Relatórios de auditoria do Exchange no Exchange 2013

Aplica-se a: Exchange Server 2013

Use o log de auditoria para solucionar problemas de configuração controlando alterações específicas feitas pelos administradores e para ajudar você a atender aos requisitos normativos, de conformidade e de litígio. O Microsoft Exchange fornece dois tipos de log de auditoria:

• O log de auditoria de administrador grava qualquer ação baseada em um cmdlet do Shell de Gerenciamento do Exchange, executado por um administrador. Isso pode ajudá-lo a solucionar problemas de configuração ou identificar a causa de problemas relacionados a segurança ou conformidade.

• O log de auditoria de caixas de correio grava quando uma caixa de correio é acessada por um administrador, um usuário delegado ou pelo proprietário da caixa de correio. Isso pode ajudá-lo a determinar quem acessou a caixa de correio e o que a pessoa fez.

Exportar logs de auditoria

Na páginaAuditoria de Gerenciamento> de Conformidade no Centro de Administração do Exchange (EAC), você pode pesquisar e exportar entradas do log de auditoria do administrador e do log de auditoria da caixa de correio.

• Exportar o log de auditoria do administrador: qualquer ação executada por um administrador com base em um cmdlet shell e não começa com os verbos Get, Search ou Test é registrado no log de auditoria do administrador. As entradas do log de auditoria incluem o cmdlet que foi executado, o parâmetro e os valores usados com o cmdlet e quando a operação foi bem-sucedida. Você pode procurar e exportar entradas do log de auditoria de administrador. Quando você exporta os resultados da pesquisa, o Microsoft Exchange os salva em um arquivo XML e os anexa a uma mensagem de email. Para obter mais informações, consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.

  Observação

  Por padrão, as entradas do log de auditoria são mantidas por 90 dias. Quando uma entrada ultrapassa esses 90 dias, ela é excluída. Essa configuração não pode ser alterada em uma organização baseada em nuvem. Entretanto, ela pode ser alterada em uma organização do Exchange local usando-se o cmdlet Set-AdminAuditLog.

• Exportar logs de auditoria de caixa de correio: quando o log de auditoria da caixa de correio é habilitado para uma caixa de correio, o Microsoft Exchange armazena um registro de ações executadas em dados de caixa de correio por não proprietários no log de auditoria da caixa de correio, que é armazenado em uma pasta oculta na caixa de correio que está sendo auditada. O log de auditoria de caixas de correio também pode ser configurado para registrar ações do proprietário. As entradas desse log indicam quem acessou a caixa de correio e quando, as ações executadas e se a ação foi bem-sucedida. Quando você procura entradas no log de auditoria de caixas de correio e as exporta, o Microsoft Exchange salva os resultados da pesquisa em um arquivo XML e o anexa a uma mensagem de email. Para saber mais, configura Export mailbox audit logs.

Executar relatórios de auditoria

Quando você executa qualquer um dos relatórios a seguir na página Auditoria, no EAC, os resultados são exibidos no painel de detalhes do relatório.

• Execute um relatório de acesso de caixa de correio não proprietário: use este relatório para localizar caixas de correio que foram acessadas por alguém diferente da pessoa que possui a caixa de correio. Para saber mais, confira Executar um relatório de acesso não proprietário da caixa de correio.

• Executar um relatório de grupo de funções de administrador: use este relatório para pesquisar as alterações feitas em grupos de funções de administrador. Para obter mais informações, consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.

• Execute um relatório de descoberta e retenção no local: use este relatório para localizar caixas de correio que foram colocadas ou removidas do In-Place Hold. Para saber mais, veja:

  • Bloqueio In-loco e Retenção de Litígio

  • Descoberta Eletrônica In-loco

• Execute um relatório de contencioso por caixa de correio: use este relatório para encontrar caixas de correio que foram colocadas ou removidas do contencioso. Para saber mais, confira.

  • Executar um relatório de suspensão de litígio por caixa de correio

  • Colocar uma caixa de correio em Retenção de Litígio

• Execute o relatório de log de auditoria de administrador: use este relatório para exibir entradas do log de auditoria do administrador. Em vez de exportar o log de auditoria do administrador, cujo recebimento via mensagem de email pode demorar até 24 horas, você pode executar este relatório no EAC. Este relatório registra as alterações de configuração feitas por administradores em sua organização. Serão exibidas até 5 mil entradas em várias páginas. Para restringir a pesquisa, especifique um intervalo de datas. Para saber mais, veja:

  • Exibir o log de auditoria do administrador

  • Log de auditoria de administrador

Configurar o log de auditoria

Para poder executar relatórios de auditoria e exportar logs de auditoria, você precisa configurar o log de auditoria para sua organização.

Habilitar log de auditoria de caixas de correio

Você precisa habilitar o log de auditoria de caixas de correio em cada caixa de correio para a qual desejar executar um relatório de acesso não proprietário. Se o log de auditoria de caixas de correio não for habilitado para uma caixa de correio, você não obterá nenhum resultado ao executar um relatório ou ao exportar o log de auditoria de caixas de correio.

Para habilitar o log de auditoria de caixas de correio para uma única caixa de correio, execute o seguinte comando do Shell.

Set-Mailbox <Identity> -AuditEnabled $true

Para habilitar a auditoria de caixas de correio para todas as caixas de correio de usuário da sua organização, execute os seguintes comandos:

$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Para obter mais informações sobre como configurar quais ações estão registradas, consulte Habilitar ou desabilitar o log de auditoria de caixa de correio para uma caixa de correio.

Fornecer, aos usuários, acesso aos Relatórios de Auditoria

Por padrão, os administradores podem acessar e executar todos os relatórios da página Auditoria do EAC. No entanto, outros usuários, como o gerente de documentação administrativa ou a equipe jurídica, precisam receber as permissões necessárias.

A maneira mais fácil de fornecer acesso aos usuários é adicioná-los ao grupo de funções Gerenciamento de Registros. Também é possível usar o Shell para fornecer ao usuário o acesso à página Auditoria no EAC, atribuindo-lhe a função Logs de Auditoria.

Adicionar um usuário ao grupo de funções Gerenciamento de Registros

1. Acesse Permissões>Administração Funções.

2. Na lista de grupos de funções, clique em Gerenciamento de Registros e clique em Editar.

3. Em Membros, clique em Adicionar.

4. Na caixa de diálogo Selecionar Membros, selecione o usuário. Você pode pesquisar um usuário digitando todo ou parte de um nome de exibição e clicando no . Você também pode classificar a lista clicando nos títulos de coluna Nome ou Nome de Exibição.

5. Clique em clique em OK para retornar à página do grupo de funções.

6. Clique em Salvar para salvar as alterações feitas no grupo de funções.

No painel Detalhes, o usuário é listado em Membros e pode acessar a página Auditoria no EAC, executar relatórios de auditoria e exportar logs de auditoria.

Atribuir a função Logs de Auditoria a um usuário

Execute o comando a seguir para atribuir a função Logs de Auditoria a um usuário:

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Isso permite que o usuário selecione Auditoria de Gerenciamento>de Conformidade no EAC para executar qualquer um dos relatórios. O usuário também pode exportar o log de auditoria de caixa de correio e exportar e exibir o log de auditoria do administrador.

Observação

Para permitir que um usuário execute relatórios de auditoria, mas não exporte logs de auditoria, use o comando anterior para atribuir a função Logs de Auditoria Somente para Exibição.

Configurar o Outlook Web App para permitir anexos de XML

Quando você exporta o log de auditoria de caixas de correio ou o log de auditoria de administrador, o Microsoft Exchange anexa o log de auditoria, que é um arquivo XML, a um email. No entanto, o Outlook Web App bloqueia anexos XML por padrão. Se você quiser usar o Outlook Web App para acessar esses logs de auditoria, você terá que configurar o Outlook Web App para permitir anexos em XML.

Execute o comando a seguir para permitir anexos XML no Outlook Web App.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'