Registro em log de auditoria da caixa de correioMailbox audit logging

Aplica-se a: Exchange Server 2013Applies to: Exchange Server 2013

Como as caixas de correio podem conter confidenciais, informações do comercial alto impacto (HIB) e informações de identificação pessoal (PII), é importante que você controlar quem faz logon às caixas de correio em sua organização e quais ações são executadas. É especialmente importante controlar o acesso a caixas de correio por usuários que não seja o proprietário da caixa de correio. Esses usuários são referidos como delegar a usuários.Because mailboxes can contain sensitive, high business impact (HBI) information and personally identifiable information (PII), it's important that you track who logs on to the mailboxes in your organization and what actions are taken. It's especially important to track access to mailboxes by users other than the mailbox owner. These users are referred to as delegate users.

Usando o log de auditoria de caixa de correio, você pode registrar o acesso à caixa de correio por proprietários de caixa de correio, representantes (inclusive os administradores com permissões de acesso total às caixas de correio) e administradores.By using mailbox audit logging, you can log mailbox access by mailbox owners, delegates (including administrators with full access permissions to mailboxes), and administrators.

Ao habilitar o log de auditoria para uma caixa de correio, você pode especificar quais ações do usuário (por exemplo, acesso, movimentação ou exclusão de uma mensagem) serão registradas para um tipo de logon (administrador, representante, usuário ou proprietário). As entradas de log de auditoria também incluem informações importantes como, por exemplo, endereço IP do cliente, nome do host e processo ou cliente utilizado para acessar a caixa de correio. Para itens movidos, a entrada inclui o nome da pasta de destino.When you enable audit logging for a mailbox, you can specify which user actions (for example, accessing, moving, or deleting a message) will be logged for a logon type (administrator, delegate user, or owner). Audit log entries also include important information such as the client IP address, host name, and process or client used to access the mailbox. For items that are moved, the entry includes the name of the destination folder.

Logs de auditoria de caixa de correioMailbox audit logs

Os logs de auditoria de caixa de correio são gerados para cada caixa de correio que tenha o registro em log de auditoria de caixa de correio habilitado. As entradas de log são armazenadas na subpasta Auditorias da pasta Itens Recuperáveis, na caixa de correio auditada. Isso garante que todas as entradas de auditoria fiquem disponíveis em um único local, independentemente do método de acesso para cliente usado para acessar a caixa de correio ou de qual servidor ou estação de trabalho foi usado pelo administrador para acessar o log de auditoria de caixa de correio. Se você mover uma caixa de correio para outro servidor de Caixa de Correio, os logs de auditoria de caixa de correio dessa caixa também serão movidos, pois estão localizados na caixa de correio.Mailbox audit logs are generated for each mailbox that has mailbox audit logging enabled. Log entries are stored in the Recoverable Items folder in the audited mailbox, in the Audits subfolder. This ensures that all audit log entries are available from a single location, regardless of which client access method was used to access the mailbox or which server or workstation an administrator used to access the mailbox audit log. If you move a mailbox to another Mailbox server, the mailbox audit logs for that mailbox are also moved because they're located in the mailbox.

Por padrão, as entradas do log de auditoria de caixa de correio são mantidas na caixa de correio por 90 dias e depois excluídas. Esse período de retenção pode ser modificado com o uso do parâmetro AuditLogAgeLimit com o cmdlet Set-Mailbox. Se uma caixa de correio estiver em Retenção In-Loco ou em Retenção de Litígio, as entradas de log de auditoria só serão retidas até que o período de retenção de log da caixa de correio seja atingido. Para reter as entradas de log de auditoria por mais tempo, é preciso aumentar o período de retenção alterando o valor do parâmetro AuditLogAgeLimit. Também é possível exportar as entradas de log de auditoria antes de o período de retenção terminar. Para mais informações, consulte:By default, mailbox audit log entries are retained in the mailbox for 90 days and then deleted. You can modify this retention period by using the AuditLogAgeLimit parameter with the Set-Mailbox cmdlet. If a mailbox is on In-Place Hold or Litigation Hold, audit log entries are only retained until the audit log retention period for the mailbox is reached. To retain audit log entries longer, you have to increase the retention period by changing the value for the AuditLogAgeLimit parameter. You can also export audit log entries before the retention period is reached. For more information, see:

Habilitar o registro em log de auditoria de caixa de correioEnabling mailbox audit logging

O registro em log de auditoria de caixa de correio é habilitado por caixa de correio. Use o cmdlet Set-Mailbox para habilitar ou desabilitar o log de auditoria de caixa de correio. Para detalhes, consulte Habilitar ou desabilitar uma caixa de correio do log de auditoria de caixa de correio.Mailbox audit logging is enabled per mailbox. Use the Set-Mailbox cmdlet to enable or disable mailbox audit logging. For details, see Enable or disable mailbox audit logging for a mailbox.

Quando você habilita o log de auditoria de caixa de correio para uma caixa de correio, o acesso à caixa de correio e algumas ações executadas por administradores e representantes são registradas no log por padrão. Para registrar em log as ações executadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas.When you enable mailbox audit logging for a mailbox, access to the mailbox and certain administrator and delegate actions are logged by default. To log actions taken by the mailbox owner, you must specify which owner actions should be audited.

Ações de caixa de correio registradas pelo log de auditoria de caixa de correioMailbox actions logged by mailbox audit logging

A tabela a seguir lista as ações registradas pelo log de auditoria de caixa de correio, incluindo os tipos de logon para os quais a ação pode ser registrada.The following table lists the actions logged by mailbox audit logging, including the logon types for which the action can be logged.

AçãoAction DescriçãoDescription AdministradorAdministrator DelegarDelegate OwnerOwner

CopiarCopy

Um item é copiado para outra pasta.An item is copied to another folder.

SimYes

NãoNo

NãoNo

CriarCreate

Um item é criado nas pastas Calendário, Contatos, Anotações ou Tarefas na caixa de correio; por exemplo, é criada uma nova solicitação de reunião. Observe que a mensagem ou a criação da pasta não são auditadas. An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Note that message or folder creation isn't audited.

Sim\*Yes\*

Sim\*Yes\*

SimYes

FolderBindFolderBind

Uma pasta da caixa de correio é acessada.A mailbox folder is accessed.

Sim\*Yes\*

Sim\*\*Yes\*\*

NãoNo

HardDeleteHardDelete

Um item é excluído permanentemente da pasta Itens Recuperáveis.An item is deleted permanently from the Recoverable Items folder.

Sim\*Yes\*

Sim\*Yes\*

SimYes

MessageBindMessageBind

Um item é acessado no painel de leitura ou aberto.An item is accessed in the reading pane or opened.

SimYes

NãoNo

NãoNo

MoveMove

Um item é movido para outra pasta.An item is moved to another folder.

Sim\*Yes\*

SimYes

SimYes

MoveToDeletedItemsMoveToDeletedItems

Um item é movido para a Itens Excluídos.An item is moved to the Deleted Items folder.

Sim\*Yes\*

SimYes

SimYes

SendAsSendAs

Uma mensagem é enviada usando permissões Enviar como.A message is sent using Send As permissions.

Sim\*Yes\*

Sim\*Yes\*

Não se aplicaNot applicable

SendOnBehalfSendOnBehalf

Uma mensagem é enviada usando permissões Enviar em nome de.A message is sent using Send on Behalf permissions.

Sim\*Yes\*

SimYes

Não se aplicaNot applicable

SoftDeleteSoftDelete

Um item é excluído da pasta Itens Excluídos.An item is deleted from the Deleted Items folder.

Sim\*Yes\*

Sim\*Yes\*

SimYes

AtualizarUpdate

As propriedades de um item são atualizadas.An item's properties are updated.

Sim\*Yes\*

Sim\*Yes\*

SimYes

*Auditados por padrão, se a auditoria está habilitada para uma caixa de correio.* Audited by default if auditing is enabled for a mailbox.

**Entradas para ações de vincular pasta executadas por representantes são consolidadas. Uma entrada de log é gerada para acesso a pastas individuais dentro de um período de tempo de 24 horas.** Entries for folder bind actions performed by delegates are consolidated. One log entry is generated for individual folder access within a time span of 24 hours.

Caso não seja mais necessário fazer a auditoria de alguns tipos de ações da caixa de correio, modifique a configuração de registro em log de auditoria da caixa de correio para desabilitar essas ações. Entradas de log existentes não serão limpas enquanto o limite de idade das entradas de log de auditoria não for atingido.If you no longer require certain types of mailbox actions to be audited, you should modify the mailbox's audit logging configuration to disable those actions. Existing log entries aren't purged until the age limit for audit log entries is reached.

Pesquisar entradas de log de auditoria de caixa de correioSearching mailbox audit log entries

Você pode usar os seguintes métodos para pesquisar entradas de log de auditoria de caixa de correio:You can use the following methods to search mailbox audit log entries:

Entradas de log de auditoria de caixa de correioMailbox audit log entries

A tabela a seguir descreve os campos registrados em uma entrada de log de auditoria de caixa de correio.The following table describes the fields logged in a mailbox audit log entry.

CampoField Populado comPopulated with

OperationOperation

Uma destas ações:One of the following actions:

  • CopiarCopy

  • CriarCreate

  • FolderBindFolderBind

  • HardDeleteHardDelete

  • MessageBindMessageBind

  • MoverMove

  • MoveToDeletedItemsMoveToDeletedItems

  • SendAsSendAs

  • SendOnBehalfSendOnBehalf

  • SoftDeleteSoftDelete

  • AtualizarUpdate

OperationResultOperationResult

Um destes resultados:One of the following results:

  • FalhaFailed

  • PartiallySucceededPartiallySucceeded

  • Com ÊxitoSucceeded

Tipo de logonLogonType

Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:Logon type of the user who performed the operation. Logon types include:

  • OwnerOwner

  • DelegarDelegate

  • AdminAdmin

DestFolderIdDestFolderId

GUID da pasta de destino para operações de movimentação.Destination folder GUID for move operations.

DestFolderPathNameDestFolderPathName

Caminho da pasta de destino para operações de movimentação.Destination folder path for move operations.

FolderIdFolderId

GUID da pasta.Folder GUID.

FolderPathNameFolderPathName

Caminho da pasta.Folder path.

ClientInfoStringClientInfoString

Detalhes que identificam qual cliente ou componente Exchange realizou a operação.Details that identify which client or Exchange component performed the operation.

ClientIPAddressClientIPAddress

Endereço IP do computador cliente.Client computer IP address.

ClientMachineNameClientMachineName

Nome do computador cliente.Client computer name.

ClientProcessNameClientProcessName

O nome do processo do aplicativo cliente.Name of the client application process.

ClientVersionClientVersion

Versão do aplicativo do cliente.Client application version.

InternalLogonTypeInternalLogonType

Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:Logon type of the user who performed the operation. Logon types include:

  • OwnerOwner

  • DelegarDelegate

  • AdminAdmin

MailboxOwnerUPNMailboxOwnerUPN

Nome UPN do proprietário da caixa de correio.Mailbox owner user principal name (UPN).

MailboxOwnerSidMailboxOwnerSid

SID (identificador de segurança) do proprietário da caixa de correio.Mailbox owner security identifier (SID).

DestMailboxOwnerUPNDestMailboxOwnerUPN

Nome UPN do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.Destination mailbox owner UPN, logged for cross-mailbox operations.

DestMailboxOwnerSidDestMailboxOwnerSid

SID do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.Destination mailbox owner SID, logged for cross-mailbox operations.

DestMailboxOwnerGuidDestMailboxOwnerGuid

GUID do proprietário da caixa de correio de destino.Destination mailbox owner GUID.

CrossMailboxOperationCrossMailboxOperation

Informações sobre se a operação registrada é uma operação de caixas de correio cruzadas (por exemplo, copiar ou mover mensagens entre caixas de correio).Information about whether the operation logged is a cross-mailbox operation (for example, copying or moving messages between mailboxes).

LogonUserDisplayNameLogonUserDisplayName

Nome para exibição do usuário que está conectado.Display name of user who is logged on.

DelegateUserDisplayNameDelegateUserDisplayName

Nome para exibição do usuário representado.Delegate user display name.

LogonUserSidLogonUserSid

SID do usuário que está conectado.SID of user who is logged on.

SourceItemsSourceItems

ItemID dos itens de caixa de correio nos quais a ação registrada foi realizada (por exemplo, mover ou excluir). Para operações realizadas em diversos itens, o campo é retornado como uma coleção de itens.ItemID of mailbox items on which the logged action is performed (for example, move or delete). For operations performed on a number of items, this field is returned as a collection of items.

SourceFoldersSourceFolders

GUID da pasta de origem.Source folder GUID.

ItemIdItemId

ID do item.Item ID.

ItemSubjectItemSubject

Assunto do item.Item subject.

MailboxGuidMailboxGuid

GUID da caixa de correio.Mailbox GUID.

MailboxResolvedOwnerNameMailboxResolvedOwnerName

Nome no formato domínioresolvido do usuário de caixa de correio\SamAccountName.Mailbox user resolved name in the format DOMAIN\SamAccountName.

LastAccessedLastAccessed

A hora na qual a operação foi realizada.Time when the operation was performed.

IdentidadeIdentity

ID da entrada do log de auditoria.Audit log entry ID.

Mais informaçõesMore information

  • Acesso de administrador a caixas de correio Caixas de correio são consideradas como ser acessado por um administrador apenas nos seguintes cenários:Administrator access to mailboxes Mailboxes are considered to be accessed by an administrator only in the following scenarios:

  • Ignorando o registro em log de auditoria de caixa de correio Acesso à caixa de correio por processos automatizados autorizados como contas usadas pelas ferramentas de terceiros ou as contas usadas para monitoramento dentro da lei pode criar um grande número de auditoria de caixa de correio entradas de log e não pode ser de interesse para sua organização. Você pode configurar como log de auditoria de contas para ignorar a caixa de correio. Para obter detalhes, consulte o desvio de um usuário da conta de auditoria de caixa de correio log.Bypassing mailbox auditing logging Mailbox access by authorized automated processes such as accounts used by third-party tools or accounts used for lawful monitoring can create a large number of mailbox audit log entries and may not be of interest to your organization. You can configure such accounts to bypass mailbox audit logging. For details, see Bypass a user account from mailbox audit logging.

  • O log de ações de proprietário da caixa de correio Para caixas de correio, como a caixa de correio de pesquisa de descoberta, que pode conter informações confidenciais mais, considere a ativação para ações de proprietário da caixa de correio por exemplo, exclusão de mensagem do log de auditoria de caixa de correio.Logging mailbox owner actions For mailboxes such as the Discovery Search Mailbox, which may contain more sensitive information, consider enabling mailbox audit logging for mailbox owner actions such as message deletion.

Retornar ao inícioReturn to top