Pesquisar alterações de grupo de função ou logs de auditoria de administrador no Exchange Online

Observação

O Exchange de administração clássico está em processo de ser preterido na implantação mundial. Recomendamos que você pesquise o log de auditoria no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte Preterimento do centro de administração Exchange clássico no serviço WW e pesquise o log de auditoria no portal de conformidade.

Em Exchange Online organizações ou organizações autônomas do Proteção do Exchange Online (EOP) sem caixas de correio do Exchange Online, você pode usar as seguintes opções para pesquisar os logs de auditoria do administrador para descobrir quem fez alterações na configuração da organização e do destinatário:

  • Execute um relatório de grupo de funções de administrador no Exchange de administração (EAC).
  • Use o PowerShell para pesquisar entradas de log de auditoria de administrador e enviar os resultados para um destinatário.

Essas opções podem ser úteis quando você está tentando acompanhar a causa do comportamento inesperado, identificar um administrador mal-intencionado ou verificar se os requisitos de conformidade estão sendo atendidos. Essas duas opções são descritas neste artigo.

Dica

Você também pode usar o EAC para exibir entradas no log de auditoria do administrador. Para obter mais informações, consulte Exibir o log de auditoria do administrador.

O que você precisa saber antes de começar?

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em Exchange Online ou Proteção do Exchange Online.

Usar o EAC para executar o relatório de grupo de funções de administrador

Use o relatório de grupo de função de administrador para ver as alterações na associação feitas às funções de gerenciamento.

  1. No EAC, vá para Auditoria de Gerenciamento > de Conformidade e, em seguida, escolha Executar um relatório de grupo de funções de administrador.

  2. Na página Pesquisar alterações em grupos de funções de administrador que é aberta, defina as seguintes configurações:

    • Data de início e data de término: insira um intervalo de datas. Por padrão, o relatório procura alterações feitas nos grupos de funções do administrador nas duas últimas semanas.

    • Selecionar grupos de funções: por padrão, todos os grupos de funções são pesquisados. Para filtrar os resultados por grupos de função específicos, clique em Selecionar grupos de funções. Na caixa de diálogo exibida, selecione um grupo de funções e clique em adicionar ->. Repita essa etapa quantas vezes for necessário e clique em OK quando terminar.

  3. Ao concluir, clique em Pesquisar.

Se forem encontradas alterações usando os critérios especificados, elas aparecerão no painel de resultados. Clique em um grupo de função nos resultados da pesquisa para ver as alterações no painel de detalhes.

Monitorar alterações na associação de grupo de funções

Quando os membros são adicionados ou removidos de um grupo de funções, os resultados da pesquisa exibidos no painel de detalhes indicam que a associação de grupo de funções foi atualizada e lista os membros atuais. Os resultados não informam explicitamente qual usuário foi adicionado ou removido.

Para determinar se um usuário foi adicionado ou removido, você terá que comparar duas entradas separadas no relatório. Por exemplo, vamos observar as entradas de log a seguir do grupo de funções de HelpDesk:

27/01/2021 16:43
Administrador
Membros atualizados: Administrator;annb,florencef;pilarp
06/02/2018 10:09
Administrador
Membros atualizados: Administrator;annb;florencef;pilarp;tonip
19/02/2021 14:12
Administrador
Membros atualizados: Administrator;annb;florencef;tonip

Nesse exemplo, a conta de usuário Administrador fez as seguintes alterações:

  • Em 06/02/2021, eles adicionaram o tonip do usuário.
  • Em 19/02/2021, o usuário foi removido.

Usar o EAC para exportar o log de auditoria do administrador

Observação

No EOP autônomo, você não pode exportar o log de auditoria do administrador do EAC. No entanto, você pode usar o PowerShell para pesquisar entradas de log de auditoria e enviar resultados a um destinatário

Se você quiser usar Outlook na Web (anteriormente conhecido como Outlook Web App) para exibir as entradas exportadas, será necessário habilitar anexos .xml no Outlook na Web. Para obter detalhes, consulte Configurar Outlook na Web para permitir anexos XML.

Exportar o log de auditoria do administrador grava as informações em um arquivo XML e as envia para você como um anexo em uma mensagem de email. O tamanho máximo do arquivo XML é de 10 MB.

  1. No EAC, selecione Auditoria de gerenciamento > de conformidade e clique em Exportar o log de auditoria do administrador.
  2. Selecione um intervalo de datas usando os campos Data de Início e Data de Término.
  3. No campo Enviar o relatório de auditoria para, clique em Selecionar usuários e selecione o destinatário para o qual você deseja enviar o relatório.
  4. Clique em Exportar.

Se alguma entrada de log for encontrada com o uso dos critérios especificados, um arquivo XML será criado e enviado como anexo de email ao destinatário especificado.

Usar o PowerShell para pesquisar entradas de log de auditoria

Você pode usar Exchange Online PowerShell ou Proteção do Exchange Online PowerShell autônomo para pesquisar entradas de log de auditoria que atendam aos critérios especificados. Para obter uma lista de critérios de pesquisa, consulte o cmdlet Search-AdminAuditLog. Este procedimento usa o cmdlet Search-AdminAuditLog e exibe os resultados da pesquisa no PowerShell. Você pode usar esse cmdlet quando precisar retornar um conjunto de resultados que excede os limites definidos no cmdlet New-AdminAuditLogSearch ou nos relatórios de auditoria do EAC.

Para pesquisar no log de auditoria pelos critérios especificados, use a sintaxe a seguir.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Observação

O cmdlet Search-AdminAuditLog retorna um máximo de 1.000 entradas de log por padrão. Use o parâmetro ResultSize para especificar até 250.000 entradas de log. Ou use o valor para Unlimited retornar todas as entradas.

Esse exemplo realiza uma pesquisa em todas as entradas de log de auditoria com os seguintes critérios:

  • Data de início: 04/08/2020
  • Data de término: 03/10/2020
  • IDs de usuário: davids, , chrisd``kima
  • Cmdlets: Set-Mailbox
  • Parâmetros: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima

Este exemplo pesquisa alterações efetuadas em uma caixa de correio específica. Isso será útil se você estiver solucionando problemas ou precisar fornecer informações para uma investigação. Os seguintes critérios são usados:

  • Data de início: 01/05/2020
  • Data de término: 03/10/2020
  • ID do objeto: contoso.com/Users/DavidS
Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS

Se suas pesquisas retornarem muitas entradas de log, recomendamos que você use o procedimento fornecido em Usar o PowerShell para pesquisar entradas de log de auditoria e enviar resultados a um destinatário posteriormente neste artigo. O procedimento dessa seção envia um arquivo XML como anexo de email aos destinatários especificados, permitindo que você extraia com mais facilidade os dados em que está interessado.

Para informações detalhadas de sintaxes e de parâmetros, consulte Search-AdminAuditLog.

Exibir detalhes de entradas de log de auditoria

O cmdlet Search-AdminAuditLog retorna os campos descritos no conteúdo do log de auditoria. Desses campos retornados pelo cmdlet, dois campos, CmdletParameters e ModifiedProperties, contêm informações adicionais que não podem ser exibidas por padrão.

Para exibir o conteúdo dos campos CmdletParameters e ModifiedProperties, siga as etapas na sequência. Ou você pode usar o procedimento em Usar o PowerShell para pesquisar entradas de log de auditoria e enviar resultados a um destinatário posteriormente neste artigo para criar um arquivo XML.

Esse procedimento usa os seguintes conceitos:

  1. Decida quais critérios deseja pesquisa, execute o cmdlet Search-AdminAuditLog e armazene os resultados em uma variável usando o seguinte comando.

    $Results = Search-AdminAuditLog <search criteria>
    
  2. Cada entrada de log de auditoria é armazenada como um elemento de matriz na variável $Results. Você pode selecionar um elemento de matriz especificando seu índice de elemento de matriz. Os índices de elemento de matriz começam em zero (0) para o primeiro elemento da matriz. Por exemplo, para recuperar o elemento da quinta matriz, que tem um índice de 4, use o comando a seguir.

    $Results[4]
    
  3. O comando anterior retorna a entrada de log armazenada no elemento de matriz 4. Para ver o conteúdo dos campos CmdletParameters e ModifiedProperties referentes a essa entrada de log, use os seguintes comandos.

    $Results[4].CmdletParameters
    $Results[4].ModifiedProperties
    
  4. Para exibir o conteúdo dos campos CmdletParameters ou ModifiedParameters em outra entrada de log, altere o índice do elemento de matriz.

Usar o PowerShell para pesquisar entradas de log de auditoria e enviar resultados a um destinatário

Observação

O relatório que o cmdlet New-AdminAuditLogSearch gera pode ter tamanho máximo de 10 MB. Se a pesquisa retornar um relatório maior que 10 MB, altere os critérios de pesquisa especificados. Por exemplo, reduza o intervalo de datas e execute vários relatórios para cobrir o intervalo de datas original.

Se você quiser usar Outlook na Web (anteriormente conhecido como Outlook Web App) para exibir as entradas exportadas, será necessário habilitar anexos .xml no Outlook na Web. Para obter detalhes, consulte Configurar Outlook na Web para permitir anexos XML.

Você pode usar o Exchange Online PowerShell ou o Proteção do Exchange Online PowerShell autônomo para pesquisar entradas de log de auditoria que atendam aos critérios especificados e, em seguida, enviar esses resultados para um destinatário especificado como um anexo de arquivo XML. Os resultados são enviados ao destinatário em 15 minutos. Para obter uma lista de critérios de pesquisa, consulte critérios de cmdlet Search-AdminAuditLog.

Para pesquisar no log de auditoria pelos critérios especificados, use a sintaxe a seguir.

New-AdminAuditLogSearch -Cmdlets <cmdlet1, cmdlet2, ...> -Parameters <parameter1, parameter2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$true | $false > -StatusMailRecipients <recipient1, recipient2, ...> -Name <string to include in subject>

Esse exemplo realiza uma pesquisa em todas as entradas de log de auditoria com os seguintes critérios:

  • Data de início: 04/08/2020
  • Data de término: 03/10/2020
  • IDs de Usuário davids, chrisd, kima
  • Cmdlets: Set-Mailbox
  • Parâmetros: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

O comando envia os resultados para o endereço SMTP davids@contoso.com, com "Alterações de limite da caixa de correio" incluso na linha de assunto da mensagem.

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

Para obter mais informações sobre o formato do arquivo XML, consulte a estrutura de log de auditoria do administrador.

Para informações detalhadas de sintaxes e de parâmetros, consulte New-AdminAuditLogSearch.