Pesquise as alterações do grupo de funções ou os logs de auditoria do administrador no Exchange 2013

Aplica-se a: Exchange Server 2013

Você pode pesquisar os logs de auditoria do administrador para descobrir quem efetuou alterações na organização, no servidor e na configuração de destinatário. Isso pode ser útil quando se tenta acompanhar a causa do comportamento inesperado, para identificar um administrador malicioso ou verificar se os requisitos de conformidade estão sendo atendidos. Para obter mais informações sobre o registro em log de auditoria do administrador, consulte Log de auditoria de administrador.

Se você quiser pesquisar o log de auditoria da caixa de correio, confira Log de auditoria da caixa de correio.

Do que você precisa saber para começar?

• Tempo estimado para concluir cada procedimento: menos de 5 minutos

• Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Log de auditoria de administrador somente exibição" no tópico permissões de infraestrutura do Exchange e do Shell .

• O log de auditoria do administrador vem habilitado por padrão. Para verificar se ele está habilitado, execute o seguinte comando:

  Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled
  

  Um valor de indica que o log de True auditoria do administrador está habilitado. Um valor de False indica que ele está desabilitado. Se precisar habilitar o log de auditoria de administrador para uma organização Exchange local, execute este comando:

  Set-AdminAuditLogConfig -AdminAuditLogEnabled $true
  

  Para obter mais informações, consulte Gerenciar o administrador do log de auditoria.

• Para obter informações sobre atalhos de teclado que podem se aplicar aos procedimentos neste tópico, confira Atalhos de teclado para o centro de administração do Exchange no Exchange 2013.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.

Usar o EAC para executar o relatório de alterações de grupo de função de gerenciamento

Se você quiser saber quais alterações na associação ao grupo de funções de gerenciamento foram feitas em grupos de funções em sua organização, você pode usar o relatório Grupo de Funções de Administrador no Centro de Administração do Exchange (EAC). Usando o relatório de Grupo de Função do Administrador, você pode exibir uma lista de grupos de funções que sofreram alterações durante um intervalo de datas específico. Também é possível selecionar os grupos de funções específicos dos quais deseja exibir as alterações.

1. No EAC, selecioneAuditoria de gerenciamento> de conformidade e clique em Executar um relatório de grupo de funções de administrador.

2. Selecione um intervalo de datas usando os campos Data de Início e Data de Término.

3. Clique em Selecionar grupos de função e selecione os grupos de função para os quais você deseja mostrar as alterações ou deixe esse campo em branco, para pesquisar alterações em todos os grupos de funções.

4. Clique em Pesquisar.

Se alguma alteração for encontrada com o uso dos critérios especificados, uma lista de alterações será exibida no painel de resultados. Clicar em um grupo de funções exibe as alterações efetuadas no grupo de funções no painel de detalhes.

Usar o EAC para exportar o log de auditoria de administrador

Se quiser criar um arquivo XML que contenha as alterações efetuadas em sua organização, você poderá usar o relatório Exportar Log de Auditoria de Administrador, no EAC. Usando o relatório Exportar Log de Auditoria de Administrador, você pode especificar um intervalo de datas para pesquisar entradas de log de auditoria que contenham as alterações efetuadas pelos usuários especificados. O arquivo XML é enviado a um destinatário como anexo de email. O tamanho máximo do arquivo XML é de 10 MB.

Observação

Outlook Web App não permite que você abra anexos XML por padrão. Você pode configurar o Exchange para permitir que anexos XML sejam exibidos usando Outlook Web App ou usar outro cliente de email, como o Microsoft Outlook, para exibir o anexo. Para obter informações sobre como configurar Outlook Web App para permitir que você exiba um anexo XML, consulte Exibir ou configurar Outlook Web App diretórios virtuais.

1. No EAC, selecione Auditoria de gerenciamento>de conformidade e clique em Exportar o log de auditoria do administrador.

2. Selecione um intervalo de datas usando os campos Data de Início e Data de Término.

3. No campo Enviar o relatório de auditoria para, clique em Selecionar usuários e selecione o destinatário para o qual você deseja enviar o relatório.

4. Clique em Exportar.

Se alguma entrada de log for encontrada com o uso dos critérios especificados, um arquivo XML será criado e enviado como anexo de email ao destinatário especificado.

Usar o Shell para pesquisar entradas de log de auditoria

Não é possível usar o Shell para pesquisar entradas de log de auditoria que atendam aos critérios especificados. Para obter uma lista de critérios de pesquisa, consulte Log de auditoria de administrador. Esse procedimento usa o cmdlet Search-AdminAuditLog e exibe os resultados da pesquisa no Shell. Ele pode ser usado quando você precisa retornar um conjunto de resultados que exceda os limites definidos no cmdlet New-AdminAuditLogSearch ou nos Relatórios de Auditoria do EAC.

Se você quiser enviar resultados de pesquisa de log de auditoria em um anexo de email para um destinatário, consulte Usar o Shell para pesquisar entradas de log de auditoria e enviar resultados para uma seção de destinatário posteriormente neste tópico.

Para pesquisar no log de auditoria pelos critérios especificados, use a sintaxe a seguir.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Observação

O cmdlet Search-AdminAuditLog retorna um máximo de 1.000 entradas de log por padrão. Use o parâmetro ResultSize para especificar até 250.000 entradas de log. Ou use o valor Unlimited para retornar todas as entradas.

Esse exemplo realiza uma pesquisa em todas as entradas de log de auditoria com os seguintes critérios:

• Data de início: 04/08/2012

• Data de término: 03/10/2012

• IDs de usuário: davids, chrisd, kima

• Cmdlets: Set-Mailbox

• Parâmetros: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize e MaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima

Este exemplo pesquisa alterações efetuadas em uma caixa de correio específica. Isso será útil se você estiver solucionando problemas ou precisar fornecer informações para uma investigação. Os seguintes critérios são usados:

• Data de início: 01/05/2012

• Data de término: 03/10/2012

• ID do objeto: contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2012 -EndDate 10/03/2012 -ObjectID contoso.com/Users/DavidS

Caso as suas pesquisas retornem muitas entradas de log, recomendamos usar o procedimento fornecido em Usar o Shell para pesquisar entradas de log de auditoria e enviar resultados a um destinatário mais adiante neste tópico. O procedimento dessa seção envia um arquivo XML como anexo de email aos destinatários especificados, permitindo que você extraia com mais facilidade os dados em que está interessado.

Para informações detalhadas de sintaxes e de parâmetros, consulte Search-AdminAuditLog.

Exibir detalhes de entradas de log de auditoria

O cmdlet Search-AdminAuditLog retorna os campos descritos na seção "Conteúdo do log de auditoria" de Log de auditoria de administrador. Desses campos retornados pelo cmdlet, dois campos, CmdletParameters e ModifiedProperties, contêm informações adicionais que não podem ser exibidas por padrão.

Para exibir o conteúdo dos campos CmdletParameters e ModifiedProperties, siga as etapas na sequência. Ou use o procedimento descrito em Usar o Shell para pesquisar entradas de log de auditoria e enviar resultados a um destinatário mais adiante neste tópico para criar um arquivo XML.

Esse procedimento usa os seguintes conceitos:

• about_Arrays

• about_Variables

1. Decida quais critérios deseja pesquisa, execute o cmdlet Search-AdminAuditLog e armazene os resultados em uma variável usando o seguinte comando.

   $Results = Search-AdminAuditLog <search criteria>
   

2. Cada entrada de log de auditoria é armazenada como um elemento de matriz na variável $Results. Você pode selecionar um elemento de matriz especificando seu índice de elemento de matriz. Os índices de elemento de matriz começam em zero (0) para o primeiro elemento da matriz. Por exemplo, para recuperar o elemento da quinta matriz, que tem um índice de 4, use o comando a seguir.

   $Results[4]
   

3. O comando anterior retorna a entrada de log armazenada no elemento de matriz 4. Para ver o conteúdo dos campos CmdletParameters e ModifiedProperties referentes a essa entrada de log, use os seguintes comandos.

   $Results[4].CmdletParameters
   $Results[4].ModifiedProperties
   

4. Para exibir o conteúdo dos campos CmdletParameters ou ModifiedParameters em outra entrada de log, altere o índice do elemento de matriz.

Usar o Shell para pesquisar entradas de log de auditoria e enviar resultados a um destinatário

Não é possível usar o Shell para pesquisar entradas de log de auditoria que atendam aos critérios especificados e depois enviar os resultados a um destinatário que você especifica como um anexo de arquivo XML. Os resultados são enviados ao destinatário em 15 minutos. Para obter uma lista de critérios de pesquisa, consulte Log de auditoria de administrador.

Observação

Outlook Web App não permite que você abra anexos XML por padrão. Você pode configurar o Exchange para permitir que anexos XML sejam exibidos usando Outlook Web App ou usar outro cliente de email, como o Microsoft Outlook, para exibir o anexo. Para obter informações sobre como configurar Outlook Web App para permitir que você exiba um anexo XML, consulte Exibir ou configurar Outlook Web App diretórios virtuais.

Para pesquisar no log de auditoria pelos critérios especificados, use a sintaxe a seguir.

New-AdminAuditLogSearch -Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False > -StatusMailRecipients <recipient 1, recipient 2, ...> -Name <string to include in subject>

Esse exemplo realiza uma pesquisa em todas as entradas de log de auditoria com os seguintes critérios:

• Data de início: 04/08/2012

• Data de término: 03/10/2012

• IDs de usuário: davids, chrisd, kima

• Cmdlets: Set-Mailbox

• Parâmetros: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

O comando envia os resultados para o davids@contoso.com endereço SMTP com "Alterações de limite de caixa de correio" incluídas na linha de assunto da mensagem.

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize -StartDate 08/04/2012 -EndDate 10/03/2012 -UserIds davids, chrisd, kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

Observação

O relatório que o cmdlet New-AdminAuditLogSearch gera pode ter tamanho máximo de 10 MB. Se a pesquisa feita retornar um relatório maior do que 10 MB, altere os critérios de pesquisa especificados. Por exemplo, reduza o tamanho do intervalo de datas e execute vários relatórios, cada um com uma parte do intervalo de datas original.

Para mais informações sobre o formato do arquivo XML, consulte Estrutura de log de auditoria do administrador.

Para informações detalhadas de sintaxes e de parâmetros, consulte New-AdminAuditLogSearch.