.png)
Registro em log de auditoria de caixa de correio
Aplica-se a: Exchange Server 2013
Tópico modificado em: 2012-10-14
Como as caixas de correio têm boas chances de conter informações confidenciais de alto impacto sobre os negócios, além de informações de identificação pessoal, é importante que você acompanhe quem faz logon nas caixas de correio de sua organização e quais ações são realizadas. É especialmente importante monitorar o acesso de usuários que não sejam donos das caixas de correio em questão. Esses usuários são chamados de usuários de representação.
Com o registro em log de auditoria de caixa de correio, você pode registrar o acesso às caixas de correio por proprietários, representantes (incluindo administradores com permissões de acesso completo à caixa de correio) e administradores. Considera-se que as caixas de correio sejam acessadas por um administrador apenas nos seguintes cenários:
-
A Descoberta eletrônica In-loco é usada para pesquisar uma caixa de correio.
-
O cmdlet New-MailboxExportRequest é usado para exportar uma caixa de correio.
-
O Microsoft Exchange Server MAPI Editor é usado para acessar a caixa de correio.
Ao habilitar um log de auditoria para uma caixa de correio, você pode especificar quais ações de usuário (por exemplo, acesso, movimentação ou exclusão de mensagens) devem ser registradas em log para um tipo de logon (administrador, usuário representante ou proprietário). As entradas no log de auditoria também incluem informações importantes, como o endereço IP do cliente, o nome do host e o processo ou cliente usado para acessar a caixa de correio. Para itens movidos, a entrada inclui o nome da pasta de destino.
 Observação: |
|---|
| Para caixas de correio como a Caixa de correio de pesquisa de descoberta, que podem conter mais informações confidenciais, considere habilitar o registro em log de auditoria da caixa de correio para ações do proprietário da caixa, como a exclusão de mensagens. |
Conteúdo
Logs de auditoria de caixa de correio
Habilitar o registro em log de auditoria de caixa de correio
Pesquisar entradas de log de auditoria de caixa de correio
Entradas de log de auditoria de caixa de correio
Os logs de auditoria de caixa de correio são gerados para cada caixa de correio que tenha o registro em log de auditoria de caixa de correio habilitado. As entradas de log são armazenadas na subpasta Auditorias da caixa de correio em auditoria Pasta Itens Recuperáveis. Isso garante que todos os logs de auditoria estejam disponíveis a partir de um mesmo local, seja qual for o método de acesso para cliente usado para acessar a caixa de correio, ou qual servidor ou estação de trabalho um administrador usou para acessar o log de auditoria da caixa de correio. Se você mover uma caixa de correio para outro servidor de Caixa de Correio, os logs de auditoria de caixa de correio dessa caixa também serão movidos, pois estão localizados na caixa de correio.
Por padrão, as entradas do log de auditoria de caixa de correio são mantidas na caixa por 90 dias. Esse período de retenção pode ser modificado com o uso do parâmetro AuditLogAgeLimit com o cmdlet Set-Mailbox. Se uma caixa de correio estiver em Bloqueio In-loco ou em retenção de litígio, os logs de auditoria serão retidos até que a suspensão seja removida.
O registro em log de auditoria de caixa de correio é habilitado por caixa de correio. Use o cmdlet Set-Mailbox para habilitar ou desabilitar o log de auditoria de caixa de correio. Para detalhes, consulte Habilitar ou Desabilitar Registro de Auditoria da Caixa de Correio para uma Caixa de Correio.
Quando você habilita o log de auditoria de caixa de correio para uma caixa de correio, o acesso à caixa de correio e algumas ações executadas por administradores e representantes são registradas no log por padrão. Para registrar em log as ações executadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas. A tabela a seguir lista as ações registradas pelo log de auditoria de caixa de correio, incluindo os tipos de logon cujas ações serão registradas.
Ações de caixa de correio registradas pelo log de auditoria de caixa de correio
| Ação | Descrição | Administrador | Delegar | Owner | ||
|---|---|---|---|---|---|---|
| Cópia | Um item é copiado para outra pasta. | Sim | Sim | NA (Not applicable) | ||
| Criar | Um item é criado na caixa de correio (por exemplo, uma mensagem é enviada ou recebida).
| Sim* | Sim* | Sim | ||
| FolderBind | Uma pasta da caixa de correio é acessada. | Sim* | Sim** | Sim | ||
| HardDelete | Um item é excluído permanentemente da pasta Itens Recuperáveis. | Sim* | Sim* | Sim | ||
| MessageBind | Um item é acessado no painel de leitura ou aberto. | Sim | Não se aplica | Não se aplica | ||
| Mover | Um item é movido para outra pasta. | Sim* | Sim | Sim | ||
| MoveToDeletedItems | Um item é movido para a Itens Excluídos. | Sim* | Sim | Sim | ||
| SendAs | Uma mensagem é enviada usando permissões Enviar como. | Sim* | Sim* | Não se aplica | ||
| SendOnBehalf | Uma mensagem é enviada usando permissões Enviar em nome de. | Sim* | Sim | Não se aplica | ||
| SoftDelete | Um item é excluído da pasta Itens Excluídos. | Sim* | Sim* | Sim | ||
| Update | As propriedades de um item são atualizadas. | Sim* | Sim* | Sim |
Auditado por padrão se a auditoria estiver habilitada para uma caixa de correio.
** As entradas para ações de associação de pastas realizadas pelos representantes são consolidadas. Uma entrada de log é gerada para acesso individual de pasta dentro de um intervalo de tempo de três horas.
O acesso à caixa de correio por processos automatizados autorizados, como contas usadas por ferramentas de terceiros ou aquelas usadas para monitoramento legal, pode criar um grande número de entradas de log de auditoria de caixa de correio, o que pode não ser interessante para sua organização. Essas contas podem ser configuradas para ignorar o registro em log de auditoria de caixa de correio. Para detalhes, consulte Ignorar uma Conta de Usuário do Log de Auditoria de Caixa de Correio.
Caso não seja mais necessário fazer a auditoria de alguns tipos de ações da caixa de correio, modifique a configuração de registro em log de auditoria da caixa de correio para desabilitar essas ações. As entradas de log existentes não são limpas até que a idade configurada para o log de auditoria da caixa de correio seja atingida.
Você pode usar os seguintes métodos para pesquisar entradas de log de auditoria de caixa de correio:
- Pesquisa síncrona de uma única caixa de correio Você pode usar o cmdlet Search-MailboxAuditLog para pesquisa síncrona de entradas de log de auditoria de caixa de correio de uma única caixa de correio. O cmdlet exibe os resultados da pesquisa na janela do Shell de Gerenciamento do Exchange. Para detalhes, consulte Pesquisar o Log de Auditoria de Caixa de Correio para uma Caixa de Correio.
- Pesquisa assíncrona de uma ou mais caixas de correio Você pode criar uma pesquisa de log de auditoria de caixa de correio para pesquisa assíncrona de logs de auditoria de caixa de correio para uma ou mais caixas de correio, e enviar os resultados da pesquisa para um email especificado. Os resultados da pesquisa são enviados como um anexo XML. Para criar a pesquisa, use o cmdlet New-MailboxAuditLogSearch. Para detalhes, consulte Criar uma Pesquisa de Log de Auditoria de Caixa de Correio.
- Uso de relatórios de auditoria no Centro de Administração do Exchange (EAC) Você pode usar a guia Auditoria no EAC para executar relatórios de auditoria ou exportar entradas do log de auditoria de caixa de correio e do log de auditoria de administrador. Para detalhes, consulte Guia Auditoria.
A tabela a seguir descreve os campos registrados em uma entrada de log de auditoria de caixa de correio.
Campos de log de auditoria de caixa de correio
| Campo | Populado com |
|---|---|
| Operation | Uma destas ações:
|
| OperationResult | Um destes resultados:
|
| LogonType | Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:
|
| DestFolderId | GUID da pasta de destino para operações de movimentação. |
| DestFolderPathName | Caminho da pasta de destino para operações de movimentação. |
| FolderId | GUID da pasta. |
| FolderPathName | Caminho da pasta. |
| ClientInfoString | Detalhes que identificam qual cliente ou componente do Exchange realizou a operação. |
| ClientIPAddress | Endereço IP do computador cliente. |
| ClientMachineName | Nome do computador cliente. |
| ClientProcessName | O nome do processo do aplicativo cliente. |
| ClientVersion | Versão do aplicativo do cliente. |
| InternalLogonType | Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:
|
| MailboxOwnerUPN | Nome UPN do proprietário da caixa de correio. |
| MailboxOwnerSid | SID (identificador de segurança) do proprietário da caixa de correio. |
| DestMailboxOwnerUPN | Nome UPN do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio. |
| DestMailboxOwnerSid | SID do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio. |
| DestMailboxOwnerGuid | GUID do proprietário da caixa de correio de destino. |
| CrossMailboxOperation | Informações indicando se a operação registrada em log é uma operação entre caixas de correio (por exemplo, cópia ou movimentação de mensagens entre caixas de correio). |
| LogonUserDisplayName | Nome para exibição do usuário que está conectado. |
| DelegateUserDisplayName | Nome para exibição do usuário representado. |
| LogonUserSid | SID do usuário que está conectado. |
| SourceItems | ItemID dos itens de caixa de correio nos quais a ação registrada foi realizada (por exemplo, mover ou excluir). Para operações realizadas em diversos itens, o campo é retornado como uma coleção de itens. |
| SourceFolders | GUID da pasta de origem. |
| ItemId | ID do item. |
| ItemSubject | Assunto do item. |
| MailboxGuid | GUID da caixa de correio. |
| MailboxResolvedOwnerName | Nome resolvido do usuário da caixa de correio no formato DOMÍNIO\NomeDeContaSAM. |
| LastAccessed | A hora na qual a operação foi realizada. |
| Identity | ID da entrada do log de auditoria. |
