Configurar el registro de auditoría del administrador
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2012-07-23
El registro de auditoría del administrador de Microsoft Exchange Server 2010 le permite crear una entrada de registro cada vez que se ejecute un cmdlet especificado. Las entradas de registro detallan qué cmdlet se ejecutó, qué parámetros se usaron, quién ejecutó el cmdlet y qué objetos se vieron afectados. Para obtener más información sobre el registro de auditoría del administrador, consulte Información general sobre el registro de auditoría del administrador.
Para configurar el registro de auditoría del administrador debe usar el Shell.
Importante
El registro de auditoría de administrador usa la replicación de Active Directory para replicar las opciones de configuración que se especifiquen en los controladores de dominio de la organización. En función de la configuración de replicación, los cambios que haga pueden no aplicarse de inmediato a todos los servidores de Exchange 2010 en la organización.
Los cambios en la configuración del registro de auditoría se actualizan cada 60 minutos en los equipos que tienen shell abierto al momento de realizar un cambio de configuración. Si desea aplicar los cambios de inmediato, cierre y vuelva a abrir el shell en cada equipo.
Especificar los cmdlets que se van a auditar
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Registro de auditoría del administrador" en el tema Permisos de Exchange y de infraestructura de Shell.
Nota
No puede usar la EMC para especificar los cmdlets que se van a auditar.
De manera predeterminada, el registro de auditoría crea una entrada de registro para cada cmdlet que se ejecuta. Si está habilitando el registro de auditoría por primera vez y quiere observar el comportamiento, no debe cambiar la lista de auditoría del cmdlet. Si previamente especificó cmdlets para auditar y ahora desea auditar todos los cmdlets, puede auditar todos los cmdlets si especifica el carácter comodín asterisco (*) con el parámetro AdminAuditLogCmdlets del cmdlet Set-AdminAuditLogConfig, como se muestra en el siguiente comando.
Set-AdminAuditLogConfig -AdminAuditLogCmdlets *
Puede especificar qué cmdlets auditar si proporciona una lista de cmdlets mediante el parámetro AdminAuditLogCmdlets. Cuando proporciona una lista de cmdlets para auditar, puede proporcionar cmdlets únicos, cmdlets con caracteres comodín asterisco (*) o una combinación de ambos. Cada entrada de la lista está separada por comas. Todos los siguientes valores son válidos:
New-Mailbox*TransportRule*Management*Set-Transport*
En este ejemplo, se auditan los cmdlets especificados en la lista anterior.
Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Especificar los parámetros que se van a auditar
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el entrada "Registro de auditoría del administrador" en el tema Permisos de Exchange y de infraestructura de Shell.
Nota
No puede usar la EMC para especificar los parámetros que se van a auditar.
De forma predeterminada, el registro de auditoría crea una entrada de registro para todos los cmdlets que se ejecutan, independientemente de los parámetros especificados. Si está habilitando el registro de auditoría por primera vez y quiere observar el comportamiento, no debe cambiar la lista de auditoría de parámetros. Si previamente especificó parámetros para auditar y ahora desea auditar todos los parámetros, puede hacerlo si especifica el carácter comodín asterisco (*) con el parámetro AdminAuditLogParameters del cmdlet Set-AdminAuditLogConfig, como se muestra en el siguiente comando.
Set-AdminAuditLogConfig -AdminAuditLogParameters *
Puede especificar qué parámetros desea auditar mediante el parámetro AdminAuditLogParameters. Cuando proporciona una lista de parámetros para auditar, puede proporcionar parámetros únicos, parámetros con caracteres comodín asterisco (*) o una combinación de ambos. Cada entrada de la lista está separada por comas. Todos los siguientes valores son válidos:
Database*Address*Custom**Region
Nota
Para una entrada de registro de auditoría cuando un comando se ejecuta, el comando debe incluir, al menos, uno o más parámetros que existan en, al menos, uno o más cmdlets especificados con el parámetro AdminAuditLogCmdlets.
En este ejemplo, se auditan los parámetros especificados en la lista anterior.
Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Especificar el límite de antigüedad del registro de auditoría
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el entrada "Registro de auditoría del administrador" en el tema Permisos de Exchange y de infraestructura de Shell.
Nota
No puede usar la EMC para especificar el límite de antigüedad del registro de auditoría.
El límite de antigüedad del registro de auditoría determina durante cuánto tiempo se conservarán las entradas del registro de auditoría. Cuando una entrada del registro supera el límite de antigüedad, se elimina. El valor predeterminado es un año.
Puede especificar el número de días, horas, minutos y segundos que se deben conservar en las entradas del registro de auditoría. Para especificar un valor, use el formato dd.hh.mm:ss, donde se aplica lo siguiente:
dd Número de días que se conservará la entrada del registro de auditoría
hh Número de horas que se conservará la entrada del registro de auditoría
mm Número de minutos que se conservará la entrada del registro de auditoría
ss Número de segundos que se conservará la entrada del registro de auditoría
Advertencia
Puede definir el límite de antigüedad del registro de auditoría en un valor menor que el límite de antigüedad actual. Para ello, se eliminan todas las entradas del registro cuya antigüedad supere el nuevo límite de antigüedad.
Si define el límite de antigüedad en 0, Exchange elimina todas las entradas del registro de auditoría.
Se recomienda otorgar permiso para configurar el límite de antigüedad del registro de auditoría solamente a los usuarios de mayor confianza.
En este ejemplo, se especifica un límite de antigüedad de dos años y seis meses.
Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913.00:00:00
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Habilitar o deshabilitar el registro de los cmdlets Test
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el entrada "Registro de auditoría del administrador" en el tema Permisos de Exchange y de infraestructura de Shell.
Nota
No puede usar la EMC para habilitar o deshabilitar el registro de los cmdlets Test.
Los cmdlets que comienzan con el verbo Test no se registran de forma predeterminada. Esto se debe a que los cmdlets Test pueden generar una cantidad importante de datos en un período corto. Solamente puede habilitar el registro de los cmdlets Test durante períodos cortos de tiempo.
Este comando habilita el registro de los cmdlets Test.
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $True
Este comando deshabilita el registro de los cmdlets Test.
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $False
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Otras tareas
Después de configurar el registro de auditoría del administrador, es posible que también quiera realizar las siguientes tareas: