Información general sobre el registro de auditoría del administrador
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2015-03-09
Puede utilizar el registro de auditoría de administrador en Microsoft Exchange Server 2010 para registrar las acciones de un usuario o administrador que provocan cambios en la organización. Con un registro de los cambios, puede realizar el seguimiento de un cambio concreto y averiguar la persona que lo hizo. También puede ampliar este tipo de registros con detalles de cada cambio tal y como se implementó, utilizar dichos registros para cumplir con los requisitos reglamentarios y las solicitudes de detección, etc.
De forma predeterminada, el registro de auditoría se habilita en nuevas instalaciones de Microsoft Exchange Server 2010 Service Pack 1 (SP1).
Qué se audita
Se auditan los cmdlets que se ejecutan directamente en el Shell de administración de Exchange. También se registran las operaciones realizadas mediante la Consola de administración de Exchange (EMC) y la interfaz de administración web de Exchange, ya que dichas operaciones ejecutan cmdlets en segundo plano.
Independientemente de dónde se ejecute, un cmdlet se auditará si se encuentra en la lista de auditoría de cmdlets y si uno o más de sus parámetros se encuentra en la lista de auditoría de parámetros. Los cmdlets Get- y Search- no están registrados. La finalidad del registro de auditoría es mostrar qué acciones se han realizado para modificar objetos en una organización de Exchange, en lugar de qué objetos se han visualizado.
Importante
Es posible que no se registre un cmdlet si se produce un error antes de que el cmdlet llame al agente de extensión de cmdlet del registro de auditoría de administrador. Si se produce un error después de llamar al agente de registro de auditoría de administración, el cmdlet se registra junto con el error asociado. Para obtener más información, consulte la sección Agente del registro de auditoría de administrador más adelante en este tema:
Los cambios realizados con las herramientas de administración de Microsoft Exchange Server 2007 no se registran.
Los cambios en la configuración del registro de auditoría se actualizan cada 60 minutos en los equipos que tienen el Shell abierto en el momento de realizar un cambio en la configuración. Si desea aplicar los cambios de inmediato, cierre y vuelva a abrir el Shell en cada equipo.
Configuración del registro de auditoría
De forma predeterminada, si se habilita un registro de auditoría, se crea una entrada de registro cada vez que se ejecuta un cmdlet diferente a Get- o Search-. Si no desea auditar todos los cmdlets que se ejecutan, puede configurar el registro de auditoría para que audite únicamente los cmdlets y los parámetros que desea. Puede configurar el registro de auditoría con el cmdlet Set-AdminAuditLogConfig. Los parámetros a los que se hace referencia en las siguientes secciones se usan con este cmdlet.
Importante
Los cambios realizados en la configuración del registro de auditoría del administrador siempre se registran, independientemente de si el cdmlet Set-AdministratorAuditLog está incluido en la lista de cmdlets que se auditan o de si el registro de auditoría está habilitado o deshabilitado.
Cuando se ejecuta un comando, Exchange inspecciona el cmdlet que se usó. Si el cmdlet que se ejecutó coincide con alguno de los cmdlets proporcionados con el parámetro AdminAuditLogConfigCmdlets, Exchange comprueba luego los parámetros especificados en el parámetro AdminAuditLogConfigParameters. Si uno o más parámetros de la lista de parámetros coinciden, Exchange registra el cmdlet que se ejecutó en el buzón de correo especificado usando el parámetro AdminAuditLogMailbox.
Nota
Con la versión para fabricantes (RTM) de Exchange 2010, se especifica un buzón de correo de registro de auditoría de administrador. El registro de auditoría de administrador de Exchange 2010 SP1 usa un buzón de correo dedicado. No se puede cambiar ni configurar este buzón de correo dedicado.
En las siguientes secciones, se ofrece más información acerca de los aspectos de la configuración del registro de auditoría.
Para obtener más información acerca de cómo administrar la configuración de registro de auditoría, consulte Configurar el registro de auditoría del administrador.
Cmdlets
Puede controlar qué cmdlets se auditarán. Para ello, debe proporcionar una lista de los cmdlets que desea registrar, junto sus parámetros. Cuando configura el registro de auditoría, puede especificar si desea auditar todos cmdlets o puede indicar los cmdlets que desea auditar mediante el parámetro AdminAuditLogConfigCmdlets. Puede especificar un nombre de cmdlet completo, como New-Mailbox, o puede especificar un nombre de cmdlet parcial y escribir el nombre entre caracteres comodín, por ejemplo, un asterisco (*). Por ejemplo, si desea registrar cuándo se ejecuta un cmdlet que contiene la cadena Transport, puede especificar el valor *Transport*. Puede usar una combinación de nombres de cmdlet completos y parciales al mismo tiempo para adaptar la configuración del registro de auditoría a sus necesidades.
Parámetros
Además de especificar qué cmdlets desea registrar, también puede indicar que los cmdlets sólo se deberán registrar si se usan determinados parámetros en esos cmdlets. Use el parámetro AdminAuditLogConfigParameters para especificar los parámetros que se deben registrar. Al igual que con los cmdlets, puede especificar un nombre de parámetro completo, como Database, o un nombre de parámetro parcial y escribir el nombre entre caracteres comodín (*), como *Address*, o una combinación de ambos.
Límite de antigüedad del registro de auditoría
De forma predeterminada, el registro de auditoría está configurado para almacenar entradas de registro de auditoría durante 90 días. Después de 90 días, se elimina la entrada del registro de auditoría. Puede cambiar el límite de antigüedad del registro de auditoría mediante el parámetro AdminAuditLogAgeLimit. Puede especificar el número de días, horas, minutos y segundos que se deben conservar en las entradas del registro de auditoría. Para especificar un valor, use el formato dd.hh:mm:ss, donde se aplica lo siguiente:
dd El número de días que se conservará la entrada del registro de auditoría.
hh El número de horas que se conservará la entrada del registro de auditoría.
mm El número de minutos que se conservará la entrada del registro de auditoría.
ss El número de segundos que se conservará la entrada del registro de auditoría.
Debe especificar varios años utilizando el campo dd. Por ejemplo, 365 días equivale a un año; 730 días equivale a dos años; 913 días equivale a dos años y seis meses. Por ejemplo, para definir el límite de antigüedad del registro de auditoría en dos años y seis meses, use la sintaxis 913.00:00:00.
Advertencia
Puede definir el límite de antigüedad del registro de auditoría en un valor menor que el límite de antigüedad actual. Para ello, se eliminan todas las entradas del registro cuya antigüedad supera el nuevo límite de antigüedad.
Si define el límite de antigüedad en 0, Exchange elimina todas las entradas del registro de auditoría.
Se recomienda otorgar permiso para configurar el límite de antigüedad del registro de auditoría solamente a los usuarios de mayor confianza.
Cmdlets de prueba
Los cmdlets que comienzan con el verbo Test no se registran de forma predeterminada. Puede indicar que los cmdlets Test se registren configurando el parámetro TestCmdletLoggingEnabled en $true. Aunque puede habilitar el registro de los cmdlets de prueba, se recomienda hacerlo solamente durante períodos breves. Esto se debe a que los cmdlets de prueba pueden producir una gran cantidad de información.
Registros de auditoría
Cada vez que se registra un cmdlet, se crea una entrada en el registro de auditoría. Los registros de auditoría se almacenan en un buzón de correo oculto de arbitraje dedicado, al que solamente se puede tener acceso mediante la página Informes de auditoría del Panel de control de Exchange (ECP) o mediante el cmdlet Search-AdminAuditLog o New-AdminAuditLogSearch. Los registros de auditoría no se pueden abrir mediante Microsoft Office Outlook Web App o Microsoft Outlook. Las siguientes secciones proporcionan información sobre los siguientes aspectos:
Qué se incluye en los registros
Informes disponibles en la página Informes de auditoría del ECP
Cmdlets de búsqueda de registros de auditoría
Nota
Con la versión para fabricantes (RTM) de Exchange 2010, se especifica un buzón de correo de registro de auditoría de administrador. El registro de auditoría de administrador de Exchange 2010 SP1 usa un buzón de correo dedicado. No se puede cambiar ni configurar este buzón de correo dedicado.
La página Informes de auditoría del ECP y los cdmlets Search-AdminAuditLog y New-AdminAuditLogSearch funcionan solamente con registros de auditoría de administrador de Exchange 2010 SP1. Para ver el contenido de un buzón de correo de registro de auditoría de Exchange 2010 RTM, debe abrir el buzón de correo con Outlook Web App o con un cliente de correo electrónico, como Outlook.
Contenido del registro de auditoría
Todas las entradas del registro de auditoría contienen la información que se describe en la siguiente tabla. El registro de auditoría contiene una o varias entradas de registro de auditoría. La cantidad de entradas del registro de auditoría está controlada por el límite de antigüedad del registro de auditoría especificado con el cmdlet Set-AdminAuditLog. Se eliminan todas las entradas del registro de auditoría que superan el límite de antigüedad.
Campos de entrada del registro de auditoría
| Campo | Descripción |
|---|---|
|
Exchange utiliza este campo de manera interna. |
|
Este campo contiene el objeto modificado por el cmdlet especificado en el campo |
|
Este campo contiene en nombre del cmdlet ejecutado por el usuario en el campo |
|
Este campo contiene los parámetros especificados cuando se ejecutó el cmdlet en el campo |
|
Este campo contiene las propiedades modificadas en el objeto en el campo |
|
Este campo contiene la cuenta de usuario del usuario que ejecutó el cmdlet en el campo |
|
Este campo especifica si el cmdlet del campo |
|
Este campo contiene el mensaje de error generado si el cmdlet del campo |
|
Este campo contiene la fecha y la hora en las que se ejecutó el cmdlet en el campo |
|
Exchange usa este campo de manera interna. |
|
Exchange usa este campo de manera interna. |
Informes de auditoría del ECP
La página Informes de auditoría del ECP tiene diversos informes que proporcionan información sobre varios tipos de cambios de de configuración administrativa y de cumplimiento. Los informes siguientes proporcionan información acerca de los cambios de configuración en la organización:
Cambios de roles de administrador Este informe le permite buscar cambios de grupos de funciones de administración dentro de un período de tiempo especificado. Los resultados que se devuelven muestran los grupos de funciones que han sido modificados, quien los modificó y cuándo, y qué cambios se realizaron. Se puede devolver un máximo de 3000 entradas. Si es posible que su búsqueda devuelva más de 3000 entradas, use el informe de Exportar cambios de configuración o el cmdlet Search-AdminAuditLog.
Exportar cambios de configuración Este informe permite exportar a un archivo XML las entradas del registro de auditoría registradas en un período de tiempo especificado y, a continuación, enviar el archivo por correo electrónico al destinatario que especifique. Para obtener más información acerca del contenido del archivo XML, consulte Estructura del registro de auditoría del administrador.
Para obtener información acerca de cómo usar estos informes, consulte Buscar en el registro de auditoría del administrador.
En la página Informes de auditoría, también se incluyen informes para suspensiones de litigio, cambios en la configuración del buzón de correo y acceso al buzón de correo por parte de personas no propietarias. Para obtener más información acerca de estos informes, consulte
Cmdlet Search-AdminAuditLog
Cuando ejecuta el cmdlet Search-AdminAuditLog, se devuelven todas las entradas del registro de auditoría que coinciden con los criterios de búsqueda especificados. Puede especificar los siguientes criterios de búsqueda:
Cmdlets Especifica los cmdlets que desea buscar en el registro de auditoría de administrador.
Parámetros Especifica los parámetros que desea buscar en el registro de auditoría de administrador. Solo puede buscar parámetros si especifica un cmdlet para buscar.
Fecha de finalización Reduce el ámbito de los resultados del registro de auditoría de administrador a las entradas de registro correspondientes a la fecha especificada o a las fechas anteriores a esta.
Fecha de inicio Reduce el ámbito de los resultados del registro de auditoría de administrador a las entradas de registro correspondientes a la fecha especificada o a las fechas posteriores a esta.
Id. de objeto Especifica que solamente se devuelvan las entradas del registro de auditoría de administrador que contengan los objetos modificados especificados.
Id. de usuario Especifica que solamente se devuelvan las entradas del registro de auditoría de administrador que contengan el identificador especificado del usuario que ejecutó el cmdlet.
Finalización satisfactoria Especifica si solamente se deben devolver las entradas de registro de auditoría de administrador que indicaron acierto o error.
Todas las entradas del registro de auditoría contienen la información que se describe en la tabla de Contenido del registro de auditoría. De forma predeterminada, solamente se devuelven las primeras 1000 entradas del registro que coinciden con los criterios especificados. Sin embargo, puede invalidar esta configuración predeterminada y habilitar la devolución de una mayor o menor cantidad de entradas con el parámetro ResultSize. Puede especificar el valor de Unlimited con el parámetro ResultSize para que se devuelvan todas las entradas de registro que coincidan con los criterios especificados.
Para obtener más información acerca de cómo usar el cmdlet Search-AdminAuditLog, consulte Buscar en el registro de auditoría del administrador.
Cmdlet New-AdminAuditLogSearch
El cmdlet New-AdminAuditLogSearch busca el registro de auditoría al igual que el cmdlet Search-AdminAuditLog. Sin embargo, en lugar de mostrar los resultados de la búsqueda del registro de auditoría en la consola, el cmdlet New-AdminAuditLogSearch realiza la búsqueda y, a continuación, envía los resultados de la búsqueda por correo electrónico al destinatario que usted especifica. Los resultados se incluyen como datos adjuntos XML en el mensaje de correo electrónico.
Puede usar el mismo criterio de búsqueda con el cmdlet New-AdminAuditLogSearch que usa con el cdmlet Search-AdminAuditLog. Para ver la lista de criterios de búsqueda, consulte Cmdlet Search-AdminAuditLog.
Después de ejecutar el cmdlet New-AdminAuditLogSearch, Exchange puede demorar hasta 15 minutos para entregar el informe al destinatario especificado. El informe adjunto en un archivo XML puede tener un máximo de 10 megabytes (MB). El archivo XML contiene la misma información que se describe en la tabla de Contenido del registro de auditoría. Para obtener más información acerca de la estructura del archivo XML, consulte Estructura del registro de auditoría del administrador.
Nota
Outlook Web App no permite abrir datos adjuntos en formato XML de forma predeterminada. Puede configurar Exchange para poder ver datos XML adjuntos mediante Outlook Web App o puede recurrir a otro cliente de correo electrónico, como Microsoft OfficeOutlook, para ver los datos adjuntos. Para obtener información acerca de cómo configurar Outlook Web App para que pueda ver los datos adjuntos XML, vea Ver o configurar los directorios virtuales de aplicación web de Outlook.
Para obtener más información acerca de cómo usar el cmdlet New-AdminAuditLogSearch, consulte Buscar en el registro de auditoría del administrador.
Entradas manuales del registro de auditoría
Además de registrar los cmdlets de Exchange cuando se ejecutan, Exchange 2010 SP1 permite escribir manualmente las entradas del registro en el registro de auditoría. Exchange 2010 SP1 admite esto mediante el uso del cmdlet Write-AdminAuditLog. A continuación, se muestran algunas de las situaciones en las que es posible que desee agregar una entrada registro manualmente:
Entrada y salida de script personalizado
Información de control de cambios
Hora de inicio y finalización de mantenimiento
Con el cmdlet Write-AdminAuditLog, especifica una cadena de texto para incluir en el registro de auditoría con el parámetro Comment. El parámetro Comment acepta una cadena alfanumérica de hasta 500 caracteres. Toda la información capturada cuando se registra un cmdlet de Exchange está incluida en la entrada de registro de auditoría manual junto con la cadena de comentario. Para obtener una descripción de cada campo incluido en el registro de auditoría, consulte la tabla de Contenido del registro de auditoría.
Puede recuperar entradas del registro de auditoría de la misma manera que recupera otras entradas del Registro, mediante la página Informes de auditoría del ECP o mediante los cmdlets Search-AdminAuditLog o New-AdminAuditLogSearch.
Para ver el contenido del parámetro Comment en el cdmlet Write-AdminAuditLog en una entrada manual del registro de auditoría, consulte Buscar en el registro de auditoría del administrador.
Replicación de Active Directory
El registro de auditoría de administrador usa la replicación de Active Directory para replicar las opciones de configuración que se especifican en los controladores de dominio de la organización. En función de las opciones de replicación, es posible que los cambios que realice no se apliquen de inmediato a todos los servidores que ejecutan Exchange 2010 en la organización.
Agente del registro de auditoría de administrador
El agente de extensión de cmdlet integrado realiza el registro de auditoría de administrador de las operaciones de cmdlet en Exchange 2010. Este agente lee la configuración del registro de auditoría y luego realiza una evaluación de cada cmdlet que se ejecuta en la organización. Si los criterios especificados en la configuración del registro de auditoría coinciden con el cmdlet que se está ejecutando, el agente genera un registro de auditoría.
El agente del registro de auditoría de administrador está habilitado de forma predeterminada. Esta configuración es necesaria para que funcione el registro de auditoría. No se puede deshabilitar y no se puede cambiar su prioridad. Para obtener más información acerca de los agentes de extensión del cmdlet, consulte Descripción de agentes de extensión de cmdlet.
Cómo los registros de auditoría de administración pueden incrementar rápidamente el tamaño de las bases de datos
De forma predeterminada, el registro de auditoría de administración se encuentra habilitado en Exchange Server 2010. Los resultados del registro se guardan en el buzón de correo de arbitraje de la carpeta AdminAuditLogs. Si se ejecutan cmdlets en el Shell de administración de Exchange con frecuencia, se generarán múltiples entradas de registro y puede que el tamaño de la base de datos crezca con rapidez. Esto puede ocurrir aunque no existan buzones de correo de usuario.
Para determinar el tamaño de la carpeta AdminAuditLogs, ejecute el cmdlet siguiente en el Shell de administración de Exchange: Get-MailboxFolderstatistics "Guid of arbitration mailbox" -FolderScope RecoverableItems –IncludeAnalysis. A continuación, consulte el total de elementos y el tamaño de la carpeta AdminAuditLogs.
Si estas cantidades son elevadas, ejecute el cmdlet siguiente para eliminar los elementos de la carpeta: Search-Mailbox Guid of arbitration mailbox -Dumpsteronly -deletecontent.
El crecimiento de la base de datos puede estar provocado por la ejecución frecuente de un cmdlet. Normalmente, el cmdlet suele estar en un script programado para ejecutarse de forma periódica. Identifique el cmdlet que está provocando el crecimiento del registro de auditoría de administración. Después de confirmar que el cmdlet se puede excluir del registro de auditoría de administración, ejecute el siguiente cmdlet en el Shell de administración de Exchange: Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets nombre del cmdlet. Por ejemplo, ejecute el cmdlet siguiente: Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets Add-DistributionGroupMember. Después de ejecutar el cmdlet, deberá esperar a que termine el proceso de replicación.