Como usar o log de auditoria do administrador no Exchange Server
Você pode usar o log de auditoria de administrador no Exchange Server para fazer logon quando um usuário ou administrador fizer uma alteração em sua organização. Mantendo um log das alterações, você pode rastrear quem fez cada alteração, aumentar seus logs de alterações com registros detalhados da alteração quando ela foi implementada, atender aos requisitos regulamentares e às solicitações para descoberta e mais.
Por padrão, o log de auditoria do administrador está habilitado em novas instalações de Exchange Server.
O que é auditado
Cmdlets que são executados diretamente no Shell de Gerenciamento do Exchange são auditados. Além disso, as operações realizadas usando o Centro de administração do Exchange (EAC) também são registradas porque elas executam cmdlets no plano de fundo.
Cmdlets, onde quer que sejam executados, serão auditados se um deles estiver na lista de auditoria de cmdlets e um ou mais parâmetros desse cmdlet estiverem na lista de auditoria de parâmetros. O objetivo do registro em log de auditoria é mostrar quais ações foram tomadas para modificar objetos em uma organização do Exchange, e não quais objetos foram exibidos.
Observações:
Um cmdlet poderá não ser registrado em log se ocorrer um erro antes de o cmdlet chamar o agente de extensão de cmdlet Log de Auditoria de Admin. Se ocorrer um erro depois que o agente de Log de Auditoria de Admin for chamado, o cmdlet será registrado em log com o erro associado. Para obter mais informações, consulte a seção Agente de Log de Auditoria de Admin mais adiante neste tópico.
As alterações na configuração do log de auditoria são atualizadas a cada 60 minutos em computadores que têm o Shell de Gerenciamento do Exchange aberto no momento em que uma alteração de configuração é feita. Se você quiser aplicar as alterações imediatamente, feche e abra o Shell de Gerenciamento do Exchange novamente em cada computador.
Um comando pode demorar até 15 minutos após sua execução para aparecer nos resultados de pesquisa do log de auditoria. Isso ocorre porque as entradas do log de auditoria precisam ser indexadas antes de serem pesquisáveis. Se um comando não aparecer no log de auditoria do administrador, aguarde alguns minutos e execute a pesquisa novamente.
Administração configuração de log de auditoria
Por padrão, quando o log de auditoria de administrador está habilitado, uma entrada de log é criada sempre que qualquer cmdlet é executado. Se não quiser auditar todos os cmdlets executados, o log de auditoria poderá ser configurado para auditar apenas os cmdlets e os parâmetros em que você está interessado. O log de auditoria é configurado com o cmdlet Set-AdminAuditLogConfig. Os parâmetros mencionados nas seções a seguir são usados com esse cmdlet.
Importante
As alterações na configuração de log de auditoria do administrador são sempre registradas, independentemente de o cmdlet Set-AdminAuditLogConfig estar incluído na lista de cmdlets que estão sendo auditados ou se o log de auditoria está habilitado ou desabilitado.
Quando um comando é executado, o Exchange inspeciona o cmdlet usado. Se o cmdlet executado corresponder a qualquer um dos cmdlets fornecidos com o parâmetro AdminAuditLogCmdlets , o Exchange verificará os parâmetros especificados no parâmetro AdminAuditLogParameters . Se pelo menos um ou mais parâmetros da lista de parâmetros forem correspondidos, o Exchange registrará o cmdlet executado. As seções a seguir contêm mais informações sobre cada aspecto da configuração do log de auditoria.
Para mais informações sobre o gerenciamento de configuração de registro em log de auditoria, consulte Gerenciar o administrador do log de auditoria.
Cmdlets
É possível controlar quais cmdlets serão auditados fornecendo uma lista de cmdlets e dos parâmetros que deseja registrar. Ao configurar o log de auditoria, você pode especificar para auditar cada cmdlet ou especificar os cmdlets que deseja auditar usando o parâmetro AdminAuditLogCmdlets . Você pode especificar nomes de cmdlet completos, como New-Mailbox, ou especificar nomes parciais de cmdlet e incluir esses nomes em caracteres curinga, como um asterisco (*). Por exemplo, se você quiser fazer log quando qualquer cmdlet que contém a cadeia de caracteres Transport for executado, você poderá especificar um valor de *Transport*. É possível misturar nomes completos e nomes parciais de cmdlet para adequar o log de auditoria às suas necessidades.
Para auditar todos os cmdlets, especifique apenas um caractere curinga (*). Esta é a configuração padrão.
Parâmetros
Além de especificar quais cmdlets deseja registrar em log, você também pode indicar que os cmdlets só sejam registrados se certos parâmetros deles forem usados. Use o parâmetro AdminAuditLogParameters para especificar quais parâmetros devem ser registrados. Assim como acontece com os cmdlets, você pode especificar nomes de parâmetros completos, como Database, ou nomes de parâmetro parciais fechados em caracteres curinga (*), como *Address*, ou uma combinação de ambos.
Para auditar todos os parâmetros, especifique apenas um caractere curinga (*). Esta é a configuração padrão.
Administração limite de idade do log de auditoria
Por padrão, o log de auditoria de administrador é configurado para armazenar entradas de log de auditoria por 90 dias. Após 90 dias, a entrada de log de auditoria é excluída. Você pode alterar o limite de idade do log de auditoria usando o parâmetro AdminAuditLogAgeLimit . Por exemplo, para alterar o limite de idade para 180 dias, use o comando Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 180. Você também pode especificar o número de dias, horas, minutos e segundos que as entradas de log de auditoria devem ser mantidas. Para especificar um valor, use o formato dd.hh:mm:ss em que o seguinte se aplica:
dd: o número de dias para manter a entrada do log de auditoria.
hh: o número de horas para manter a entrada do log de auditoria.
mm: o número de minutos para manter a entrada do log de auditoria.
ss: o número de segundos para manter a entrada do log de auditoria.
Você precisa especificar vários anos usando o dd campo. Por exemplo, 365 dias é igual a um ano; 730 dias é igual a dois anos; 913 dias é igual a dois anos e seis meses. Por exemplo, para definir o limite de idade do log de auditoria como dois anos e seis meses, use o valor 913.
Observações:
Você pode definir o limite de idade do log de auditoria de administrador como um valor menor que o limite de idade atual. Se isso for feito, todas as entradas do log de auditoria com idade que exceda o novo limite de idade serão excluídas.
Se você definir o limite de idade como 0, o Exchange excluirá todas as entradas no log de auditoria.
Recomendamos atribuir permissões para configurar o limite de idade do log de auditoria apenas para usuários altamente confiáveis.
Log detalhado
Por padrão, o log de auditoria de administrador registra apenas o nome do cmdlet, os parâmetros de cmdlet (e os valores especificados), o objeto que foi modificado, quem executou o cmdlet, quando o cmdlet foi executado e em qual servidor o cmdlet foi executado. O log de auditoria de administrador não registra quais propriedades foram modificadas no objeto. Se você quiser que o log de auditoria de administrador inclua também as propriedades do objeto que foram modificadas, você poderá habilitar o log verboso definindo o parâmetro LogLevel como Verbose. Quando você habilita o log verboso, além das informações registradas por padrão, as propriedades modificadas em um objeto, incluindo seus valores antigos e novos, são incluídas no log de auditoria de administrador.
Cmdlets de teste
Os cmdlets que começam com o verbo Test não são registrados em log por padrão. Você pode indicar que os cmdlets de teste devem ser registrados definindo o parâmetro TestCmdletLoggingEnabled como $true. Embora você possa habilitar o registro em log de cmdlets de teste, recomendamos que você faça isso apenas por curtos períodos de tempo, pois os cmdlets de teste podem produzir um grande número de entradas de log de auditoria.
log de auditoria Administração
Sempre que um cmdlet é registrado, uma entrada de log de auditoria de administrador é criada. As entradas de log de auditoria são armazenadas no log de auditoria de administrador, que é armazenado em uma caixa de correio de arbitragem oculta e dedicada que só pode ser acessada usando o EAC, o cmdlet Search-AdminAuditLog ou o cmdlet New-AdminAuditLogSearch . As seções a seguir fornecem informações sobre:
O que está incluído no log de auditoria do administrador.
Relatórios disponíveis na página Auditoria do EAC.
Administração cmdlets de pesquisa de log de auditoria.
Auditar o conteúdo do log
Cada entrada de log de auditoria contém as informações descritas na tabela a seguir. O log de auditoria contém uma ou mais entradas de log de auditoria. O número de entradas de log de auditoria é controlado pelo limite de idade do log de auditoria especificado usando o Set-AdminAuditLogConfig -AdminAuditLogAgeLimit comando. Todas as entradas de log de auditoria que excederem o limite de idade serão excluídas.
Campos de entrada de log de auditoria
| Campo | Descrição |
|---|---|
RunspaceId |
Esse campo é usado internamente pelo Exchange. |
ObjectModified |
Este campo contém o objeto que foi modificado pelo cmdlet especificado no CmdletName campo. |
CmdletName |
Este campo contém o nome do cmdlet executado pelo usuário no Caller campo. |
CmdletParameters |
Esse campo contém os parâmetros especificados quando o cmdlet no CmdletName campo foi executado. O valor especificado com o parâmetro, se houver, também é armazenado nesse campo, mas não é visível na saída-padrão. |
ModifiedProperties |
Este campo contém as propriedades que foram modificadas no objeto no ObjectModified campo. O valor antigo da propriedade e o novo valor que foi armazenado também é armazenado nesse campo, mas não é visível na saída-padrão. Importante: esse campo só será preenchido se o parâmetro LogLevel no cmdlet Set-AdminAuditLogConfig for definido como verbose. |
Caller |
Este campo contém a conta de usuário do usuário que executou o cmdlet no CmdletName campo. |
Succeeded |
Este campo especifica se o cmdlet no CmdletName campo foi executado com êxito. O valor é True ou False. |
Error |
Esse campo contém a mensagem de erro gerada se o cmdlet no CmdletName campo não tiver sido concluído com êxito. |
RunDate |
Este campo contém a data e a hora em que o cmdlet no CmdletName campo foi executado. A data e a hora são armazenadas no formato UTC (Tempo Universal Coordenado). |
OriginatingServer |
Esse campo indica o servidor no qual o cmdlet especificado no CmdletName campo foi executado. |
Identity |
Esse campo é usado internamente pelo Exchange. |
IsValid |
Esse campo é usado internamente pelo Exchange. |
ObjectState |
Esse campo é usado internamente pelo Exchange. |
Relatórios de auditoria de EAC
A página Auditoria no EAC tem vários relatórios que fornecem informações sobre vários tipos de conformidade e alterações de configuração administrativa. Os relatórios a seguir fornecem informações sobre alterações nas configurações em sua organização:
Relatório do grupo de funções de administrador: este relatório permite que você pesquise alterações nos grupos de funções de gerenciamento que você especificar dentro de um período especificado. Os resultados retornados incluem os grupos de função que foram alterados, quem os alterou e quando, além de quais alterações foram feitas. Um valor máximo de 3.000 entradas pode ser retornado. Se sua pesquisa retornar mais de 3.000 entradas, use o relatório de Log de auditoria de administrador ou o cmdlet Search-AdminAuditLog.
Administração relatório de log de auditoria: este relatório permite exibir entradas no log de auditoria de administrador registradas em um período de tempo especificado. Você também pode exportar entradas de log de auditoria de administrador para um arquivo XML e enviar o arquivo por email para um destinatário especificado. Para mais informações sobre o conteúdo do arquivo XML, consulte Estrutura de log de auditoria do administrador.
Para obter informações sobre como usar esses relatórios, consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.
Cmdlet Search-AdminAuditLog
Quando você executa o cmdlet Search-AdminAuditLog , todas as entradas de log de auditoria que correspondem aos critérios de pesquisa são retornadas. Você pode especificar os seguintes critérios de pesquisa:
Cmdlets: especifica os cmdlets que você deseja pesquisar no log de auditoria do administrador.
Parâmetros: especifica os parâmetros, separados por vírgulas, que você deseja pesquisar no log de auditoria do administrador. Você pode pesquisar parâmetros somente se você especificar um cmdlet a ser pesquisado.
Data de término: escopos dos resultados do log de auditoria de administrador para registrar entradas que ocorreram em ou antes da data especificada.
Data de início: escopos dos resultados do log de auditoria de administrador para registrar entradas que ocorreram em ou após a data especificada.
IDs de objeto: especifica que somente as entradas de log de auditoria de administrador que contêm os objetos alterados especificados devem ser retornadas
IDs do usuário: especifica que somente as entradas de log de auditoria de administrador que contêm as IDs especificadas do usuário que executou o cmdlet devem ser retornadas.
Conclusão bem-sucedida: especifica se somente as entradas de log de auditoria de administrador que indicaram um sucesso ou falha devem ser retornadas.
Cada entrada de log de auditoria contém as informações descritas na tabela em Conteúdo de log de auditoria. Por padrão, somente as primeiras 1.000 entradas de log que correspondem aos critérios de pesquisa são retornadas. No entanto, você pode substituir esse padrão e retornar mais ou menos entradas usando o parâmetro ResultSize . Você pode especificar um valor de Unlimited com o parâmetro ResultSize para retornar todas as entradas de log que correspondam aos critérios especificados.
Para obter informações sobre como usar o cmdlet Search-AdminAuditLog , consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.
Cmdlet New-AdminAuditLogSearch
O cmdlet New-AdminAuditLogSearch pesquisa o log de auditoria de administrador, assim como o cmdlet Search-AdminAuditLog . No entanto, em vez de exibir os resultados da pesquisa no Shell de Gerenciamento do Exchange, o cmdlet New-AdminAuditLogSearch executa a pesquisa e envia os resultados para um destinatário que você especifica por meio de uma mensagem de email. Os resultados são incluídos como um anexo XML à mensagem de email.
É possível usar os mesmos critérios de pesquisa com o cmdlet New-AdminAuditLogSearch que é usado no cmdlet Search-AdminAuditLog. Para obter uma lista com critérios de pesquisa, consulte Cmdlet Search-AdminAuditLog.
Após a execução do cmdlet New-AdminAuditLogSearch, o Exchange pode levar até 15 minutos para entregar o relatório ao destinatário especificado. O relatório anexado ao arquivo XML pode ter no máximo 10 MB. O arquivo XML contém as mesmas informações descritas na tabela de Conteúdo do log de auditoria. Para mais informações sobre a estrutura do arquivo XML, consulte Estrutura de log de auditoria do administrador.
Observação
Outlook Web App não permite que você abra anexos XML por padrão. Você pode configurar o Exchange para permitir que anexos XML sejam exibidos usando Outlook Web App ou usar outro cliente de email, como o Microsoft Outlook, para exibir o anexo. Para obter informações sobre como configurar Outlook Web App para permitir que você exiba um anexo XML, consulte Exibir ou configurar Outlook na Web diretórios virtuais no Exchange Server.
Para obter informações sobre como usar o cmdlet New-AdminAuditLogSearch , consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.
Entradas de log de auditoria de administrador manual
Além de registrar cmdlets do Exchange quando eles são executados, Exchange Server permite que você escreva manualmente entradas de log no log de auditoria. Exchange Server dá suporte a isso usando o cmdlet Write-AdminAuditLog. As situações nas quais você pode querer adicionar uma entrada manual de log são as seguintes:
Entrada e saída de script personalizado
Informações de controle de alterações
Horário de início e término de manutenção
Com o cmdlet Write-AdminAuditLog , você especifica uma cadeia de caracteres de texto a ser incluída no log de auditoria usando o parâmetro Comentário . O parâmetro Comment aceita uma cadeia de caracteres alfanumérica de até 500 caracteres. Na entrada do log de auditoria manual, junto com a cadeia de caracteres de comentários, estão as mesmas informações capturadas quando um cmdlet do Exchange for registrado em log. Para uma descrição de cada campo incluído no log de auditoria, consulte a tabela em Conteúdo do log de auditoria.
Você pode recuperar entradas de log de auditoria manual da mesma forma que qualquer outra entrada de log, usando a página Auditoria do EAC ou usando os cmdlets Search-AdminAuditLog ou New-AdminAuditLogSearch .
Para exibir o conteúdo do parâmetro Comentário no cmdlet Write-AdminAuditLog em uma entrada de log de auditoria manual, consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.
Replicação do Active Directory
O log de auditoria do administrador depende da replicação do Active Directory para replicar as definições de configuração e especificar os controladores de domínio na organização. Dependendo das configurações de replicação, as alterações feitas podem não ser aplicadas imediatamente a todos os servidores que executam o Exchange em sua organização.
Agente de Log de Auditoria de Admin
O agente de extensão de cmdlet interno do Log de Auditoria Administração executa o registro em log de auditoria de administrador de operações de cmdlet no Exchange Server. Esse agente lê a configuração do log de auditoria e realiza uma avaliação de cada cmdlet executado em sua organização. Se os critérios especificados na configuração do log de auditoria de administrador corresponderem ao cmdlet que está sendo executado, o agente gerará uma entrada de log de auditoria.
O agente do Log de Auditoria Administração está habilitado por padrão, o que é necessário para que o log de auditoria de administrador funcione. Ele não pode ser desabilitado e sua prioridade não pode ser alterada. Para mais informações sobre agentes de extensão de cmdlet, consulte Cmdlet Extension Agents.