Exportar (0) Imprimir
Expandir Tudo

Registro em log de auditoria de caixa de correio

 

Aplicável a: Exchange Server 2013

Tópico modificado em: 2013-12-12

Caixas de correio podem conter informações confidenciais, informações HBI (de alto impacto nos negócios) e PII (informações de identificação pessoal). Por isso, é importante acompanhar quem faz logon nas caixas de correio da sua organização e rastrear as ações executadas. É especialmente importante monitorar o acesso de usuários que não sejam donos das caixas de correio em questão. Esses usuários são chamados de usuários representantes.

Usando o log de auditoria de caixa de correio, você pode registrar o acesso à caixa de correio por proprietários de caixas de correio, representantes (inclusive os administradores com total permissão de acesso a caixas de correio) e administradores.

Ao habilitar o log de auditoria para uma caixa de correio, você pode especificar quais ações do usuário (por exemplo, acesso, movimentação ou exclusão de uma mensagem) serão registradas para um tipo de logon (administrador, representante, usuário ou proprietário). As entradas de log de auditoria também incluem informações importantes como, por exemplo, endereço IP do cliente, nome do host e processo ou cliente utilizado para acessar a caixa de correio. Para itens movidos, a entrada inclui o nome da pasta de destino.

Os logs de auditoria de caixa de correio são gerados para cada caixa de correio que tenha o registro em log de auditoria de caixa de correio habilitado. As entradas de log são armazenadas na subpasta Auditorias da pasta Itens Recuperáveis, na caixa de correio auditada. Isso garante que todas as entradas de auditoria fiquem disponíveis em um único local, independentemente do método de acesso para cliente usado para acessar a caixa de correio ou de qual servidor ou estação de trabalho foi usado pelo administrador para acessar o log de auditoria de caixa de correio. Se você mover uma caixa de correio para outro servidor de Caixa de Correio, os logs de auditoria de caixa de correio dessa caixa também serão movidos, pois estão localizados na caixa de correio.

Por padrão, as entradas do log de auditoria de caixa de correio são mantidas na caixa de correio por 90 dias e depois excluídas. Esse período de retenção pode ser modificado com o uso do parâmetro AuditLogAgeLimit com o cmdlet Set-Mailbox. Se uma caixa de correio estiver em Retenção In-Loco ou em Retenção de Litígio, as entradas de log de auditoria só serão retidas até que o período de retenção de log da caixa de correio seja atingido. Para reter as entradas de log de auditoria por mais tempo, é preciso aumentar o período de retenção alterando o valor do parâmetro AuditLogAgeLimit. Também é possível exportar as entradas de log de auditoria antes de o período de retenção terminar. Para mais informações, consulte:

O registro em log de auditoria de caixa de correio é habilitado por caixa de correio. Use o cmdlet Set-Mailbox para habilitar ou desabilitar o log de auditoria de caixa de correio. Para detalhes, consulte Habilitar ou Desabilitar Registro de Auditoria da Caixa de Correio para uma Caixa de Correio.

Quando você habilita o log de auditoria de caixa de correio para uma caixa de correio, o acesso à caixa de correio e algumas ações executadas por administradores e representantes são registradas no log por padrão. Para registrar em log as ações executadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas.

A tabela a seguir lista as ações registradas pelo log de auditoria de caixa de correio, incluindo os tipos de logon para os quais a ação pode ser registrada.

 

Ação Descrição Administrador Delegar Owner

Cópia

Um item é copiado para outra pasta.

Sim

Sim

Não

Criar

Um item é criado na caixa de correio (por exemplo, uma mensagem é enviada ou recebida). Observe que a criação da pasta não é auditada.

Sim*

Sim*

Sim

FolderBind

Uma pasta da caixa de correio é acessada.

Sim*

Sim**

Não

HardDelete

Um item é excluído permanentemente da pasta Itens Recuperáveis.

Sim*

Sim*

Sim

MessageBind

Um item é acessado no painel de leitura ou aberto.

Sim

Não

Não

Mover

Um item é movido para outra pasta.

Sim*

Sim

Sim

MoveToDeletedItems

Um item é movido para a Itens Excluídos.

Sim*

Sim

Sim

SendAs

Uma mensagem é enviada usando permissões Enviar como.

Sim*

Sim*

Não se aplica

SendOnBehalf

Uma mensagem é enviada usando permissões Enviar em nome de.

Sim*

Sim

Não se aplica

SoftDelete

Um item é excluído da pasta Itens Excluídos.

Sim*

Sim*

Sim

Update

As propriedades de um item são atualizadas.

Sim*

Sim*

Sim

Auditado por padrão se a auditoria estiver habilitada para uma caixa de correio.

** As entradas para ações de associação de pastas realizadas pelos representantes são consolidadas. Uma entrada de log é gerada para acesso individual de pasta dentro de um intervalo de tempo de três horas.

Caso não seja mais necessário fazer a auditoria de alguns tipos de ações da caixa de correio, modifique a configuração de registro em log de auditoria da caixa de correio para desabilitar essas ações. Entradas de log existentes não serão limpas enquanto o limite de idade das entradas de log de auditoria não for atingido.

Você pode usar os seguintes métodos para pesquisar entradas de log de auditoria de caixa de correio:

A tabela a seguir descreve os campos registrados em uma entrada de log de auditoria de caixa de correio.

 

Campo Populado com

Operation

Uma destas ações:

  • Copiar

  • Criar

  • FolderBind

  • HardDelete

  • MessageBind

  • Mover

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Atualizar

OperationResult

Um destes resultados:

  • Falha

  • PartiallySucceeded

  • Com Êxito

LogonType

Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:

  • Owner

  • Delegar

  • Admin

DestFolderId

GUID da pasta de destino para operações de movimentação.

DestFolderPathName

Caminho da pasta de destino para operações de movimentação.

FolderId

GUID da pasta.

FolderPathName

Caminho da pasta.

ClientInfoString

Detalhes que identificam qual cliente ou componente do Exchange realizou a operação.

ClientIPAddress

Endereço IP do computador cliente.

ClientMachineName

Nome do computador cliente.

ClientProcessName

O nome do processo do aplicativo cliente.

ClientVersion

Versão do aplicativo do cliente.

InternalLogonType

Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:

  • Owner

  • Delegar

  • Admin

MailboxOwnerUPN

Nome UPN do proprietário da caixa de correio.

MailboxOwnerSid

SID (identificador de segurança) do proprietário da caixa de correio.

DestMailboxOwnerUPN

Nome UPN do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.

DestMailboxOwnerSid

SID do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.

DestMailboxOwnerGuid

GUID do proprietário da caixa de correio de destino.

CrossMailboxOperation

Informações sobre se a operação registrada é uma operação de caixas de correio cruzadas (por exemplo, copiar ou mover mensagens entre caixas de correio).

LogonUserDisplayName

Nome para exibição do usuário que está conectado.

DelegateUserDisplayName

Nome para exibição do usuário representado.

LogonUserSid

SID do usuário que está conectado.

SourceItems

ItemID dos itens de caixa de correio nos quais a ação registrada foi realizada (por exemplo, mover ou excluir). Para operações realizadas em diversos itens, o campo é retornado como uma coleção de itens.

SourceFolders

GUID da pasta de origem.

ItemId

ID do item.

ItemSubject

Assunto do item.

MailboxGuid

GUID da caixa de correio.

MailboxResolvedOwnerName

Nome resolvido do usuário da caixa de correio no formato DOMÍNIO\NomeDeContaSAM.

LastAccessed

A hora na qual a operação foi realizada.

Identity

ID da entrada do log de auditoria.

  • Acesso de administrador a caixas de correio   Considera-se que caixas de correio são acessadas por um administrador apenas nestes cenários:

  • Ignorando o log de auditoria de caixa de correio   O acesso a caixas de correio por processos automatizados – por exemplo, contas usadas por ferramentas de terceiros ou contas utilizadas para fins de monitoramento por força de lei – pode criar um grande número de entradas de log de auditoria, e isso talvez não interesse à sua organização. Essas contas podem ser configuradas para ignorar o registro em log de auditoria de caixa de correio. Para detalhes, consulte Ignorar uma Conta de Usuário do Log de Auditoria de Caixa de Correio.

  • Registrando ações de proprietários de caixas de correio   Para caixas de correio como, por exemplo, Caixa de Correio de Pesquisa de Descoberta, as quais podem conter informações confidenciais, considere habilitar o log de auditoria de caixa de correio para ações do proprietário da caixa de correio; por exemplo, exclusão de mensagens.

Logs de auditoria de caixa de correio

 
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft