Log de auditoria de caixa de correio no Exchange ServerMailbox audit logging in Exchange Server

Caixas de correio podem conter informações confidenciais, informações HBI (de alto impacto nos negócios) e PII (informações de identificação pessoal). Por isso, é importante acompanhar quem faz logon nas caixas de correio da sua organização e rastrear as ações executadas. É especialmente importante monitorar o acesso de usuários que não sejam donos das caixas de correio em questão. Esses usuários são chamados de usuários representantes.Because mailboxes can contain sensitive, high business impact (HBI) information and personally identifiable information (PII), it's important that you track who logs on to the mailboxes in your organization and what actions are taken. It's especially important to track access to mailboxes by users other than the mailbox owner. These users are referred to as delegate users.

Usando o log de auditoria de caixa de correio, você pode registrar o acesso à caixa de correio por proprietários de caixas de correio, representantes (inclusive os administradores com total permissão de acesso a caixas de correio) e administradores.By using mailbox audit logging, you can log mailbox access by mailbox owners, delegates (including administrators with full access permissions to mailboxes), and administrators.

Ao habilitar o log de auditoria para uma caixa de correio, você pode especificar quais ações do usuário (por exemplo, acesso, movimentação ou exclusão de uma mensagem) serão registradas para um tipo de logon (administrador, representante, usuário ou proprietário). As entradas de log de auditoria também incluem informações importantes como, por exemplo, endereço IP do cliente, nome do host e processo ou cliente utilizado para acessar a caixa de correio. Para itens movidos, a entrada inclui o nome da pasta de destino.When you enable audit logging for a mailbox, you can specify which user actions (for example, accessing, moving, or deleting a message) will be logged for a logon type (administrator, delegate user, or owner). Audit log entries also include important information such as the client IP address, host name, and process or client used to access the mailbox. For items that are moved, the entry includes the name of the destination folder.

Logs de auditoria de caixa de correioMailbox audit logs

Os logs de auditoria de caixa de correio são gerados para cada caixa de correio que tenha o registro em log de auditoria de caixa de correio habilitado.Mailbox audit logs are generated for each mailbox that has mailbox audit logging enabled. As entradas de log são armazenadas na subpasta Auditorias da pasta Itens Recuperáveis, na caixa de correio auditada.Log entries are stored in the Recoverable Items folder in the audited mailbox, in the Audits subfolder. Isso garante que todas as entradas de log de auditoria estejam disponíveis a partir de um único local, independentemente do método de acesso para cliente ter sido usado para acessar a caixa de correio ou qual servidor ou computador um administrador usa para acessar o log de auditoria de caixa de correio.This ensures that all audit log entries are available from a single location, regardless of which client access method was used to access the mailbox or which server or computer an administrator uses to access the mailbox audit log. Se você mover uma caixa de correio para outro servidor de Caixa de Correio, os logs de auditoria de caixa de correio dessa caixa também serão movidos, pois estão localizados na caixa de correio.If you move a mailbox to another Mailbox server, the mailbox audit logs for that mailbox are also moved because they're located in the mailbox.

Por padrão, as entradas do log de auditoria de caixa de correio são mantidas na caixa de correio por 90 dias e depois excluídas.By default, mailbox audit log entries are retained in the mailbox for 90 days and then deleted. Você pode modificar esse período de retenção usando o parâmetro AuditLogAgeLimit com o cmdlet Set-Mailbox .You can modify this retention period by using the AuditLogAgeLimit parameter with the Set-Mailbox cmdlet. Se uma caixa de correio estiver em Retenção In-Loco ou em Retenção de Litígio, as entradas de log de auditoria só serão retidas até que o período de retenção de log da caixa de correio seja atingido.If a mailbox is on In-Place Hold or Litigation Hold, audit log entries are only retained until the audit log retention period for the mailbox is reached. Para reter as entradas de log de auditoria por mais tempo, é necessário aumentar o período de retenção alterando o valor do parâmetro AuditLogAgeLimit .To retain audit log entries longer, you have to increase the retention period by changing the value for the AuditLogAgeLimit parameter. Também é possível exportar as entradas de log de auditoria antes de o período de retenção terminar.You can also export audit log entries before the retention period is reached. Para mais informações, consulte:For more information, see:

Habilitar o registro em log de auditoria de caixa de correioEnabling mailbox audit logging

O registro em log de auditoria de caixa de correio é habilitado por caixa de correio. Use o cmdlet Set-Mailbox para habilitar ou desabilitar o log de auditoria de caixa de correio. Para detalhes, consulte Habilitar ou desabilitar uma caixa de correio do log de auditoria de caixa de correio.Mailbox audit logging is enabled per mailbox. Use the Set-Mailbox cmdlet to enable or disable mailbox audit logging. For details, see Enable or disable mailbox audit logging for a mailbox.

Quando você habilita o log de auditoria de caixa de correio para uma caixa de correio, o acesso à caixa de correio e algumas ações executadas por administradores e representantes são registradas no log por padrão. Para registrar em log as ações executadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas.When you enable mailbox audit logging for a mailbox, access to the mailbox and certain administrator and delegate actions are logged by default. To log actions taken by the mailbox owner, you must specify which owner actions should be audited.

Ações de caixa de correio registradas pelo log de auditoria de caixa de correioMailbox actions logged by mailbox audit logging

A tabela a seguir lista as ações registradas pelo log de auditoria de caixa de correio, incluindo os tipos de logon para os quais a ação pode ser registrada.The following table lists the actions logged by mailbox audit logging, including the logon types for which the action can be logged. Observe que um administrador ao qual foi atribuída a permissão de acesso total à caixa de correio de um usuário é considerado um usuário representante.Note that an administrator who has been assigned the Full Access permission to a user's mailbox is considered a delegate user.

Caso não seja mais necessário fazer a auditoria de alguns tipos de ações da caixa de correio, modifique a configuração de registro em log de auditoria da caixa de correio para desabilitar essas ações. Entradas de log existentes não serão limpas enquanto o limite de idade das entradas de log de auditoria não for atingido.If you no longer require certain types of mailbox actions to be audited, you should modify the mailbox's audit logging configuration to disable those actions. Existing log entries aren't purged until the age limit for audit log entries is reached.

ActionAction DescriçãoDescription AdminAdmin DelegarDelegate OwnerOwner
CopiarCopy Um item é copiado para outra pasta.An item is copied to another folder. SimYes NãoNo NãoNo
CreateCreate Um item é criado nas pastas Calendário, Contatos, Anotações ou Tarefas na caixa de correio; por exemplo, é criada uma nova solicitação de reunião. Observe que a mensagem ou a criação da pasta não são auditadas. An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Note that message or folder creation isn't audited. Sim1Yes1 Sim1Yes1 SimYes
FolderBindFolderBind Uma pasta da caixa de correio é acessada.A mailbox folder is accessed. Sim1Yes1 Sim2Yes2 NãoNo
HardDeleteHardDelete Um item é excluído permanentemente da pasta Itens Recuperáveis.An item is deleted permanently from the Recoverable Items folder. Sim1Yes1 Sim1Yes1 SimYes
MailboxLoginMailboxLogin O usuário entrou em sua caixa de correio.The user signed in to their mailbox. NãoNo NãoNo Sim3Yes3
MessageBindMessageBind Um item é acessado no painel de leitura ou aberto.An item is accessed in the reading pane or opened. SimYes NãoNo NãoNo
MoverMove Um item é movido para outra pasta.An item is moved to another folder. Sim1Yes1 SimYes SimYes
MoveToDeletedItemsMoveToDeletedItems Um item é movido para a Itens Excluídos.An item is moved to the Deleted Items folder. Sim1Yes1 SimYes SimYes
SendAsSendAs Uma mensagem é enviada usando permissões Enviar como.A message is sent using Send As permissions. Sim1Yes1 Sim1Yes1 NãoNo
SendOnBehalfSendOnBehalf Uma mensagem é enviada usando permissões Enviar em nome de.A message is sent using Send on Behalf permissions. Sim1Yes1 SimYes NãoNo
SoftDeleteSoftDelete Um item é excluído da pasta Itens Excluídos.An item is deleted from the Deleted Items folder. Sim1Yes1 Sim1Yes1 SimYes
AtualizarUpdate As propriedades de um item são atualizadas.An item's properties are updated. Sim1Yes1 Sim1Yes1 SimYes

1 auditado por padrão se a auditoria estiver habilitada para uma caixa de correio.1 Audited by default if auditing is enabled for a mailbox.

2 entradas para ações de associação de pasta executadas por representantes são consolidadas.2 Entries for folder bind actions performed by delegates are consolidated. Uma entrada de log é gerada para o acesso individual da pasta dentro de um intervalo de 24 horas.One log entry is generated for individual folder access within a time span of 24 hours.

3 a auditoria de logons de proprietário para uma caixa de correio funciona apenas para os logons POP3, IMAP4 ou OAuth.3 Auditing for owner logins to a mailbox works only for POP3, IMAP4, or OAuth logins. Ele não funciona para os logons NTLM ou Kerberos da caixa de correio.It doesn't work for NTLM or Kerberos logins to the mailbox.

Pesquisando o log de auditoria de caixa de correioSearching the mailbox audit log

Você pode usar os seguintes métodos para pesquisar entradas de log de auditoria de caixa de correio:You can use the following methods to search mailbox audit log entries:

  • Pesquisar sincronamente uma única caixa de correio: você pode usar o cmdlet Search-MailboxAuditLog para Pesquisar de forma síncrona entradas de log de auditoria de caixa de correio para uma única caixa de correio.Synchronously search a single mailbox: You can use the Search-MailboxAuditLog cmdlet to synchronously search mailbox audit log entries for a single mailbox. O cmdlet exibe os resultados da pesquisa na janela do Shell de Gerenciamento do Exchange.The cmdlet displays search results in the Exchange Management Shell window. Para detalhes, consulte Search Mailbox Audit Log for a Mailbox.For details, see Search Mailbox Audit Log for a Mailbox.

  • Pesquisar de forma assíncrona uma ou mais caixas de correio: você pode criar uma pesquisa de log de auditoria de caixa de correio para pesquisar logs de auditoria de caixa de correio de forma assíncrona para uma ou mais caixas de correio e, em seguida, fazer com que os resultados da pesquisa sejam enviadosAsynchronously search one or more mailboxes: You can create a mailbox audit log search to asynchronously search mailbox audit logs for one or more mailboxes, and then have the search results sent to a specified email address. Os resultados da pesquisa são enviados como um anexo XML.The search results are sent as an XML attachment. Para criar a pesquisa, use o cmdlet New-MailboxAuditLogSearch.To create the search, use the New-MailboxAuditLogSearch cmdlet. Para obter detalhes, consulte criar uma pesquisa de log de auditoria de caixa de correio.For details, see Create a Mailbox Audit Log Search.

  • Usar relatórios de auditoria no centro de administração do Exchange (Eat): você pode usar a guia auditoria no Eat para executar um relatório de acesso não proprietário da caixa de correio (contendo entradas para ações de administrador e excluir) ou exportar entradas não proprietárias do log de auditoria de caixa de correio.Use auditing reports in the Exchange admin center (EAC): You can use the Auditing tab in the EAC to run a non-owner mailbox access report (contains entries for admin and delete actions) or export non-owner entries from the mailbox audit log. Para ver detalhes, consulte:For details, see:

Entradas de log de auditoria de caixa de correioMailbox audit log entries

A tabela a seguir descreve os campos registrados em uma entrada de log de auditoria de caixa de correio.The following table describes the fields logged in a mailbox audit log entry.

FieldField Populado comPopulated with
OperaçãoOperation Uma destas ações:One of the following actions:
CopiarCopy
CreateCreate
FolderBindFolderBind
HardDeleteHardDelete
MailboxLoginMailboxLogin
MessageBindMessageBind
MoverMove
MoveToDeletedItemsMoveToDeletedItems
SendAsSendAs
SendOnBehalfSendOnBehalf
SoftDeleteSoftDelete
AtualizarUpdate
OperationResultOperationResult Um destes resultados:One of the following results:
FailedFailed
PartiallySucceededPartiallySucceeded
SucceededSucceeded
LogontypeLogonType Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:Logon type of the user who performed the operation. Logon types include:
OwnerOwner
DelegarDelegate
AdminAdmin
DestFolderIdDestFolderId GUID da pasta de destino para operações de movimentação.Destination folder GUID for move operations.
DestFolderPathNameDestFolderPathName Caminho da pasta de destino para operações de movimentação.Destination folder path for move operations.
FolderIdFolderId GUID da pasta.Folder GUID.
FolderPathnameFolderPathName Caminho da pasta.Folder path.
ClientInfoStringClientInfoString Detalhes que identificam o componente do cliente ou do Exchange que executou a operação.Details that identify which client or Exchange component performed the operation.
ClientIPAddressClientIPAddress Endereço IP do computador cliente.Client computer IP address.
ClientMachineNameClientMachineName Nome do computador cliente.Client computer name.
ClientProcessNameClientProcessName O nome do processo do aplicativo cliente.Name of the client application process.
ClientVersionClientVersion Versão do aplicativo do cliente.Client application version.
InternalLogonTypeInternalLogonType O tipo de usuário interno (uma pessoa em sua organização) que executou a operação.The type of internal user (a person in your organization) who performed the operation. Os valores possíveis para este campo são os mesmos que o campo Logontype .The possible values for this field are the same ones as the LogonType field.
MailboxOwnerUPNMailboxOwnerUPN Nome UPN do proprietário da caixa de correio.Mailbox owner user principal name (UPN).
MailboxOwnerSidMailboxOwnerSid SID (identificador de segurança) do proprietário da caixa de correio.Mailbox owner security identifier (SID).
DestMailboxOwnerUPNDestMailboxOwnerUPN Nome UPN do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.Destination mailbox owner UPN, logged for cross-mailbox operations.
DestMailboxOwnerSidDestMailboxOwnerSid SID do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.Destination mailbox owner SID, logged for cross-mailbox operations.
DestMailboxOwnerGuidDestMailboxOwnerGuid GUID do proprietário da caixa de correio de destino.Destination mailbox owner GUID.
CrossMailboxOperationCrossMailboxOperation Informações sobre se a operação registrada é uma operação de caixas de correio cruzadas (por exemplo, copiar ou mover mensagens entre caixas de correio).Information about whether the operation logged is a cross-mailbox operation (for example, copying or moving messages between mailboxes).
LogonUserDisplayNameLogonUserDisplayName Nome para exibição do usuário que está conectado.Display name of user who is logged on.
DelegateUserDisplayNameDelegateUserDisplayName Nome para exibição do usuário representado.Delegate user display name.
LogonUserSidLogonUserSid SID do usuário que está conectado.SID of user who is logged on.
SourceItemsSourceItems ItemID dos itens de caixa de correio nos quais a ação registrada foi realizada (por exemplo, mover ou excluir). Para operações realizadas em diversos itens, o campo é retornado como uma coleção de itens.ItemID of mailbox items on which the logged action is performed (for example, move or delete). For operations performed on a number of items, this field is returned as a collection of items.
SourceFoldersSourceFolders GUID da pasta de origem.Source folder GUID.
ItemIdItemId ID do item.Item ID.
RequerenteItemSubject Assunto do item.Item subject.
MailboxGuidMailboxGuid GUID da caixa de correio.Mailbox GUID.
MailboxResolvedOwnerNameMailboxResolvedOwnerName Nome do usuário da caixa de correio resolvida no domínio\ de formato_sAMAccountName_.Mailbox user resolved name in the format DOMAIN\ SamAccountName.
LastAccessedLastAccessed A hora na qual a operação foi realizada.Time when the operation was performed.
IdentidadeIdentity ID da entrada do log de auditoria.Audit log entry ID.

Mais informaçõesMore information

  • Acesso de administrador a caixas de correio: as caixas de correio são consideradas como acessadas por um administrador apenas nos seguintes cenários:Administrator access to mailboxes: Mailboxes are considered to be accessed by an administrator only in the following scenarios:

  • Ignorar o log de auditoria de caixa de correio: o acesso à caixa de correio por processos automatizados autorizados, como contas usadas por ferramentas de terceiros ou contas usadas para monitoramento legal, pode criar um grande número de entradas de log de auditoria de caixa de correio e pode não ser de interesse para seu departamento.Bypassing mailbox auditing logging: Mailbox access by authorized automated processes such as accounts used by third-party tools or accounts used for lawful monitoring can create a large number of mailbox audit log entries and may not be of interest to your organization. Essas contas podem ser configuradas para ignorar o registro em log de auditoria de caixa de correio.You can configure such accounts to bypass mailbox audit logging. Para obter detalhes, consulte bypass a User Account from Mailbox Audit Logging.For details, see Bypass a User Account From Mailbox Audit Logging.

  • Registrar ações do proprietário da caixa de correio: para caixas de correio como a caixa de correio de pesquisa de descoberta, que pode conter informações mais confidenciais, considere habilitar o log de auditoria de caixa de correio para ações de proprietário da caixa de correio, como exclusãoLogging mailbox owner actions: For mailboxes such as the Discovery Search Mailbox, which may contain more sensitive information, consider enabling mailbox audit logging for mailbox owner actions such as message deletion.