones realizadas por el usuario que es no propietario y si la acción se realizó correctamente. Las entradas del registro de auditoría de buzones de correo se retienen, de manera predeterminada, durante 90 días. Puede usar el registro de auditoría de buzones de correo para determinar si un usuario que no es el propietario ha tenido acceso a un buzón de correo.When mailbox auditing is enabled for a mailbox, Microsoft Exchange logs information in the mailbox audit log whenever a user other than the owner accesses the mailbox. Each log entry includes information about who accessed the mailbox and when, the actions performed by the non-owner, and whether the action was successful. Entries in the mailbox audit log are retained for 90 days by default. You can use the mailbox audit log to determine if a user other than the owner has accessed a mailbox.

Al exportar las entradas de los registros de auditoría de buzones de correo, Microsoft Exchange registra las entradas en un archivo XML y lo adjunta a un mensaje de correo electrónico que se envía a los destinatarios especificados.When you export entries from mailbox audit logs, Microsoft Exchange saves the entries in an XML file and attaches it to an email message sent to the specified recipients.

Antes de empezarBefore you begin

  • Tiempo estimado para completar cada procedimiento: Los tiempos varían. En Exchange Online, el registro de auditoría de buzones de correo se envía unos días después de haberlo exportado.Estimated time to complete each procedure: Times are variable. In Exchange Online, the mailbox audit log is sent within a few days after you export it.

  • En Exchange Online, se debe usar Windows PowerShell remoto para llevar a cabo muchos de los procedimientos de este tema. Para obtener información detallada, vea Connect to Exchange Online Using Remote PowerShell.In Exchange Online, you have to use Remote Windows PowerShell to perform many of the procedures in this topic. For details, see Connect to Exchange Online Using Remote PowerShell.

  • Los procedimientos descritos en este tema requieren permisos específicos. Vea cada procedimiento para ver la información de permisos.Procedures in this topic require specific permissions. See each procedure for its permissions information.

  • Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Sugerencia

¿Teniendo problemas? Solicitar ayuda en los foros de Exchange. Visite los foros de Exchange Server,Exchange Onlineo Exchange Online Protection..Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection..

Configuración del registro de auditoría de buzones de correoConfigure mailbox audit logging

Tiene que habilitar el registro en cada buzón de correo de auditoría de buzón de correo que va a auditar antes de poder exportar y ver los registros de auditoría de buzón de correo. También debe configurar Microsoft Outlook Web App para permitir datos adjuntos de XML usar Outlook Web App para tener acceso al registro de auditoría.You have to enable mailbox audit logging on each mailbox that you want to audit before you can export and view mailbox audit logs. You also have to configure Microsoft Outlook Web App to allow XML attachments to use Outlook Web App to access the audit log.

Paso 1: Habilitación del registro de auditoría de buzones de correoStep 1: Enable mailbox audit logging

Tiene que habilitar el registro de auditoría de buzones de correo para el que desee ejecutar un informe de acceso al buzón de correo del que no se es propietario. Si el registro de la auditoría de buzones de correo no está habilitado para un buzón de correo, no obtendrá ningún resultado para él cuando exporte dicho registro de auditoría de buzones de correo.You have to enable mailbox audit logging for each mailbox that you want to run a non-owner mailbox access report for. If mailbox audit logging isn't enabled for a mailbox, you won't get any results for that mailbox when you export the mailbox audit log.

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el Entrada "Registro de auditoría de buzones" en el tema Permisos de directivas de mensajería y conformidad.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Mailbox audit logging" entry in the Messaging policy and compliance permissions topic.

Para habilitar el registro de auditoría de buzones de correo para un solo buzón de correo, ejecute el comando en el Shell.To enable mailbox audit logging for a single mailbox, run the command in the Shell.

Set-Mailbox <Identity> -AuditEnabled $true

Para habilitar la auditoría de buzones de correo para todos los buzones de usuarios de la organización, ejecute los siguientes comandos.To enable mailbox audit logging for all user mailboxes in your organization, run the following commands.

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Paso 2: Configuración de Outlook Web App para permitir datos adjuntos de XMLStep 2: Configure Outlook Web App to allow XML attachments

Al exportar el informe de auditoría de buzones de correo, Microsoft Exchange adjunta el registro de auditoría, que es un archivo XML, a un mensaje de correo electrónico. Sin embargo, Outlook Web App bloquea los datos adjuntos de XML de forma predeterminada. Para acceder al registro de auditoría exportado, debe usar Microsoft Outlook o configurar Outlook Web App para permitir adjuntos XML.When you export the mailbox audit log, Microsoft Exchange attaches the audit log, which is an XML file, to an email message. However, Outlook Web App blocks XML attachments by default. To access the exported audit log, you have to use Microsoft Outlook or configure Outlook Web App to allow XML attachments.

Debe tener asignados los permisos puede llevar a cabo estos procedimientos. Para ver qué permisos necesita, vea la entrada "Directivas de buzón de correo de Outlook Web App" en el tema de Los permisos de acceso de cliente .You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Outlook Web App mailbox policies" entry in the Client Access Permissions topic.

Lleve a cabo los procedimientos siguientes para permitir que los datos adjuntos de XML de Outlook Web App. En Exchange Server 2013, use el valor Default para el parámetro Identity .Perform the following procedures to allow XML attachments in Outlook Web App. In Exchange Server 2013, use the value Default for the Identity parameter.

  1. Ejecute el siguiente comando para agregar XML a la lista de tipos de archivo permitidos en Outlook Web App.Run the following command to add XML to the list of allowed file types in Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}
    
  2. Ejecute el comando siguiente para quitar el XML de la lista de tipos de archivos bloqueados en Outlook Web App.Run the following command to remove XML from the list of blocked file types in Outlook Web App.

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
    

¿Cómo saber si el proceso se ha completado correctamente?How do you know this worked?

Para comprobar que ha configurado correctamente el registro de auditoría de buzón de correo, haga lo siguiente:To verify that you've successfully configured mailbox audit logging, do the following:

  1. Ejecute el siguiente comando para comprobar que se configuró el registro de auditoría para los buzones de correo.Run the following command to verify that audit logging is configured for mailboxes.

    Get-Mailbox | FL Name,AuditEnabled
    

    El valor True para la propiedad AuditEnabled comprueba que el registro de auditoría está habilitado.A value of True for the AuditEnabled property verifies that audit logging is enabled.

  2. Ejecute el siguiente comando para comprobar que los datos adjuntos XML están permitidos en Outlook Web App.Run the following command to verify that XML attachments are allowed in Outlook Web App.

    Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
    

    Compruebe que .xml está incluido en la lista de tipos de archivo permitidos.Verify that .xml is included in the list of allowed file types.

  3. Ejecute el siguiente comando para comprobar que se han quitado datos adjuntos de XML de la lista de archivos bloqueados en Outlook Web App.Run the following command to verify that XML attachments are removed from the blocked file list in Outlook Web App.

    Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
    

    Compruebe que .xml no está incluido en la lista de tipos de archivos bloqueados.Verify that .xml isn't included in the list of blocked file types.

Exportación del registro de auditoría de buzones de correoExport the mailbox audit log

Debe tener asignados los permisos puede llevar a cabo estos procedimientos. Para ver qué permisos necesita, vea la entrada "registro de auditoría de administrador de sólo vista" en el Shell Infrastructure Permissions.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View-only administrator audit logging" entry in the Shell Infrastructure Permissions topic.

  1. En el centro de administración de Exchange (EAC), vaya a Administración de cumplimiento > auditoría.In the Exchange admin center (EAC), go to Compliance Management > Auditing.

  2. Haga clic en Exportar registros de auditoría de buzones de correo.Click Export mailbox audit logs.

  3. Configure los siguientes criterios de búsqueda para exportar las entradas del informe de auditoría de buzones de correo:Configure the following search criteria for exporting the entries from the mailbox audit log:

    • Fechas de inicio y finalización Seleccione el intervalo de fechas para las entradas que desea incluir en el archivo exportado.Start and end dates Select the date range for the entries to include in the exported file.

    • Para buscar el registro de auditoría de buzones de correo Seleccione los buzones para recuperar las entradas de registro de auditoría de.Mailboxes to search audit log for Select the mailboxes to retrieve audit log entries for.

    • Tipo de acceso de usuario no propietario Seleccione una de las siguientes opciones para definir el tipo de acceso de usuario no propietario para recuperar entradas para:Type of non-owner access Select one of the following options to define the type of non-owner access to retrieve entries for:

    • Todos los elementos que no son propietarios Búsqueda de acceso por los administradores y usuarios delegados dentro de la organización y por los administradores de centros de datos de Microsoft en Exchange Online.All non-owners Search for access by administrators and delegated users inside your organization, and by Microsoft datacenter administrators in Exchange Online.

    • Usuarios externos Busca el acceso por administradores de centros de datos de Microsoft.External users Search for access by Microsoft datacenter administrators.

    • Administradores y usuarios delegados Se busca el acceso por parte de administradores y usuarios delegados de la organización.Administrators and delegated users Search for access by administrators and delegated users inside your organization.

    • Administradores Se busca el acceso por parte de los administradores de la organización.Administrators Search for access by administrators in your organization.

    • Destinatarios Seleccione los usuarios para enviar el registro de auditoría de buzón de correo.Recipients Select the users to send the mailbox audit log to.

  4. Haga clic en Export (Exportar).Click Export.

    Microsoft Exchange recupera las entradas del registro de auditoría de buzones de correo que cumplen con los criterios de búsqueda, los guarda en un archivo denominado SearchResult.xml y, a continuación, adjunta el archivo XML a un mensaje de correo electrónico enviado a los destinatarios que especificó.Microsoft Exchange retrieves entries in the mailbox audit log that meet your search criteria, saves them to a file named SearchResult.xml, and then attaches the XML file to an email message sent to the recipients that you specified.

¿Cómo saber si el proceso se ha completado correctamente?How do you know this worked?

Inicie sesión en el buzón de correo donde se envió el registro de auditoría de buzón de correo. Si ha exportado correctamente el registro de auditoría, recibirá un mensaje enviado desde Exchange. En Exchange Online, puede tardar unos días para recibir este mensaje. El registro de auditoría de buzón de correo (denominado SearchResult.xml) se unirá a este mensaje. Si se ha configurado correctamente Outlook Web App para permitir datos adjuntos de XML, puede descargar el archivo XML adjunto.Sign in to the mailbox where the mailbox audit log was sent. If you've successfully exported the audit log, you'll receive a message sent from Exchange. In Exchange Online, it may take a few days to receive this message. The mailbox audit log (named SearchResult.xml) will be attached to this message. If you've correctly configured Outlook Web App to allow XML attachments, you can download the attached XML file.

Consulta del registro de auditoría de buzones de correoView the mailbox audit log

Debe tener asignados los permisos puede llevar a cabo estos procedimientos. Para ver qué permisos necesita, vea la entrada "registro de auditoría de administrador de sólo vista" en el Shell Infrastructure Permissions.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "View-only administrator audit logging" entry in the Shell Infrastructure Permissions topic.

Para guardar y ver el archivo SearchResult.xml:To save and view the SearchResult.xml file:

  1. Inicie sesión en el buzón al que se envió el registro de auditoría de buzones de correo.Sign in to the mailbox where the mailbox audit log was sent.

  2. En la bandeja de entrada, abra los datos adjuntos de XML enviados por Microsoft Exchange. Observe que el cuerpo del mensaje de correo electrónico contiene los criterios de búsqueda.In the Inbox, open the message with the XML file attachment sent by Microsoft Exchange. Notice that the body of the email message contains the search criteria.

  3. Haga clic en el archivo adjunto y seleccione la opción de descargar el archivo XML.Click the attachment and select to download the XML file.

  4. Abra el archivo SearchResult.xml en Microsoft Excel.Open the SearchResult.xml in Microsoft Excel.

Más informaciónMore information

  • Las entradas en el buzón de registro de auditoría En el ejemplo siguiente se muestra una entrada de registro de auditoría de buzón de correo contenido en el archivo SearchResult.xml. Cada entrada está precedido por el ** <(evento)> ** etiqueta XML y termina por el ** </Event> ** etiqueta XML. Esta entrada se muestra que el Administrador de purgado el mensaje con el asunto "notificación de litigio espera" en la carpeta elementos recuperables en el buzón de David en 30 de abril de 2010.Entries in the mailbox audit log The following example shows an entry from the mailbox audit log contained in the SearchResult.xml file. Each entry is preceded by the <Event> XML tag and ends with the </Event> XML tag. This entry shows that the administrator purged the message with the subject, " Notification of litigation hold" from the Recoverable Items folder in David's mailbox on April 30, 2010.

    <Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
      Owner="PPLNSL-dom\david50001-1363917750" 
      LastAccessed="2010-04-30T11:01:55.140625-07:00" 
      Operation="HardDelete" 
      OperationResult="Succeeded" 
      LogonType="Admin"
     FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
      FolderPathName="\Recoverable Items\Deletions"
      ClientInfoString="Client=OWA;Action=ViaProxy" 
      ClientIPAddress="10.196.241.168" 
      InternalLogonType="Owner"
      MailboxOwnerUPN="david@contoso.com"
      MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
      CrossMailboxOperation="false" 
      LogonUserDN="Administrator"
      LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
      <SourceItems>
       <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
        Subject="Notification of litigation hold"
        FolderPathName="\Recoverable Items\Deletions" /> 
      </SourceItems>
    </Event>
    
  • Campos útiles en el buzón de registro de auditoría Ésta es una descripción de los campos útiles en el registro de auditoría de buzón de correo. Puede ayudar a identificar la información específica acerca de cada instancia de access no es el propietario de un buzón de correo.Useful fields in the mailbox audit log Here's a description of useful fields in the mailbox audit log. They can help you identify specific information about each instance of non-owner access of a mailbox.

CampoField DescripciónDescription
PropietarioOwner
El propietario del buzón al que obtuvo acceso un usuario que no es el propietario.The owner of the mailbox that was accessed by a non-owner.
LastAccessedLastAccessed
La fecha y hora en que se obtuvo acceso al buzón de correo.The date and time when the mailbox was accessed.
OperaciónOperation
La acción que realizó el usuario no propietario. Para obtener más información, vea la sección "¿Qué se almacena en el registro de auditoría de buzones de correo?" en Run a Non-Owner Mailbox Access Report.The action that was performed by the non-owner. For more information, see the "What gets logged in the mailbox audit log?" section in Run a Non-Owner Mailbox Access Report.
OperationResultOperationResult
Si la acción que realizó el usuario no propietario se efectuó correctamente o no.Whether the action performed by the non-owner succeeded or failed.
LogonTypeLogonType
El tipo de acceso no propietario. Los valores son: administrator, delegate y external.The type of non-owner access. These include administrator, delegate, and external.
FolderPathNameFolderPathName
El nombre de la carpeta que contenía el mensaje afectado por el usuario no propietario.The name of the folder that contained the message that was affected by the non-owner.
ClientInfoStringClientInfoString
Información acerca del cliente de correo usado por el usuario no propietario para tener acceso al buzón de correo.Information about the mail client used by the non-owner to access the mailbox.
ClientIPAddressClientIPAddress
Dirección IP del equipo que usó el usuario no propietario para tener acceso al buzón.The IP address of the computer used by the non-owner to access the mailbox.
InternalLogonTypeInternalLogonType
El tipo de inicio de sesión de la cuenta que usó el usuario no propietario para tener acceso a este buzón de correo.The logon type of the account used by the non-owner to access this mailbox.
MailboxOwnerUPNMailboxOwnerUPN
Dirección de correo electrónico del propietario del buzón de correo.The email address of the mailbox owner.
LogonUserDNLogonUserDN
Nombre para mostrar del usuario no propietario.The display name of the non-owner.
TemaSubject
Línea de asunto del mensaje de correo electrónico afectado por el usuario que no es propietario.The subject line of the email message that was affected by the non-owner.
[When mailbox auditing is enabled for a mailbox, Microsoft Exchange logs information in the mailbox audit log whenever a user other than the owner accesses the mailbox. Each log entry includes information about who accessed the mailbox and when, the actions performed by the non-owner, and whether the action was successful. Entries in the mailbox audit log are retained for 90 days by default. You can use the mailbox audit log to determine if a user other than the owner has accessed a mailbox.When you export entries from mailbox audit logs, Microsoft Exchange saves the entries in an XML file and attaches it to an email message sent to the specified recipients.](#Introduction.md)