Descripción del registro de auditoría de buzón
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2016-11-28
Dado que los buzones de correo pueden contener información confidencial, información de alto impacto comercial e información de identificación personal, es importante que realice un seguimiento de quién inicia sesión en los buzones de correo de su organización y las acciones que se llevan a cabo. Es especialmente importante que lleve un seguimiento del acceso a los buzones por parte de usuarios que no sean el propietario del buzón en cuestión. Estos usuarios se denominan usuarios delegados.
Mediante el registro de auditoría de buzón, puede registrar el acceso a los buzones de correo por parte de sus propietarios, delegados (incluidos los administradores con permisos de acceso total al buzón) y administradores. Se considera que un administrador ha tenido acceso a un buzón solamente en los escenarios indicados a continuación:
Si se usa la búsqueda de detección para realizar búsquedas en un buzón
El cmdlet New-MailboxExportRequest se usa para exportar un buzón de correo
Se utiliza Microsoft Exchange Server MAPI Editor para obtener acceso al buzón de correo
Al habilitar el registro de auditoría para un buzón de correo, se puede especificar qué acciones de usuario (por ejemplo, obtener acceso a un mensaje, moverlo o eliminarlo) se deben registrar para un tipo de inicio de sesión (administrador, usuario delegado o propietario) determinado. Las entradas del registro de auditoría también incluyen información importante, como la dirección IP del cliente, el nombre de host y el proceso o el cliente usado para obtener acceso al buzón de correo. Para los elementos movidos, la entrada incluye el nombre de la carpeta de destino.
Nota
Para buzones de correo como el Buzón de búsqueda de detección, que pueden contener información más confidencial, considere la posibilidad de habilitar el registro de auditoría de buzón para las acciones del propietario del buzón, como la eliminación de mensajes.
Contenido
Registros de auditoría de buzón
Habilitación del registro de auditoría de buzón
Realización de búsquedas en entradas de registro de auditoría de buzón
Entradas de registro de auditoría de buzón
Registros de auditoría de buzón
Los registros de auditoría de buzón se generan para cada buzón que tenga habilitado el registro de auditoría de buzón. Las entradas del registro se almacenan en la subcarpeta Auditorías de la carpeta del buzón auditado Elementos recuperables. De esta forma, se garantiza que todos los registros de auditoría estén disponibles en una única ubicación, independientemente del método de acceso de cliente usado para obtener acceso al buzón y del servidor o la estación de trabajo que haya usado el administrador para obtener acceso al registro de auditoría del buzón. Si mueve un buzón de correo a otro servidor de buzones, también se moverán los registros de auditoría de buzón pertinentes porque se encuentran en el buzón de correo.
De forma predeterminada, las entradas de un registro de auditoría de buzón se conservan en el buzón de correo durante 90 días y luego se eliminan. Puede modificar este período de retención con el parámetro AuditLogAgeLimit y el cmdlet Set-Mailbox. Si un buzón se coloca en litigio, las entradas de un registro de auditoría de buzón se conservan hasta que se alcanza el periodo de retención de registros de auditoría. Para retener más tiempo las entradas de registros de auditoría, debe incrementar el periodo de retención cambiando el valor para el parámetro AuditLogAgeLimit o exportar las entradas de registros de auditoría antes de alcanzar el periodo de retención. Para obtener más información, vea Crear una búsqueda en los registros de auditoría de buzones.
Registros de auditoría de buzón
Habilitación del registro de auditoría de buzón
El registro de auditoría de buzón se habilita por buzón de correo. El cmdlet Set-Mailbox permite habilitar o deshabilitar el registro de auditoría de buzón. Para obtener más información, consulte Habilitar o deshabilitar el registro de auditoría de buzones para un buzón.
Al habilitar el registro de auditoría de buzón en un buzón, el acceso al buzón de correo y algunas acciones realizadas por los administradores y delegados se registran de forma predeterminada. Para registrar las acciones que lleva a cabo el propietario del buzón, es necesario especificar las acciones de propietario que se deben auditar. En la tabla siguiente se indican las acciones registradas mediante el registro de auditoría de buzón, incluidos los tipos de inicio de sesión para los que se registra la acción.
Acciones de buzón de correo registradas por el registro de auditoría de buzón
| Acción | Descripción | Administrador | Delegado | Propietario |
|---|---|---|---|---|
Copiar |
Se copia un elemento en otra carpeta. |
Sí |
No |
No |
Create |
Se crea un elemento en el buzón. (Por ejemplo, se envía o recibe un mensaje.) Nota La creación de carpetas no se audita. |
Sí* |
Sí* |
Sí |
FolderBind |
Se obtiene acceso a una carpeta de buzón de correo.*** |
Sí* |
Sí** |
No |
HardDelete |
Se elimina un elemento de la carpeta Elementos recuperables de forma permanente. |
Sí* |
Sí* |
Sí |
MessageBind |
Se abre o se obtiene acceso a un elemento desde el panel de lectura.*** |
Sí |
No |
No |
Mover |
Se mueve un elemento a otra carpeta. |
Sí* |
Sí |
Sí |
MoveToDeletedItems |
Se mueve un elemento a la carpeta Elementos eliminados. |
Sí* |
Sí |
Sí |
SendAs |
Se envía un mensaje con los permisos Enviar como. |
Sí* |
Sí* |
No aplicable |
SendOnBehalf |
Se envía un mensaje con los permisos Enviar en nombre de. |
Sí* |
Sí |
No aplicable |
SoftDelete |
Se elimina un elemento de la carpeta Elementos eliminados. |
Sí* |
Sí* |
Sí |
Actualizar |
Se actualizan las propiedades de un elemento. |
Sí* |
Sí* |
Sí |
Copiar |
Se copia un elemento en otra carpeta. |
Sí |
No |
No |
Create |
Se crea un elemento en el buzón. (Por ejemplo, se envía o recibe un mensaje.) Nota La creación de carpetas no se audita. |
Sí* |
Sí* |
Sí |
FolderBind |
Se obtiene acceso a una carpeta de buzón de correo.*** |
Sí* |
Sí** |
No |
HardDelete |
Se elimina un elemento de la carpeta Elementos recuperables de forma permanente. |
Sí* |
Sí* |
Sí |
MessageBind |
Se abre o se obtiene acceso a un elemento desde el panel de lectura.*** |
Sí |
No |
No |
Mover |
Se mueve un elemento a otra carpeta. |
Sí* |
Sí |
Sí |
MoveToDeletedItems |
Se mueve un elemento a la carpeta Elementos eliminados. |
Sí* |
Sí |
Sí |
SendAs |
Se envía un mensaje con los permisos Enviar como. |
Sí* |
Sí* |
No aplicable |
SendOnBehalf |
Se envía un mensaje con los permisos Enviar en nombre de. |
Sí* |
Sí |
No aplicable |
SoftDelete |
Se elimina un elemento de la carpeta Elementos eliminados. |
Sí* |
Sí* |
Sí |
Actualizar |
Se actualizan las propiedades de un elemento. |
Sí* |
Sí* |
Sí |
* Se audita de manera predeterminada si la auditoría está habilitada para el buzón. ** Se consolidan las entradas de acciones de recopilación que realizan los delegados. Se genera una entrada de registro para el acceso individual a una carpeta por un período de tiempo de veinticuatro horas. *** FolderBind y MessageBind no están registrados para el calendario predeterminado.
El acceso a buzones mediante procesos automatizados autorizados, tales como cuentas usadas por herramientas de terceros o por controles legales, puede crear una gran cantidad de entradas de registro de auditoría de buzón. Esto puede no ser de interés para su organización. Puede configurar estas cuentas para que se omita el registro de auditoría de buzón. Para obtener más información, consulte Omitir una cuenta de usuario desde el registro de auditoría de buzones.
Si ya no necesita que se auditen determinados tipos de acciones de buzón, tendrá que modificar la configuración de registro de auditoría del buzón para deshabilitarlas. Las entradas de registro existentes no se purgan hasta que se alcanza la antigüedad de registro de auditoría definida para el buzón.
Registros de auditoría de buzón
Realización de búsquedas en entradas de registro de auditoría de buzón
Puede usar los métodos indicados a continuación para buscar entradas del registro de auditoría de buzón:
Buscar en un único buzón de forma sincrónica Use el cmdlet Search-MailboxAuditLog para buscar de forma sincrónica las entradas de registro de auditoría de buzón en un único buzón de correo. El cmdlet muestra los resultados de la búsqueda en la ventana del Shell de administración de Exchange. Para obtener más información, consulte Search-MailboxAuditLog y Buscar el registro de auditoría de un buzón.
Buscar en uno o más buzones de forma asincrónica Cree una búsqueda de registros de auditoría de buzón para buscar de forma asincrónica registros de auditoría de buzón en uno o más buzones de correo y, a continuación, envíe los resultados de la búsqueda a una dirección de correo electrónico especificada. Los resultados de la búsqueda se envían como datos adjuntos XML. Para crear la búsqueda, use el cmdlet New-MailboxAuditLogSearch. Para obtener más información, consulte Crear una búsqueda en los registros de auditoría de buzones.
Usar informes de auditoría en el Panel de control de Exchange Use la ficha Auditoría en el Panel de control de Exchange (ECP) para ejecutar informes de auditoría o exportar entradas del registro de auditoría de buzón y del registro de auditoría del administrador. Para obtener más información, consulte Ficha Auditoría.
Entradas de registro de auditoría de buzón
En la tabla siguiente se describen los campos registrados en una entrada de registro de auditoría de buzón.
Campos de registro de auditoría de buzón
| Campo | Se rellena con |
|---|---|
Operation |
Una de las acciones siguientes:
|
OperationResult |
Uno de los resultados siguientes:
|
LogonType |
Tipo de inicio de sesión del usuario que realizó la operación. Entre los tipos de inicio de sesión, se incluyen:
|
DestFolderId |
GUID de la carpeta de destino para las operaciones de movimiento. |
DestFolderPathName |
Ruta de acceso de la carpeta de destino para las operaciones de movimiento. |
FolderId |
GUID de la carpeta. |
FolderPathName |
Ruta de acceso de la carpeta. |
ClientInfoString |
Detalles que identifican qué cliente o qué componente de Exchange realizó la operación. |
ClientIPAddress |
Dirección IP del equipo cliente. |
ClientMachineName |
Nombre del equipo cliente. |
ClientProcessName |
Nombre del proceso de la aplicación cliente. |
ClientVersion |
Versión de la aplicación cliente. |
InternalLogonType |
Tipo de inicio de sesión del usuario que realizó la operación. Entre los tipos de inicio de sesión, se incluyen:
|
MailboxOwnerUPN |
Nombre principal de usuario (UPN) del propietario del buzón. |
MailboxOwnerSid |
Identificador de seguridad del propietario del buzón (SID). |
DestMailboxOwnerUPN |
Nombre principal de usuario (UPN) del propietario del buzón de destino, registrado para operaciones entre buzones. |
DestMailboxOwnerSid |
SID del propietario del buzón de destino, registrado para operaciones entre buzones. |
DestMailboxOwnerGuid |
GUID del propietario del buzón de destino. |
CrossMailboxOperation |
Información sobre si la operación registrada es una operación entre buzones (por ejemplo, copiar o mover mensajes entre buzones). |
LogonUserDisplayName |
Nombre para mostrar del usuario que ha iniciado sesión. |
DelegateUserDisplayName |
Nombre para mostrar del usuario delegado. |
LogonUserSid |
SID del usuario que ha iniciado sesión. |
SourceItems |
Identificador de elemento de los elementos de buzón donde se haya realizado la acción registrada (por ejemplo, mover o eliminar). Para las operaciones realizados en varios elementos, este campo se devuelve como un conjunto de elementos. |
SourceFolders |
GUID de la carpeta de origen. |
ItemId |
Identificador del elemento. |
ItemSubject |
Asunto del elemento. |
MailboxGuid |
GUID del buzón. |
MailboxResolvedOwnerName |
Nombre resuelto del usuario de buzón con el formato DOMINIO\NombreCuentaSam. |
LastAccessed |
Hora en que se realizó la operación. |
Identity |
Identificador de entrada de registro de auditoría. |
Operation |
Una de las acciones siguientes:
|
OperationResult |
Uno de los resultados siguientes:
|
LogonType |
Tipo de inicio de sesión del usuario que realizó la operación. Entre los tipos de inicio de sesión, se incluyen:
|
DestFolderId |
GUID de la carpeta de destino para las operaciones de movimiento. |
DestFolderPathName |
Ruta de acceso de la carpeta de destino para las operaciones de movimiento. |
FolderId |
GUID de la carpeta. |
FolderPathName |
Ruta de acceso de la carpeta. |
ClientInfoString |
Detalles que identifican qué cliente o qué componente de Exchange realizó la operación. |
ClientIPAddress |
Dirección IP del equipo cliente. |
ClientMachineName |
Nombre del equipo cliente. |
ClientProcessName |
Nombre del proceso de la aplicación cliente. |
ClientVersion |
Versión de la aplicación cliente. |
InternalLogonType |
Tipo de inicio de sesión del usuario que realizó la operación. Entre los tipos de inicio de sesión, se incluyen:
|
MailboxOwnerUPN |
Nombre principal de usuario (UPN) del propietario del buzón. |
MailboxOwnerSid |
Identificador de seguridad del propietario del buzón (SID). |
DestMailboxOwnerUPN |
Nombre principal de usuario (UPN) del propietario del buzón de destino, registrado para operaciones entre buzones. |
DestMailboxOwnerSid |
SID del propietario del buzón de destino, registrado para operaciones entre buzones. |
DestMailboxOwnerGuid |
GUID del propietario del buzón de destino. |
CrossMailboxOperation |
Información sobre si la operación registrada es una operación entre buzones (por ejemplo, copiar o mover mensajes entre buzones). |
LogonUserDisplayName |
Nombre para mostrar del usuario que ha iniciado sesión. |
DelegateUserDisplayName |
Nombre para mostrar del usuario delegado. |
LogonUserSid |
SID del usuario que ha iniciado sesión. |
SourceItems |
Identificador de elemento de los elementos de buzón donde se haya realizado la acción registrada (por ejemplo, mover o eliminar). Para las operaciones realizados en varios elementos, este campo se devuelve como un conjunto de elementos. |
SourceFolders |
GUID de la carpeta de origen. |
ItemId |
Identificador del elemento. |
ItemSubject |
Asunto del elemento. |
MailboxGuid |
GUID del buzón. |
MailboxResolvedOwnerName |
Nombre resuelto del usuario de buzón con el formato DOMINIO\NombreCuentaSam. |
LastAccessed |
Hora en que se realizó la operación. |
Identity |
Identificador de entrada de registro de auditoría. |
Registros de auditoría de buzón
© 2010 Microsoft Corporation. Reservados todos los derechos.