Uso del registro de auditoría de administrador en Exchange Server

Puede usar el registro de auditoría de administrador en Exchange Server para registrar cuando un usuario o administrador realiza un cambio en su organización. Al mantener un registro de los cambios, puede realizar un seguimiento de los cambios de la persona que realizó el cambio, aumentar los registros de cambios con registros detallados de los cambios implementados, cumplir con los requisitos reglamentarios y las solicitudes de detección, y mucho más.

De forma predeterminada, el registro de auditoría de administrador está habilitado en nuevas instalaciones de Exchange Server.

Qué se audita

Se auditan los cmdlets que se ejecutan directamente en el Shell de administración de Exchange. Además, también se registran las operaciones realizadas con el Centro de administración de Exchange (EAC), ya que ejecutan cmdlets en segundo plano.

Los cmdlets, independientemente de donde se ejecuten, se auditan si un cmdlet está en la lista de auditoría del cmdlet y si uno o más parámetros de ese cmdlet están en la lista de auditoría del parámetro. La finalidad del registro de auditoría es mostrar qué acciones se han realizado para modificar objetos en una organización de Exchange, en lugar de qué objetos se han visualizado.

Notas:

  • Es posible que no se registre un cmdlet si se produce un error antes de que el cmdlet llame al agente de extensión de cmdlet del registro de auditoría de administrador. Si se produce un error después de llamar al agente de registro de auditoría de administración, el cmdlet se registra junto con el error asociado. Para obtener más información, consulte la sección Administración Agente de registro de auditoría más adelante en este tema.

  • Los cambios en la configuración del registro de auditoría se actualizan cada 60 minutos en los equipos que tienen el Shell de administración de Exchange abierto en el momento en que se realice un cambio en la configuración. Si quiere aplicar los cambios inmediatamente, cierre y vuelva a abrir el Shell de administración de Exchange en todos los equipos.

  • Un comando puede tardar hasta 15 minutos a partir de su ejecución en aparecer en los resultados de búsqueda del registro de auditoría. Esto se debe a que las entradas del registro de auditoría deben indexarse antes de que puedan realizarse búsquedas en ellas. Si un comando no aparece en el registro de auditoría del administrador, espere unos minutos y vuelva a hacer la búsqueda.

Configuración del registro de auditoría de administración

De forma predeterminada, cuando se habilita el registro de auditoría de administrador, se crea una entrada de registro cada vez que se ejecuta cualquier cmdlet. Si no quiere auditar todos los cmdlets que se ejecutan, puede configurar el registro de auditoría para que audite únicamente los cmdlets y los parámetros que le interesen. Puede configurar el registro de auditoría con el cmdlet Set-AdminAuditLogConfig. Los parámetros a los que se hace referencia en las siguientes secciones se usan con este cmdlet.

Importante

Los cambios realizados en la configuración del registro de auditoría del administrador siempre se registran, independientemente de si el cmdlet Set-AdminAuditLogConfig se incluye en la lista de cmdlets que se auditan y de si el registro de auditoría está habilitado o deshabilitado.

Cuando se ejecuta un comando, Exchange inspecciona el cmdlet que se usó. Si el cmdlet que se ejecutó coincide con cualquiera de los cmdlets proporcionados con el parámetro AdminAuditLogCmdlets , Exchange comprueba los parámetros especificados en el parámetro AdminAuditLogParameters . Si, como mínimo, uno o más parámetros de la lista de parámetros coinciden, Exchange registra el cmdlet que se ejecutó. En las secciones siguientes se ofrece más información sobre los aspectos de la configuración del registro de auditoría.

Para más información sobre la administración de la configuración del registro de auditoría, vea Administrar el registro de auditoría de administrador.

Cmdlets

Puede controlar qué cmdlets se auditan proporcionando una lista de cmdlets y sus parámetros que desea registrar. Al configurar el registro de auditoría, puede especificar para auditar cada cmdlet o puede especificar los cmdlets que desea auditar mediante el parámetro AdminAuditLogCmdlets . Puede especificar nombres de cmdlet completos, como New-Mailbox, o puede especificar nombres de cmdlet parciales y incluir esos nombres en caracteres comodín, como un asterisco (*). Por ejemplo, si desea registrar cuándo se ejecuta cualquier cmdlet que contenga la cadena Transport , puede especificar un valor de *Transport*. Puede usar una combinación de nombres de cmdlet completos y nombres de cmdlet parciales al mismo tiempo para adaptar la configuración del registro de auditoría a sus necesidades.

Para auditar todos los cmdlets, especifique solo el carácter comodín (*). Esta es la configuración predeterminada.

Parameters

Además de especificar qué cmdlets desea registrar, también puede indicar que los cmdlets sólo se deberán registrar si se usan determinados parámetros en esos cmdlets. Use el parámetro AdminAuditLogParameters para especificar qué parámetros se deben registrar. Al igual que con los cmdlets, puede especificar nombres de parámetro completos, como Database, o nombres de parámetros parciales entre caracteres comodín (*), como *Address*, o una combinación de ambos.

Para auditar todos los parámetros, especifique solo el carácter comodín (*). Esta configuración es la predeterminada.

Límite de antigüedad del registro de auditoría de administración

De forma predeterminada, el registro de auditoría de administración está configurado para almacenar entradas de registro de auditoría durante 90 días. Después de 90 días, se elimina la entrada del registro de auditoría. Puede cambiar el límite de antigüedad del registro de auditoría mediante el parámetro AdminAuditLogAgeLimit . Por ejemplo, para cambiar el límite de edad a 180 días, use el comando Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 180. También puede especificar el número de días, horas, minutos y segundos que se tienen que conservar las entradas del registro de auditoría. Para especificar un valor, use el formato dd.hh:mm:ss en el que se aplica lo siguiente:

  • dd: número de días para mantener la entrada del registro de auditoría.

  • hh: número de horas para mantener la entrada del registro de auditoría.

  • mm: número de minutos para mantener la entrada del registro de auditoría.

  • ss: número de segundos para mantener la entrada del registro de auditoría.

Debe especificar varios años mediante el dd campo . Por ejemplo, 365 días equivale a un año; 730 días equivale a dos años; 913 días equivale a dos años y seis meses. Por ejemplo, para establecer el límite de edad del registro de auditoría en dos años y seis meses, use el valor 913.

Notas:

  • Puede definir el límite de antigüedad del registro de auditoría de administración en un valor menor que el límite de antigüedad actual. En ese caso, se eliminan todas las entradas del registro de auditoría cuya antigüedad sea superior al nuevo límite de antigüedad.

  • Si establece el límite de edad en 0, Exchange elimina todas las entradas del registro de auditoría.

  • Se recomienda asignar permisos para configurar el límite de antigüedad del registro de auditoría solo a los usuarios de mayor confianza.

Registro detallado

De forma predeterminada, el registro de auditoría de administración solo registra el nombre del cmdlet, sus parámetros (y los valores especificados), el objeto que se modificó y quién ejecutó el cmdlet, cuándo lo hizo y en qué servidor. El registro de auditoría de administrador no registra las propiedades que se modificaron en el objeto. Si desea que el registro de auditoría de administración incluya también las propiedades del objeto que se modificaron, puede habilitar el registro detallado estableciendo el parámetro LogLevel en Verbose. Cuando habilita el registro detallado, además de la información que se registra de forma predeterminada, también se incluyen en el registro de auditoría las propiedades modificadas en un objeto, incluidos sus valores antiguos y nuevos.

Cmdlets de prueba

Los cmdlets que empiezan con el verbo Test no se registran de forma predeterminada. Puede indicar que los cmdlets test deben registrarse estableciendo el parámetro $trueTestCmdletLoggingEnabled en . Aunque se puede habilitar el registro de los cmdlets de prueba, solo se recomienda hacerlo durante períodos breves, ya que los cmdlets de prueba pueden producir una gran cantidad de entradas del registro de auditoría.

Registro de auditoría de administración

Cada vez que se registra un cmdlet, se crea una entrada en el registro de auditoría de administración. Las entradas del registro de auditoría se almacenan en el registro de auditoría de administración, que se almacena en un buzón de correo de arbitraje oculto y dedicado al que solo se puede obtener acceso si se usa el EAC, el cmdlet Search-AdminAuditLog o el cmdlet New-AdminAuditLogSearch. En las secciones siguientes se proporciona información sobre:

  • Contenido del registro de auditoría de administración.

  • Informes disponibles en la página de auditoría del EAC.

  • Cmdlets de búsqueda de registros de auditoría de administración.

Contenido del registro de auditoría

Todas las entradas del registro de auditoría contienen la información que se describe en la tabla siguiente. El registro de auditoría contiene una o varias entradas de registro de auditoría. El número de entradas de registro de auditoría se controla mediante el límite de antigüedad del registro de auditoría especificado mediante el Set-AdminAuditLogConfig -AdminAuditLogAgeLimit comando . Se eliminan todas las entradas del registro de auditoría que superan el límite de antigüedad.

Campos de entrada del registro de auditoría

Campo Descripción
RunspaceId Exchange utiliza este campo de manera interna.
ObjectModified Este campo contiene el objeto modificado por el cmdlet especificado en el CmdletName campo.
CmdletName Este campo contiene el nombre del cmdlet que ejecutó el usuario en el Caller campo .
CmdletParameters Este campo contiene los parámetros que se especificaron cuando se ejecutó el cmdlet en el CmdletName campo. En este campo también se almacena (aunque no es visible en la salida predeterminada) el valor especificado con el parámetro (si existe).
ModifiedProperties Este campo contiene las propiedades que se modificaron en el objeto del ObjectModified campo . Además, en este campo se almacenan el valor anterior de la propiedad y el nuevo valor almacenado, aunque no están visibles en los resultados predeterminados.
Importante: Este campo solo se rellena si el parámetro LogLevel del cmdlet Set-AdminAuditLogConfig está establecido verboseen .
Caller Este campo contiene la cuenta de usuario del usuario que ejecutó el cmdlet en el CmdletName campo .
Succeeded Este campo especifica si el cmdlet del CmdletName campo se ejecutó correctamente. El valor es o TrueFalse.
Error Este campo contiene el mensaje de error generado si el cmdlet del CmdletName campo no se pudo completar correctamente.
RunDate Este campo contiene la fecha y hora en que se ejecutó el cmdlet del CmdletName campo. La fecha y la hora se almacenan en formato de hora universal coordinada (UTC).
OriginatingServer Este campo indica el servidor en el que se ejecutó el cmdlet especificado en el CmdletName campo.
Identity Exchange utiliza este campo de manera interna.
IsValid Exchange utiliza este campo de manera interna.
ObjectState Exchange utiliza este campo de manera interna.

Informes de auditoría del EAC

La página Auditoría del EAC tiene diversos informes que proporcionan información sobre varios tipos de cambios de configuración administrativa y de cumplimiento. Los informes siguientes proporcionan información sobre los cambios de configuración en la organización:

  • Informe de grupo de roles de administrador: este informe le permite buscar cambios en los grupos de roles de administración que especifique dentro de un período de tiempo especificado. Los resultados que se devuelven muestran los grupos de funciones que han sido modificados, quien los modificó y cuándo, y qué cambios se realizaron. Se puede devolver un máximo de 3000 entradas. Si es posible que su búsqueda devuelva más de 3000 entradas, use el informe de Registro de auditoría de administrador o el cmdlet Search-AdminAuditLog.

  • Administración informe de registro de auditoría: este informe le permite ver las entradas del registro de auditoría de administración registradas en un período de tiempo especificado. También puede exportar las entradas del registro de auditoría de administración a un archivo XML y, después, enviarlo por correo electrónico al destinatario que especifique. Para más información sobre el contenido del archivo XML, vea Estructura del registro de auditoría de administrador.

Para obtener información sobre cómo usar estos informes, consulte Búsqueda en los cambios del grupo de roles o registros de auditoría de administrador.

Cmdlet Search-AdminAuditLog

Cuando ejecuta el cmdlet Search-AdminAuditLog, se devuelven todas las entradas del registro de auditoría que coinciden con el criterio de búsqueda especificado. Puede especificar los siguientes criterios de búsqueda:

  • Cmdlets: especifica los cmdlets que desea buscar en el registro de auditoría de administración.

  • Parámetros: especifica los parámetros, separados por comas, que desea buscar en el registro de auditoría de administración. Solo puede buscar parámetros si especifica el cmdlet que quiere buscar.

  • Fecha de finalización: limita los resultados del registro de auditoría del administrador a las entradas de registro que se produjeron en o antes de la fecha especificada.

  • Fecha de inicio: limita los resultados del registro de auditoría del administrador a las entradas de registro que se produjeron en o después de la fecha especificada.

  • Identificadores de objeto: especifica que solo se deben devolver las entradas de registro de auditoría de administración que contienen los objetos modificados especificados.

  • Identificadores de usuario: especifica que solo deben devolverse las entradas del registro de auditoría de administración que contienen los identificadores especificados del usuario que ejecutó el cmdlet.

  • Finalización correcta: especifica si solo se deben devolver las entradas de registro de auditoría de administrador que indicaron que se ha realizado correctamente o no.

Todas las entradas del registro de auditoría contienen la información que se describe en la tabla Contenido del registro de auditoría. De forma predeterminada, solo se devuelven las primeras 1000 entradas de registro que coinciden con los criterios de búsqueda especificados. Sin embargo, puede invalidar este valor predeterminado y devolver más o menos entradas mediante el parámetro ResultSize . Puede especificar un valor de Unlimited con el parámetro ResultSize para devolver todas las entradas de registro que coincidan con los criterios especificados.

Para obtener información sobre cómo usar el cmdlet Search-AdminAuditLog , consulte Búsqueda de cambios en el grupo de roles o registros de auditoría de administrador.

Cmdlet New-AdminAuditLogSearch

El cmdlet New-AdminAuditLogSearch busca el registro de auditoría de administración de la misma forma que el cmdlet Search-AdminAuditLog. Pero, en lugar de mostrar los resultados de la búsqueda en el Shell de administración de Exchange, el cmdlet New-AdminAuditLogSearch realiza la búsqueda y, después, envía los resultados al destinatario que especifique en un mensaje de correo electrónico. Los resultados se incluyen como datos adjuntos en formato XML en el mensaje de correo electrónico.

Puede usar el mismo criterio de búsqueda con el cmdlet New-AdminAuditLogSearch que usa con el cdmlet Search-AdminAuditLog. Para ver la lista de criterios de búsqueda, vea Cmdlet Search-AdminAuditLog.

Después de ejecutar el cmdlet New-AdminAuditLogSearch, Exchange puede tardar hasta 15 minutos en entregar el informe al destinatario especificado. El informe adjunto en un archivo XML puede tener un máximo de 10 megabytes (MB). El archivo XML contiene la misma información que se describe en la tabla Contenido del registro de auditoría. Para más información sobre la estructura del archivo XML, vea Estructura del registro de auditoría de administrador.

Nota:

Outlook Web App no permite abrir datos adjuntos en formato XML de forma predeterminada. Puede configurar Exchange para poder ver datos XML adjuntos mediante Outlook Web App o puede recurrir a otro cliente de correo electrónico, como Microsoft Outlook, para ver los datos adjuntos. Para obtener información sobre cómo configurar Outlook Web App para que pueda ver datos adjuntos XML, consulte Ver o configurar Outlook en la Web directorios virtuales en Exchange Server.

Para obtener información sobre cómo usar el cmdlet New-AdminAuditLogSearch , consulte Búsqueda de cambios en el grupo de roles o registros de auditoría de administrador.

Entradas de registro de auditoría de administración manual

Además de registrar cmdlets de Exchange cuando se ejecutan, Exchange Server permite escribir manualmente entradas de registro en el registro de auditoría. Exchange Server admite esto mediante el cmdlet Write-AdminAuditLog. A continuación se muestran algunas situaciones en las que es posible que quiera agregar una entrada registro manual:

  • Entrada y salida de script personalizado

  • Información de control de cambios

  • Hora de inicio y finalización de mantenimiento

Con el cmdlet Write-AdminAuditLog , se especifica una cadena de texto que se va a incluir en el registro de auditoría mediante el parámetro Comment . El parámetro Comment acepta una cadena alfanumérica de hasta 500 caracteres. Toda la información capturada al registrar un cmdlet de Exchange se incluye en la entrada de registro de auditoría manual con la cadena de comentario. Para obtener una descripción de todos los campos incluidos en el registro de auditoría, vea la tabla de Contenido del registro de auditoría.

Puede recuperar de forma manual entradas de registro de auditoría de la misma manera que recupera otras entradas de registro (con la página Auditoría de EAC o con los cmdlets Search-AdminAuditLog o New-AdminAuditLogSearch ).

Para ver el contenido del parámetro Comment en el cmdlet Write-AdminAuditLog en una entrada de registro de auditoría manual, vea Buscar los cambios del grupo de roles o los registros de auditoría del administrador.

Replicación de Active Directory

El registro de auditoría de administrador usa la replicación de Active Directory para replicar las opciones de configuración que se especifican en los controladores de dominio de la organización. En función de las opciones de replicación, es posible que los cambios que realice no se apliquen de inmediato a todos los servidores que ejecutan Exchange en la organización.

Agente del registro de auditoría de administrador

El agente de extensión de cmdlets integrado del registro de auditoría de Administración realiza el registro de auditoría de administrador de las operaciones de cmdlet en Exchange Server. Este agente lee la configuración del registro de auditoría y, después, realiza una evaluación de cada cmdlet que se ejecuta en la organización. Si los criterios especificados en la configuración del registro de auditoría de administración coinciden con el cmdlet que se ejecuta, el agente genera una entrada registro de auditoría.

El agente de registro de auditoría de Administración está habilitado de forma predeterminada, lo que es necesario para que funcione el registro de auditoría de administración. No se puede deshabilitar y su prioridad no se puede cambiar. Para obtener más información acerca de los agentes de extensión del cmdlet, consulte Cmdlet Extension Agents.