Buscar el registro de auditoría en el centro de cumplimientoSearch the audit log in the compliance center

¿Necesita averiguar si un usuario ha visto un documento determinado o si ha purgado un elemento de su buzón?Need to find if a user viewed a specific document or purged an item from their mailbox? Si es así, puede usar el centro de cumplimiento de Microsoft 365 para buscar en el registro de auditoría unificado para ver la actividad de usuarios y administradores en su organización.If so, you can use the Microsoft 365 compliance center to search the unified audit log to view user and administrator activity in your organization. ¿Por qué un registro de auditoría unificado?Why a unified audit log? Porque puede buscar los siguientes tipos de Actividades administrativas y de usuario en Microsoft 365:Because you can search for the following types of user and admin activity in Microsoft 365:

  • Actividad de usuario en SharePoint Online y OneDrive para EmpresasUser activity in SharePoint Online and OneDrive for Business

  • Actividad del usuario en Exchange en línea (registro de auditoría del buzón de Exchange)User activity in Exchange Online (Exchange mailbox audit logging)

  • Actividad de administración en SharePoint en líneaAdmin activity in SharePoint Online

  • Actividad de administrador en Azure Active Directory (el servicio de directorio para Microsoft 365)Admin activity in Azure Active Directory (the directory service for Microsoft 365)

  • Actividad de administración en Exchange en línea (registro de auditoría de administración de Exchange)Admin activity in Exchange Online (Exchange admin audit logging)

  • Actividades de eDiscovery en el Centro de seguridad y cumplimientoeDiscovery activities in the security and compliance center

  • Actividad de usuario y administrador en Power BIUser and admin activity in Power BI

  • Actividad de usuario y administrador en Microsoft TeamsUser and admin activity in Microsoft Teams

  • Actividad de usuario y administrador en Dynamics 365User and admin activity in Dynamics 365

  • Actividad de usuario y administrador en YammerUser and admin activity in Yammer

  • Actividad de usuario y administrador en Microsoft Power AutomateUser and admin activity in Microsoft Power Automate

  • Actividad de usuario y administrador en Microsoft StreamUser and admin activity in Microsoft Stream

  • Actividad de analista y administrador en Microsoft Workplace AnalyticsAnalyst and admin activity in Microsoft Workplace Analytics

  • Actividad de usuario y administrador en Microsoft Power AppsUser and admin activity in Microsoft Power Apps

  • Actividad de usuario y administrador en Microsoft FormsUser and admin activity in Microsoft Forms

  • Actividad de administrador y usuario para las etiquetas de confidencialidad de los sitios que usan SharePoint Online o Microsoft TeamsUser and admin activity for sensitivity labels for sites that use SharePoint Online or Microsoft Teams

  • Actividad de administrador en el correo de Informe de tareas pendientes y MyAnalyticsAdmin activity in Briefing email and MyAnalytics

Requisitos para realizar búsquedas en el registro de auditoríaRequirements to search the audit log

Lea los elementos siguientes antes de iniciar la búsqueda en el registro de auditoría.Be sure to read the following items before you start searching the audit log.

  • La búsqueda en el registro de auditoría está activada de forma predeterminada para organizaciones de Microsoft 365 y Office 365 Enterprise.Audit log search is turned on by default for Microsoft 365 and Office 365 enterprise organizations. Esto incluye las organizaciones con suscripciones a E3/G3 o E5/G5.This includes organizations with E3/G3 or E5/G5 subscriptions. Para comprobar que la búsqueda de registros de auditoría está activada, puede ejecutar el comando siguiente en PowerShell de Exchange Online:To verify that audit log search is turned on, you can run the following command in Exchange Online PowerShell:

    Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
    

    El valor de True para la propiedad UnifiedAuditLogIngestionEnabled indica que la búsqueda de registros de auditoría está activada.The value of True for the UnifiedAuditLogIngestionEnabled property indicates that audit log search is turned on. Para obtener más información, consulte Desactivar o activar la búsqueda de registros de auditoría.For more information, see Turn audit log search on or off.

  • Usted debe tener asignado el rol de Registros de auditoría o Registros de auditoría de solo lectura en Exchange Online para buscar en el registro de auditoría.You have to be assigned the View-Only Audit Logs or Audit Logs role in Exchange Online to search the audit log. De forma predeterminada, estos roles se asignan a los grupos de roles de Administración de la organización y Administración de cumplimiento en la página de permisos del centro de administración de Exchange.By default, these roles are assigned to the Compliance Management and Organization Management role groups on the Permissions page in the Exchange admin center. Tenga en cuenta que los administradores globales de Office 365 y Microsoft 365 pasan automáticamente a ser miembros del grupo de roles de Administración de la organización en el servicio de Exchange Online.Note global administrators in Office 365 and Microsoft 365 are automatically added as members of the Organization Management role group in Exchange Online. Para darle a un usuario la capacidad de buscar en el registro de auditoría con el mínimo nivel de privilegios, puede crear un grupo de roles personalizado en Exchange Online, agregar el rol de Registros de auditoría o Registros de auditoría de solo lectura y, después, agregar el usuario como miembro del nuevo grupo de roles.To give a user the ability to search the audit log with the minimum level of privileges, you can create a custom role group in Exchange Online, add the View-Only Audit Logs or Audit Logs role, and then add the user as a member of the new role group. Para obtener más información, consulteAdministrar grupos de roles en Exchange en línea.For more information, see Manage role groups in Exchange Online.

    Importante

    Si asigna a un usuario el rol de Registros de auditoría o Registros de auditoría de solo lectura en la página de permisos del Centro de seguridad y cumplimiento, no podrán buscar en el registro de auditoría.If you assign a user the View-Only Audit Logs or Audit Logs role on the Permissions page in the Security & Compliance Center, they won't be able to search the audit log. Tiene que asignar los permisos en Exchange en línea.You have to assign the permissions in Exchange Online. Esto se debe a que el cmdlet subyacente que se usa para buscar en el registro de auditoría es un cmdlet Exchange en línea.This is because the underlying cmdlet used to search the audit log is an Exchange Online cmdlet.

  • Cuando un usuario o administrador realiza una actividad auditada, se genera un registro de auditoría y se almacena en el registro de auditoría de la organización.When an audited activity is performed by a user or admin, an audit record is generated and stored in the audit log for your organization. La cantidad de tiempo que se retiene un registro de auditoría (y que se puede buscar en el registro de auditoría) depende de la suscripción a Office 365 o Microsoft 365 Enterprise y, específicamente, del tipo de licencia que se ha asignado a usuarios específicos.The length of time that an audit record is retained (and searchable in the audit log) depends on your Office 365 or Microsoft 365 Enterprise subscription, and specifically the type of the license that is assigned to specific users.

    • En el caso de los usuarios que tienen asignada una licencia de Office 365 E5 o Microsoft 365 E5 (o usuarios con una licencia de complemento de Cumplimiento de Microsoft 365 E5 o de eDiscovery y auditoría de Microsoft 365 E5), los registros de auditoría de Azure Active Directory, Exchange y la actividad de SharePoint se conservan durante un año de forma predeterminada.For users assigned an Office 365 E5 or Microsoft 365 E5 license (or users with a Microsoft 365 E5 Compliance or Microsoft 365 E5 eDiscovery and Audit add-on license), audit records for Azure Active Directory, Exchange, and SharePoint activity are retained for one year by default. Las organizaciones también pueden crear directivas de retención de registros de auditoría para conservar registros de auditoría de actividades en otros servicios durante un año.Organizations can also create audit log retention policies to retain audit records for activities in other services for up to one year. Para obtener más información, vea administrar directivas de retención de los registros de auditoría.For more information, see Manage audit log retention policies.

      Nota

      Si su organización ha participado en el programa de vista previa privado para la retención de registros de auditoría de un año, la duración de la retención de los registros de auditoría que se generaron antes de la fecha de lanzamiento de disponibilidad general no se restablecerá.If your organization participated in the private preview program for the one-year retention of audit records, the retention duration for audit records that were generated before the general availability rollout date will not be reset.

    • Para los usuarios que tengan asignadas otras licencias de Office 365 o Microsoft 365 (que no sean E5), los registros de auditoría se conservarán durante 90 días.For users assigned any other (non-E5) Office 365 or Microsoft 365 license, audit records are retained for 90 days. Para obtener una lista de las suscripciones de Office 365 y Microsoft 365 que admiten el registro de auditoría unificado, consulte la descripción del servicio del centro de seguridad y cumplimiento.For a list of Office 365 and Microsoft 365 subscriptions that support unified audit logging, see the security and compliance center service description.

      Nota

      Incluso si la auditoría de buzón está activada de forma predeterminada, es posible que los eventos de auditoría del buzón de algunos usuarios no se encuentren en búsquedas de registro de auditoría en el Centro de seguridad y cumplimiento a través de la API de Actividad de administración de Office 365.Even when mailbox auditing on by default is turned on, you might notice that mailbox audit events for some users aren't found in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. Para obtener más información, vea Más información sobre el registro de auditoría del buzón de correo.For more information, see More information about mailbox audit logging.

  • Si desea desactivar la búsqueda en el registro de auditoría de su organización, puede ejecutar el comando siguiente en el PowerShell remoto conectado a su organización de Exchange Online:If you want to turn off audit log search for your organization, you can run the following command in remote PowerShell connected to your Exchange Online organization:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    

    Para volver a activar la búsqueda de auditoría, puede ejecutar el comando siguiente en PowerShell de Exchange en línea :To turn on audit search again, you can run the following command in Exchange Online PowerShell:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Para obtener más información, consulteDesactivar la búsqueda de registros de auditoría.For more information, see Turn off audit log search.

  • Como se indicó anteriormente, el cmdlet subyacente que se ha usado para buscar en el registro de auditoría es un cmdlet de Exchange en línea, que es Search-UnifiedAuditLog.As previously stated, the underlying cmdlet used to search the audit log is an Exchange Online cmdlet, which is Search-UnifiedAuditLog. Eso significa que puede usar este cmdlet para buscar en el registro de auditoría en lugar de usar la página de Búsqueda de registros de auditoría del Centro de seguridad y cumplimiento.That means you can use this cmdlet to search the audit log instead of using the Audit log search page in the Security & Compliance Center. Tiene que ejecutar este cmdlet en el PowerShell remoto conectado a su organización de Exchange en línea.You have to run this cmdlet in remote PowerShell connected to your Exchange Online organization. Para obtener más información, consulteSearch-UnifiedAuditLog.For more information, see Search-UnifiedAuditLog.

    Para obtener información sobre cómo exportar los resultados de búsqueda devueltos por el cmdlet Search-UnifiedAuditLog a un archivo CSV, consulte la sección "sugerencias para exportar y ver el registro de auditoría" exportar, configurar y ver el registro de auditoría registros.For information about exporting the search results returned by the Search-UnifiedAuditLog cmdlet to a CSV file, see the "Tips for exporting and viewing the audit log" section in Export, configure, and view audit log records.

  • Si desea descargar mediante programación los datos del registro de auditoría, le recomendamos que use la API de Actividad de administración de Office 365 en lugar de usar un script de PowerShell.If you want to programmatically download data from the audit log, we recommend that you use the Office 365 Management Activity API instead of using a PowerShell script. La API de Actividad de administración de Office 365 es un servicio REST de la web que puede usar para desarrollar operaciones, soluciones de supervisión de seguridad y cumplimiento para su organización.The Office 365 Management Activity API is a REST web service that you can use to develop operations, security, and compliance monitoring solutions for your organization. Para obtener más información, consultela referencia de la API de Actividad de administración de Office 365.For more information, see Office 365 Management Activity API reference.

  • El registro de auditoría correspondiente puede tardar hasta 30 minutos o 24 horas después de que se produzca el evento en mostrarse en los resultados de una búsqueda de registro de auditoría.It can take up to 30 minutes or up to 24 hours after an event occurs for the corresponding audit log record to be returned in the results of an audit log search. En la siguiente tabla, se muestra el tiempo que tarda para los distintos servicios en Office 365..The following table shows the time it takes for the different services in Office 365.

    Característica o servicio de Microsoft 365Microsoft 365 service or feature 30 minutos30 minutes 24 horas24 hours
    Microsoft Defender para Office 365 e Inteligencia sobre amenazasDefender for Office 365 and Threat Intelligence Marca de verificación
    Azure Active Directory (eventos de inicio de sesión de usuario)Azure Active Directory (user login events) Marca de verificación
    Azure Active Directory (eventos administrativos)Azure Active Directory (admin events) Marca de verificación
    Prevención de pérdida de datosData Loss Prevention Marca de verificación
    Dynamics 365 CRMDynamics 365 CRM Marca de verificación
    eDiscoveryeDiscovery Marca de verificación
    Exchange en líneaExchange Online Marca de verificación
    Microsoft Power AutomateMicrosoft Power Automate Marca de verificación
    Microsoft ProjectMicrosoft Project Marca de verificación
    Microsoft StreamMicrosoft Stream Marca de verificación
    Microsoft TeamsMicrosoft Teams Marca de verificación
    PowerAppsPower Apps Marca de verificación
    Power BIPower BI Marca de verificación
    Centro de seguridad y cumplimientoSecurity & Compliance Center Marca de verificación
    Etiquetas de confidencialidadSensitivity labels Marca de verificación
    SharePoint en línea y OneDrive para EmpresasSharePoint Online and OneDrive for Business Marca de verificación
    Workplace AnalyticsWorkplace Analytics Marca de verificación
    YammerYammer Marca de verificación
    Microsoft FormsMicrosoft Forms Marca de verificación
  • Azure Active Directory (AD) es el servicio de directorio para Office 365.Azure Active Directory (Azure AD) is the directory service for Office 365. El registro de auditoría unificado contiene actividades de usuario, dominio, aplicación, grupo y de directorio que se han realizado en el Centro de administración de Microsoft 365 o en el Portal de administración de Azure.The unified audit log contains user, group, application, domain, and directory activities performed in the Microsoft 365 admin center or in the Azure management portal. Para obtener una lista completa de los eventos de Azure AD, consulteEventos del informe de auditoría de Azure Active Directory.For a complete list of Azure AD events, see Azure Active Directory Audit Report Events.

  • El registro de auditoría de Power BI no está habilitado de forma predeterminada.Audit logging for Power BI isn't enabled by default. Para buscar actividades de Power BI en el registro de auditoría, debe habilitar la auditoría en el portal de administración de Power BI.To search for Power BI activities in the audit log, you have to enable auditing in the Power BI admin portal. Para obtener instrucciones, consulte la sección "registros de auditoría"en el portal de administración de Power BI.For instructions, see the "Audit logs" section in Power BI admin portal.

Búsquedas en el registro de auditoríaSearch the audit log

Aquí se muestra el proceso para buscar el registro de auditoría en Office 365.Here's the process for searching the audit log in Office 365.

Paso 1: Ejecute una búsqueda de registros de auditoríaStep 1: Run an audit log search

Paso 2: Vea los resultados de la búsquedaStep 2: View the search results

Paso 3: Filtre los resultados de la búsquedaStep 3: Filter the search results

Paso 4: Exportar los resultados de búsqueda a un archivoStep 4: Export the search results to a file

  1. Vaya a https://protection.office.com.Go to https://protection.office.com.

    Sugerencia

    Use una sesión de exploración privada (no una sesión normal) para obtener acceso al centro de seguridad y cumplimiento, ya que esto evitará que las credenciales con las que inició sesión actualmente sean usadas.Use a private browsing session (not a regular session) to access the Security & Compliance Center because this will prevent the credential that you are currently logged on with from being used. Para abrir una ventana de Exploración de InPrivate en Internet Explorer o en Microsoft Edge, pulse las teclas CTRL+SHIFT+P.To open an InPrivate Browsing session in Internet Explorer or Microsoft Edge, just press CTRL+SHIFT+P. Para abrir una sesión de explorador privada en Google Chrome (denominada ventana de incógnito), presione CTRL+MAYÚS+N.To open a private browsing session in Google Chrome (called an incognito window), press CTRL+SHIFT+N.

  2. Inicie sesión con su cuenta profesional o educativa.Sign in using your work or school account.

  3. En el panel izquierdo del Centro de seguridad y cumplimiento, haga clic en buscar, y luego haga clic en buscar el registro de auditoría.In the left pane of the Security & Compliance Center, click Search, and then click Audit log search.

    La página del registro de auditoría de búsqueda será mostrada.The Audit log search page is displayed.

    Configure los criterios y luego, haga clic en Buscar para ejecutar el informe.

    Nota

    Primeramente tiene que activar el registro de auditoría antes de que pueda ejecutar una búsqueda de registros de auditoría.You have to first turn on audit logging before you can run an audit log search. Si se muestra el vínculo Iniciar el registro de la actividad administrativa y de usuario, haga clic en él para activar la auditoría.If the Start recording user and admin activity link is displayed, click it to turn on auditing. Si no ve este vínculo, la auditoría ya se ha activado para la organización.If you don't see this link, auditing has already been turned on for your organization.

  4. Configurar los siguientes criterios de búsqueda: Configure the following search criteria:

    1. Actividades: haga clic en la lista desplegable para mostrar las actividades que puede buscar.Activities: Click the drop-down list to display the activities that you can search for. Las actividades administrativas y de usuario se organizan en grupos de actividades relacionadas.User and admin activities are organized into groups of related activities. Puede seleccionar actividades específicas o puede hacer clic en el nombre del grupo de actividades para seleccionar todas las actividades del grupo.You can select specific activities or you can click the activity group name to select all activities in the group. También puede hacer clic en una actividad seleccionada para borrar la selección.You can also click a selected activity to clear the selection. Después de que ejecute la búsqueda, solo se muestran las entradas seleccionadas del registro de auditoría de las actividades.After you run the search, only the audit log entries for the selected activities are displayed. Al seleccionar Mostrar los resultados de todas las actividades, se mostrarán los resultados de todas las actividades que el usuario o el grupo de usuarios seleccionado ha realizado.Selecting Show results for all activities displays results for all activities performed by the selected user or group of users.

      Se registran más de 100 actividades de usuario y de administrador en el registro de auditoría.Over 100 user and admin activities are logged in the audit log. Haga clic en la pestaña de Actividades auditadas en el tema de este artículo para ver las descripciones de todas las actividades en cada uno de los diferentes servicios.Click the Audited activities tab at the topic of this article to see the descriptions of every activity in each of the different services.

    2. Fecha de inicio y Fecha de finalización: los últimos siete días se seleccionan de manera predeterminada.Start date and End date: The last seven days are selected by default. Seleccione un intervalo de fecha y hora para mostrar los eventos que han sucedido en ese período.Select a date and time range to display the events that occurred within that period. La fecha y la hora se muestran en hora local.The date and time are presented in local time. El intervalo máximo de fecha que puede especificar es 90 días.The maximum date range that you can specify is 90 days. Se muestra un error si el intervalo de fecha seleccionado es superior a 90 días.An error is displayed if the selected date range is greater than 90 days.

      Sugerencia

      Si está usando el intervalo de fecha máximo de 90 días, seleccione la hora actual para la Fecha de inicio.If you're using the maximum date range of 90 days, select the current time for the Start date. De otro modo, recibirá un error que dice que la fecha de inicio es anterior a la fecha de finalización.Otherwise, you'll receive an error saying that the start date is earlier than the end date. Si ha activado la auditoría en los últimos 90 días, el intervalo máximo de fecha no puede comenzar antes de la fecha en la que se ha activado la auditoría.If you've turned on auditing within the last 90 days, the maximum date range can't start before the date that auditing was turned on.

    3. Usuarios: haga clic en este cuadro y, luego, seleccione uno o más usuarios para mostrarles los resultados de búsqueda.Users: Click in this box and then select one or more users to display search results for. Las entradas del registro de auditoría de la actividad seleccionada realizada por los usuarios que selecciona en este cuadro, se muestran en la lista de resultados.The audit log entries for the selected activity performed by the users you select in this box are displayed in the list of results. Deje este cuadro en blanco para devolver las entradas de todos los usuarios (y cuentas de servicio) de su organización.Leave this box blank to return entries for all users (and service accounts) in your organization.

    4. Archivo, carpeta o sitio: escriba algunos o todos los nombres de carpeta o de archivo para buscar las actividades relacionadas con el archivo de la carpeta que contengan la palabra clave especifica.File, folder, or site: Type some or all of a file or folder name to search for activity related to the file of folder that contains the specified keyword. También puede especificar una dirección URL de un archivo o carpeta.You can also specify a URL of a file or folder. Si usa una dirección URL, asegúrese de escribir la dirección URL completa, o si escribe solo una parte de esta, de no incluir espacios ni caracteres especiales.If you use a URL, be sure the type the full URL path or if you type a portion of the URL, don't include any special characters or spaces.

      Deje este cuadro en blanco para devolver las entradas de todos los archivos y carpetas de la organización.Leave this box blank to return entries for all files and folders in your organization.

      Sugerencia

      • Si busca todas las actividades relacionadas con un sitio, añada el símbolo comodín (*) detrás de la dirección URL para devolver todas las entradas para ese sitio; por ejemplo, "https://contoso-my.sharepoint.com/personal*".If you're looking for all activities related to a site, add the wildcard symbol (*) after the URL to return all entries for that site; for example, "https://contoso-my.sharepoint.com/personal*".

      • Si está buscando todas las actividades relacionadas con un archivo, agregue el símbolo comodín (*) antes del nombre de archivo para devolver todas las entradas para ese archivo; por ejemplo,"*Customer_Profitability_Sample.csv".If you're looking for all activities related to a file, add the wildcard symbol (*) before the file name to return all entries for that file; for example, "*Customer_Profitability_Sample.csv".

  5. Haga clic en Búsqueda para ejecutar la búsqueda mediante sus criterios de búsqueda. Click Search to run the search using your search criteria.

    Los resultados de búsqueda se cargan y, después de unos minutos, se muestran en Resultados.The search results are loaded, and after a few moments they are displayed under Results. Cuando finaliza la búsqueda, se muestra el número de resultados que se ha encontrado.When the search is finished, the number of results found is displayed. En el panel resultados se mostrará un máximo de 5 000 eventos en incrementos de 150 eventos.A maximum of 5,000 events will be displayed in the Results pane in increments of 150 events. Si hay más de 5 000 eventos que cumplen los criterios de búsqueda, se muestran los 5 000 eventos más recientes.If more than 5,000 events meet the search criteria, the most recent 5,000 events are displayed.

    El número de resultados se muestra cuando haya terminado la búsqueda

Sugerencias para buscar el registro de auditoríaTips for searching the audit log

  • Puede seleccionar actividades específicas de búsqueda haciendo clic en el nombre de la actividad.You can select specific activities to search for by clicking the activity name. O puede buscar todas las actividades en un grupo (como Actividades de archivos y carpetas) haciendo clic en el nombre de grupo.Or you can search for all activities in a group (such as File and folder activities) by clicking the group name. Si se selecciona una actividad, puede hacer clic en ella para cancelar la selección.If an activity is selected, you can click it to cancel the selection. También puede usar el cuadro de búsqueda para mostrar las actividades que contengan la palabra clave que usted escriba.You can also use the search box to display the activities that contain the keyword that you type.

    Haga clic en el nombre de grupo de actividades para seleccionar todas las actividades

  • Tiene que seleccionar Mostrar resultados para todas las actividades en la lista de Actividades para mostrar los eventos del registro de auditoría de administración de Exchange.You have to select Show results for all activities in the Activities list to display events from the Exchange admin audit log. Los eventos de este registro de auditoría muestran un nombre de cmdlet (por ejemplo,Set-Mailbox) en la columna de Actividad en los resultados.Events from this audit log display a cmdlet name (for example, Set-Mailbox) in the Activity column in the results. Para obtener más información, haga clic en la pestaña actividades auditadas de este tema y luego haga clic en actividades de administración de Exchange.For more information, click the Audited activities tab in this topic and then click Exchange admin activities.

    De forma similar, hay algunas actividades de auditoría que no tienen un elemento correspondiente en la lista Actividades.Similarly, there are some auditing activities that don't have a corresponding item in the Activities list. Si sabe el nombre de la operación para estas actividades, puede buscarlas todas y luego filtrar los resultados escribiendo el nombre de la operación en el cuadro de la columna de Actividad.If you know the name of the operation for these activities, you can search for all activities, then filter the results by typing the name of the operation in the box for the Activity column. Consulte Paso 3: Filtrar los resultados de búsqueda para obtener más información sobre cómo filtrar los resultados.See Step 3: Filter the search results for more information about filtering the results.

  • Haga clic en Borrar para borrar los criterios actuales de búsqueda.Click Clear to clear the current search criteria. El intervalo de fecha vuelve al predeterminado de los últimos siete días.The date range returns to the default of the last seven days. También puede hacer clic en Borrar todo para mostrar los resultados de todas las actividades para cancelar todas las actividades seleccionadas.You can also click Clear all to show results for all activities to cancel all selected activities.

  • Si 5 000 resultados son encontrados, puede suponer que probablemente existen más de 5,000 eventos que cumplen los criterios de búsqueda.If 5,000 results are found, you can probably assume that there are more than 5,000 events that met the search criteria. Puede restringir los criterios de búsqueda y volver a ejecutar la búsqueda para devolver menos resultados o puede exportar todos los resultados de búsqueda al seleccionar Exportar resultado>Descargar todos los resultados.You can either refine the search criteria and rerun the search to return fewer results, or you can export all of the search results by selecting Export results > Download all results.

Paso 2: Ver los resultados de la búsquedaStep 2: View the search results

Los resultados de una búsqueda de registro de auditoría se muestran en Resultados en la página Búsqueda de registros de auditoría.The results of an audit log search are displayed under Results on the Audit log search page. Como se mencionó anteriormente se muestran un máximo de 5 000 eventos (más recientes) en incrementos de 150 eventos.As previously stated a maximum of 5,000 (newest) events are displayed in increments of 150 events. Para mostrar más eventos puede usar la barra de desplazamiento en el panel Resultados o también puede presionar Mayús+Fin para mostrar los siguientes 150 eventos.To display more events you can use the scroll bar in the Results pane or you can press Shift + End to display the next 150 events.

Los resultados contienen la siguiente información sobre cada evento que la búsqueda ha devuelto:The results contain the following information about each event returned by the search:

  • Fecha: la fecha y la hora (en su hora local) cuando se ha realizado el evento.Date: The date and time (in your local time) when the event occurred.

  • Dirección IP: la dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado.IP address: The IP address of the device that was used when the activity was logged. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.

    Nota

    Para ciertos servicios, el valor que se visualiza en este campo podría ser la dirección IP de una aplicación de confianza (por ejemplo, aplicaciones de Office en la web) que llama al servicio en nombre de un usuario y no de la dirección IP del dispositivo utilizado por la persona que realizó la actividad.For some services, the value displayed in this field might be the IP address for a trusted application (for example, Office on the web apps) calling into the service on behalf of a user and not the IP address of the device used by person who performed the activity. Asimismo, para la actividad del administrador (o la actividad que realiza una cuenta del sistema) para eventos relacionados con Azure Active Directory, la dirección IP no se registra y el valor que se muestra en este campo es null.Also, for admin activity (or activity performed by a system account) for Azure Active Directory-related events, the IP address isn't logged and the value displayed in this field is null.

  • Usuario: el usuario (o cuenta de servicio) que ha realizado la acción que ha desencadenado el evento.User: The user (or service account) who performed the action that triggered the event.

  • Actividad: la actividad que ha realizado el usuario.Activity: The activity performed by the user. Este valor corresponde a las actividades que ha seleccionado en la lista desplegable de Actividades.This value corresponds to the activities that you selected in the Activities drop down list. Para un evento del registro de auditoría de administración de Exchange, el valor de esta columna es un cmdlet de Exchange.For an event from the Exchange admin audit log, the value in this column is an Exchange cmdlet.

  • Elemento: el objeto que se ha creado o modificado como resultado de la actividad correspondiente.Item: The object that was created or modified as a result of the corresponding activity. Por ejemplo, el archivo que se ha visto o modificado, o la cuenta de usuario que se ha actualizado.For example, the file that was viewed or modified or the user account that was updated. No todas las actividades tienen un valor en esta columna.Not all activities have a value in this column.

  • Detalle: información adicional sobre una actividad.Detail: Additional information about an activity. Nuevamente, no todas las actividades tendrán un valor.Again, not all activities have a value.

Sugerencia

Haga clic en un encabezado de columna en Resultados para ordenarlos.Click a column header under Results to sort the results. Puede ordenar los resultados de la A hasta la Z o de la Z hasta la A. Haga clic en el encabezado Fecha para ordenar los resultados del más antiguo al más nuevo o al revés.You can sort the results from A to Z or Z to A. Click the Date header to sort the results from oldest to newest or newest to oldest.

Ver los detalles de un evento específicoView the details for a specific event

Puede ver más detalles sobre un evento al hacer clic en el registro de eventos de la lista de resultados de búsqueda.You can view more details about an event by clicking the event record in the list of search results. Se muestra una página de detalles que contiene las propiedades detalladas del registro de eventos.A Details page is displayed that contains the detailed properties from the event record. Las propiedades que se muestran dependen del servicio en el que se produce el evento.The properties that are displayed depend on the service in which the event occurs. Para mostrar esos detalles, haga clic en Más información.To display these details, click More information. Para ver descripciones, consultePropiedades detalladas del registro de auditoríaFor descriptions, see Detailed properties in the audit log.

Haga clic en Obtener más información para ver las propiedades detalladas del registro de eventos de auditoría.

Paso 3: Filtrar los resultados de la búsquedaStep 3: Filter the search results

Además de ordenar, también puede filtrar los resultados de una búsqueda de registro de auditoría.In addition to sorting, you can also filter the results of an audit log search. Esta es una característica excelente que puede ayudarle a filtrar rápidamente los resultados específicos de un usuario o actividad.This is a great feature that can help you quickly filter the results for a specific user or activity. Puede crear inicialmente una amplia búsqueda y, después, filtrar rápidamente los resultados para ver los eventos específicos.You can initially create a wide search and then quickly filter the results to see specific events. Luego puede restringir los criterios de búsqueda, y volver a ejecutar la búsqueda para volver a un conjunto de resultados más pequeño y conciso.Then you can narrow the search criteria and rerun the search to return a smaller, more concise set of results.

Para filtrar los resultados:To filter the results:

  1. Ejecute una búsqueda de registros de auditoría.Run an audit log search.

  2. Cuando se muestren los resultados, haga clic en Filtrar resultados.When the results are displayed, click Filter results.

    Los cuadros de palabra clave se muestran en cada encabezado de columna.Keyword boxes are displayed under each column header.

  3. Haga clic en uno de lo cuadros que se visualizan en las cabeceras de columna y escriba una palabra o frase, dependiendo de la columna que esté filtrando.Click one of the boxes under a column header and type a word or phrase, depending on the column you're filtering on. Los resultados se volverán a ajustar de manera dinámica para mostrar los eventos que coincidan con su filtro.The results will dynamically readjust to display the events that match your filter.

    Escriba una palabra en el filtro para mostrar los eventos que coincidan con el filtro

  4. Para borrar un filtro, haga clic en la X en el cuadro de filtro o haga clic en Ocultar filtrado.To clear a filter, click the X in the filter box or click Hide filtering.

Sugerencia

Para mostrar los eventos del registro de auditoría de administración de Exchange, escriba un - (guion) en el cuadro de filtro Actividad.To display events from the Exchange admin audit log, type a - (dash) in the Activity filter box. Esto mostrará los nombres de los cmdlet, que se muestran en la columna Actividad de los eventos de administración de Exchange.This will display cmdlet names, which are displayed in the Activity column for Exchange admin events. Luego usted puede ordenar los nombres de cmdlet en orden alfabético.Then you can sort the cmdlet names in alphabetical order.

Paso 4: Exportar los resultados de búsqueda a un archivoStep 4: Export the search results to a file

Puede exportar los resultados de una búsqueda de registro de auditoría a un archivo de valores separados por comas (CSV) en su computadora local.You can export the results of an audit log search to a comma-separated value (CSV) file on your local computer. Puede abrir este archivo en Microsoft Excel y usar características como buscar, ordenar, filtrar y dividir una sola columna (que contiene múltiples propiedades) en columnas múltiples.You can open this file in Microsoft Excel and use features such as search, sorting, filtering, and splitting a single column (that contains multiple properties) into multiple columns.

  1. Ejecute una búsqueda de registro de auditoría, y luego revise los criterios de búsqueda hasta que tenga los resultados deseados.Run an audit log search, and then revise the search criteria until you have the desired results.

  2. Haga clic en Exportar resultados y seleccione una de las siguientes opciones:Click Export results and select one of the following options:

    • Guardar los resultados cargados: elija esta opción para exportar solo las entradas que se muestran en los Resultados en la página de Búsqueda de registros de auditoría.Save loaded results: Choose this option to export only the entries that are displayed under Results on the Audit log search page. El archivo CSV que se descarga contiene las mismas columnas (y datos) que se muestran en la página (Fecha, Usuario, Actividad, Elemento y Detalles).The CSV file that is downloaded contains the same columns (and data) displayed on the page (Date, User, Activity, Item, and Details). Se incluye una columna adicional (denominada Más) en el archivo CSV que contiene más información de la entrada del registro de auditoría.An extra column (named More) is included in the CSV file that contains more information from the audit log entry. Como está exportando los mismos resultados que se han cargado (y visualizado) en la página Búsqueda de registros de auditoría, se exportan un máximo de 5 000 entradas.Because you're exporting the same results that are loaded (and viewable) on the Audit log search page, a maximum of 5,000 entries are exported.

    • Descargar todos los resultados: elija esta opción para exportar todas las entradas del registro de auditoría que cumplan los criterios de búsqueda.Download all results: Choose this option to export all entries from the audit log that meet the search criteria. Para obtener un conjunto amplio de resultados de búsqueda, elija esta opción para descargar todas las entradas del registro de auditoría además de los 5 000 resultados que se muestran en la página Búsqueda de registros de auditoría.For a large set of search results, choose this option to download all entries from the audit log in addition to the 5,000 audit records that can be displayed on the Audit log search page. Esta opción descargará los datos sin procesar del registro de auditoría a un archivo CSV, y contiene información adicional de la entrada del registro de auditoría en una columna denominada AuditData.This option downloads the raw data from the audit log to a CSV file, and contains additional information from the audit log entry in a column named AuditData. Puede tardar más en descargar el archivo si elige esta opción de exportación ya que el archivo puede ser mucho más grande que el que se descarga si eligiera otra opción.It may take longer to download the file if you choose this export option because the file may be much larger than the one that's downloaded if you choose the other option.

      Importante

      Puede descargar un máximo de 50 000 entradas en un archivo CSV desde una única búsqueda de registros de auditoría.You can download a maximum of 50,000 entries to a CSV file from a single audit log search. Si se descargan 50 000 entradas en el archivo CSV, probablemente puede suponer que existen más de 50 000 eventos que cumplen los criterios de búsqueda.If 50,000 entries are downloaded to the CSV file, you can probably assume there are more than 50,000 events that met the search criteria. Para exportar más de este límite, pruebe a usar un intervalo de fecha para reducir el número de entradas de registro de auditoría.To export more than this limit, try using a date range to reduce the number of audit log entries. Puede que tenga que ejecutar varias búsquedas con intervalos de fecha de menor tamaño para exportar más de 50 000 entradas.You might have to run multiple searches with smaller date ranges to export more than 50,000 entries.

  3. Después de que seleccione una opción de exportación, se muestra un mensaje en la parte inferior de la ventana que le solicita que abra el archivo CSV, lo guarde en la carpeta de descargas o que lo guarde en una carpeta específica.After you select an export option, a message is displayed at the bottom of the window that prompts you to open the CSV file, save it to the Downloads folder, or save it to a specific folder.

Obtener más información sobre exportar y visualizar resultados de búsqueda del registro de auditoríaMore information about exporting and viewing audit log search results

  • Si descarga todos los resultados, el archivo CSV contiene una columna denominada AuditData, que contiene información adicional sobre cada evento.If you download all search results, the CSV file contains a column named AuditData, which contains additional information about each event. Los datos en esta columna se componen de un objeto JSON que contiene varias propiedades del registro de auditoría.The data in this column consists of a JSON object that contains multiple properties from the audit log record. Cada propiedad: valor par del objeto JSON es separado por una coma.Each property:value pair in the JSON object is separated by a comma. Puede usar la herramienta de transformación de JSON en el editor de Power Query en Excel para dividir la columna AuditData en columnas múltiples de forma que cada propiedad del objeto JSON tenga su propia columna.You can use the JSON transform tool in the Power Query Editor in Excel to split AuditData column into multiple columns so that each property in the JSON object has its own column. Esto le permitirá ordenar y filtrar en una o más de estas propiedades.This lets you sort and filter on one or more of these properties. Para obtener instrucciones paso a paso para usar el editor de Power Query para transformar el objeto JSON, consulteexportar, configurar y ver los archivos de registros de auditoría. For step-by-step instructions using the Power Query Editor to transform the JSON object, see Export, configure, and view audit log records.

    Después de que divida la columna AuditData, puede filtrar en la columna de Operaciones para mostrar las propiedades detalladas de un tipo de actividad específico.After you split the AuditData column, you can filter on the Operations column to display the detailed properties for a specific type of activity.

  • La opción Descargar todos los resultados descarga los datos sin procesar del registro de auditoría en un archivo CSV.The Download all results option downloads the raw data from the audit log to a CSV file. Este archivo contiene diferentes nombres de columna (CreationDate, Identificadores de usuario, Operaciones, AuditData) que los del archivo que se descarga si selecciona la opción Guardar resultados cargados.This file contains different column names (CreationDate, UserIds, Operation, AuditData) than the file that's downloaded if you select the Save loaded results option. Los valores de los dos archivos CSV diferentes para la misma actividad también podrían ser distintos.The values in the two different CSV files for the same activity may also be different. Por ejemplo, la actividad de la columna Acción en el archivo CSV y podría tener un valor diferente que el nombre "sencillo" de usuario que se muestra en la columna de Actividad de la página de Búsqueda de registros de auditoría.For example, the activity in the Action column in the CSV file and may have a different value than the "user-friendly" name that's displayed in the Activity column on the Audit log search page. Por ejemplo, MailboxLogin vs. el usuario ha iniciado sesión en el buzón.For example, MailboxLogin vs. User signed in to mailbox.

  • Cuando descargue todos los resultados de una consulta de búsqueda que contenga eventos de diferentes servicios, la columna AuditData del archivo CSV contiene diferentes propiedades en función del servicio en que se ha realizado la acción.When you download all results from a search query that contains events from different services, the AuditData column in the CSV file contains different properties depending on which service the action was performed in. Por ejemplo, las entradas de los registros de auditoría de Exchange y Azure AD incluyen una propiedad denominada ResultStatus que indica si la acción se ha realizado correctamente o no.For example, entries from Exchange and Azure AD audit logs include a property named ResultStatus that indicates if the action was successful or not. Esta propiedad no se incluye para los eventos en SharePoint.This property isn't included for events in SharePoint. De manera similar, los eventos de SharePoint tienen una propiedad que identifica la dirección URL del sitio para las actividades relacionadas con la carpeta y el archivo.Similarly, SharePoint events have a property that identifies the site URL for file and folder-related activities. Para mitigar este comportamiento, considere la posibilidad de usar diferentes búsquedas para exportar los resultados de las actividades de un único servicio.To mitigate this behavior, consider using different searches to export the results for activities from a single service.

    Para obtener una descripción de las propiedades que se enumeran en la columna AuditData del archivo CSV cuando descarga todos los resultados, y el servicio al que se aplica cada uno, consulte Propiedades detalladas del registro de auditoría.For a description of many of the properties that are listed in the AuditData column in the CSV file when you download all results, and the service each one applies to, see Detailed properties in the audit log.

Actividades auditadasAudited activities

Las tablas de esta sección describen las actividades que se auditan en Office 365.The tables in this section describe the activities that are audited in Office 365. Puede buscar estos eventos al buscar el registro de auditoría en el centro de seguridad y cumplimiento.You can search for these events by searching the audit log in the security and compliance center.

En estas tablas se agrupan actividades relacionadas o las actividades de un servicio específico.These tables group related activities or the activities from a specific service. La tabla incluye el nombre sencillo que se muestra en la lista desplegable de Actividades y el nombre de la operación correspondiente que aparece en la información detallada de una grabación de auditoría y en el archivo CSV cuando exporta los resultados de búsqueda.The tables include the friendly name that's displayed in the Activities drop-down list and the name of the corresponding operation that appears in the detailed information of an audit record and in the CSV file when you export the search results. Para ver descripciones de la información detallada, consulte Propiedades detalladas del registro de auditoríaFor descriptions of the detailed information, see Detailed properties in the audit log.

Haga clic en uno de los vínculos siguientes para ir a una tabla en particular.Click one of the following links to go to a specific table.

Actividades de páginas y archivosFile and page activities

En la siguiente tabla se describen las actividades de archivos y páginas en SharePoint en línea y OneDrive para la empresa.The following table describes the file and page activities in SharePoint Online and OneDrive for Business.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Archivo al que se tiene accesoAccessed file FileAccessedFileAccessed Cuenta de sistema o usuario que tiene acceso al archivo.User or system account accesses a file.
(ninguno)(none) FileAccessedExtendedFileAccessedExtended Esto está relacionado con la actividad "Archivo al que se tiene acceso" (FileAccessed).This is related to the "Accessed file" (FileAccessed) activity. Se registra un evento FileAccessedExtended cuando la misma persona tiene acceso continuamente a un archivo durante un largo período (hasta 3 horas).A FileAccessedExtended event is logged when the same person continually accesses a file for an extended period (up to 3 hours).

El objetivo del registro de eventos FileAccessedExtended es reducir el número de eventos FileAccessed que se registran cuando se tiene acceso continuamente a un archivo.The purpose of logging FileAccessedExtended events is to reduce the number of FileAccessed events that are logged when a file is continually accessed. Esto ayuda a reducir el ruido de varios registros FileAccessed para lo que básicamente es la misma actividad de usuario y le permite centrarse en el evento FileAccessed inicial (el más importante).This helps reduce the noise of multiple FileAccessed records for what is essentially the same user activity, and lets you focus on the initial (and more important) FileAccessed event.
Se ha cambiado la etiqueta de retención de un archivoChanged retention label for a file ComplianceSettingChangedComplianceSettingChanged Se aplicó o se quitó una etiqueta de retención de un documento.A retention label was applied to or removed from a document. Este evento se activa cuando una etiqueta de retención es aplicada manual o automáticamente a un mensaje.This event is triggered when a retention label is manually or automatically applied to a message.
Estado de registro cambiado a bloqueadoChanged record status to locked LockRecordLockRecord El estado de registro de una etiqueta de retención que clasifica un documento como un registro ha siso bloqueado.The record status of a retention label that classifies a document as a record was locked. Esto significa que el documento no se puede modificar ni eliminar.This means the document can't be modified or deleted. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento.Only users assigned at least the contributor permission for a site can change the record status of a document.
Cambiado el estado del registro a bloqueadoChanged record status to unlocked UnlockRecordUnlockRecord El estado de registro de una etiqueta de retención que clasifica un documento como un registro ha sido bloqueado.The record status of a retention label that classifies a document as a record was unlocked. Esto significa que el documento puede ser modificado o eliminado.This means that the document can be modified or deleted. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento.Only users assigned at least the contributor permission for a site can change the record status of a document.
Archivo verificadoChecked in file FileCheckedInFileCheckedIn El usuario inserta en el repositorio un documento que se extrajo de una biblioteca de documentos.User checks in a document that they checked out from a document library.
Archivo extraído del repositorioChecked out file FileCheckedOutFileCheckedOut El usuario extrae un documento ubicado en una biblioteca de documentos.User checks out a document located in a document library. Los usuarios pueden extraer y modificar documentos que se han compartido con ellos.Users can check out and make changes to documents that have been shared with them.
Archivo copiadoCopied file FileCopiedFileCopied El usuario copia un documento desde un sitio.User copies a document from a site. El archivo copiado puede guardarse en otra carpeta en el sitio.The copied file can be saved to another folder on the site.
Archivo eliminadoDeleted file FileDeletedFileDeleted El usuario elimina un documento de un sitio.User deletes a document from a site.
Archivo eliminado de la papelera de reciclajeDeleted file from recycle bin FileDeletedFirstStageRecycleBinFileDeletedFirstStageRecycleBin El usuario elimina un archivo de la papelera de reciclaje de un sitio.User deletes a file from the recycle bin of a site.
Archivo eliminado de la papelera de reciclaje de segundo nivelDeleted file from second-stage recycle bin FileDeletedSecondStageRecycleBinFileDeletedSecondStageRecycleBin El usuario elimina un archivo de la papelera del segundo nivel de la papelera de reciclaje de un sitio.User deletes a file from the second-stage recycle bin of a site.
Archivo eliminado marcado como un registroDeleted file marked as a record RecordDeleteRecordDelete Se eliminó un documento o un correo electrónico que se marcó como un registro.A document or email that was marked as a record was deleted. Un documento se considera un registro cuando se le aplica una etiqueta de retención que marca el contenido como un registro.An item is considered a record when a retention label that marks items as a record is applied to content.
Desfase detectado de la sensibilidad del documento Detected document sensitivity mismatch DocumentSensitivityMismatchDetectedDocumentSensitivityMismatchDetected El usuario carga un documento a un sitio protegido con una etiqueta de confidencialidad y el documento tiene una etiqueta de confidencialidad de mayor prioridad que la que se aplica al sitio.User uploads a document to a site that's protected with a sensitivity label and the document has a higher priority sensitivity label than the sensitivity label applied to the site. Por ejemplo, un documento con la etiqueta Confidential se carga en un sitio con la etiqueta General.For example, a document labeled Confidential is uploaded to a site labeled General.

Este evento no se activa si el documento tiene una etiqueta de confidencialidad de menor prioridad que la que se ha aplicado al sitio.This event isn't triggered if the document has a lower priority sensitivity label than the sensitivity label applied to the site. Por ejemplo, un documento con la etiqueta General se carga en un sitio con la etiqueta Confidential.For example, a document labeled General is uploaded to a site labeled Confidential. Para obtener más información sobre la prioridad de las etiquetas de confidencialidad, vea prioridad de etiquetas (el orden importa).For more information about sensitivity label priority, see Label priority (order matters).
Malware detectado en archivoDetected malware in file FileMalwareDetectedFileMalwareDetected El antivirus de SharePoint detecta el malware en un archivo.SharePoint anti-virus engine detects malware in a file.
Extracción del archivo descartadaDiscarded file checkout FileCheckOutDiscardedFileCheckOutDiscarded El usuario descarta (o deshace) la extracción del repositorio de un archivo.User discards (or undoes) a checked out file. Eso significa que cualquier cambio que haya realizado en el archivo cuando estaba extraído del repositorio se descarta y no se guarda en la versión del documento de la biblioteca de documentos.That means any changes they made to the file when it was checked out are discarded, and not saved to the version of the document in the document library.
Archivo descargadoDownloaded file FileDownloadedFileDownloaded El usuario descarga un documento de un sitio.User downloads a document from a site.
Archivo modificadoModified file FileModifiedFileModified La cuenta del sistema o usuario modifica el contenido o las propiedades de un documento ubicado en un sitio.User or system account modifies the content or the properties of a document on a site.
(ninguno)(none) FileModifiedExtendedFileModifiedExtended Esto está relacionado con la actividad "Archivo modificado" (FileModified).This is related to the "Modified file" (FileModified) activity. Se registra un evento FileModifiedExtended cuando la misma persona modifica constantemente un archivo durante un largo período de tiempo (hasta 3 horas).A FileModifiedExtended event is logged when the same person continually modifies a file for an extended period (up to 3 hours).

El objetivo del registro de eventos FileModifiedExtended es reducir el número de eventos FileModified que se registran cuando se modifica continuamente un archivo.The purpose of logging FileModifiedExtended events is to reduce the number of FileModified events that are logged when a file is continually modified. Esto ayuda a reducir el ruido de varios registros de FileModified para lo que básicamente es la misma actividad de usuario, y le permite centrarse en el evento FileModified inicial (el más importante).This helps reduce the noise of multiple FileModified records for what is essentially the same user activity, and lets you focus on the initial (and more important) FileModified event.
Archivo movidoMoved file FileMovedFileMoved El usuario mueve un documento de su ubicación actual en un sitio a una nueva ubicación.User moves a document from its current location on a site to a new location.
(ninguno)(none) FilePreviewedFilePreviewed El usuario obtiene la vista previa de un documento de SharePoint o de OneDrive para un sitio de Empresas.User previews files on a SharePoint or OneDrive for Business site. Estos sucesos suelen producirse en grandes volúmenes basándose en una sola actividad, como ver una galería de imágenes.These events typically occur in high volumes based on a single activity, such as viewing an image gallery.
Consulta de búsqueda realizadaPerformed search query SearchQueryPerformedSearchQueryPerformed La cuenta del sistema o el usuario lleva a cabo una búsqueda en SharePoint o OneDrive para la Empresa.User or system account performs a search in SharePoint or OneDrive for Business. Entre los escenarios comunes en los que una cuenta de servicio lleva a cabo una consulta de búsqueda se incluye aplicar una directiva de retención de eDiscovery a los sitios y cuentas de OneDrive, y aplicar automáticamente etiquetas de retención o confidencialidad al contenido del sitio.Some common scenarios where a service account performs a search query include applying an eDiscovery holds and retention policy to sites and OneDrive accounts, and auto-applying retention or sensitivity labels to site content.
Todas las versiones menores del archivo recicladasRecycled all minor versions of file FileVersionsAllMinorsRecycledFileVersionsAllMinorsRecycled El usuario elimina todas las versiones secundarias del historial de versiones de un archivo.User deletes all minor versions from the version history of a file. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio.The deleted versions are moved to the site's recycle bin.
Todas las versiones del archivo recicladasRecycled all versions of file FileVersionsAllRecycledFileVersionsAllRecycled El usuario elimina todas las versiones del historial de versiones de un archivo.User deletes all versions from the version history of a file. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio.The deleted versions are moved to the site's recycle bin.
Versión del archivo recicladaRecycled version of file FileVersionRecycledFileVersionRecycled El usuario elimina una versión del historial de versiones de un archivo.User deletes a version from the version history of a file. La versión eliminada se mueve a la Papelera de reciclaje del sitio.The deleted version is moved to the site's recycle bin.
Archivo al que se le ha cambiado el nombreRenamed file FileRenamedFileRenamed El usuario cambia el nombre de un documento en un sitio.User renames a document on a site.
Archivo restauradoRestored file FileRestoredFileRestored El usuario restaura un documento de la papelera de reciclaje de un sitio. User restores a document from the recycle bin of a site.
Archivo cargadoUploaded file FileUploadedFileUploaded El usuario carga un documento a una carpeta de un sitio. User uploads a document to a folder on a site.
Página visualizadaViewed page PageViewedPageViewed El usuario visualiza una página en un sitio.User views a page on a site. No incluye el uso de un explorador web para ver los archivos ubicados en una biblioteca de documentos.This doesn't include using a Web browser to view files located in a document library.
(ninguno)(none) PageViewedExtendedPageViewedExtended Esto está relacionado con la actividad "Página visualizada" (PageViewed).This is related to the "Viewed page" (PageViewed) activity. Se registra un evento PageViewedExtended cuando la misma persona visualiza continuamente una página web durante un periodo extendido (hasta 3 horas).A PageViewedExtended event is logged when the same person continually views a web page for an extended period (up to 3 hours).

El objetivo del registro de eventos PageViewedExtended es reducir el número de eventos PageViewed que se registran cuando se visualiza una página continuamente.The purpose of logging PageViewedExtended events is to reduce the number of PageViewed events that are logged when a page is continually viewed. Esto ayuda a reducir el ruido de varios registros de PageViewed para lo que básicamente es la misma actividad de usuario, y le permite centrarse en el evento inicial PageViewed(el más importante).This helps reduce the noise of multiple PageViewed records for what is essentially the same user activity, and lets you focus on the initial (and more important) PageViewed event.
Ver señalado por el clienteView signaled by client ClientViewSignaledClientViewSignaled El cliente de un usuario (como un sitio web o una aplicación móvil) ha señalado que el usuario ha visto la página indicada.A user's client (such as website or mobile app) has signaled that the indicated page has been viewed by the user. Esta actividad a menudo se registra después de un evento de PagePrefetched para una página.This activity is often logged following a PagePrefetched event for a page.

Nota: Como el cliente señaliza eventos ClientViewSignaled, en lugar del servidor, es posible que el servidor no pueda registrar el evento y, por lo tanto, puede que no aparezca en el registro de auditoría.NOTE: Because ClientViewSignaled events are signaled by the client, rather than the server, it's possible the event may not be logged by the server and therefore may not appear in the audit log. También es posible que la información del registro de auditoría no sea confiable.It's also possible that information in the audit record may not be trustworthy. Sin embargo, dado que la identidad del usuario se valida por el token usado para crear la señal, la identidad del usuario que aparece en el registro de auditoría correspondiente es precisa.However, because the user's identity is validated by the token used to create the signal, the user's identity listed in the corresponding audit record is accurate.
(ninguno)(none) PagePrefetchedPagePrefetched El cliente de un usuario (como el sitio web o la aplicación móvil) ha solicitado la página indicada para ayudar a mejorar el rendimiento si el usuario la explora.A user's client (such as website or mobile app) has requested the indicated page to help improve performance if the user browses to it. Este evento se registra para indicar que el contenido de la página se ha servido para el cliente del usuario.This event is logged to indicate that the page content has been served to the user's client. Este evento no es una indicación definitiva de que el usuario ha navegado hasta la página.This event isn't a definitive indication that the user navigated to the page.

Cuando el cliente muestra el contenido de la página (de acuerdo con la solicitud del usuario), debe generarse un evento ClientViewSignaled.When the page content is rendered by the client (as per the user's request) a ClientViewSignaled event should be generated. No todos los clientes son compatibles con la búsqueda previa, y por lo tanto, algunas actividades que se buscan previamente se pueden registrar como eventos PageViewed.Not all clients support indicating a pre-fetch, and therefore some pre-fetched activities might instead be logged as PageViewed events.

Preguntas más frecuentes sobre los eventos FileAccessed y FilePreviewedFrequently asked questions about FileAccessed and FilePreviewed events

¿Podrían algunas actividades no relacionadas con el usuario desencadenar los registros de auditoría de FilePreviewed que contienen un agente de usuario como "OneDriveMpc-Transform_Thumbnail"?Could any non-user activities trigger FilePreviewed audit records that contain a user agent like "OneDriveMpc-Transform_Thumbnail"?

No sabemos de escenarios donde las acciones no relacionadas con el usuario generen eventos como estos.We aren't aware of scenarios where non-user actions generate events like these. Las acciones de usuario como abrir una tarjeta de perfil de usuario (haciendo clic en su nombre o dirección de correo electrónico en un mensaje en Outlook en la Web) generan eventos similares.User actions like opening a user profile card (by clicking their name or email address in a message in Outlook on the web) would generate similar events.

¿Las llamadas a OneDriveMpc-Transform_Thumbnail siempre son desencadenadas por el usuario intencionalmente?Are calls to the OneDriveMpc-Transform_Thumbnail always intentionally being triggered by the user?

No.No. Sin embargo, algunos eventos similares pueden registrarse como resultado de la búsqueda previa del explorador.But similar events can be logged as a result of browser pre-fetch.

Si vemos que un evento de FilePreviewed proviene de una dirección IP registrada por Microsoft, ¿significa que la vista previa se mostró en la pantalla del dispositivo del usuario?If we see a FilePreviewed event coming from a Microsoft-registered IP address, does that mean that the preview was displayed on the screen of the user's device?

No.No. Es posible que el evento se haya registrado como resultado de la búsqueda previa del explorador.The event might have been logged as a result of browser pre-fetch.

¿Hay algún escenario en el que se generen eventos FileAccessed cuando un usuario obtiene una vista previa de un documento?Are there scenarios where a user previewing a document generates FileAccessed events?

Tanto el evento FilePreviewed como el FileAccessed indican que la llamada de un usuario condujo a la lectura del archivo (o una lectura de la representación en miniatura del archivo).Both the FilePreviewed and FileAccessed events indicate that a user's call led to a read of the file (or a read of a thumbnail rendering of the file). Aunque estos eventos están diseñados para alinearse con la vista previa frente a la intención de acceso, la distinción de eventos no es una garantía de la intención del usuario.While these events are intended to align with preview vs. access intention, the event distinction isn't a guarantee of the user's intent.

El usuario app@sharepoint en los registros de auditoríaThe app@sharepoint user in audit records

En los registros de auditoría para actividades de archivo (y otras actividades relacionadas con SharePoint), puede que el usuario que aparezca como el autor de la actividad (identificado en los campos usuario y seudónimo) es app@sharepoint.In audit records for some file activities (and other SharePoint-related activities), you may notice the user who performed the activity (identified in the User and UserId fields) is app@sharepoint. Esto indica que el "usuario" que llevó a cabo la actividad era una aplicación.This indicates that the "user" who performed the activity was an application. En este caso, se otorgó a la aplicación permisos en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio.In this case, the application was granted permissions in SharePoint to perform organization-wide actions (such as search a SharePoint site or OneDrive account) on behalf of a user, admin, or service. Este proceso de conceder permisos a una aplicación se denomina acceso a SharePoint solo para aplicación.This process of giving permissions to an application is called SharePoint App-Only access. Esto indica que la autenticación presentada en SharePoint para realizar una acción la realizó una aplicación, en lugar de un usuario.This indicates that the authentication presented to SharePoint to perform an action was made by an application, instead of a user. Por este motivo, el usuario app@sharepoint se identifica en ciertos registros de auditoría.This is why the app@sharepoint user is identified in certain audit records. Para obtener más información, lea Conceder acceso a SharePoint solo para aplicación.For more information, see Grant access using SharePoint App-Only.

Por ejemplo, app@sharepoint se identifica por lo general como el usuario para los eventos "Ha realizado una consulta de búsqueda" y "Archivo al que se obtuvo acceso".For example, app@sharepoint is often identified as the user for "Performed search query" and "Accessed file" events. Esto se debe a que una aplicación que tenga acceso a SharePoint solo para aplicación, realiza consultas de búsqueda y obtiene acceso a los archivos cuando se apliquen directivas de retención a sitios y cuentas de OneDrive.That's because an application with SharePoint App-Only access in your organization performs search queries and accesses files when applying retention policies to sites and OneDrive accounts.

Aquí se muestran algunos otros escenarios en los que se puede identificar app@sharepoint en un registro de auditoría como el usuario que realizó una actividad:Here are a few other scenarios where app@sharepoint may be identified in an audit record as the user who performed an activity:

  • Grupos de Microsoft 365.Microsoft 365 Groups. Cuando un usuario o un administrador crea un grupo nuevo, se generan registros de auditoría para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint.When a user or admin creates a new group, audit records are generated for creating a site collection, updating lists, and adding members to a SharePoint group. Estas tareas se ejecutan en una aplicación en nombre del usuario que creó el grupo.These tasks are performed an application on behalf of the user who created the group.

  • Microsoft Teams.Microsoft Teams. Como ocurre en los grupos de Microsoft 365, cuando se crea un equipo se generan registros de auditoría para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint.Similar to Microsoft 365 Groups, audit records are generated for creating a site collection, updating lists, and adding members to a SharePoint group when a team is created.

  • Características de cumplimiento.Compliance features. Estas se dan cuando un administrador implementa características de cumplimiento, como directivas de retención, suspensiones de eDiscovery y etiquetas de confidencialidad de aplicación automática.When an admin implements compliance features, such as retention policies, eDiscovery holds, and auto-applying sensitivity labels.

En estas y otras situaciones, verá que se crearon varios registros de auditoría con app@sharepoint como usuario específico en un período de tiempo breve, a menudo con unos pocos segundos de separación.In these and other scenarios, you'll also notice that multiple audit records with app@sharepoint as the specified user were created within a short time frame, often within a few seconds of each other. Esto indica que se activaron probablemente por la misma tarea iniciada por el usuario.This also indicates they were probably triggered by the same user-initiated task. Además, los campos ApplicationDisplayName y EventData del registro de auditoría pueden ayudarle a identificar el escenario o la aplicación que desencadenó el evento.Also, the ApplicationDisplayName and EventData fields in the audit record may help you identify the scenario or application that triggered the event.

Actividades de carpetasFolder activities

La siguiente tabla describe las actividades de archivos y páginas en SharePoint en línea y OneDrive para empresas.The following table describes the folder activities in SharePoint Online and OneDrive for Business. Como se ha explicado anteriormente, los registros de auditoría de algunas actividades de SharePoint indicarán que el usuario app@sharepoint ha realizado la actividad en nombre de usuario o administrador que inició la acción.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.For more information, see The app@sharepoint user in audit records.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Carpeta copiadaCopied folder FolderCopiedFolderCopied El usuario copia una carpeta de un sitio a otra ubicación en SharePoint o en OneDrive para Empresas.User copies a folder from a site to another location in SharePoint or OneDrive for Business.
Carpeta creadaCreated folder FolderCreatedFolderCreated El usuario crea una carpeta en un sitio.User creates a folder on a site.
Carpeta eliminadaDeleted folder FolderDeletedFolderDeleted El usuario elimina una carpeta de un sitio.User deletes a folder from a site.
Carpeta eliminada de la papelera de reciclajeDeleted folder from recycle bin FolderDeletedFirstStageRecycleBinFolderDeletedFirstStageRecycleBin El usuario elimina una carpeta de la papelera de reciclaje de un sitio.User deletes a folder from the recycle bin on a site.
Carpeta eliminada de la papelera de reciclaje de segundo nivelDeleted folder from second-stage recycle bin FolderDeletedSecondStageRecycleBinFolderDeletedSecondStageRecycleBin El usuario elimina una carpeta de la papelera de reciclaje de segundo nivel de un sitio.User deletes a folder from the second-stage recycle bin on a site.
Carpeta modificadaModified folder FolderModifiedFolderModified El usuario modifica una carpeta en un sitio.User modifies a folder on a site. Esto incluye la modificación de los metadatos de carpeta, como el cambio de etiquetas y propiedades.This includes changing the folder metadata, such as changing tags and properties.
Carpeta movidaMoved folder FolderMovedFolderMoved El usuario mueve una carpeta a una ubicación diferente del sitio.User moves a folder to a different location on a site.
Carpeta con el nombre cambiadoRenamed folder FolderRenamedFolderRenamed El usuario cambia el nombre de una carpeta en un sitio.User renames a folder on a site.
Carpeta restauradaRestored folder FolderRestoredFolderRestored El usuario restaura una carpeta eliminada de la papelera de reciclaje de un sitio.User restores a deleted folder from the recycle bin on a site.

Lista de actividades de SharePointSharePoint list activities

En la siguiente tabla se describen las actividades relacionadas cuando los usuarios interactúan con listas y elementos de lista en SharePoint en línea.The following table describes activities related to when users interact with lists and list items in SharePoint Online. Como se ha explicado anteriormente, los registros de auditoría de algunas actividades de SharePoint indicarán que el usuario app@sharepoint ha realizado la actividad en nombre de usuario o administrador que inició la acción.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.For more information, see The app@sharepoint user in audit records.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Lista creadaCreated list ListCreatedListCreated Un usuario ha creado una lista de SharePoint.A user created a SharePoint list.
Columna de lista creadaCreated list column ListColumnCreatedListColumnCreated Un usuario ha creado una columna de lista de SharePoint.A user created a SharePoint list column. Una columna de lista es una columna que está adjunta a una o más listas de SharePoint.A list column is a column that's attached to one or more SharePoint lists.
Lista de tipo de contenido de lista creadoCreated list content type ListContentTypeCreatedListContentTypeCreated Lista de tipo de contenido creado por un usuario.A user created a list content type. Una lista de tipo de contenido es un tipo de contenido que está adjunta a una o más listas de SharePoint.A list content type is a content type that's attached to one or more SharePoint lists.
Lista de ítems creadaCreated list item ListItemCreatedListItemCreated Un usuario creó un elemento en una lista de SharePoint existente.A user created an item in an existing SharePoint list.
Una columna de sitio creada.Created site column SiteColumnCreatedSiteColumnCreated Un usuario ha creado una columna de sitio de SharePoint.A user created a SharePoint site column. Una columna de sitio es una columna que no está adjunta a una lista.A site column is a column that isn't attached to a list. Las columnas de sitio también son estructuras de metadatos que se pueden usar en cualquier lista en una web determinada.A site column is also a metadata structure that can be used by any list in a given web.
Tipo de contenido de sitio creadoCreated site content type Sitio de ContentType creadoSite ContentType Created Tipo de contenido de sitio creado por un usuario.A user created a site content type. Un tipo de contenido de sitio es un tipo de contenido que está adjunto al sitio principal.A site content type is a content type that's attached to the parent site.
Lista eliminadaDeleted list ListDeletedListDeleted Un usuario borró una lista de SharePoint.A user deleted a SharePoint list.
Eliminar Columna de lista Deleted list column Columna de lista eliminadaList Column Deleted Un usuario borró una columna de lista de SharePoint.A user deleted a SharePoint list column.
Lista de tipo de contenido eliminadoDeleted list content type ListContentTypeDeletedListContentTypeDeleted Un usuario borró una lista de tipo de contenido.A user deleted a list content type.
Eliminar Lista de elementos Deleted list item Lista de elementos eliminadaList Item Deleted Un usuario borró una lista de elementos de SharePoint.A user deleted a SharePoint list item.
Columna de sitio eliminada.Deleted site column SiteColumnDeletedSiteColumnDeleted Un usuario borró una columna de sitio de SharePoint.A user deleted a SharePoint site column.
Tipo de contenido de sitio eliminadoDeleted site content type SiteContentTypeDeletedSiteContentTypeDeleted Un usuario borró un sitio de tipo de contenido.A user deleted a site content type.
Lista de elementos recicladosRecycled list item ListItemRecycledListItemRecycled Un usuario movió una lista de elementos de SharePoint a la papelera de reciclaje.A user moved a SharePoint list item to the Recycle Bin.
Lista restauradaRestored list ListRestoredListRestored Un usuario restauró una lista de SharePoint a la papelera de reciclaje.A user restored a SharePoint list from the Recycle Bin.
Lista de elementos restauradaRestored list item ListItemRestoredListItemRestored Un usuario restauró una lista de SharePoint de la papelera de reciclaje.A user restored a SharePoint list item from the Recycle Bin.
Lista actualizadaUpdated list ListUpdatedListUpdated Un usuario ha actualizado una lista de SharePoint modificando una o más propiedades.A user updated a SharePoint list by modifying one or more properties.
Columna de lista actualizadaUpdated list column ListColumnUpdatedListColumnUpdated Un usuario ha actualizado una lista de columna de SharePoint modificando una o más propiedades.A user updated a SharePoint list column by modifying one or more properties.
Lista de tipo de contenido actualizadoUpdated list content type ListContentTypeUpdatedListContentTypeUpdated Un usuario ha actualizado una lista de tipo de contenido de SharePoint modificando una o más propiedades.A user updated a list content type by modifying one or more properties.
Lista de elementos actualizadaUpdated list item ListItemUpdatedListItemUpdated Un usuario ha actualizado una lista de elementos de SharePoint modificando una o más propiedades.A user updated a SharePoint list item by modifying one or more properties.
Una columna de sitio actualizada.Updated site column SiteColumnUpdatedSiteColumnUpdated Un usuario ha actualizado una de columna de sitio de SharePoint modificando una o más propiedades.A user updated a SharePoint site column by modifying one or more properties.
Tipo de contenido de sitio actualizadoUpdated site content type SiteContentTypeUpdatedSiteContentTypeUpdated Un usuario ha actualizado una lista de tipo de contenido modificando una o más propiedades.A user updated a site content type by modifying one or more properties.

Actividades de solicitud de acceso y uso compartidoSharing and access request activities

La siguiente tabla describe las actividades de solicitud de acceso y uso compartido de usuarios en SharePoint en línea y OneDrive para empresas.The following table describes the user sharing and access request activities in SharePoint Online and OneDrive for Business. Para los eventos compartidos, la columna de Detalles según los Resultados identifica el nombre del usuario o grupo con el que se ha compartido el elemento y si el usuario o grupo es un miembro o un invitado de su organización.For sharing events, the Detail column under Results identifies the name of the user or group the item was shared with and whether that user or group is a member or guest in your organization. Para obtener más información, consulte Usar la auditoría de uso compartido en el registro de auditoría.For more information, see Use sharing auditing in the audit log.

Nota

Los usuarios pueden ser miembros o invitados basados en la propiedad UserType del objeto de usuario.Users can be either members or guests based on the UserType property of the user object. Un miembro es normalmente un empleado, y un invitado es normalmente un colaborador externo de la organización.A member is usually an employee, and a guest is usually a collaborator outside of your organization. Cuando un usuario acepta una invitación de uso compartido (y todavía no forma parte de la organización), se crea una cuenta de invitado para él en el directorio de la organización.When a user accepts a sharing invitation (and isn't already part of your organization), a guest account is created for them in your organization's directory. Una vez que el usuario invitado tenga una cuenta en su directorio, los recursos pueden compartirse directamente con él (sin requerir una invitación).Once the guest user has an account in your directory, resources may be shared directly with them (without requiring an invitation).

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Nivel de permiso agregado a la colección de sitiosAdded permission level to site collection PermissionLevelAddedPermissionLevelAdded Un nivel de permisos se agregó a una colección de sitios.A permission level was added to a site collection.
Solicitud de acceso aceptadaAccepted access request AccessRequestAcceptedAccessRequestAccepted Una solicitud de acceso a un sitio, carpeta o documento que se ha aceptado y al usuario solicitante se le ha concedido el acceso.An access request to a site, folder, or document was accepted and the requesting user has been granted access.
Invitación de uso compartido aceptadaAccepted sharing invitation SharingInvitationAcceptedSharingInvitationAccepted El usuario (miembro o invitado) ha aceptado una invitación de uso compartido y se le ha concedido acceso a un recurso.User (member or guest) accepted a sharing invitation and was granted access to a resource. Este evento incluye información sobre el usuario al que se ha invitado y la dirección de correo electrónico que se ha usado para aceptar la invitación (podrían ser diferentes).This event includes information about the user who was invited and the email address that was used to accept the invitation (they could be different). Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario al recurso, por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso.This activity is often accompanied by a second event that describes how the user was granted access to the resource, for example, adding the user to a group that has access to the resource.
Invitación de uso compartido bloqueadaBlocked sharing invitation SharingInvitationBlockedSharingInvitationBlocked Una invitación para compartir enviada por un usuario de su organización está bloqueada por una normativa de uso compartido externa que permite o niega el uso compartido externo basándose en el dominio del usuario de destino.A sharing invitation sent by a user in your organization is blocked because of an external sharing policy that either allows or denies external sharing based on the domain of the target user. En este caso, la invitación para compartir se bloqueó porque:In this case, the sharing invitation was blocked because:
El dominio del usuario de destino no está incluido en la lista de dominios permitidos.The target user's domain isn't included in the list of allowed domains.
O bien:Or
El dominio del usuario de destino está incluido en la lista de dominios bloqueados.The target user's domain is included in the list of blocked domains.
Para obtener más información acerca de cómo permitir o bloquear el uso compartido externo en función de los dominios, consulte Dominios restringidos para el uso compartido en SharePoint en línea y OneDrive para Empresas.For more information about allowing or blocking external sharing based on domains, see Restricted domains sharing in SharePoint Online and OneDrive for Business.
Solicitud de acceso creadaCreated access request AccessRequestCreatedAccessRequestCreated El usuario solicita acceso a un sitio, carpeta o documento al que no tiene permiso para acceder.User requests access to a site, folder, or document they don't have permissions to access.
Vínculo creado que se puede compartir de la empresa Created a company shareable link CompanyLinkCreatedCompanyLinkCreated El usuario ha creado un vínculo empresarial de recursos.User created a company-wide link to a resource. los vínculos empresariales solo pueden usarse por los miembros de su organización.company-wide links can only be used by members in your organization. No pueden ser usados por invitados.They can't be used by guests.
Vínculo anónimo creadoCreated an anonymous link AnonymousLinkCreatedAnonymousLinkCreated El usuario ha creado un vínculo anónimo a un recurso.User created an anonymous link to a resource. Cualquier persona con este vínculo puede tener acceso al recurso sin tener que autenticarse.Anyone with this link can access the resource without having to be authenticated.
Vínculo de seguridad creadoCreated secure link SecureLinkCreatedSecureLinkCreated Se ha creado un vínculo de uso compartido seguro para este elemento.A secure sharing link was created to this item.
Invitación de uso compartido creadaCreated sharing invitation SharingInvitationCreatedSharingInvitationCreated El usuario ha compartido un recurso en o con un usuario que no está en el directorio de su organización. User shared a resource in SharePoint Online or OneDrive for Business with a user who isn't in your organization's directory.
Vínculo de seguridad eliminadoDeleted secure link SecureLinkDeletedSecureLinkDeleted Un vínculo para uso compartido seguro se ha eliminado.A secure sharing link was deleted.
Solicitud de acceso denegada Denied access request AccessRequestDeniedAccessRequestDenied Una solicitud de acceso a un sitio, una carpeta o un documento se ha denegado.An access request to a site, folder, or document was denied.
Vínculo quitado que se puede compartir de la empresaRemoved a company shareable link CompanyLinkRemovedCompanyLinkRemoved El usuario ha quitado un vínculo de toda la empresa a un recurso.User removed a company-wide link to a resource. El vínculo ya no puede usarse para tener acceso al recurso.The link can no longer be used to access the resource.
Vínculo anónimo quitadoRemoved an anonymous link AnonymousLinkRemovedAnonymousLinkRemoved El usuario ha quitado un vínculo anónimo a un recurso.User removed an anonymous link to a resource. El vínculo ya no puede usarse para tener acceso al recurso.The link can no longer be used to access the resource.
Sitio, carpeta o archivo compartidosShared file, folder, or site SharingSetSharingSet El usuario (miembro o invitado) ha compartido un archivo, carpeta o sitio en SharePoint o OneDrive con un usuario en el directorio de la organización.User (member or guest) shared a file, folder, or site in SharePoint or OneDrive for Business with a user in your organization's directory. El valor de la columna Detalles para esta actividad identifica el nombre del usuario que el recurso ha compartido y si este usuario es un miembro o un invitado.The value in the Detail column for this activity identifies the name of the user the resource was shared with and whether this user is a member or a guest.

Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario a los recursos.This activity is often accompanied by a second event that describes how the user was granted access to the resource. Por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso.For example, adding the user to a group that has access to the resource.
Solicitud de acceso actualizadaUpdated access request AccessRequestUpdatedAccessRequestUpdated Se actualizó una solicitud de acceso a un elemento.An access request to an item was updated.
Vínculo anónimo actualizado Updated an anonymous link AnonymousLinkUpdatedAnonymousLinkUpdated El usuario ha actualizado un vínculo anónimo a un recurso.User updated an anonymous link to a resource. El campo actualizado se incluye en la propiedad EventData cuando exporta los resultados de búsqueda.The updated field is included in the EventData property when you export the search results.
Invitación de uso compartido actualizadaUpdated sharing invitation SharingInvitationUpdatedSharingInvitationUpdated Se actualizó una invitación para uso compartido externo.An external sharing invitation was updated.
Vínculo anónimo usadoUsed an anonymous link AnonymousLinkUsedAnonymousLinkUsed Un usuario anónimo ha tenido acceso a un recurso mediante un vínculo anónimo.An anonymous user accessed a resource by using an anonymous link. La identidad del usuario puede ser desconocida, pero puede obtener otros detalles como la dirección IP del usuario.The user's identity might be unknown, but you can get other details such as the user's IP address.
Sitio, carpeta o archivo no compartidoUnshared file, folder, or site SharingRevokedSharingRevoked El usuario (miembro o invitado) no ha compartido un archivo, carpeta o sitio que se había compartido previamente con otro usuario.User (member or guest) unshared a file, folder, or site that was previously shared with another user.
Vínculo usado que se puede compartir de la empresaUsed a company shareable link CompanyLinkUsedCompanyLinkUsed El usuario ha tenido acceso a un recurso mediante un vínculo de toda la empresa.User accessed a resource by using a company-wide link.
Vínculo seguro usadoUsed secure link SecureLinkUsedSecureLinkUsed Un usuario usó un vínculo seguro.A user used a secure link.
Usuario añadido a vínculo seguroUser added to secure link AddedToSecureLinkAddedToSecureLink Se ha agregado un usuario a la lista de entidades que pueden usar un vínculo de uso compartido seguro.A user was added to the list of entities who can use a secure sharing link.
Usuario quitado de un vínculo seguroUser removed from secure link RemovedFromSecureLinkRemovedFromSecureLink Se ha quitado un usuario de la lista de entidades que pueden usar un vínculo de uso compartido seguro.A user was removed from the list of entities who can use a secure sharing link.
Invitación de uso compartido retiradaWithdrew sharing invitation SharingInvitationRevokedSharingInvitationRevoked El usuario ha retirado una invitación de uso compartido a un recurso. User withdrew a sharing invitation to a resource.

Actividades de sincronizaciónSynchronization activities

La siguiente tabla enumera la sincronización de archivos de actividades en SharePoint en línea y OneDrive para empresas.The following table lists file synchronization activities in SharePoint Online and OneDrive for Business.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Equipo permitido para sincronizar archivosAllowed computer to sync files ManagedSyncClientAllowedManagedSyncClientAllowed El usuario establece correctamente una relación de sincronización con un sitio.User successfully establishes a sync relationship with a site. La relación de sincronización es correcta porque el equipo del usuario es un miembro de un dominio que se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización.The sync relationship is successful because the user's computer is a member of a domain that's been added to the list of domains (called the safe recipients list) that can access document libraries in your organization.

Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.For more information about this feature, see Use Windows PowerShell cmdlets to enable OneDrive sync for domains that are on the safe recipients list.
Computadora bloqueada de los archivos de sincronizaciónBlocked computer from syncing files UnmanagedSyncClientBlockedUnmanagedSyncClientBlocked El usuario intenta establecer una relación de sincronización con un sitio desde una computadora que no es un miembro del dominio de la organización o es un miembro de un dominio que no se ha agregado a la lista de dominios (denominada la lista de destinatarios seguros) que puede tener acceso a las librerías de documentos de su organización.User tries to establish a sync relationship with a site from a computer that isn't a member of your organization's domain or is a member of a domain that hasn't been added to the list of domains (called the safe recipients list) that can access document libraries in your organization. La relación de sincronización no se permite y el equipo del usuario queda bloqueado para sincronizar, descargar o cargar archivos en una biblioteca de documentos.The sync relationship is not allowed, and the user's computer is blocked from syncing, downloading, or uploading files on a document library.

Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.For information about this feature, see Use Windows PowerShell cmdlets to enable OneDrive sync for domains that are on the safe recipients list.
Archivos descargados al equipoDownloaded files to computer FileSyncDownloadedFullFileSyncDownloadedFull El usuario establece una relación de sincronización y descarga archivos correctamente la primera vez a su equipo desde la biblioteca de documentos.User establishes a sync relationship and successfully downloads files for the first time to their computer from a document library.
Cambios de archivos descargados al equipoDownloaded file changes to computer FileSyncDownloadedPartialFileSyncDownloadedPartial El usuario descarga correctamente cualquier cambio a los archivos de una librería de documentos.User successfully downloads any changes to files from a document library. Esta actividad indica que cualquier cambio que se realice en los archivos de la librería de documentos se descarga en el equipo del usuario.This activity indicates that any changes that were made to files in the document library were downloaded to the user's computer. Solo se descargaron los cambios porque la biblioteca de documentos se había descargado anteriormente por el usuario (como se indica en la actividad Archivos descargados al equipo).Only changes were downloaded because the document library was previously downloaded by the user (as indicated by the Downloaded files to computer activity).
Archivos cargados a la biblioteca de documentosUploaded files to document library FileSyncUploadedFullFileSyncUploadedFull El usuario establece una relación de sincronización y carga archivos correctamente la primera vez desde su equipo a la biblioteca de documentos.User establishes a sync relationship and successfully uploads files for the first time from their computer to a document library.
Cambios de archivos cargados a la biblioteca de documentosUploaded file changes to document library FileSyncUploadedPartialFileSyncUploadedPartial El usuario carga correctamente los cambios a una librería de documentos.User successfully uploads changes to files on a document library. Este evento indica que cualquier cambio realizado en la versión local de un archivo de una biblioteca de documentos se carga correctamente en dicha biblioteca.This event indicates that any changes made to the local version of a file from a document library are successfully uploaded to the document library. Solo se cargaron los cambios porque esos archivos se habían cargado anteriormente por el usuario (como se indica en la actividad Archivos cargados a la librería de documentos).Only changes are uploaded because those files were previously uploaded by the user (as indicated by the Uploaded files to document library activity).

Actividades de sitios de permisos Site permissions activities

La siguiente tabla enumera eventos relacionan asignar permisos en SharePoint con usar grupos para dar (y revocar) acceso a sitios.The following table lists events related to assigning permissions in SharePoint and using groups to give (and revoke) access to sites. Como se ha explicado anteriormente, los registros de auditoría de algunas actividades de SharePoint indicarán que el usuario app@sharepoint ha realizado la actividad en nombre de usuario o administrador que inició la acción.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.For more information, see The app@sharepoint user in audit records.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Administradores de la colección de sitios agregadosAdded site collection admin SiteCollectionAdminAddedSiteCollectionAdminAdded El administrador de la colección de sitios o el propietario agrega una persona como administrador de la colección de sitios a un sitio.Site collection administrator or owner adds a person as a site collection administrator for a site. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los subsitios.Site collection administrators have full control permissions for the site collection and all subsites. Esta actividad también se registra cuando un administrador se concede acceso a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint o mediante el Centro de administración de Microsoft 365).This activity is also logged when an admin gives themselves access to a user's OneDrive account (by editing the user profile in the SharePoint admin center or by using the Microsoft 365 admin center).
Usuario o grupo agregado al grupo de SharePointAdded user or group to SharePoint group AddedToGroupAddedToGroup El usuario ha agregado a un miembro o un invitado a un grupo de SharePoint.User added a member or guest to a SharePoint group. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento de uso compartido.This might have been an intentional action or the result of another activity, such as a sharing event.
Herencia de nivel de permisos interrumpidaBroke permission level inheritance PermissionLevelsInheritanceBrokenPermissionLevelsInheritanceBroken Se cambió a un elemento de forma que ya no hereda niveles de permisos de su elemento primario.An item was changed so that it no longer inherits permission levels from its parent.
Herencia de uso compartido interrumpidaBroke sharing inheritance SharingInheritanceBrokenSharingInheritanceBroken Se cambió a un elemento de forma que ya no hereda permisos de uso compartido de su elemento primario.An item was changed so that it no longer inherits sharing permissions from its parent.
Grupo creadoCreated group GroupAddedGroupAdded El administrador o el propietario del sitio crea un grupo para un sitio o realiza una tarea que da como resultado un grupo que se está creando.Site administrator or owner creates a group for a site, or performs a task that results in a group being created. Por ejemplo, la primera vez que un usuario crea un vínculo para compartir un archivo, se agrega un grupo del sistema al sitio de OneDrive para la Empresa del usuario.For example, the first time a user creates a link to share a file, a system group is added to the user's OneDrive for Business site. Este evento también puede ser un resultado de que un usuario crease un vínculo con permisos de edición para un archivo compartido.This event can also be a result of a user creating a link with edit permissions to a shared file.
Grupo eliminadoDeleted group GroupRemovedGroupRemoved El usuario elimina un grupo de un sitio. User deletes a group from a site.
Configuración de solicitud de acceso modificadaModified access request setting WebRequestAccessModifiedWebRequestAccessModified La configuración de solicitud de acceso fueron modificadas en un sitio.The access request settings were modified on a site.
Configuración modificada "los miembros pueden compartir" Modified 'Members Can Share' setting WebMembersCanShareModifiedWebMembersCanShareModified Los miembros pueden compartir la configuración se ha modificado en un sitio.The Members Can Share setting was modified on a site.
Nivel de permiso modificado en una colección de sitiosModified permission level on a site collection PermissionLevelModifiedPermissionLevelModified Un nivel de permisos se modificó en una colección de sitios.A permission level was changed on a site collection.
Permisos de sitio modificadosModified site permissions SitePermissionsModifiedSitePermissionsModified El administrador o el propietario del sitio (o la cuenta de sistema) cambia el nivel de permisos que se asignan a un grupo en un sitio.Site administrator or owner (or system account) changes the permission level that is assigned to a group on a site. Esta actividad también se registra si todos los permisos son removidos de un grupo.This activity is also logged if all permissions are removed from a group.

Nota:Esta operación se ha dejado de usar en SharePoint en línea.NOTE: This operation has been deprecated in SharePoint Online. Para buscar eventos relacionados, puede buscar otras actividades relacionadas con el permiso como Administradores de la colección de sitios agregados, Usuario o grupo agregado a un grupo de SharePoint,Usuario permitido para crear grupos, Grupo creado y Grupo eliminado.To find related events, you can search for other permission-related activities such as Added site collection admin, Added user or group to SharePoint group, Allowed user to create groups, Created group, and Deleted group.
Nivel de permiso eliminado de la colección de sitiosRemoved permission level from site collection PermissionLevelRemovedPermissionLevelRemoved Un nivel de permisos se eliminó de una colección de sitios.A permission level was removed from a site collection.
Administradores de la colección de sitios removidosRemoved site collection admin SiteCollectionAdminRemovedSiteCollectionAdminRemoved El administrador de la colección de sitios o el propietario remueve una persona como administrador de la colección de sitios a un sitio.Site collection administrator or owner removes a person as a site collection administrator for a site. Esta actividad también se registra cuando un administrador se remueve así mismo de la lista de colección de administradores a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint).This activity is also logged when an admin removes themselves from the list of site collection administrators for a user's OneDrive account (by editing the user profile in the SharePoint admin center). Para devolver esta actividad en los resultados de búsqueda del registro de auditoría, tiene que buscar todas las actividades.To return this activity in the audit log search results, you have to search for all activities.
Usuario o grupo removido al grupo de SharePointRemoved user or group from SharePoint group RemovedFromGroupRemovedFromGroup El usuario ha removido un miembro o invitado de un grupo de SharePoint.User removed a member or guest from a SharePoint group. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento sin uso compartido.This might have been an intentional action or the result of another activity, such as an unsharing event.
Permisos de administrador del sitio solicitadosRequested site admin permissions SiteAdminChangeRequestSiteAdminChangeRequest Las solicitudes de usuario se agregan como un administrador de la colección de sitios para una colección de sitios.User requests to be added as a site collection administrator for a site collection. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los sub sitios.Site collection administrators have full control permissions for the site collection and all subsites.
Herencia de uso compartido restauradaRestored sharing inheritance SharingInheritanceResetSharingInheritanceReset Se aplicó un cambio para que un elemento herede los permisos de uso compartido del elemento primario.A change was made so that an item inherits sharing permissions from its parent.
Grupo actualizadoUpdated group GroupUpdatedGroupUpdated El administrador o el propietario cambia la configuración de un grupo para un sitio.Site administrator or owner changes the settings of a group for a site. Esto puede incluir cambiar el nombre del grupo, quién puede ver o editar la pertenencia al grupo y cómo se controlan las solicitudes de pertenencia.This can include changing the group's name, who can view or edit the group membership, and how membership requests are handled.

Actividades de administración del sitioSite administration activities

En la tabla siguiente se enumeran los eventos que se producen de las tareas de administración del sitio en SharePoint en línea.The following table lists events that result from site administration tasks in SharePoint Online. Como se ha explicado anteriormente, los registros de auditoría de algunas actividades de SharePoint indicarán que el usuario app@sharepoint ha realizado la actividad en nombre de usuario o administrador que inició la acción.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.For more information, see The app@sharepoint user in audit records.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Ubicación de datos añadidos permitidosAdded allowed data location AllowedDataLocationAddedAllowedDataLocationAdded Un administrador global o de SharePoint ha agregado una ubicación de datos permitida en un entorno multi geo.A SharePoint or global administrator added an allowed data location in a multi-geo environment.
Agente de usuario exento agregadoAdded exempt user agent ExemptUserAgentSetExemptUserAgentSet El administrador global o de SharePoint agrega un agente de usuario a la lista de agentes de usuario exentos en el Centro de administración de SharePoint.A SharePoint or global administrator added a user agent to the list of exempt user agents in the SharePoint admin center.
Se ha agregado el administrador de ubicación geográficaAdded geo location admin GeoAdminAddedGeoAdminAdded Un administrador global o de SharePoint agregó un usuario como administrador geográfico de una ubicación.A SharePoint or global administrator added a user as a geo admin of a location.
Usuario permitido para crear gruposAllowed user to create groups AllowGroupCreationSetAllowGroupCreationSet El administrador de sitios o el propietario agrega un nivel de permisos a un sitio que permite que un usuario al que se le ha asignado ese permiso cree un grupo para ese sitio.Site administrator or owner adds a permission level to a site that allows a user assigned that permission to create a group for that site.
Desplazamiento geográfico de sitio canceladoCanceled site geo move SiteGeoMoveCancelledSiteGeoMoveCancelled Un administrador global o de SharePoint canceló correctamente un desplazamiento geográfica de un sitio de SharePoint o de OneDrive.A SharePoint or global administrator successfully cancels a SharePoint or OneDrive site geo move. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas.The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online.For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online.
Normativa de uso compartido cambiadaChanged a sharing policy SharingPolicyChangedSharingPolicyChanged Un administrador global o de SharePoint cambió una normativa de uso compartido de SharePoint mediante el Portal de administración de Microsoft 365, el Portal de administración de SharePoint, o la Consola de administración en línea de SharePoint.A SharePoint or global administrator changed a SharePoint sharing policy by using the Microsoft 365 admin portal, SharePoint admin portal, or SharePoint Online Management Shell. Se registrará cualquier cambio en la configuración de la directiva de uso compartido de su organización.Any change to the settings in the sharing policy in your organization will be logged. La normativa cambiada se identifica en el campo ModifiedProperties en las propiedades detalladas del registro de eventos.The policy that was changed is identified in the ModifiedProperties field in the detailed properties of the event record.
Directiva de acceso del dispositivo cambiadaChanged device access policy DeviceAccessPolicyChangedDeviceAccessPolicyChanged Un administrador global o de SharePoint cambió la directiva de dispositivos no administrados para su organización.A SharePoint or global administrator changed the unmanaged devices policy for your organization. Esta directiva controla el acceso a SharePoint, OneDrive y Microsoft 365 desde dispositivos que no se han unido a su organización.This policy controls access to SharePoint, OneDrive, and Microsoft 365 from devices that aren't joined to your organization. La configuración de esta directiva requiere una suscripción de Enterprise Mobility + Security.Configuring this policy requires an Enterprise Mobility + Security subscription. Para obtener más información, consulte Controlar el acceso desde dispositivos no administrados.For more information, see Control access from unmanaged devices.
Agente de usuario exento cambiadoChanged exempt user agents CustomizeExemptUsersCustomizeExemptUsers El administrador global o de SharePoint ha personalizado la lista de agentes de usuario exentos en el Centro de administración de SharePoint.A SharePoint or global administrator customized the list of exempt user agents in the SharePoint admin center. Puede especificar qué agentes de usuario están exentos de recibir una página web completa para indexar.You can specify which user agents to exempt from receiving an entire web page to index. Esto significa que cuando un agente de usuario que ha especificado como exento encuentra un formulario de InfoPath, el formulario se devolverá como un archivo XML en lugar de como una página web completa.This means when a user agent you've specified as exempt encounters an InfoPath form, the form will be returned as an XML file, instead of an entire web page. Esto acelera la indexación de formularios de InfoPath.This makes indexing InfoPath forms faster.
Directiva de acceso de red cambiadaChanged network access policy NetworkAccessPolicyChangedNetworkAccessPolicyChanged Un administrador global o de SharePoint cambió la normativa de acceso basado en la ubicación (también denominada un límite de red de confianza) en el Centro de administración SharePoint o mediante el PowerShell de SharePoint en línea.A SharePoint or global administrator changed the location-based access policy (also called a trusted network boundary) in the SharePoint admin center or by using SharePoint Online PowerShell. Este tipo de controles de normativa tienen acceso a recursos de SharePoint y OneDrive de la organización en función de los intervalos de direcciones IP que especifique.This type of policy controls who can access SharePoint and OneDrive resources in your organization based on authorized IP address ranges that you specify. Para obtener más información, consulte Controlar el acceso a datos de SharePoint en línea y OneDrive en función de las ubicaciones de red.For more information, see Control access to SharePoint Online and OneDrive data based on network location.
Desplazamiento geográfico de sitio completadoCompleted site geo move SiteGeoMoveCompletedSiteGeoMoveCompleted El desplazamiento geográfico de un sitio que fue programado por un administrador global de su organización se ha completado correctamente.A site geo move that was scheduled by a global administrator in your organization was successfully completed. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas.The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. Para obtener más información, consulte Funcionalidades multi geográficas en OneDrive y SharePoint en línea en Office 365.For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online in Office 365.
Conexión a enviar creadaCreated Sent To connection SendToConnectionAddedSendToConnectionAdded Un administrador global o de SharePoint crea una nueva conexión a enviar en la página administración de registros en el Centro de administración de SharePoint.A SharePoint or global administrator creates a new Send To connection on the Records management page in the SharePoint admin center. Una conexión Enviar a especifica la configuración de un repositorio de documentos o un centro de registros.A Send To connection specifies settings for a document repository or a records center. Cuando crea una conexión Enviar a, un Organizador de contenido puede enviar documentos a la ubicación especificada.When you create a Send To connection, a Content Organizer can submit documents to the specified location.
Colección de sitios creadaCreated site collection SiteCollectionCreatedSiteCollectionCreated Un administrador global o de SharePoint crea una colección de sitios en su organización de SharePoint en línea o un usuario aplica el sitio de OneDrive para empresas.A SharePoint or global administrator creates a site collection in your SharePoint Online organization or a user provisions their OneDrive for Business site.
Orphaned hub site borradoDeleted orphaned hub site HubSiteOrphanHubDeletedHubSiteOrphanHubDeleted Un administrador global o de SharePoint ha eliminado un orphan hub site, que es un centro que no tiene ningún sitio asociado.A SharePoint or global administrator deleted an orphan hub site, which is a hub site that doesn't have any sites associated with it. Un orphaned hub es probable que se deba a la eliminación del centro del sitio original An orphaned hub is likely caused by the deletion of the original hub site.
Conexión a enviar eliminadaDeleted Sent To connection SendToConnectionRemovedSendToConnectionRemoved El administrador global o de SharePoint elimina una conexión a enviar en la página Administración de registros en el Centro de administración de SharePoint.A SharePoint or global administrator deletes a Send To connection on the Records management page in the SharePoint admin center.
Sitio eliminadoDeleted site SiteDeletedSiteDeleted El administrador del sitio elimina un sitio.Site administrator deletes a site.
Vista previa del documento habilitadaEnabled document preview PreviewModeEnabledSetPreviewModeEnabledSet El administrador del sitio habilita la vista previa del documento para un sitio.Site administrator enables document preview for a site.
Flujo de trabajo heredado habilitadoEnabled legacy workflow LegacyWorkflowEnabledSetLegacyWorkflowEnabledSet El propietario o administrador del sitio agrega el tipo de contenido de tarea de SharePoint 2013 Workflow al sitio.Site administrator or owner adds the SharePoint 2013 Workflow Task content type to the site. Los administradores globales también pueden habilitar los flujos de trabajo para toda la organización en el Centro de administración de SharePoint.Global administrators can also enable work flows for the entire organization in the SharePoint admin center.
Petición a Office habilitadaEnabled Office on Demand OfficeOnDemandSetOfficeOnDemandSet El administrador del sitio habilita Office a petición, lo que permite a los usuarios obtener acceso a la última versión de las aplicaciones de escritorio de Office.Site administrator enables Office on Demand, which lets users access the latest version of Office desktop applications. Office a petición se habilita en el Centro de administración de SharePoint y requiere una suscripción a Microsoft 365 que incluya aplicaciones de Office completas e instaladas.Office on Demand is enabled in the SharePoint admin center and requires a Microsoft 365 subscription that includes full, installed Office applications.
Origen de resultados habilitado para las búsquedas de personasEnabled result source for People Searches PeopleResultsScopeSetPeopleResultsScopeSet El administrador del sitio crea el origen de resultados de las búsquedas de personas para un sitio.Site administrator creates the result source for People Searches for a site.
Fuentes RSS habilitadasEnabled RSS feeds NewsFeedEnabledSetNewsFeedEnabledSet El administrador o el propietario del sitio habilita las fuentes RSS para un sitio.Site administrator or owner enables RSS feeds for a site. Los administradores globales pueden habilitar las fuentes RSS para toda la organización en el Centro de administración de SharePoint.Global administrators can enable RSS feeds for the entire organization in the SharePoint admin center.
Sitio unido al centro del sitioJoined site to hub site HubSiteJoinedHubSiteJoined El propietario de un sitio lo asocia a un sitio central.A site owner associates their site with a hub site.
Sitio central registradoRegistered hub site HubSiteRegisteredHubSiteRegistered Un administrador global o de SharePoint crea un sitio central.A SharePoint or global administrator creates a hub site. El resultado es que el sitio se registra para ser un sitio central.The results are that the site is registered to be a hub site.
Ubicación de datos permitidos removidosRemoved allowed data location AllowedDataLocationDeletedAllowedDataLocationDeleted Un administrador global o de SharePoint ha removido una ubicación de datos permitida en un entorno multi geográfico.A SharePoint or global administrator removed an allowed data location in a multi-geo environment.
Se ha removido el administrador de ubicación geográficaRemoved geo location admin GeoAdminDeletedGeoAdminDeleted Un administrador global o de SharePoint removió a un usuario como administrador geográfico de una ubicación.A SharePoint or global administrator removed a user as a geo admin of a location.
Sitio renombradoRenamed site SiteRenamedSiteRenamed El administrador o el propietario del sitio cambia el nombre de un sitioSite administrator or owner renames a site
Desplazamiento geográfico de sitio programadoScheduled site geo move SiteGeoMoveScheduledSiteGeoMoveScheduled Un administrador global o de SharePoint desplazó geográficamente con éxito un sitio de SharePoint o de OneDrive.A SharePoint or global administrator successfully schedules a SharePoint or OneDrive site geo move. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas.The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. Para obtener más información, consulte Funcionalidades multi geográficas en OneDrive y SharePoint en línea en Office 365.For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online in Office 365.
Establecer sitio del hostSet host site HostSiteSetHostSiteSet Un administrador global o de SharePoint cambia el sitio designado para hospedar sitios personales o de OneDrive para empresas. A SharePoint or global administrator changes the designated site to host personal or OneDrive for Business sites.
Configurar una cuota de almacenamiento para una ubicación geográficaSet storage quota for geo location GeoQuotaAllocatedGeoQuotaAllocated Un administrador global o de SharePoint configuró cuota de almacenamiento para ubicación geográfica en un entorno multi geográfico.A SharePoint or global administrator configured the storage quota for a geo location in a multi-geo environment.
Sitio no unido desde el sitio central.Unjoined site from hub site HubSiteUnjoinedHubSiteUnjoined El propietario de un sitio lo disocia de un sitio a un sitio central.A site owner disassociates their site from a hub site.
Sitio central no registradoUnregistered hub site HubSiteUnregisteredHubSiteUnregistered Un administrador global o de SharePoint elimina el registro del sitio como un sitio central.A SharePoint or global administrator unregisters a site as a hub site. Si se elimina el registro de un sitio central, dejará de funcionar como un sitio central.When a hub site is unregistered, it no longer functions as a hub site.

Actividades de buzón de ExchangeExchange mailbox activities

La siguiente tabla enumera las actividades que pueden registrarse mediante el registro de auditoría del buzón de correo.The following table lists the activities that can be logged by mailbox audit logging. Las actividades de buzón realizadas por el propietario del buzón, usuario delegado o administrador se registran automáticamente en el registro de auditoría durante un máximo de 90 días.Mailbox activities performed by the mailbox owner, a delegated user, or an administrator are automatically logged in the audit log for up to 90 days. Es posible para un administrador desactivar el registro de auditoría de buzón para todos los usuarios de su organización.It's possible for an admin to turn off mailbox audit logging for all users in your organization. En este caso, no se registra ninguna acción de cualquier usuario en el buzón.In this case, no mailbox actions for any user are logged. Para más información, consulte Administrar auditoría del buzón..For more information, see Manage mailbox auditing.

También puede buscar actividades de buzón usando el cmdlet Search-MailboxAuditLogen el PowerShell de Exchange en línea.You can also search for mailbox activities by using the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Elementos de buzón a los que se ha accedidoAccessed mailbox items MailItemsAccessedMailItemsAccessed Se han leído mensajes o se obtuvo acceso a los mensajes del buzón.Messages were read or accessed in mailbox. Los registros de auditoría de esta actividad se activan de una de estas dos maneras: cuando un cliente de correo (por ejemplo, Outlook) realiza una operación de vinculación en mensajes o cuando los protocolos de correo (como Exchange ActiveSync o IMAP) sincronizan elementos en una carpeta de correo.Audit records for this activity are triggered in one of two ways: when a mail client (such as Outlook) performs a bind operation on messages or when mail protocols (such as Exchange ActiveSync or IMAP) sync items in a mail folder. Esta actividad solo se registra para los usuarios que tengan una licencia de Office 365 o Microsoft 365 E5.This activity is only logged for users with an Office 365 or Microsoft 365 E5 license. Analizar los registros de auditoría de esta actividad es útil al investigar cuentas de correo electrónico vulnerables.Analyzing audit records for this activity is useful when investigating compromised email account. Para obtener más información, vea la sección "Acceder a eventos fundamentales para las investigaciones" en Auditoría avanzada.For more information, see the "Access to crucial events for investigations" section in Advanced Audit.
Permisos de buzón de delegado agregadosAdded delegate mailbox permissions AddMailboxPermissionsAddMailboxPermissions Un administrador asignó el permiso de FullAccess del buzón a un usuario (conocido como delegado) para el buzón de otra persona.An administrator assigned the FullAccess mailbox permission to a user (known as a delegate) to another person's mailbox. El permiso FullAccess permite al delegado abrir el buzón de la otra persona, así como leer y administrar el contenido del buzón.The FullAccess permission allows the delegate to open the other person's mailbox, and read and manage the contents of the mailbox.
Se ha agregado o quitado un usuario con acceso delegado a la carpeta calendarioAdded or removed user with delegate access to calendar folder UpdateCalendarDelegationUpdateCalendarDelegation Se ha agregado o quitado un usuario como delegado hacia el calendario del buzón de otro usuario.A user was added or removed as a delegate to the calendar of another user's mailbox. La delegación de calendario otorga a otra persona en la misma organización permisos para administrar el calendario del propietario del buzón.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar.
Se agregaron permisos a la carpetaAdded permissions to folder AddFolderPermissionsAddFolderPermissions Un permiso de la carpeta se ha cambiado.A folder permission was added. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders.
Mensajes copiados a otra carpetaCopied messages to another folder CopiarCopy Se ha copiado un mensaje a otra carpeta.A message was copied to another folder.
Elementos del buzón creadoCreated mailbox item CrearCreate Se crea un elemento en la carpeta de Calendario, Contactos, Notas o Tareas en el buzón.An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox. Por ejemplo, se crea una nueva solicitud de reunión.For example, a new meeting request is created. No se audita la creación, el envío ni la recepción de un mensaje.Creating, sending, or receiving a message isn't audited. Además, no se audita la creación de una carpeta del buzón.Also, creating a mailbox folder is not audited.
Nueva regla de bandeja de entrada creada en la aplicación web de OutlookCreated new inbox rule in Outlook web app New-InboxRuleNew-InboxRule El propietario de un buzón u otro usuario con acceso al buzón creó una regla de la bandeja de entrada en la aplicación web de Outlook.A mailbox owner or other user with access to the mailbox created an inbox rule in the Outlook web app.
Mensajes eliminados de la carpeta elementos eliminadosDeleted messages from Deleted Items folder SoftDeleteSoftDelete Un mensaje se ha eliminado de manera permanente o se ha eliminado de la carpeta Elementos eliminados.A message was permanently deleted or deleted from the Deleted Items folder. Estos elementos se mueven a la carpeta Elementos recuperables.These items are moved to the Recoverable Items folder. Los mensajes también se mueven a la carpeta elementos recuperables cuando un usuario lo selecciona y presiona Mayús+Supr.Messages are also moved to the Recoverable Items folder when a user selects it and presses Shift+Delete.
Mensaje etiquetado como un registroLabeled message as a record ApplyRecordLabelApplyRecordLabel Un mensaje se clasificó como un registro.A message was classified as a record. Esto ocurre cuando una etiqueta de retención que clasifica el contenido como un registro se aplica manual o automáticamente a un mensaje.This occurs when a retention label that classifies content as a record is manually or automatically applied to a message.
Mensajes movidos a otra carpetaMoved messages to another folder MoverMove Se ha movido un mensaje a otra carpeta.A message was moved to another folder.
Mensajes movidos a la carpeta Elementos eliminadosMoved messages to Deleted Items folder MoveToDeletedItemsMoveToDeletedItems Un mensaje se ha eliminado y movido a la carpeta Elementos eliminados.A message was deleted and moved to the Deleted Items folder.
Permiso de carpeta modificadaModified folder permission UpdateFolderPermissionsUpdateFolderPermissions Un permiso de la carpeta se ha cambiado.A folder permission was changed. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso a las carpetas del buzón de correo y los mensajes que contienen.Folder permissions control which users in your organization can access mailbox folders and the messages in the folder.
Regla de bandeja de entrada modificada de la aplicación web de Outlook Modified inbox rule from Outlook web app Set-InboxRuleSet-InboxRule El propietario de un buzón u otro usuario con acceso al buzón modificó una regla de la bandeja de entrada usando la aplicación web de Outlook.A mailbox owner or other user with access to the mailbox modified an inbox rule using the Outlook web app.
Mensajes que se han purgado del buzónPurged messages from the mailbox HardDeleteHardDelete Un mensaje se ha purgado de la carpeta Elementos recuperables (eliminado permanentemente del buzón).A message was purged from the Recoverable Items folder (permanently deleted from the mailbox).
Permisos de buzón de delegado quitadosRemoved delegate mailbox permissions Remove-MailboxPermissionRemove-MailboxPermission Un administrador quitó el permiso FullAccess (que se asignó a un delegado) del buzón de una persona.An administrator removed the FullAccess permission (that was assigned to a delegate) from a person's mailbox. Una vez que se haya quitado el permiso FullAccess, el delegado no podrá abrir el buzón de la otra persona ni acceder a ningún contenido.After the FullAccess permission is removed, the delegate can't open the other person's mailbox or access any content in it.
Permisos quitados de la carpetaRemoved permissions from folder RemoveFolderPermissionsRemoveFolderPermissions Un permiso de la carpeta se ha removido.A folder permission was removed. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders.
Enviar mensajeSent message EnviarSend Un mensaje ha sido enviado, respondido o reenviado.A message was sent, replied to or forwarded. Esta actividad solo se registra para los usuarios que tengan una licencia de Office 365 o Microsoft 365 E5.This activity is only logged for users with an Office 365 or Microsoft 365 E5 license. Para obtener más información, vea la sección "Acceder a eventos fundamentales para las investigaciones" en Auditoría avanzada.For more information, see the "Access to crucial events for investigations" section in Advanced Audit.
Mensaje enviado mediante los permisos de Enviar comoSent message using Send As permissions SendAsSendAs Un mensaje se ha enviado con el permiso Enviar como.A message was sent using the SendAs permission. Esto significa que otro usuario envió el mensaje como si viniera del propietario del buzón.This means that another user sent the message as though it came from the mailbox owner.
Mensaje enviado mediante los permisos en nombre deSent message using Send On Behalf permissions SendOnBehalfSendOnBehalf Un mensaje se ha enviado con el permiso SendOnBehalf.A message was sent using the SendOnBehalf permission. Esto significa que otro usuario envió el mensaje a nombre del propietario del buzón.This means that another user sent the message on behalf of the mailbox owner. El mensaje indica al destinatario a nombre de quién se ha enviado el mensaje y quién lo ha enviado realmente.The message indicates to the recipient whom the message was sent on behalf of and who actually sent the message.
Reglas de la bandeja de entrada actualizadas desde el cliente de OutlookUpdated inbox rules from Outlook client UpdateInboxRulesUpdateInboxRules El propietario de un buzón u otro usuario con acceso al buzón, modificó una regla de la bandeja de entrada en el Outlook del cliente.A mailbox owner or other user with access to the mailbox modified an inbox rule in the Outlook client.
Mensaje actualizadoUpdated message ActualizarUpdate Un mensaje o sus propiedades han cambiado.A message or its properties was changed.
Usuario que ha iniciado sesión en un buzónUser signed in to mailbox MailboxLoginMailboxLogin El usuario inició sesión en su buzón.The user signed in to their mailbox.
Etiquetar mensaje como un registroLabel message as a record Un usuario ha aplicado una etiqueta de retención a un mensaje de correo electrónico y esa etiqueta está configurada para marcar el elemento como un registro.A user applied a retention label to an email message and that label is configured to mark the item as a record.

Actividades de administración de usuariosUser administration activities

En la tabla siguiente se enumeran las actividades de administración de usuarios que se registran cuando un administrador agrega o cambia una cuenta de usuario al usar el Centro de administración de Microsoft 365 o el Portal de administración de Azure.The following table lists user administration activities that are logged when an admin adds or changes a user account by using the Microsoft 365 admin center or the Azure management portal.

Nota

Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ).The operation names listed in the the Operation column in the following table contain a period ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad.You must include the period in the operation name if you specify the operation in a PowerShell command when searching the audit log, creating audit retention policies, creating alert policies, or creating activity alerts. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.Also be sure to use double quotation marks (" ") to contain the operation name.

ActividadActivity OperaciónOperation DescripciónDescription
Usuario agregadoAdded user Agregar usuario.Add user. Secreó una cuenta de usuario.A user account was created.
Licencia de usuario cambiadaChanged user license Cambiar licencia de usuario.Change user license. La licencia que se ha asignado a un usuario ha cambiado.The license assigned to a user what changed. Para ver qué licencias han cambiado, vea la actividad correspondiente Usuario actualizado.To see what licenses were changes, see the corresponding Updated user activity.
Contraseña de usuario cambiadaChanged user password Cambiar contraseña de usuario.Change user password. El usuario cambia su contraseña.A user changes their password. El restablecimiento de contraseña de autoservicio tiene que estar habilitado (para todos los usuarios o los seleccionados) en la organización para que los usuarios puedan restablecer la contraseña.Self-service password reset has to be enabled (for all or selected users) in your organization to allow users to reset their password. También puede realizar un seguimiento de la actividad de restablecimiento de contraseña de autoservicio de Azure Active Directory.You can also track self-service password reset activity in Azure Active Directory. Para obtener más información, consulte Opciones de creación de informes para la administración de contraseñas de Azure AD.For more information, see Reporting options for Azure AD password management.
Usuario eliminadoDeleted user Eliminar usuario.Delete user. Se ha eliminado una cuenta de usuario.A user account was deleted.
Restablecer contraseña de usuarioReset user password Restablecer contraseña de usuario.Reset user password. El administrador restablece la contraseña de un usuario.Administrator resets the password for a user.
Establecer una propiedad que fuerce al usuario a cambiar la contraseñaSet property that forces user to change password Forzar el cambio de la contraseña de usuario.Set force change user password. Un administrador estableció la propiedad que obliga a un usuario a cambiar su contraseña la próxima vez que inicie sesión en Office 365.Administrator set the property that forces a user to change their password the next time the user signs in to Office 365.
Establecer propiedades de licenciaSet license properties Establecer propiedades de licencia.Set license properties. Un administrador modificó las propiedades de una licencia asignada a un usuario.Administrator modifies the properties of a licensed assigned to a user.
Usuario actualizadoUpdated user Actualizar usuario.Update user. Un administrador cambia una o más propiedades de una cuenta de usuario.Administrator changes one or more properties of a user account. Para obtener una lista de las propiedades de usuario que pueden actualizarse, consulte la sección "Actualizar atributos de usuario" en Eventos del informe de auditoría de Azure Active Directory.For a list of the user properties that can be updated, see the "Update user attributes" section in Azure Active Directory Audit Report Events.

Actividades de administración de grupos de Azure ADAzure AD group administration activities

En la siguiente tabla se enumeran las actividades de administración de grupos que se registran cuando un administrador o un usuario agrega o cambia un grupo de Microsoft 365 o cuando un administrador crea un grupo de seguridad mediante el Centro de administración de Microsoft 365 o el Portal de administración de Azure.The following table lists group administration activities that are logged when an admin or a user creates or changes a Microsoft 365 group or when an admin creates a security group by using the Microsoft 365 admin center or the Azure management portal. Para obtener más información sobre los grupos de Office 365, consulteVer, crear y eliminar grupos en el Centro de administración de Microsoft Office 365.For more information about groups in Office 365, see View, create, and delete Groups in the Microsoft 365 admin center.

Nota

Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ).The operation names listed in the the Operation column in the following table contain a period ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad.You must include the period in the operation name if you specify the operation in a PowerShell command when searching the audit log, creating audit retention policies, creating alert policies, or creating activity alerts. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.Also be sure to use double quotation marks (" ") to contain the operation name.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Grupo agregadoAdded group Agregar grupo.Add group. Se ha creado un grupo.A group was created.
Miembro agregado a un grupoAdded member to group Agregar miembro a un grupo.Add member to group. Un miembro se ha agregado a un grupo.A member was added to a group.
Grupo eliminadoDeleted group Eliminar grupo.Delete group. Se ha eliminado un grupo.A group was deleted.
Miembro quitado de un grupoRemoved member from group Quitar miembro de un grupo.Remove member from group. Un miembro se ha quitado de un grupo.A member was removed from a group.
Grupo actualizadoUpdated group Actualizar grupo.Update group. Una propiedad de un grupo se ha cambiado.A property of a group was changed.

Actividades de administración de aplicacionesApplication administration activities

En la siguiente tabla se enumeran las actividades de administración de aplicaciones que se registran cuando un administrador agrega o cambia una aplicación que se ha registrado en Azure AD.The following table lists application admin activities that are logged when an admin adds or changes an application that's registered in Azure AD. Cualquier aplicación que se base en Azure AD para la autenticación debe registrarse en el directorio.Any application that relies on Azure AD for authentication must be registered in the directory.

Nota

Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ).The operation names listed in the the Operation column in the following table contain a period ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad.You must include the period in the operation name if you specify the operation in a PowerShell command when searching the audit log, creating audit retention policies, creating alert policies, or creating activity alerts. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.Also be sure to use double quotation marks (" ") to contain the operation name.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Entrada de delegación agregadaAdded delegation entry Agregar entrada de delegación.Add delegation entry. Un permiso de autenticación se ha creado o concedido a una aplicación en Azure AD.An authentication permission was created/granted to an application in Azure AD.
Servicio principal agregadoAdded service principal Agregar entidad de servicio.Add service principal. Una aplicación se ha registrado en Azure AD.An application was registered in Azure AD. Una aplicación es representada mediante un servicio principal en el directorio.An application is represented by a service principal in the directory.
Credenciales agregadas a una entidad de servicio Added credentials to a service principal Agregar credenciales de entidad de servicio.Add service principal credentials. Las credenciales se han agregado a una entidad de servicio en Azure AD.Credentials were added to a service principal in Azure AD. Una entidad de servicio representa una aplicación del directorio.A service principle represents an application in the directory.
Entrada de delegación removidaRemoved delegation entry Quitar entrada de delegación.Remove delegation entry. Un permiso de autenticación se ha removido de una aplicación en Azure AD.An authentication permission was removed from an application in Azure AD.
Entidad de servicio removida del directorioRemoved a service principal from the directory Quitar entidad de servicio.Remove service principal. Una aplicación se ha eliminado o no se ha su registro de Azure AD.An application was deleted/unregistered from Azure AD. Una aplicación es representada mediante un servicio principal en el directorio.An application is represented by a service principal in the directory.
Credenciales removidas de un servicio principalRemoved credentials from a service principal Quitar credenciales de entidad de servicio.Remove service principal credentials. Las credenciales se han removido de un servicio principal en Azure AD.Credentials were removed from a service principal in Azure AD. Una entidad de servicio representa una aplicación del directorio.A service principle represents an application in the directory.
Establecer entrada de delegaciónSet delegation entry Establecer entrada de delegación.Set delegation entry. Un permiso de autenticación se ha actualizado en una aplicación en Azure AD.An authentication permission was updated for an application in Azure AD.

Actividades de administración de rolesRole administration activities

En la siguiente tabla se enumeran las actividades de administración de roles de Azure AD que se registran cuando un administrador controla los roles de administración en el Centro de administración de Microsoft 365 o en el Portal de administración de Azure.The following table lists Azure AD role administration activities that are logged when an admin manages admin roles in the Microsoft 365 admin center or in the Azure management portal.

Nota

Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ).The operation names listed in the the Operation column in the following table contain a period ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad.You must include the period in the operation name if you specify the operation in a PowerShell command when searching the audit log, creating audit retention policies, creating alert policies, or creating activity alerts. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.Also be sure to use double quotation marks (" ") to contain the operation name.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Agregar miembro a un rolAdd member to Role Agregar miembro a un rol.Add member to role. Se ha agregado un usuario a un rol de administrador en Microsoft 365.Added a user to an admin role in Microsoft 365.
Se ha removido un usuario de un rol de directorio Removed a user from a directory role Quitar miembro de un rol.Remove member from role. Se ha eliminado un usuario desde un rol de administrador en Microsoft 365.Removed a user to from an admin role in Microsoft 365.
Establecer la información de contacto de la empresaSet company contact information Establecer la información de contacto de la empresa.Set company contact information. Se han actualizado las preferencias de contacto a nivel empresarial de la organización.Updated the company-level contact preferences for your organization. Esto incluye las direcciones de correo electrónico del correo electrónico relacionado con las suscripciones enviado mediante Microsoft 365, así como las notificaciones técnicas sobre los servicios.This includes email addresses for subscription-related email sent by Microsoft 365, and technical notifications about services.

Actividades de administración de directoriosDirectory administration activities

En la siguiente tabla se enumeran las actividades relacionadas con los dominios y los directorios de Azure AD que se registran cuando un administrador gestiona la organización en el Centro de administración de Microsoft 365 o en el Portal de administración de Azure.The following table lists Azure AD directory and domain-related activities that are logged when an administrator manages their organization in the Microsoft 365 admin center or in the Azure management portal.

Nota

Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ).The operation names listed in the the Operation column in the following table contain a period ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad.You must include the period in the operation name if you specify the operation in a PowerShell command when searching the audit log, creating audit retention policies, creating alert policies, or creating activity alerts. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.Also be sure to use double quotation marks (" ") to contain the operation name.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Dominio agregado a la empresaAdded domain to company Agregar dominio a la empresa.Add domain to company. Se ha agregado un dominio a la organización.Added a domain to your organization.
Se ha agregado un socio al directorioAdded a partner to the directory Agregar asociado a la empresa.Add partner to company. Se ha agregado un socio (administrador delegado) a la organización.Added a partner (delegated administrator) to your organization.
Dominio removido de la empresaRemoved domain from company Quitar dominio de la empresa.Remove domain from company. Se ha quitado un dominio de la organización.Removed a domain from your organization.
Se ha removido un socio del directorioRemoved a partner from the directory Quitar asociado de la empresa.Remove partner from company. Se ha quitado un socio (administrador delegado) de la organización.Removed a partner (delegated administrator) from your organization.
Establecer información de la organizaciónSet company information Establecer la información de la empresa.Set company information. Se ha actualizado la información de empresa de la organización.Updated the company information for your organization. Esto incluye las direcciones de correo electrónico del correo electrónico relacionado con las suscripciones enviado mediante Microsoft 365, así como las notificaciones técnicas sobre los servicios de Microsoft 365.This includes email addresses for subscription-related email sent by Microsoft 365, and technical notifications about Microsoft 365 services.
Establecer autenticación de dominioSet domain authentication Establecer autenticación de dominio.Set domain authentication. Se ha cambiado la configuración de la autenticación de dominio de la organización.Changed the domain authentication setting for your organization.
Se ha actualizado la configuración de federación para un dominioUpdated the federation settings for a domain Establecer la configuración de federación en un dominio.Set federation settings on domain. Se ha cambiado la configuración de federación (uso compartido externo) de la organización.Changed the federation (external sharing) settings for your organization.
Establecer normativas de contraseñaSet password policy Establecer la directiva de contraseña.Set password policy. Se han cambiado las restricciones de caracteres y longitud de las contraseñas de usuario de la organización.Changed the length and character constraints for user passwords in your organization.
Sincronización de Azure AD activada Turned on Azure AD sync Establecer la marca DirSyncEnabled.Set DirSyncEnabled flag. Se ha establecido la propiedad que habilita un directorio para la Sincronización de Azure AD.Set the property that enables a directory for Azure AD Sync.
Dominio actualizadoUpdated domain Actualizar dominio.Update domain. Se ha actualizado la configuración de un dominio en la organización.Updated the settings of a domain in your organization.
Dominio comprobadoVerified domain Comprobar dominio.Verify domain. Se ha comprobado que su organización es la propietaria de un dominio.Verified that your organization is the owner of a domain.
Se ha comprobado el dominio comprobado por correo electrónicoVerified email verified domain Verificar el dominio comprobado por correo electrónico.Verify email verified domain. Se ha usado la verificación de correo electrónico para comprobar que su organización es la propietaria de un dominio.Used email verification to verify that your organization is the owner of a domain.

Actividades de eDiscoveryeDiscovery activities

La búsqueda de contenido y las actividades relacionadas con eDiscovery que son realizadas en el centro de seguridad y cumplimento o ejecutando los cmdlets correspondientes de PowerShell que están archivados en el registro de auditoría.Content Search and eDiscovery-related activities that are performed in the security and compliance center or by running the corresponding PowerShell cmdlets are logged in the audit log. Esto incluye las siguientes actividades:This includes the following activities:

  • Crear y administrar casos de exhibición de documentos electrónicosCreating and managing eDiscovery cases

  • Crear, iniciar y editar búsquedas de contenidoCreating, starting, and editing Content Searches

  • Realizar acciones de búsqueda de contenido, como la vista previa, la exportación y la eliminación de resultados de búsquedaPerforming Content Search actions, such as previewing, exporting, and deleting search results

  • Configurar el filtrado de permisos para la búsqueda de contenidoConfiguring permissions filtering for Content Search

  • Administrar el rol de administrador de la exhibición de documentos electrónicosManaging the eDiscovery Administrator role

Para obtener una lista y una descripción detallada de las actividades de eDiscovery que están registradas, vea Buscar actividades de eDiscovery en el registro de auditoría.For a list and detailed description of the eDiscovery activities that are logged, see Search for eDiscovery activities in the audit log.

Nota

Lleva un máximo de 30 minutos para eventos que resultan de las actividades indicadas en Actividades de eDiscovery y Actividades de eDiscovery avanzado en la lista desplegable Actividades que se muestra en los resultados de búsqueda.It takes up to 30 minutes for events that result from the activities listed under eDiscovery activities and Advanced eDiscovery activities in the Activities drop-down list to be displayed in the search results. Por el contrario, lleva hasta 24 horas para los eventos correspondientes de actividades cmdlet de eDiscovery que aparezcan en los resultados de búsqueda.Conversely, it takes up to 24 hours for the corresponding events from eDiscovery cmdlet activities to appear in the search results.

Actividades de eDiscovery avanzadoAdvanced eDiscovery activities

Puede buscar también en el registro de auditoría para actividades en eDiscovery avanzado.You can also search the audit log for activities in Advanced eDiscovery. Para obtener una descripción de estas actividades, consulte la sección "Actividades de eDiscovery avanzado" en Buscar actividades de eDiscovery en el registro de auditoría.For a description of these activities, see the "Advanced eDiscovery activities" section in Search for eDiscovery activities in the audit log.

Actividades de Power BIPower BI activities

Puede buscar el registro de auditoría actividades en Power BI.You can search the audit log for activities in Power BI. Para obtener información sobre las actividades de Power BI, consulte la sección "Actividades auditadas por Power BI"en el uso de la auditoría en su organización.For information about Power BI activities, see the "Activities audited by Power BI" section in Using auditing within your organization.

El registro de auditoría de Power BI no está habilitado de forma predeterminada.Audit logging for Power BI isn't enabled by default. Para buscar actividades de Power BI en el registro de auditoría, debe habilitar la auditoría en el portal de administración de Power BI.To search for Power BI activities in the audit log, you have to enable auditing in the Power BI admin portal. Para obtener instrucciones, consulte la sección "registros de auditoría"en el portal de administración de Power BI.For instructions, see the "Audit logs" section in Power BI admin portal.

Actividades de Workplace AnalyticsWorkplace Analytics activities

Workplace Analytics ofrece información sobre cómo colaboran los grupos en la organización.Workplace Analytics provides insight into how groups collaborate across your organization. En la siguiente tabla se enumeran las actividades realizadas por los usuarios que tengan asignado el rol de administrador o de analista en Workplace Analytics.The following table lists activities performed by users that are assigned the Administrator role or the Analyst roles in Workplace Analytics. Los usuarios a los que se les ha asignado el rol de Analista tienen acceso total a todas las características del servicio y usan el producto para realizar el análisis.Users assigned the Analyst role have full access to all service features and use the product to do analysis. Los usuarios que tengan asignado el rol de administrador pueden configurar las opciones de privacidad y los valores predeterminados del sistema y podrán preparar, cargar y comprobar datos en la organización en Workplace AnalyticsUsers assigned the Administrator role can configure privacy settings and system defaults, and can prepare, upload, and verify organizational data in Workplace Analytics. Para obtener más información, consulteWorkplace Analytics.For more information, see Workplace Analytics.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Vínculo de acceso de OData Accessed OData link AccessedOdataLinkAccessedOdataLink El analista ha accedido al vínculo OData para una consulta.Analyst accessed the OData link for a query.
Consulta canceladaCanceled query CanceledQueryCanceledQuery El analista canceló una consulta en ejecución.Analyst canceled a running query.
Exclusión de reuniones creadaCreated meeting exclusion MeetingExclusionCreatedMeetingExclusionCreated El analista creó una regla de exclusión de la reunión.Analyst created a meeting exclusion rule.
Resultado eliminadoDeleted result DeletedResultDeletedResult El analista ha eliminado un resultado de la consulta.Analyst deleted a query result.
Reporte descargadoDownloaded report DownloadedReportDownloadedReport El analista ha descargado un archivo de resultado de la consulta.Analyst downloaded a query result file.
Consulta ejecutadaExecuted query ExecutedQueryExecutedQuery El analista ha ejecutado una consulta.Analyst ran a query.
Configuración de acceso a datos actualizadaUpdated data access setting UpdatedDataAccessSettingUpdatedDataAccessSetting Configuración de acceso a datos de administrador actualizadaAdmin updated data access settings.
Configuración de privacidad actualizadaUpdated privacy setting UpdatedPrivacySettingUpdatedPrivacySetting Configuración de Privacidad de administrador actualizada; por ejemplo, grupo de tamaño mínimo.Admin updated privacy settings; for example, minimum group size.
Datos de la organización cargados.Uploaded organization data UploadedOrgDataUploadedOrgData Archivo de datos de la organización cargado por el administrador.Admin uploaded organizational data file.
Explorar vistaViewed Explore ViewedExploreViewedExplore El analista visualizó una o más pestañas de la página de exploración.Analyst viewed visualizations in one or more Explore page tabs.

Actividades de Microsoft TeamsMicrosoft Teams activities

Puede buscar en el registro de auditoría actividades administrativas y de usuario de Microsoft Teams.You can search the audit log for user and admin activities in Microsoft Teams. Teams es un espacio de trabajo de Office 365 orientado a la conversación.Teams is a chat-centered workspace in Office 365. Trae las conversaciones en Teams, las reuniones, los archivos y las notas de un equipo en un solo lugar.It brings a team's conversations, meetings, files, and notes together into a single place. Para obtener descripciones de las actividades de Teams que se auditan, consulte Buscar eventos en el registro de auditoría de Microsoft Teams.For descriptions of the Teams activities that are audited, see Search the audit log for events in Microsoft Teams.

Actividades de Microsoft Teams para SanidadMicrosoft Teams Healthcare activities

Si su organización usa la aplicación Pacientes en Microsoft Teams, puede buscar el registro de auditoría para las actividades relacionadas con el uso de la aplicación Pacientes.If your organization is using the Patients application in Microsoft Teams, you can search the audit log for activities related to the using the Patients app. Si su entorno está configurado para admitir la aplicación Pacientes, un grupo adicional de actividad está disponible para estas actividades en la lista del selector Actividades.If your environment is configured to support Patients app, an additional activity group for these activities is available in the Activities picker list.

Actividades de Microsoft Teams para Sanidad en la lista del selector Actividades

Para obtener una descripción de las actividades de la aplicación Pacientes, consulte Registros de auditoría de la aplicación para Pacientes.For a description of the Patients app activities, see Audit logs for Patients app.

Actividades de Turnos en Microsoft TeamsMicrosoft Teams Shifts activities

Si su organización usa la aplicación Turnos en Microsoft Teams, puede buscar en el registro de auditoría actividades relacionadas con el uso de la aplicación Turnos.If your organization is using the Shifts app in Microsoft Teams, you can search the audit log for activities related to the using the Shifts app. Si su entorno está configurado para admitir la aplicación Turnos, habrá disponible un grupo adicional de esas actividades en la lista del selector Actividades.If your environment is configured to support Shifts apps, an additional activity group for these activities is available in the Activities picker list.

Para obtener una descripción de las actividades de la aplicación Turnos, consulte Buscar eventos en el registro de auditoría de Microsoft Teams.For a description of Shifts app activities, see Search the audit log for events in Microsoft Teams.

Actividades de YammerYammer activities

En la siguiente tabla, se enumeran las actividades de usuario y de administrador de Yammer que se registran en el registro de auditoría.The following table lists the user and admin activities in Yammer that are logged in the audit log. Para devolver las actividades relacionadas con Yammer del registro de auditoría, tiene que seleccionar Mostrar resultados de todas las actividades en la lista Actividades.To return Yammer-related activities from the audit log, you have to select Show results for all activities in the Activities list. Use los cuadros de intervalo de fecha y la lista Usuarios para restringir los resultados de la búsqueda.Use the date range boxes and the Users list to narrow the search results.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Directiva de retención de datos cambiadaChanged data retention policy SoftDeleteSettingsUpdatedSoftDeleteSettingsUpdated Un administrador superior actualizó la configuración de la directiva de retención de datos de la red a eliminación permanente o eliminación temporal.Verified admin updates the setting for the network data retention policy to either Hard Delete or Soft Delete. Solo los administradores superiores pueden realizar esta operación.Only verified admins can perform this operation.
Configuración de red cambiadaChanged network configuration NetworkConfigurationUpdatedNetworkConfigurationUpdated Un administrador superior o de red cambió la configuración de la red de Yammer.Network or verified admin changes the Yammer network's configuration. Esto incluye establecer el intervalo de exportación de datos y habilitar el chat.This includes setting the interval for exporting data and enabling chat.
Configuración del perfil de red cambiadaChanged network profile settings ProcessProfileFieldsProcessProfileFields Un administrador superior o de red cambia la información que aparece en los perfiles de usuario para los usuarios de su red.Network or verified admin changes the information that appears on member profiles for network users network.
Modo de contenido privado cambiadoChanged private content mode SupervisorAdminToggledSupervisorAdminToggled Un administrador superior activa o desactiva el Modo de contenido privado.Verified admin turns Private Content Mode on or off. Este modo permite a un administrador ver publicaciones de grupos privados y mensajes privados entre los usuarios (o grupos de usuarios).This mode lets an admin view the posts in private groups and view private messages between individual users (or groups of users). Solo los administradores superiores pueden realizar esta operación.Only verified admins only can perform this operation.
Configuración de seguridad cambiadaChanged security configuration NetworkSecurityConfigurationUpdatedNetworkSecurityConfigurationUpdated Un administrador superior actualizó la configuración de seguridad de la red de Yammer.Verified admin updates the Yammer network's security configuration. Esto incluye establecer las directivas de expiración de contraseña y las restricciones de las direcciones IP.This includes setting password expiration policies and restrictions on IP addresses. Solo los administradores superiores pueden realizar esta operación.Only verified admins can perform this operation.
Archivo creadoCreated file FileCreatedFileCreated El usuario cargó un archivo.User uploads a file.
Grupo creadoCreated group GroupCreationGroupCreation El usuario crea un grupo.User creates a group.
Grupo eliminadoDeleted group GroupDeletionGroupDeletion Se eliminó un grupo de Yammer.A group is deleted from Yammer.
Mensaje eliminadoDeleted message MessageDeletedMessageDeleted El usuario eliminó un mensaje.User deletes a message.
Archivo descargadoDownloaded file FileDownloadedFileDownloaded El usuario descargó un archivo.User downloads a file.
Datos exportadosExported data DataExportDataExport Un administrador superior exportó datos de la red de Yammer.Verified admin exports Yammer network data. Solo los administradores superiores pueden realizar esta operación.Only verified admins can perform this operation.
Archivo compartidoShared file FileSharedFileShared Un usuario compartió un archivo con otro usuario.User shares a file with another user.
Usuario de red suspendidoSuspended network user NetworkUserSuspendedNetworkUserSuspended Un administrador de red o superior suspendió (desactivó) un usuario de Yammer.Network or verified admin suspends (deactivates) a user from Yammer.
Usuario suspendidoSuspended user UserSuspensionUserSuspension Se suspendió una cuenta de usuario (se desactivó).User account is suspended (deactivated).
Descripción del archivo actualizadoUpdated file description FileUpdateDescriptionFileUpdateDescription Un usuario cambió la descripción de un archivo.User changes the description of a file.
Nombre de archivo actualizadoUpdated file name FileUpdateNameFileUpdateName Un usuario cambió el nombre de un archivo.User changes the name of a file.
Archivo visualizadoViewed file FileVisitedFileVisited Un usuario visualizó un archivo.User views a file.

Actividades en Microsoft Power Automate Microsoft Power Automate activities

Puede buscar el registro de auditoría para actividades en Power Automate (antes llamado Microsoft Flow).You can search the audit log for activities in Power Automate (formerly called Microsoft Flow). Entre estas actividades se incluyen la creación, edición y eliminación de flujos, y cambios en los permisos de flujo.These activities include creating, editing, and deleting flows, and changing flow permissions. Para obtener información sobre las auditorías de las actividades en Power Automate, consulte el blog Eventos de auditoría de Microsoft Flow ahora disponibles en el centro de cumplimiento y seguridad .For information about auditing for Power Automate activities, see the blog Microsoft Flow audit events now available in Security & Compliance Center.

Actividades en Microsoft Power AppsMicrosoft Power Apps activities

Puede buscar el registro de auditorías para actividades relacionadas con aplicaciones en PowerApps.You can search the audit log for app-related activities in Power Apps. Entre estas actividades se incluyen la creación, el lanzamiento y la publicación de una aplicación.These activities include creating, launching, and publishing an app. La asignación de permisos a las aplicaciones también se audita.Assigning permissions to apps is also audited. Para obtener una descripción de todas las actividades de Power Apps, consulte Registro de actividades para Power Apps.For a description of all Power Apps activities, see Activity logging for Power Apps.

Actividades de Microsoft StreamMicrosoft Stream activities

Puede buscar el registro de auditoría para actividades en Microsoft Stream.You can search the audit log for activities in Microsoft Stream. Entre estas actividades se incluyen las actividades de vídeo efectuadas por los usuarios, las actividades de canal de grupo y las actividades de administración, como la administración de usuarios, administración de la configuración de la organización y exportación de informes.These activities include video activities performed by users, group channel activities, and admin activities such as managing users, managing organization settings, and exporting reports. Para obtener una descripción de estas actividades, consulte la sección "acciones registradas en Microsoft Stream " en Registros de auditoría en Microsoft Stream.For a description of these activities, see the "Actions logged in Stream" section in Audit Logs in Microsoft Stream.

Actividades del explorador de contenidoContent explorer activities

En la tabla siguiente, se enumeran las actividades del explorador de contenido que se registran en el registro de auditoría.The following table lists the activities in content explorer that are logged in the audit log. El explorador de contenido, al que se accede en la herramienta de clasificación de datos en el Centro de cumplimiento de Microsoft 365.Content explorer, which is accessed on the Data classifications tool in the Microsoft 365 compliance center. Para obtener más información, consulte Usar el explorador de contenido de clasificación de datos.For more information, see Using data classification content explorer.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Archivo al que se ha accedidoAccessed item LabelContentExplorerAccessedItemLabelContentExplorerAccessedItem Un administrador (o un usuario que sea miembro del grupo de roles de Visor de contenido del explorador de contenido) usa el explorador de contenido para ver un mensaje de correo electrónico o un documento de OneDrive o SharePoint.An admin (or a user who's a member of the Content Explorer Content Viewer role group) uses content explorer to view an email message or SharePoint/OneDrive document.

Actividades de cuarentenaQuarantine activities

En la tabla siguiente se enumeran las actividades de cuarentena que puede buscar en el registro de auditoría.The following table lists the quarantine activities that you can search for in the audit log. Para obtener más información, consulte Mensajes de correo electrónico en cuarentena en Office 365.For more information about quarantine, see Quarantine email messages in Office 365.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Mensaje de cuarentena eliminadoDeleted quarantine message QuarantineDeleteQuarantineDelete Un usuario eliminó un mensaje de correo que se consideró peligroso.A user deleted an email message that was deemed to be harmful.
Mensaje de cuarentena exportadoExported quarantine message QuarantineExportQuarantineExport Un usuario exportó un mensaje de correo que se consideró peligroso.A user exported an email message that was deemed to be harmful.
Vista previa de mensaje de cuarentenaPreviewed quarantine message QuarantinePreviewQuarantinePreview Un usuario consultó una vista previa de un mensaje de correo que se consideró peligroso.A user previewed an email message that was deemed to be harmful.
Mensaje de cuarentena liberadoReleased quarantine message QuarantineReleaseQuarantineRelease Un usuario liberó de la cuarentena un mensaje de correo que se consideró peligroso.A user released an email message from quarantine that was deemed to be harmful.
Vista de encabezado mensaje de cuarentenaViewed quarantine message's header QuarantineViewHeaderQuarantineViewHeader Un usuario vio el encabezado de un mensaje de correo que se consideró peligroso.A user viewed the header an email message that was deemed to be harmful.

Actividades de Microsoft FormsMicrosoft Forms activities

En la siguiente tabla, se enumeran las actividades de usuario y de administrador en Microsoft Forms que se registran en el registro de auditoría.The following table lists the user and admin activities in Microsoft Forms that are logged in the audit log. Microsoft Forms es una herramienta de formularios, cuestionarios y encuestas utilizado para recopilar datos para su análisis.Microsoft Forms is a forms/quiz/survey tool used to collect data for analysis.

A continuación, en las descripciones, algunas operaciones contienen parámetros de actividad adicionales.Where noted below in the descriptions, some operations contain additional activity parameters.

Nota

Si se lleva a cabo una actividad de Forms por parte de un coautor o alguien que responde anónimamente, se registrará de forma ligeramente distinta.If a Forms activity is performed by a co-author or an anonymous responder, it will be logged slightly differently. Para obtener más información, consulte la sección actividades de formularios que realizan los coautores y respondedores anónimos.For more information, see the Forms activities performed by co-authors and anonymous responders section.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Comentario creadoCreated comment CreateCommentCreateComment El propietario del formulario ha añadido comentarios o puntuaciones a un cuestionario.Form owner adds comment or score to a quiz.
Formulario creadoCreated form CreateFormCreateForm Un nuevo formulario ha sido creado por el propietario.Form owner creates a new form.
Formulario editadoEdited form EditFormEditForm Al crear, eliminar o editar una pregunta, el propietario del formulario lo edita.Form owner edits a form such, as creating, removing, or editing a question. La propiedad EditOperation:string indica el nombre de la operación de edición.The property EditOperation:string indicates the edit operation name. Las posibles operaciones son:The possible operations are:
- CreateQuestion- CreateQuestion
- CreateQuestionChoice- CreateQuestionChoice
- DeleteQuestion- DeleteQuestion
- DeleteQuestionChoice- DeleteQuestionChoice
- DeleteFormImage- DeleteFormImage
- DeleteQuestionImage- DeleteQuestionImage
- UpdateQuestion- UpdateQuestion
- UpdateQuestionChoice- UpdateQuestionChoice
-UploadFormImage/Bing/Onedrive- UploadFormImage/Bing/Onedrive
- UploadQuestionImage- UploadQuestionImage
-Cambiar tema- ChangeTheme

FormImage incluye cualquier lugar dentro de los formularios en los que el usuario pueda subir una imagen, como en la cadena de consulta o como tema en la imagen de fondo.FormImage includes any place within Forms that user can upload an image, such as in a query or as a background theme.
Formulario movidoMoved form MoveFormMoveForm Un formulario ha sido movido por el propietario.Form owner moves a form.

La propiedad DestinationUserId: la cadena indica el ID de usuario de la persona que ha movido el formulario.Property DestinationUserId:string indicates the user ID of the person who moved the form. La propiedad NewFormId: la cadena es el nuevo ID para el formulario recién copiado.Property NewFormId:string is the new ID for the newly copied form.
Formulario eliminadoDeleted form DeleteFormDeleteForm Un formulario ha sido eliminado por el propietario.Form owner deletes a form. Esto incluye SoftDelete (eliminar la opción utilizada y mover el formulario a la papelera de reciclaje) y HardDelete (Se vacía la papelera de reciclaje).This includes SoftDelete (delete option used and form moved to recycle bin) and HardDelete (Recycle bin is emptied).
Formulario visto (tiempo de diseño)Viewed form (design time) ViewFormViewForm Un formulario existente ha sido abierto por el propietario para su edición.Form owner opens an existing form for editing.
Vista previa del formularioPreviewed form PreviewFormPreviewForm Un formulario ha sido previsualizado por el propietario con la función vista previa.Form owner previews a form using the Preview function.
Formulario exportadoExported form ExportFormExportForm Los resultados han sido exportado a Excel por el propietario del formulario.Form owner exports results to Excel.

La propiedad ExportFormat:string indicará si el archivo de Excel se puede descargar o ver en línea.Property ExportFormat:string indicates if the Excel file is Download or Online.
Formulario de participación permitida para su copiaAllowed share form for copy AllowShareFormForCopyAllowShareFormForCopy Para compartir el formulario con otros usuarios el propietario ha creado un vínculo en una plantilla.Form owner creates a template link to share the form with other users. Este evento es registrado cuando el propietario del formulario hace clic para generar una dirección URL en la plantilla.This event is logged when the form owner clicks to generate template URL.
Formulario de participación no permitida para su copiaDisallowed share form for copy DisallowShareFormForCopyDisallowShareFormForCopy El propietario del formulario ha eliminado el vínculo en la plantilla.Form owner deletes template link.
Coautor de formulario agregadoAdded form coauthor AddFormCoauthorAddFormCoauthor Para ayudar a diseñar y ver respuestas el usuario utiliza un vínculo de colaboración.A user uses a collaboration link to help design for/view responses. Este evento es registrado cuando un usuario utiliza una dirección URL de colisión (no ocurre cuando se genera la URL de colisión por primera vez).This event is logged when a user uses a collab URL (not when collab URL is first generated).
Coautor de formulario quitadoRemoved form coauthor RemoveFormCoauthorRemoveFormCoauthor El propietario del formulario ha eliminado el vínculo de colaboración.Form owner deletes a collaboration link.
Página de respuesta visualizadaViewed response page ViewRuntimeFormViewRuntimeForm El usuario ha abierto una página de respuesta para su visualización.User has opened a response page to view. Este evento es registrado independientemente de si el usuario envía una respuesta o no.This event is logged regardless of whether the user submits a response or not.
Respuesta creadaCreated response CreateResponseCreateResponse Es similar a recibir una nueva respuesta.Similar to receiving a new response. Un usuario ha enviado una respuesta a un formulario.A user has submitted a response to a form.

La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado.Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

Para un respondedor anónimo, la propiedad de ResponderId será nula.For an anonymous responder, the ResponderId property will be null.
Respuesta actualizadaUpdated response UpdateResponseUpdateResponse El propietario del formulario ha actualizado un comentario o la puntuación en un cuestionario.Form owner has updated a comment or score on a quiz.

La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado.Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

Para un respondedor anónimo, la propiedad de ResponderId será nula.For an anonymous responder, the ResponderId property will be null.
Eliminar todas las respuestas Deleted all responses DeleteAllResponsesDeleteAllResponses Todos los datos de respuesta han sido eliminadas por el propietario del formulario Form owner deletes all response data.
Respuesta eliminadaDeleted Response DeleteResponseDeleteResponse El propietario del formulario ha eliminado una respuesta.Form owner deletes one response.

La propiedad ResponseId:string indicará la respuesta que está siendo eliminada.Property ResponseId:string indicates the response being deleted.
Respuestas vistasViewed responses ViewResponsesViewResponses El propietario del formulario ha visualizado la lista agregada de respuestas.Form owner views the aggregated list of responses.

La Propiedad ViewType: la cadena indica si el propietario del formulario está visualizando la lista detallada o agregada.Property ViewType:string indicates whether form owner is viewing Detail or Aggregate
Respuesta vistaViewed response ViewResponseViewResponse El propietario del formulario visualiza una respuesta concreta.Form owner views a particular response.

La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado.Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

Para un respondedor anónimo, la propiedad de ResponderId será nula.For an anonymous responder, the ResponderId property will be null.
Vínculo de resumen creadoCreated summary link GetSummaryLinkGetSummaryLink El propietario del formulario ha creado un vínculo de resumen de resultados para ser compartidos.Form owner creates summary results link to share results.
Vínculo de resumen eliminadoDeleted summary link DeleteSummaryLinkDeleteSummaryLink El enlace de resumen de resultados ha sido eliminado por el propietario del formulario.Form owner deletes summary results link.
Estado de phishing actualizado del formularioUpdated form phishing status UpdatePhishingStatusUpdatePhishingStatus Este evento se registra cada vez que se cambie el valor detallado del estado de seguridad interna, independientemente de que ha cambiado el estado de seguridad final (por ejemplo, el formulario ahora está cerrado o abierto).This event is logged whenever the detailed value for the internal security status was changed, regardless of whether this changed the final security state (for example, form is now Closed or Opened). Esto significa que usted puede ver los eventos duplicados sin un cambio final en el Estado de Seguridad.This means you may see duplicate events without a final security state change. Los posibles valores de estado de este evento son:The possible status values for this event are:
-Deseche el- Take Down
-Derribado por la administración- Take Down by Admin
-Administrador desbloqueado- Admin Unblocked
-Bloqueado automáticamente- Auto Blocked
-Desbloqueado automáticamente- Auto Unblocked
-El cliente informó- Customer Reported
-Restablecer informe de cliente- Reset Customer Reported
Estado de phising de usuario actualizadoUpdated user phishing status UpdateUserPhishingStatusUpdateUserPhishingStatus Este evento se registra cuando se cambia el valor del estado de seguridad de usuario.This event is logged whenever the value for the user security status was changed. El valor del estado del usuario en el registro de auditoría es confirmado como Phisher cuando el usuario ha creado un formulario de phishing que ha sido retirado por el equipo de seguridad de Microsoft Online.The value of the user status in the audit record is Confirmed as Phisher when the user created a phishing form that was taken down by the Microsoft Online safety team. Si un administrador desbloquea al usuario, el valor de estado del usuario se establece en Restablecer como usuario normal.If an admin unblocks the user, the value of the user's status is set to Reset as Normal User.
Invitación a Forms Pro enviadaSent Forms Pro invitation ProInvitationProInvitation El usuario hace clic para activar la versión de prueba Pro.User clicks to activate a Pro trial.
Configuración de formulario actualizadaUpdated form setting UpdateFormSettingUpdateFormSetting La configuración del formulario ha sido actualizada por el propietario.Form owner updates a form setting.

La propiedad FormSettingName: la cadena indica el nombre y el nuevo valor de la configuración.Property FormSettingName:string indicates the setting's name and new value.
Configuración del usuario actualizada Updated user setting UpdateUserSettingUpdateUserSetting La configuración del usuario ha sido actualizada por el propietario del formulario.Form owner updates a user setting.

La propiedad UserSettingName: la cadena indica el nombre y el nuevo valor de la configuraciónProperty UserSettingName:string indicates the setting's name and new value
Formularios en la listaListed forms ListFormsListForms La lista de formularios está siendo visualizada por el propietario.Form owner is viewing a list of forms.

La propiedad ViewType:string indicará sobre la visualización que busca el propietario del formulario: todos los formularios, compartidos conmigo o en gruposProperty ViewType:string indicates which view the form owner is looking at: All Forms, Shared with Me, or Group Forms
Respuesta enviadaSubmitted response SubmitResponseSubmitResponse Un usuario envía una respuesta sobre un formulario.A user submits a response to a form.

La propiedad IsInternalForm:boolean indicará si el respondedor está dentro de la misma organización que el propietario del formulario.Property IsInternalForm:boolean indicates if the responder is within the same organization as the form owner.

Actividades de Forms que realizan los coautores y respondedores anónimosForms activities performed by coauthors and anonymous responders

Forms es compatible con la colaboración cuando se diseñan formularios y al analizar las respuestas.Forms supports collaboration when forms are designed and when analyzing responses. Un colaborador de formulario se conoce como coautor.A form collaborator is known as a coauthor. Los coautores pueden hacer todo lo que puede hacer el propietario de un formulario, excepto eliminar o mover un formulario.Coauthors can do everything a form owner can do, except delete or move a form. Forms también permite crear un formulario que se puede responder de forma anónima.Forms also allows you to create a form that can be responded to anonymously. Esto significa que no es necesario que la persona que responde haya iniciado sesión en la organización para responder a un formulario.This means the responder doesn't have to be signed into your organization to respond to a form.

En la siguiente tabla se describen las actividades y la información de auditoría del registro de auditoría en relación con las actividades realizadas por los coautores y respondedores anónimos.The following table describes the auditing activities and information in the audit record for activities performed by coauthors and anonymous responders.

Tipo de actividadActivity type Usuario interno o externoInternal or external user Identificador de usuario que ha iniciado sesiónUser ID that's logged Organización que ha iniciado sesiónOrganization logged in to Tipo de usuario de FormsForms user type
Actividades de coautoríaCoauthoring activities InternoInternal UPNUPN Organización del propietario del formularioForm owner's org CoautorCoauthor
Actividades de coautoríaCoauthoring activities ExternoExternal UPNUPN
Organización del coautorCoauthor's org
CoautorCoauthor
Actividades de coautoríaCoauthoring activities ExternoExternal urn:forms:coauthor#a0b1c2d3@forms.office.com
(La segunda parte del Id. es un hash, que será diferente para distintos usuarios)(The second part of the ID is a hash, which will differ for different users)
Organización del propietario del formularioForm owner's org
CoautorCoauthor
Actividades de respuestaResponse activities ExternoExternal UPNUPN
Organización del usuario que respondeResponder's org
ResponderResponder
Actividades de respuestaResponse activities ExternoExternal urn:forms:external#a0b1c2d3@forms.office.com
(La segunda parte del Id. de usuario es un hash, que será diferente para distintos usuarios)(The second part of the User ID is a hash, which will differ for different users)
Organización del propietario del formularioForm owner's org ResponderResponder
Actividades de respuestaResponse activities AnónimoAnonymous urn:forms:anonymous#a0b1c2d3@forms.office.com
(La segunda parte del Id. de usuario es un hash, que será diferente para distintos usuarios)(The second part of the User ID is a hash, which will differ for different users)
Organización del propietario del formularioForm owner's org ResponderResponder

Actividades de la etiqueta de confidencialidadSensitivity label activities

En la tabla siguiente se enumeran los eventos que se producen a partir de las tareas de etiquetado para los sitios de SharePoint Online y Teams.The following table lists events that result from labeling activities for SharePoint Online and Teams sites.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Etiqueta de confidencialidad aplicada al sitioApplied sensitivity label to site SensitivityLabelAppliedSensitivityLabelApplied Se ha aplicado una etiqueta de confidencialidad a un sitio de SharePoint o Teams.A sensitivity label was applied to a SharePoint or Teams site.
Etiqueta de confidencialidad eliminada del sitioRemoved sensitivity label from site SensitivityLabelRemovedSensitivityLabelRemoved Se ha quitado una etiqueta de confidencialidad de un sitio de SharePoint o Teams.A sensitivity label was removed from a SharePoint or Teams site.
Etiqueta de confidencialidad aplicada al archivoApplied sensitivity label to file FileSensitivityLabelAppliedFileSensitivityLabelApplied Se ha aplicado una etiqueta de confidencialidad a un documento mediante Office en la web o una directiva de etiquetado automático.A sensitivity label was applied to a document by using Office on the web or an auto-labeling policy.
Se ha cambiado la etiqueta de confidencialidad aplicada al archivoChanged sensitivity label applied to file FileSensitivityLabelChangedFileSensitivityLabelChanged Se ha aplicado una etiqueta de confidencialidad diferente a un documento mediante Office en la web o una directiva de etiquetado automático.A different sensitivity label was applied to a document by using Office on the web or an auto-labeling policy.
Etiqueta de confidencialidad eliminada del sitioRemoved sensitivity label from file FileSensitivityLabelRemovedFileSensitivityLabelRemoved Se ha quitado una etiqueta de confidencialidad de un documento con Office en la web, una directiva de etiquetado automático o con el cmdlet Unlock-SPOSensitivityLabelEncryptedFile.A sensitivity label was removed from a document by using Office on the web, an auto-labeling policy, or by using the Unlock-SPOSensitivityLabelEncryptedFile cmdlet.

Actividades de las directivas y etiquetas de retenciónRetention policy and retention label activities

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Opciones configuradas para una directiva de retenciónConfigured settings for a retention policy NewRetentionComplianceRuleNewRetentionComplianceRule El administrador estableció la configuración de retención para una nueva directiva de retención.Administrator configured the retention settings for a new retention policy. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos).Retention settings include how long items are retained, and what happens to items when the retention period expires (such as deleting items, retaining items, or retaining and then deleting them). Esta actividad también corresponde a la ejecución del cmdlet New-RetentionComplianceRule.This activity also corresponds to running the New-RetentionComplianceRule cmdlet.
Etiqueta de retención creadaCreated retention label NewComplianceTagNewComplianceTag El administrador creó una etiqueta de retención nueva.Administrator created a new retention label.
Directiva de retención creadaCreated retention policy NewRetentionCompliancePolicyNewRetentionCompliancePolicy El administrador creó una nueva directiva de retención.Administrator created a new retention policy.
Configuración eliminada de una directiva de retenciónDeleted settings from a retention policy RemoveRetentionComplianceRuleRemoveRetentionComplianceRule
El administrador eliminó las opciones de configuración de una directiva de retención.Administrator deleted the configuration settings of a retention policy. Lo más probable es que esta actividad se registre cuando un administrador elimina una directiva de retención o ejecuta el cmdlet Remove-RetentionComplianceRule.Most likely, this activity is logged when an administrator deletes a retention policy or runs the Remove-RetentionComplianceRule cmdlet.
Etiqueta de retención eliminadaDeleted retention label RemoveComplianceTagRemoveComplianceTag El administrador eliminó una etiqueta de retención.Administrator deleted a retention label.
Directiva de retención eliminadaDeleted retention policy RemoveRetentionCompliancePolicyRemoveRetentionCompliancePolicy
El administrador eliminó una directiva de retención.Administrator deleted a retention policy.
Opción de registro normativo habilitada para etiquetas de retenciónEnabled regulatory record option for retention labels
SetRestrictiveRetentionUISetRestrictiveRetentionUI El administrador ejecutó el cmdlet Set-RegulatoryComplianceUI para que un administrador pueda seleccionar la opción de configuración de la interfaz de usuario para que una etiqueta de retención marque el contenido como un registro reglamentario.Administrator ran the Set-RegulatoryComplianceUI cmdlet so that an administrator can then select the UI configuration option for a retention label to mark content as a regulatory record.
Configuración actualizada para una directiva de retenciónUpdated settings for a retention policy SetRetentionComplianceRuleSetRetentionComplianceRule El administrador cambió la configuración de retención de una directiva de retención existente.Administrator changed the retention settings for an existing retention policy. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos).Retention settings include how long items are retained, and what happens to items when the retention period expires (such as deleting items, retaining items, or retaining and then deleting them). Esta actividad también corresponde a la ejecución del cmdlet Set-RetentionComplianceRule.This activity also corresponds to running the Set-RetentionComplianceRule cmdlet.
Etiqueta de retención actualizadaUpdated retention label SetComplianceTagSetComplianceTag El administrador actualizó una etiqueta de retención existente.Administrator updated an existing retention label.
Directiva de retención actualizadaUpdated retention policy SetRetentionCompliancePolicySetRetentionCompliancePolicy El administrador actualizó una directiva de retención existente.Administrator updated an existing a retention policy. Las actualizaciones que desencadenan este evento incluyen agregar o excluir ubicaciones de contenido a las que se aplica la directiva de retención.Updates that trigger this event include adding or excluding content locations that the retention policy is applied to.

Actividades de correo de informe de tareas pendientesBriefing email activities

En la tabla siguiente se enumeran las actividades del correo de informe de tareas pendientes de contenido que se registran en el registro de auditoría de Office 365.The following table lists the activities in Briefing email that are logged in the Office 365 audit log. Para obtener más información acerca del correo de informe de tareas pendientes, consulte:For more information about Briefing email, see:

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Configuración actualizada de privacidad de la organizaciónUpdated organization privacy settings UpdatedOrganizationBriefingSettingsUpdatedOrganizationBriefingSettings El administrador actualiza la configuración de privacidad de la organización para el correo de informe de tareas pendientes.Admin updates the organization privacy settings for Briefing email.
Configuración actualizada de privacidad del usuarioUpdated user privacy settings UpdatedUserBriefingSettingsUpdatedUserBriefingSettings Configuración de privacidad del usuario de actualizaciones de administrador para el correo de informe de tareas pendientes.Admin updates the user privacy settings for Briefing email.

Actividades de MyAnalyticsMyAnalytics activities

En la tabla siguiente se enumeran las actividades de MyAnalytics que se registran en el registro de auditoría de Office 365.The following table lists the activities in MyAnalytics that are logged in the Office 365 audit log. Para más información sobre MyAnalytics, consulte MyAnalytics para administradores.For more information about MyAnalytics, see MyAnalytics for admins.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Configuración actualizada de MyAnalytics de la organizaciónUpdated organization MyAnalytics settings UpdatedOrganizationMyAnalyticsSettingsUpdatedOrganizationMyAnalyticsSettings Configuración a nivel de la organización de actualizaciones de administrador para MyAnalytics.Admin updates organization-level settings for MyAnalytics.
Actualización de la configuración de MyAnalytics del usuarioUpdated user MyAnalytics settings UpdatedUserMyAnalyticsSettingsUpdatedUserMyAnalyticsSettings Configuración de usuario de actualizaciones de administrador para MyAnalyticsAdmin updates user settings for MyAnalytics.

Actividades de barreras de informaciónInformation barriers activities

En la tabla siguiente se enumeran las actividades en las barreras de información que se registran en el registro de auditoría de Office 365.The following table lists the activities in information barriers that are logged in the Office 365 audit log. Para mayor información sobre las barreras de información, consulte Aprender sobre las barreras de información en Microsoft 365.For more information about information barriers, see Learn about information barriers in Microsoft 365.

Nombre descriptivoFriendly name OperaciónOperation DescripciónDescription
Añadir segmentos a un sitioAdded segments to a site SegmentsAddedSegmentsAdded Un SharePoint, administrador global o propietario de un sitio agregó uno o más segmentos de barreras de información a un sitio.A SharePoint, global administrator, or site owner added one or more information barriers segments to a site.
Segmentos cambiados de un sitioChanged segments of a site SegmentsChangedSegmentsChanged Un administrador global o SharePoint cambió uno o más segmentos de barreras de información para un sitio.A SharePoint or global administrator changed one or more information barriers segments for a site.
Segmentos quitados de un sitioRemoved segments from a site SegmentsRemovedSegmentsRemoved Un administrador global o SharePoint quitó uno o más segmentos de barreras de información desde un sitio.A SharePoint or global administrator removed one or more information barriers segments from a site.

Registro de auditoría de administración de ExchangeExchange admin audit log

El registro de auditoría de administrador de Exchange (que está habilitado de manera predeterminada en Office 365) registra un evento en el registro de auditoría cuando un administrador (o un usuario al que se le han asignado permisos administrativos) realiza un cambio en la organización de Exchange Online.Exchange administrator audit logging (which is enabled by default in Office 365) logs an event in the audit log when an administrator (or a user who has been assigned administrative permissions) makes a change in your Exchange Online organization. Los cambios que se han realizado mediante el Centro de administración de Exchange o mediante la ejecución de un cmdlet en PowerShell en Exchange en línea se registran en el registro de auditoría del administrador de Exchange.Changes made by using the Exchange admin center or by running a cmdlet in Exchange Online PowerShell are logged in the Exchange admin audit log. Los cmdlets que comienzan con el verbo Get-, Search- o Test-, no se registran en el registro de auditoría.Cmdlets that begin with the verbs Get-, Search-, or Test- are not logged in the audit log. Para obtener más información detallada sobre el registro de auditoría del administrador en Exchange, consulte Registro de auditoría de administrador.For more detailed information about admin audit logging in Exchange, see Administrator audit logging.

Importante

Algunos cmdlets de Exchange Online que no se archivan en el registro de auditoría de administración de Exchange (o en el registro de auditoría).Some Exchange Online cmdlets that aren't logged in the Exchange admin audit log (or in the audit log). Muchos de estos cmdlets se relacionan con el mantenimiento del servicio de Exchange en línea y los ejecuta el personal del centro de datos de Microsoft o las cuentas de servicio.Many of these cmdlets are related to maintaining the Exchange Online service and are run by Microsoft datacenter personnel or service accounts. Estos cmdlets no se registran porque darían un gran número de eventos de auditoría "ruidosos".These cmdlets aren't logged because they would result in a large number of "noisy" auditing events. Si hay un cmdlet de Exchange Online que no se está auditando, envíe una sugerencia al foro Security & Compliance User Voice y solicite que se habilite para la auditoría.If there's an Exchange Online cmdlet that isn't being audited, please submit a suggestion to the Security & Compliance User Voice forum and request that it is enabled for auditing. También puede enviar una solicitud de cambio de diseño (DCR) al Soporte técnico de Microsoft.You can also submit a design change request (DCR) to Microsoft Support.

Aquí se muestran algunas sugerencias para buscar actividades de administrador de Exchange al buscar en el registro de auditoría:Here are some tips for searching for Exchange admin activities when searching the audit log:

  • Para devolver las entradas del registro de auditoría de administrador Exchange, tiene que seleccionar Mostrar resultados para todas las actividades en la lista Actividades.To return entries from the Exchange admin audit log, you have to select Show results for all activities in the Activities list. Use los cuadros de intervalo de fecha y la lista de Usuarios para restringir los resultados de búsqueda para los cmdlets que se ejecutan mediante un administrador de Exchange específico dentro de un rango de fecha específico.Use the date range boxes and the Users list to narrow the search results for cmdlets run by a specific Exchange administrator within a specific date range.

  • Para mostrar los eventos del registro de auditoría de administración de Exchange, filtre los resultados de búsqueda y escriba un - (guion) en el cuadro de filtro Actividad.To display events from the Exchange admin audit log, filter the search results and type a - (dash) in the Activity filter box. Esto mostrará los nombres de los cmdlet, que se muestran en la columna Actividad de los eventos de administración de Exchange.This displays cmdlet names, which are displayed in the Activity column for Exchange admin events. Luego usted puede ordenar los nombres de cmdlet en orden alfabético.Then you can sort the cmdlet names in alphabetical order.

    Escriba un guión en el cuadro de actividades para filtrar los eventos de administración de Exchange

  • Para obtener información sobre qué cmdlet se ha ejecutado, qué parámetros y valores de parámetro se han usado y qué objetos se han visto afectados, tendrá que exportar los resultados de búsqueda y seleccionar la opción Descargar todos los resultados.To get information about what cmdlet was run, which parameters and parameter values were used, and what objects were affected, you can export the search results by selecting the Download all results option. Para más información, consulteExportar, configurar y ver registros de registro de auditoríaFor more information, see Export, configure, and view audit log records.

  • También puede usar el Search-UnifiedAuditLog -RecordType ExchangeAdmin comando de PowerShell Exchange en línea para devolver solo los registros de auditoría del registro de auditoría de administración de Exchange.You can also use the Search-UnifiedAuditLog -RecordType ExchangeAdmin command in Exchange Online PowerShell to return only audit records from the Exchange admin audit log. Se puede tardar hasta 30 minutos después de ejecutar el cmdlet de Exchange para que se devuelva la entrada del registro de auditoría correspondiente en los resultados de la búsqueda.It may take up to 30 minutes after an Exchange cmdlet is run for the corresponding audit log entry to be returned in the search results. Para obtener más información, consulte Search-UnifiedAuditLog.For more information, see Search-UnifiedAuditLog. Para obtener información sobre cómo exportar los resultados de búsqueda devueltos por el cmdlet Search-UnifiedAuditLog a un archivo CSV, consulte la sección "sugerencias para exportar y ver el registro de auditoría" exportar, configurar y ver el registro de auditoría registros.For information about exporting the search results returned by the Search-UnifiedAuditLog cmdlet to a CSV file, see the "Tips for exporting and viewing the audit log" section in Export, configure, and view audit log records.

  • También puede ver los cambios que se han realizado mediante el Centro de administración de Exchange o mediante la ejecución de un Search-AdminAuditLog en PowerShell en Exchange en línea.You can also view events in the Exchange admin audit log by using the Exchange admin center or running the Search-AdminAuditLog in Exchange Online PowerShell. Esta es una buena forma de buscar específicamente la actividad que realizan los administradores de Exchange Online.This is a good way to specifically search for activity performed by Exchange Online administrators. Para obtener instrucciones, consulte:For instructions, see:

    Tenga en cuenta que las mismas actividades de administrador de Exchange se registran tanto en el registro de auditoría de administración de Exchange como en el registro de auditoría.Keep in mind that the same Exchange admin activities are logged in both the Exchange admin audit log and audit log.

Preguntas más frecuentesFrequently asked questions

¿Qué servicios de Microsoft 365 se auditan actualmente?What are different Microsoft 365 services that are currently audited?

Se auditan los servicios más usados, como Exchange Online, SharePoint Online, OneDrive para la Empresa, Azure Active Directory, Microsoft Teams, Dynamics 365, Microsoft Defender para Office 365 y Power BI.The most used services like Exchange Online, SharePoint Online, OneDrive for Business, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender for Office 365, and Power BI are audited. Consulte el principio de este artículo para obtener una lista de los servicios que se van a auditar.See the beginning of this article for a list of services that are audited.

¿Qué actividades audita el servicio de auditoría en Office 365?What activities are audited by auditing service in Office 365?

Vea la secciónActividades auditadas de este artículo para ver la lista y la descripción de las actividades que se auditan.See the Audited activities section in this article for a list and description of the activities that are audited.

¿Cuánto tiempo tarda un registro de auditoría en disponible después de que se produzca un evento?How long does it take for an auditing record to be available after an event has occurred?

Los datos más auditados están disponibles un máximo de 30 minutos pero puede tomar 24 horas después de que se produzca el evento para el registro de auditoría correspondiente para ser mostrado los resultados de búsqueda.Most auditing data is available within 30 minutes but it may take up to 24 hours after an event occurs for the corresponding audit log entry to be displayed in the search results. Consulte la tabla de la sección Requisitos para realizar búsquedas en el registro de auditoría de este artículo, donde se muestra el tiempo que tardan en estar disponibles los eventos de los diferentes servicios.See the table in the Requirements to search the audit log section of this article that shows the time it takes for events in the different services to be available.

¿Durante cuánto tiempo se conservan los registros de auditoría?How long are the audit records retained for?

Como se ha explicado anteriormente, los registros de auditoría para las actividades que realizan los usuarios que tienen asignada una licencia de Office 365 E5 o Microsoft E5 (o los usuarios con una licencia del complemento de Microsoft 365 E5) se conservan durante un año.As previously explained, audit records for activities performed by users assigned an Office 365 E5 or Microsoft E5 license (or users with a Microsoft 365 E5 add-on license) are retained for one year. Para todas las demás suscripciones que admiten el registro de auditoría unificado, los registros de auditoría se conservan durante 90 días.For all other subscriptions that support unified audit logging, audit records are retained for 90 days.

¿Puedo tener acceso a los datos de auditoría mediante programación?Can I access the auditing data programmatically?

Sí.Yes. La API de Actividad de administración de Office 365 se usa para capturar los registros de auditoría mediante programación.The Office 365 Management Activity API is used to fetch the audit logs programmatically. Para empezar, consulte Empezar con el APÏ de Office 365 Management.To get started, see Get started with Office 365 Management APIs.

¿Hay otras formas de obtener registros de auditoría que no sean en el centro de seguridad y cumplimiento o con la API de Actividad de administración de Office 365?Are there other ways to get auditing logs other than using the security and compliance center or the Office 365 Management Activity API?

No.No. Estas son las dos únicas formas de obtener datos del servicio de auditoria.These are the only two ways to get data from the auditing service.

¿Necesito habilitar individualmente la auditoría en cada servicio en el que deseo capturar registros de auditoría?Do I need to individually enable auditing in each service that I want to capture audit logs for?

En la mayoría de los servicios, la auditoría se habilita de forma predeterminada tras activarla inicialmente para la organización (como se describe en la sección Requisitos para realizar búsquedas en el registro de auditoría de este artículo).In most services, auditing is enabled by default after you initially turn on auditing for your organization (as described in the Requirements to search the audit log section in this article).

¿El servicio de auditoría admite la con la desduplicación de registros?Does the auditing service support de-duplication of records?

No.No. La canalización del servicio de auditoría está casi en tiempo real, y por lo tanto no es compatible con la des duplicación.The auditing service pipeline is near real time, and therefore can't support de-duplication.

¿Se audita el flujo de datos en todo el mundo?Does auditing data flow across geographies?

No.No. Actualmente, tenemos auditorías de canalización de implementaciones en las regiones NA (Norteamérica), EMEA (Europa, Oriente Medio y África) y APAC (Asia Pacífico).We currently have auditing pipeline deployments in the NA (North America), EMEA (Europe, Middle East, and Africa) and APAC (Asia Pacific) regions. Sin embargo, es posible que flujos los datos en estas zonas para equilibrar la carga y solo durante las cuestiones de sitio en directo.However, we may flow the data across these regions for load-balancing and only during live-site issues. Cuando realizamos estas actividades, los datos en tránsito se encriptan.When we do perform these activities, the data in transit is encrypted.

¿Está la auditoría de datos encriptada?Is auditing data encrypted?

Los datos de auditoría se almacenan en buzones de Exchange (datos en reposo) en la misma región donde se implementa la canalización de auditoría unificada.Auditing data is stored in Exchange mailboxes (data at rest) in the same region where the unified auditing pipeline is deployed. Exchange no cifra los datos de los buzones en reposo.Mailbox data at rest is not encrypted by Exchange. Sin embargo, el cifrado de nivel de servicio cifra todos los datos de los buzones, ya que los servidores de Exchange en centros de datos de Microsoft se cifran mediante BitLocker.However, service-level encryption encrypts all mailbox data because Exchange servers in Microsoft datacenters are encrypted via BitLocker. Para obtener más información, consulte Cifrado de Office 365 para Skype Empresarial, OneDrive para la Empresa, SharePoint Online y Exchange Online.For more information, see Office 365 Encryption for Skype for Business, OneDrive for Business, SharePoint Online, and Exchange Online.

Los datos de correo en tránsito siempre se cifran.Mail data in transit is always encrypted.