Activar o desactivar la búsqueda de registros de auditoríaTurn audit log search on or off

Usted (u otro administrador) deben activar el registro de auditoría antes de empezar a buscar en el registro de auditoría.You (or another admin) must turn on audit logging before you can start searching the audit log. Cuando se activa la búsqueda de registros de auditoría en el centro de seguridad & cumplimiento, la actividad de usuario y administrador de la organización se registra en el registro de auditoría y se conserva durante 90 días, y hasta un año según la licencia asignada a los usuarios.When audit log search in the Security & Compliance Center is turned on, user and admin activity from your organization is recorded in the audit log and retained for 90 days, and up to one year depending on the license assigned to users. Sin embargo, es posible que su organización tenga motivos para no querer registrar y conservar los datos del registro de auditoría.However, your organization may have reasons for not wanting to record and retain audit log data. En esos casos, un administrador global puede decidir desactivar la auditoría en Microsoft 365.In those cases, a global admin may decide to turn off auditing in Microsoft 365.

Importante

Si desactiva la búsqueda de registros de auditoría en Microsoft 365, no podrá usar la API de actividad de administración de Office 365 o Azure Sentinel para acceder a los datos de auditoría de su organización.If you turn off audit log search in Microsoft 365, you can't use the Office 365 Management Activity API or Azure Sentinel to access auditing data for your organization. La desactivación de la búsqueda de registros de auditoría siguiendo los pasos descritos en este artículo significa que no se devolverán resultados cuando busque en el registro de auditoría mediante el centro de seguridad & cumplimiento o cuando ejecute el cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell.Turning off audit log search by following the steps in this article means that no results will be returned when you search the audit log using the Security & Compliance Center or when you run the Search-UnifiedAuditLog cmdlet in Exchange Online PowerShell. Esto también significa que los registros de auditoría no estarán disponibles a través de la API de actividad de administración de Office 365 o de Azure Sentinel.This also means that audit logs won't be available through the Office 365 Management Activity API or Azure Sentinel.

Antes de activar o desactivar la búsqueda de registros de auditoríaBefore you turn audit log search on or off

  • Debe tener asignado el rol registros de auditoría en Exchange Online para activar o desactivar la búsqueda de registros de auditoría en su organización de Microsoft 365.You have to be assigned the Audit Logs role in Exchange Online to turn audit log search on or off in your Microsoft 365 organization. De forma predeterminada, este rol se asigna a los grupos de roles administración de cumplimiento y administración de la organización en la página permisos del centro de administración de Exchange.By default, this role is assigned to the Compliance Management and Organization Management role groups on the Permissions page in the Exchange admin center. Los administradores globales de Microsoft 365 son miembros del grupo de roles administración de la organización en Exchange Online.Global admins in Microsoft 365 are members of the Organization Management role group in Exchange Online.

    Nota

    Los usuarios deben tener asignados permisos en Exchange Online para activar o desactivar la búsqueda de registros de auditoría.Users have to be assigned permissions in Exchange Online to turn audit log search on or off. Si asigna a los usuarios el rol registros de auditoría en la página permisos del centro de seguridad & cumplimiento, no podrán activar o desactivar la búsqueda de registros de auditoría.If you assign users the Audit Logs role on the Permissions page in the Security & Compliance Center, they won't be able to turn audit log search on or off. Esto se debe a que el cmdlet subyacente es un cmdlet de Exchange Online.This is because the underlying cmdlet is an Exchange Online cmdlet.

  • Para obtener instrucciones paso a paso sobre cómo buscar en el registro de auditoría, vea Buscar en el registro de auditoría del centro de seguridad & cumplimiento.For step-by-step instructions on searching the audit log, see Search the audit log in the Security & Compliance Center. Para obtener más información sobre la API de actividad de administración de Microsoft 365, consulte Introducción a las API de administración de microsoft 365.For more information about the Microsoft 365 Management Activity API, see Get started with Microsoft 365 Management APIs.

Puede usar el centro de seguridad & cumplimiento o PowerShell para activar la búsqueda de registros de auditoría en Microsoft 365.You can use the Security & Compliance Center or PowerShell to turn on audit log search in Microsoft 365. Puede tardar varias horas después de activar la búsqueda de registros de auditoría para poder devolver los resultados cuando busque en el registro de auditoría.It may take several hours after you turn on audit log search before you can return results when you search the audit log. Debe tener asignado el rol registros de auditoría en Exchange Online para activar la búsqueda de registros de auditoría.You have to be assigned the Audit Logs role in Exchange Online to turn on audit log search.

  1. Vaya al centro de seguridad & cumplimiento e inicie sesión.Go to the Security & Compliance Center and sign in.

  2. En el centro de seguridad & cumplimiento, vaya a búsqueda de registros de auditoría de búsqueda > Audit log search.In the Security & Compliance Center, go to Search > Audit log search.

    Se muestra un banner en el que se indica que se debe activar la auditoría para registrar la actividad de usuario y de administrador.A banner is displayed saying that auditing has to be turned on to record user and admin activity.

  3. Haga clic en Activar auditoría.Click Turn on auditing.

    Haga clic en activar auditoría

    El banner se actualiza para indicar que se está preparando el registro de auditoría y que puede buscar la actividad de usuario y de administrador en unas horas.The banner is updated to say the audit log is being prepared and that you can search for user and admin activity in a few hours.

  1. Conectarse a Exchange Online mediante PowerShellConnect to Exchange Online PowerShell

  2. Ejecute el siguiente comando de PowerShell para activar la búsqueda de registros de auditoría en Office 365.Run the following PowerShell command to turn on audit log search in Office 365.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Se muestra un mensaje que indica que puede tardar hasta 60 minutos para que el cambio surta efecto.A message is displayed saying that it may take up to 60 minutes for the change to take effect.

Debe usar PowerShell remoto conectado a su organización de Exchange Online para desactivar la búsqueda de registros de auditoría.You have to use remote PowerShell connected to your Exchange Online organization to turn off audit log search. De forma similar a activar la búsqueda de registros de auditoría, debe tener asignado el rol registros de auditoría en Exchange Online para desactivar la búsqueda de registros de auditoría.Similar to turning on audit log search, you have to be assigned the Audit Logs role in Exchange Online to turn off audit log search.

  1. Conectarse a Exchange Online mediante PowerShellConnect to Exchange Online PowerShell

  2. Ejecute el siguiente comando de PowerShell para desactivar la búsqueda de registros de auditoría en Office 365.Run the following PowerShell command to turn off audit log search in Office 365.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    
  3. Después de un rato, compruebe que la búsqueda de registros de auditoría está desactivada (deshabilitada).After a while, verify that audit log search is turned off (disabled). Puede realizar esto de dos maneras:There are two ways to do this:

    • En PowerShell, ejecute el siguiente comando:In PowerShell, run the following command:
    Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
    

    El valor de False para la propiedad UnifiedAuditLogIngestionEnabled indica que la búsqueda de registros de auditoría está desactivada.The value of False for the UnifiedAuditLogIngestionEnabled property indicates that audit log search is turned off.

    • En el centro de seguridad & cumplimiento, vaya a búsqueda de registros de auditoría de búsqueda > Audit log search.In the Security & Compliance Center, go to Search > Audit log search.

      Se muestra un banner en el que se indica que se debe activar la auditoría para poder registrar la actividad de usuario y de administrador.A banner is displayed saying that auditing has to be turned on in order to record user and admin activity.