Información general sobre el registro de auditoría del administrador
Se aplica a: Exchange Server 2010
Última modificación del tema: 2009-11-30
Puede usar el registro de auditoría de administrador de Microsoft Exchange Server 2010 para registrar cuándo un usuario o administrador de su organización ejecuta un cmdlet. Al mantener un registro de los cmdlets ejecutados, puede realizar un seguimiento de los cambios en función del usuario que los realizó, perfeccionar los registros de cambios con datos detallados de la implementación del cambio, cumplir los requisitos normativos y las solicitudes de detección, y más.
Qué se audita
Se auditan los cmdlets que se ejecutan directamente en el Shell de administración de Exchange. También se registran las operaciones realizadas mediante la Consola de administración de Exchange (EMC) y la interfaz de administración web de Exchange, ya que dichas operaciones ejecutan cmdlets en segundo plano.
Un cmdlet, sin importar dónde se ejecute, se auditará si se encuentra en la lista de auditoría de cmdlets y si uno o varios de sus parámetros está en la lista de auditoría de parámetros. Los cmdlets Get no se registran. El objetivo del registro de auditoría es mostrar las acciones que se efectuaron para modificar objetos en una organización de Exchange, y no los objetos que se visualizaron.
Importante
Es posible que no se registre un cmdlet si se produce un error antes de que el cmdlet llame al agente de extensión de cmdlet del registro de auditoría de administrador. Si se produce un error después de llamar al agente del registro de auditoría de administrador, el cmdlet se registrará junto con el error asociado. Para obtener más información, consulte "Agente del registro de auditoría de administrador" más adelante en este tema.
Los cambios en la configuración del registro de auditoría se actualizan cada 60 minutos en los equipos que tienen el Shell abierto en el momento de realizar un cambio en la configuración. Si desea aplicar los cambios de inmediato, cierre y vuelva a abrir el Shell en cada equipo.
Configuración del registro de auditoría
De forma predeterminada, si el registro de auditoría está habilitado, se crea una entrada de registro cada vez que se ejecuta un cmdlet, excepto el cmdlet Get. Cuando configura el registro de auditoría, debe especificar el buzón de correo en donde desea almacenar los registros. Si no desea auditar todos los cmdlets que se ejecutan, puede configurar el registro de auditoría para que audite únicamente los cmdlets y los parámetros que desea. Puede configurar el registro de auditoría con el cmdlet Set-AdminAuditLogConfig. Los parámetros a los que se hace referencia en las siguientes secciones se usan con este cmdlet.
Cuando se ejecuta un comando, Exchange inspecciona el cmdlet que se usó. Si el cmdlet que se ejecutó coincide con alguno de los cmdlets proporcionados con el parámetro AdminAuditLogConfigCmdlets, Exchange comprueba luego los parámetros especificados en el parámetro AdminAuditLogConfigParameters. Si coinciden uno o varios parámetros de la lista de parámetros, Exchange registra el cmdlet que se ejecutó en el buzón de correo especificado mediante el parámetro AdminAuditLogMailbox. En las siguientes secciones, se ofrece más información acerca de los aspectos de la configuración del registro de auditoría.
Para obtener más información, consulte Configurar registro de auditoría de administrador.
Cmdlets
Puede controlar qué cmdlets se auditarán. Para ello, debe proporcionar una lista de los cmdlets que desea registrar, junto sus parámetros. Cuando configura el registro de auditoría, puede especificar si desea auditar todos cmdlets o puede indicar los cmdlets que desea auditar mediante el parámetro AdminAuditLogConfigCmdlets. Puede especificar un nombre de cmdlet completo, como New-Mailbox, o puede especificar un nombre de cmdlet parcial y escribir el nombre entre caracteres comodín, por ejemplo, un asterisco (*). Por ejemplo, si desea registrar cuándo se ejecuta un cmdlet que contiene la cadena Transport, puede especificar el valor *Transport*. Puede usar una combinación de nombres de cmdlet completos y parciales al mismo tiempo para adaptar la configuración del registro de auditoría a sus necesidades.
Parámetros
Además de especificar qué cmdlets desea registrar, también puede indicar que los cmdlets sólo se deberán registrar si se usan determinados parámetros en esos cmdlets. Use el parámetro AdminAuditLogConfigParameters para especificar los parámetros que se deben registrar. Al igual que con los cmdlets, puede especificar un nombre de parámetro completo, como Database, o un nombre de parámetro parcial y escribir el nombre entre caracteres comodín (*), como *Address*, o una combinación de ambos.
Buzón de correo de auditoría
Para esta versión de Exchange 2010, las entradas del registro de auditoría se almacenan en un buzón de correo que se especifica con el parámetro AdminAuditLogMailbox. El buzón de correo de auditoría debe ser un buzón al que sólo tenga acceso un grupo restringido de administradores. Esta restricción es necesaria porque el registro de auditoría podría poner en riesgo la información confidencial. Todos los valores especificados en los parámetros de los cmdlets registrados, excepto las contraseñas, se almacenan en los registros de auditoría.
Dado que el registro de auditoría puede registrar todos los comandos que ejecutan los usuarios y los administradores de su organización, deberá supervisar el buzón de correo de auditoría periódicamente. Si se llena el buzón de correo, se perderán los nuevos registros enviados al buzón y no se podrán recuperar.
Para asegurarse de que sólo las entradas del registro de auditoría se almacenen en este buzón de correo, se recomienda restringir los usuarios que pueden enviar correos electrónicos a este buzón. Para obtener más información acerca de cómo restringir los usuarios que pueden enviar correos electrónicos a un buzón de correo, consulte Configurar las restricciones en la entrega de mensajes.
Registros de auditoría
Los registros de auditoría se almacenan como mensajes de correo electrónico en el buzón de correo especificado al configurar el registro de auditoría. Para tener acceso a los registros, abra el buzón de correo con cualquier cliente de correo electrónico, como Microsoft Outlook o Microsoft Office aplicación web de Outlook.
Cada vez que se registra un cmdlet, se crea un mensaje de correo electrónico del registro de auditoría y se lo envía al buzón de correo de auditoría. Cada registro contiene la información descrita en la siguiente tabla.
Campos de entrada del registro de auditoría
| Campo | Descripción |
|---|---|
Asunto del mensaje |
Cuenta del usuario que ejecutó el cmdlet y el cmdlet ejecutado. |
Nombre del cmdlet |
Cmdlet ejecutado por el autor de la llamada. |
Objeto modificado |
Objeto modificado por el cmdlet. |
Parámetro |
Los parámetros especificados cuando se ejecutó el cmdlet y los valores proporcionados. Si se especificó más de un parámetro, se muestran varios campos de Parámetro. |
Autor de la llamada |
Cuenta del usuario que ejecutó el cmdlet. |
Correcto |
Si el cmdlet se ejecutó correctamente. El valor puede ser True o False. |
Error |
Mensaje de error generado si no se pudo completar correctamente el cmdlet. |
Fecha de ejecución |
Fecha y hora de ejecución del cmdlet. La fecha y la hora se almacenan en formato de hora universal coordinada (UTC). |
Nota
Los campos de entrada del registro de auditoría contienen un GUID. Este GUID sólo es interno y no se debe usar como referencia al interpretar o procesar los registros de auditoría.
Replicación de Active Directory
El registro de auditoría de administrador usa la replicación de Active Directory para replicar las opciones de configuración que se especifican en los controladores de dominio de la organización. En función de las opciones de replicación, es posible que los cambios que realice no se apliquen de inmediato a todos los servidores que ejecutan Exchange 2010 en la organización.
Agente del registro de auditoría de administrador
El agente de extensión de cmdlet integrado realiza el registro de auditoría de administrador de las operaciones de cmdlet en Exchange 2010. Este agente lee la configuración del registro de auditoría y luego realiza una evaluación de cada cmdlet que se ejecuta en la organización. Si los criterios especificados en la configuración del registro de auditoría coinciden con el cmdlet en ejecución, el agente genera un registro de auditoría que se envía al buzón de correo de auditoría.
Los agentes de extensión de cmdlet pueden estar habilitados o deshabilitados. El agente del registro de auditoría de administrador está habilitado de forma predeterminada. Esta configuración es necesaria para que funcione el registro de auditoría. Los estados habilitado y deshabilitado del agente del registro de auditoría de administrador y la característica de registro de auditoría de administrador son independientes. Ambos deben estar habilitados para que se efectúe el registro. Si alguno está deshabilitado, no se realizará el registro.
Dado que el agente del registro de auditoría de administrador está habilitado de forma predeterminada, no debería ser necesario modificar la configuración de este agente. Si necesita habilitar o deshabilitar este agente, o si desea obtener más información sobre los agentes de extensión de cmdlet, consulte los siguientes temas: