Log de auditoria do administrador no Exchange Server
Aplica-se a: Exchange Server 2013
Você pode usar o registro em log de auditoria do administrador no Microsoft Exchange Server 2013 para registrar em log quando um usuário ou administrador faz uma alteração em sua organização. Mantendo um log das alterações, você pode rastrear quem fez cada alteração, aumentar seus logs de alterações com registros detalhados da alteração quando ela foi implementada, atender aos requisitos regulamentares e às solicitações para descoberta e mais.
Por padrão, o log de auditoria está habilitado em novas instalações do Exchange 2013.
O que é auditado
Cmdlets que são executados diretamente no Shell de Gerenciamento do Exchange são auditados. Além disso, as operações realizadas usando o Centro de administração do Exchange (EAC) também são registradas porque elas executam cmdlets no plano de fundo.
Cmdlets, onde quer que sejam executados, serão auditados se um deles estiver na lista de auditoria de cmdlets e um ou mais parâmetros desse cmdlet estiverem na lista de auditoria de parâmetros. O objetivo do registro em log de auditoria é mostrar quais ações foram tomadas para modificar objetos em uma organização do Exchange, e não quais objetos foram exibidos.
Importante
Um cmdlet poderá não ser registrado em log se ocorrer um erro antes de o cmdlet chamar o agente de extensão de cmdlet Log de Auditoria de Admin. Se ocorrer um erro depois que o agente de Log de Auditoria de Admin for chamado, o cmdlet será registrado em log com o erro associado. Para obter mais informações, consulte a seção Administração Audit Log Agent mais tarde neste tópico.
Alterações feitas usando Microsoft Exchange Server ferramentas de gerenciamento de 2010 são registradas; no entanto, as alterações usando Microsoft Exchange Server ferramentas de gerenciamento de 2007 não são registradas.
As alterações feitas na configuração do log de auditoria são atualizadas a cada 60 minutos em computadores que têm o Shell aberto no momento em que é feita uma alteração na configuração. Se você quiser aplicar as alterações imediatamente, feche e reabra o Shell em cada computador.
Um comando pode demorar até 15 minutos após sua execução para aparecer nos resultados de pesquisa do log de auditoria. Isso ocorre porque as entradas do log de auditoria precisam ser indexadas antes de serem pesquisáveis. Se um comando não aparecer no log de auditoria do administrador, aguarde alguns minutos e execute a pesquisa novamente.
Configuração de log de auditoria
Por padrão, se o log de auditoria estiver habilitado, uma entrada de log será criada sempre que qualquer cmdlet for executado. Se não quiser auditar todos os cmdlets executados, o log de auditoria poderá ser configurado para auditar apenas os cmdlets e os parâmetros em que você está interessado. O log de auditoria é configurado com o cmdlet Set-AdminAuditLogConfig. Os parâmetros mencionados nas seções a seguir são usados com esse cmdlet.
Importante
As alterações feitas na configuração do log de auditoria do administrador são sempre registradas em log, independentemente de o cmdlet Set-AdministratorAuditLog estar incluído na lista de cmdlets que estão sendo auditados ou de o registro em log de auditoria estar habilitado ou desabilitado.
Quando um comando é executado, o Exchange inspeciona o cmdlet usado. Se o cmdlet executado corresponder a qualquer um dos cmdlets fornecidos com o parâmetro AdminAuditLogConfigCmdlets , o Exchange verificará os parâmetros especificados no parâmetro AdminAuditLogConfigParameters . Se pelo menos um ou mais parâmetros da lista de parâmetros forem correspondidos, o Exchange registrará o cmdlet executado na caixa de correio especificada usando o parâmetro AdminAuditLogMailbox . As seções a seguir contêm mais informações sobre cada aspecto da configuração do log de auditoria.
Para mais informações sobre o gerenciamento de configuração de registro em log de auditoria, consulte Gerenciar o administrador do log de auditoria.
Cmdlets
É possível controlar quais cmdlets serão auditados fornecendo uma lista de cmdlets e dos parâmetros que deseja registrar. Ao configurar o log de auditoria, você pode especificar para auditar cada cmdlet ou especificar os cmdlets que deseja auditar usando o parâmetro AdminAuditLogConfigCmdlets . Você pode especificar nomes de cmdlet completos, como New-Mailbox, ou especificar nomes parciais de cmdlet e incluir esses nomes em caracteres curinga, como um asterisco (*). Por exemplo, se você quiser fazer log quando qualquer cmdlet que contém a cadeia de caracteres Transport for executado, você poderá especificar um valor de *Transport*. É possível misturar nomes completos e nomes parciais de cmdlet para adequar o log de auditoria às suas necessidades.
Parâmetros
Além de especificar quais cmdlets deseja registrar em log, você também pode indicar que os cmdlets só sejam registrados se certos parâmetros deles forem usados. Use o parâmetro AdminAuditLogConfigParameters para especificar quais parâmetros devem ser registrados. Assim como acontece com os cmdlets, você pode especificar nomes de parâmetros completos, como Database, ou nomes de parâmetro parciais fechados em caracteres curinga (*), como *Address*, ou uma combinação de ambos.
Limite de idade do log de auditoria
Por padrão, o registro em log de auditoria é configurado para armazenar entradas de log de auditoria por 90 dias. Após 90 dias, a entrada de log de auditoria é excluída. Você pode alterar o limite de idade do log de auditoria usando o parâmetro AdminAuditLogAgeLimit . É possível especificar o número de dias, horas, minutos e segundos que as entradas de log de auditoria devem ser mantidas. Para especificar um valor, use o formato dd.hh:mm:ss em que o seguinte se aplica:
dd: o número de dias para manter a entrada do log de auditoria.
hh: o número de horas para manter a entrada do log de auditoria.
mm: o número de minutos para manter a entrada do log de auditoria.
ss: o número de segundos para manter a entrada do log de auditoria.
Você deve especificar vários anos usando o dd campo. Por exemplo, 365 dias é igual a um ano; 730 dias é igual a dois anos; 913 dias é igual a dois anos e seis meses. Por exemplo, para definir o limite de idade do log de auditoria como dois anos e seis meses, use a sintaxe 913.00:00:00.
Aviso
Você pode definir para o limite de idade do log de auditoria um valor menor do que o limite de idade atual. Se isso for feito, todas as entradas do log de auditoria com idade que exceda o novo limite de idade serão excluídas.
Se você definir o limite de idade como 0, o Exchange excluirá todas as entradas no log de auditoria.
Recomendamos que você conceda permissões de configuração do limite de idade do log de auditoria somente a usuários extremamente confiáveis.
Log detalhado
Por padrão, o log de auditoria do administrador registra apenas o nome do cmdlet, os parâmetros do cmdlet (e valores especificados), o objeto que foi modificado, quem executou o cmdlet, quando o cmdlet foi executado e em qual servidor o cmdlet foi executado. O log de auditoria do administrador não registra quais propriedades foram modificadas no objeto. Se você quiser que o log de auditoria inclua também as propriedades do objeto que foram modificadas, você poderá habilitar o log verboso definindo o parâmetro LogLevel como Verbose. Ao habilitar o log detalhado, além das informações registradas por padrão, as propriedades modificadas em um objeto, incluindo seus valores antigos e novos, serão incluídas no log de auditoria.
Cmdlets de teste
Os cmdlets que começam com o verbo Test não são registrados em log por padrão. Você pode indicar que os cmdlets de teste devem ser registrados definindo o parâmetro TestCmdletLoggingEnabled como $true. Embora seja possível habilitar o registro em log de cmdlets de teste, recomendamos que você o faça somente por curtos períodos de tempo, pois os cmdlets podem produzir uma grande quantidade de informações.
Logs de auditoria
Toda vez que um cmdlet é registrado em log, uma entrada de log de auditoria é criada. Os logs de auditoria estão armazenados em uma caixa de correio de arbitragem dedicada e oculta que pode ser acessada somente por meio do EAC ou do cmdlet Search-AdminAuditLog ou New-AdminAuditLogSearch. Não pode ser aberta com o Microsoft Outlook Web App ou o Microsoft Outlook. As seções a seguir contém informações sobre o seguinte:
O que está incluído nos logs
Relatórios disponíveis na página de auditoria do EAC
Cmdlets de pesquisa de log de auditoria
Conteúdo do log de auditoria
Cada entrada de log de auditoria contém as informações descritas na tabela a seguir. O log de auditoria contém uma ou mais entradas de log de auditoria. O número de entradas de log de auditoria é controlado pelo limite de idade do log de auditoria especificado pelo cmdlet Set-AdminAuditLogConfig. Todas as entradas de log de auditoria que excederem o limite de idade serão excluídas.
Campos de entrada de log de auditoria
| Campo | Descrição |
|---|---|
RunspaceId |
Esse campo é usado internamente pelo Exchange. |
ObjectModified |
Este campo contém o objeto que foi modificado pelo cmdlet especificado no CmdletName campo. |
CmdletName |
Este campo contém o nome do cmdlet executado pelo usuário no Caller campo. |
CmdletParameters |
Esse campo contém os parâmetros especificados quando o cmdlet no CmdletName campo foi executado. O valor especificado com o parâmetro, se houver, também é armazenado nesse campo, mas não é visível na saída-padrão. Para obter mais informações sobre como acessar as informações adicionais neste campo, consulte Pesquisar as alterações do grupo de função ou os logs de auditoria do administrador. |
ModifiedProperties |
Este campo contém as propriedades que foram modificadas no objeto no ObjectModified campo. O valor antigo da propriedade e o novo valor que foi armazenado também é armazenado nesse campo, mas não é visível na saída-padrão. Para obter mais informações sobre como acessar as informações adicionais neste campo, consulte Pesquisar as alterações do grupo de função ou os logs de auditoria do administrador. Importante: esse campo só será preenchido se o parâmetro LogLevel no cmdlet Set-AdminAuditLogConfig for definido como Verbose. |
Caller |
Este campo contém a conta de usuário do usuário que executou o cmdlet no CmdletName campo. |
Succeeded |
Este campo especifica se o cmdlet no CmdletName campo foi executado com êxito. O valor é True ou False. |
Error |
Esse campo contém a mensagem de erro gerada se o cmdlet no CmdletName campo não tiver sido concluído com êxito. |
RunDate |
Este campo contém a data e a hora em que o cmdlet no CmdletName campo foi executado. A data e a hora são armazenadas no formato UTC (Tempo Universal Coordenado). |
OriginatingServer |
Esse campo indica o servidor no qual o cmdlet especificado no CmdletName campo foi executado. |
Identity |
Esse campo é usado internamente pelo Exchange. |
IsValid |
Esse campo é usado internamente pelo Exchange. |
ObjectState |
Esse campo é usado internamente pelo Exchange. |
Relatórios de auditoria de EAC
A página de auditoria no EAC possui diversos relatórios que fornecem informações sobre vários tipos de alterações de configuração administrativa e de conformidade. Os relatórios a seguir fornecem informações sobre alterações nas configurações em sua organização:
Relatório do grupo de funções de administrador: este relatório permite que você pesquise alterações nos grupos de funções de gerenciamento que você especificar dentro de um período especificado. Os resultados retornados incluem os grupos de função que foram alterados, quem os alterou e quando, além de quais alterações foram feitas. Um valor máximo de 3.000 entradas pode ser retornado. Se sua pesquisa retornar mais de 3.000 entradas, use o relatório de Log de auditoria de administrador ou o cmdlet Search-AdminAuditLog.
Log de auditoria do administrador: este relatório permite exportar as entradas de log de auditoria registradas em um período especificado para um arquivo XML e, em seguida, enviar o arquivo por email para um destinatário especificado. Para mais informações sobre o conteúdo do arquivo XML, consulte Estrutura de log de auditoria do administrador.
Para obter informações sobre como usar esses relatórios, consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.
Para obter informações sobre os outros relatórios incluídos na página de auditoria , consulte Relatórios de auditoria do Exchange.
Cmdlet Search-AdminAuditLog
Quando o cmdlet Search-AdminAuditLog é executado, todas as entradas de log de auditoria que correspondem aos critérios de pesquisa que você especificou são retornados. Você pode especificar os seguintes critérios de pesquisa:
Cmdlets: especifica os cmdlets que você deseja pesquisar no log de auditoria do administrador.
Parâmetros: especifica os parâmetros, separados por vírgulas, que você deseja pesquisar no log de auditoria do administrador. Você pode pesquisar parâmetros somente se você especificar um cmdlet a ser pesquisado.
Data de término: escopos dos resultados do log de auditoria do administrador para registrar entradas que ocorreram em ou antes da data especificada.
Data de início: escopos dos resultados do log de auditoria do administrador para registrar entradas que ocorreram em ou após a data especificada.
IDs de objeto: especifica que somente as entradas de log de auditoria do administrador que contêm os objetos alterados especificados devem ser retornadas
IDs do usuário: especifica que somente as entradas de log de auditoria do administrador que contêm as IDs especificadas do usuário que executou o cmdlet devem ser retornadas.
Conclusão bem-sucedida: especifica se somente as entradas de log de auditoria do administrador que indicaram um êxito ou falha devem ser retornadas.
Cada entrada de log de auditoria retornada contém as informações descritas na tabela no Conteúdo do Log de Auditoria. Por padrão, somente as 1.000 primeiras entradas de log que correspondam aos critérios que você especifica são retornadas. No entanto, você pode substituir esse padrão e retornar mais ou menos entradas usando o parâmetro ResultSize . Você pode especificar um valor de Unlimited com o parâmetro ResultSize para retornar todas as entradas de log que correspondam aos critérios especificados.
Para obter informações sobre como usar o cmdlet Search-AdminAuditLog , consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.
Cmdlet New-AdminAuditLogSearch
O cmdlet New-AdminAuditLogSearch pesquisa o log de auditoria da mesma maneira que o cmdlet Search-AdminAuditLog. Contudo, em vez de exibir os resultados da pesquisa do log de auditoria no Shell, o cmdlet New-AdminAuditLogSearch executa a pesquisa e depois envia por email os resultados da pesquisa para um destinatário especificado. Os resultados são incluídos como um anexo XML à mensagem de email.
É possível usar os mesmos critérios de pesquisa com o cmdlet New-AdminAuditLogSearch que é usado no cmdlet Search-AdminAuditLog. Para obter uma lista dos critérios de pesquisa, consulte Search-AdminAuditLog Cmdlet.
Após a execução do cmdlet New-AdminAuditLogSearch, o Exchange pode levar até 15 minutos para entregar o relatório ao destinatário especificado. O relatório com o arquivo XML anexado pode ser de, no máximo, 10 megabytes (MB). O arquivo XML contém as mesmas informações descritas na tabela no Conteúdo do Log de Auditoria. Para mais informações sobre a estrutura do arquivo XML, consulte Estrutura de log de auditoria do administrador.
Observação
Outlook Web App não permite que você abra anexos XML por padrão. Você pode configurar o Exchange para permitir que anexos XML sejam exibidos usando Outlook Web App ou usar outro cliente de email, como o Microsoft Outlook, para exibir o anexo. Para obter informações sobre como configurar Outlook Web App para permitir que você exiba um anexo XML, consulte Exibir ou configurar Outlook Web App diretórios virtuais.
Para obter informações sobre como usar o cmdlet New-AdminAuditLogSearch , consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.
Entradas manuais de log de auditoria
Além de os cmdlets do Exchange serem registrados em log quando são executados, o Exchange 2013 permite que você grave manualmente entradas de log no log de auditoria. O Exchange 2013 suporta isso usando o cmdlet Write-AdminAuditLog. As situações nas quais você pode querer adicionar uma entrada manual de log são as seguintes:
Entrada e saída de script personalizado
Informações de controle de alterações
Horário de início e término de manutenção
Com o cmdlet Write-AdminAuditLog , você especifica uma cadeia de caracteres de texto a ser incluída no log de auditoria usando o parâmetro Comentário . O parâmetro Comment aceita uma cadeia de caracteres alfanumérica de até 500 caracteres. Na entrada do log de auditoria manual, junto com a cadeia de caracteres de comentários, estão as mesmas informações capturadas quando um cmdlet do Exchange for registrado em log. Para obter uma descrição de cada campo incluído no log de auditoria, consulte a tabela em Audit Log Contents.
É possível recuperar as entradas manuais de log de auditoria da mesma maneira que qualquer outra entrada de log, usando a página de auditoria do EAC ou usando os cmdlets Search-AdminAuditLog ou New-AdminAuditLogSearch.
Para exibir o conteúdo do parâmetro Comentário no cmdlet Write-AdminAuditLog em uma entrada de log de auditoria manual, consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.
Replicação do Active Directory
O log de auditoria do administrador depende da replicação do Active Directory para replicar as definições de configuração e especificar os controladores de domínio na organização. Dependendo das configurações de replicação, as alterações feitas podem não ser aplicadas imediatamente a todos os servidores que executam o Exchange 2013 ou o Exchange 2010 em sua organização.
Agente de Log de Auditoria de Admin
O agente de extensão de cmdlet integrado de Log de Auditoria de Admin realiza o registro em log de auditoria de administrador de operações do cmdlet no Exchange 2013. Esse agente lê a configuração do log de auditoria e realiza uma avaliação de cada cmdlet executado em sua organização. Se os critérios especificados na configuração do log de auditoria corresponderem ao cmdlet que está sendo executado, o agente gerará um log de auditoria.
O agente de Log de Auditoria de Admin vem habilitado por padrão, e isso é necessário para que o log de auditoria funcione. Ele não pode ser desabilitado e sua prioridade não pode ser alterada. Para mais informações sobre agentes de extensão de cmdlet, consulte Agentes de extensão de cmdlet.