Ver el registro de auditoría del administrador en Exchange Online

En Exchange Online organizaciones o organizaciones independientes de Exchange Online Protection (EOP) sin Exchange Online buzones, puede usar el Centro de administración de Exchange (EAC) o PowerShell para buscar y ver entradas en el registro de auditoría de administración.

El registro de auditoría de administración registra acciones específicas, basadas en Exchange Online cmdlets de PowerShell o Exchange Online Protection independientes de PowerShell, realizados por administradores y usuarios a los que se les han asignado privilegios administrativos. Las entradas del registro de auditoría de administración proporcionan información sobre qué cmdlet se ejecutó, qué parámetros se usaron, quién ejecutó el cmdlet y qué objetos se vieron afectados.

Notas:

• Administración registro de auditoría está habilitado de forma predeterminada y no se puede deshabilitar.
• El registro de auditoría de administración no registra acciones basadas en cmdlets que comienzan con los verbos Get, Search o Test.
• Cuando se realiza un cambio en la organización, pueden transcurrir hasta 15 minutos para que aparezca en los resultados de la búsqueda del registro de auditoría. Si no aparece un cambio en el registro de auditoría de administración, espere unos minutos y vuelva a ejecutar la búsqueda.
• Las entradas de los registros de auditoría se conservan durante 90 días. Cuando una entrada tiene una antigüedad mayor que 90 días, se elimina.

¿Qué necesita saber antes de empezar?

• Para abrir el Centro de administración de Exchange (EAC), consulte Centro de administración de Exchange en Exchange Online.

• Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell. Para conectarse a Exchange Online Protection PowerShell independiente, consulte Conexión a Exchange Online Protection PowerShell.

• Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte la entrada "Registro de auditoría de administrador de solo visualización" en el tema Permisos de características en Exchange Online.

• Para obtener información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este artículo, consulte Métodos abreviados de teclado para el Centro de administración de Exchange en Exchange Online.

Uso del EAC para ver el registro de auditoría de administración

1. En el EAC, vaya aAuditoría de administración> de cumplimiento y, a continuación, elija Ejecutar el informe de registro de auditoría de administración.

2. En la página Buscar cambios en los grupos de roles de administrador que se abre, elija una fecha de inicio y una fecha de finalización (el intervalo predeterminado es las últimas dos semanas) y, a continuación, elija Buscar. Todos los cambios de configuración realizados durante el período de tiempo especificado se muestran y se pueden ordenar, mediante la siguiente información:

   • Fecha: fecha y hora en que se realizó el cambio de configuración. La fecha y la hora se almacenan en formato de hora universal coordinada (UTC).

   • Cmdlet: nombre del cmdlet que se usó para realizar el cambio de configuración.

   • Usuario: nombre de la cuenta de usuario del usuario que realizó el cambio de configuración.

     Se mostrarán hasta 5000 entradas en varias páginas. Especifique un intervalo de fechas menor si necesita limitar los resultados. Si selecciona un resultado de la búsqueda individual, se mostrará la siguiente información adicional en el panel de detalles:

   • Objeto modificado: objeto modificado por el cmdlet .

   • Parámetros (Parameter:Value): los parámetros de cmdlet que se usaron y cualquier valor especificado con el parámetro .

3. Si desea imprimir una entrada específica del registro de auditoría, elija el botón Imprimir en el panel de detalles.

Uso de PowerShell para ver el registro de auditoría de administración

Puede usar Exchange Online PowerShell o PowerShell Exchange Online Protection independiente para buscar entradas de registro de auditoría que cumplan los criterios especificados. Utilice la siguiente sintaxis:

Search-AdminAuditLog [-Cmdlets <Cmdlet1,Cmdlet2,...CmdletN>] [-Parameters <Parameter1,Parameter2,...ParameterN>] [-StartDate <UTCDateTime>] [-EndDate <UTCDateTime>] [-UserIds <"User1","User2",..."UserN">] [-ObjectIds <"Object1","Object2",..."ObjectN">] [-IsSuccess <$true | $false>]

Notas:

• Solo puede usar el parámetro Parameters junto con el parámetro Cmdlets .

• El parámetro ObjectIds filtra los resultados por el objeto modificado por el cmdlet . Un valor válido depende de cómo se represente el objeto en el registro de auditoría. Por ejemplo:

  • Nombre
  • Nombre distintivo canónico (por ejemplo, contoso.com/Users/Akia Al-Zuhairi)

  Es probable que deba usar otros parámetros de filtrado en este cmdlet para restringir los resultados e identificar los tipos de objetos que le interesan.

• El parámetro UserIds filtra los resultados por el usuario que realizó el cambio (quién ejecutó el cmdlet).

• Para los parámetros StartDate y EndDate , si especifica un valor de fecha y hora sin una zona horaria, el valor está en hora universal coordinada (UTC). Para especificar un valor de fecha y hora para este parámetro, use una de las siguientes opciones:

  • Especifique el valor de fecha y hora en UTC; por ejemplo, "2016-05-06 14:30:00z".
  • Especifique el valor de fecha y hora como una fórmula que convierta la fecha y hora de la zona horaria local en UTC: por ejemplo, (Get-Date "5/6/2016 9:30 AM").ToUniversalTime(). Para obtener más información, vea Get-Date.

• El cmdlet devuelve un máximo de 1000 entradas de registro de forma predeterminada. Use el parámetro ResultSize para especificar hasta 250 000 entradas de registro. O bien, use el valor Unlimited para devolver todas las entradas.

En este ejemplo se buscan todas las entradas del registro de auditoría con los siguientes criterios:

• Fecha de inicio: 4 de agosto de 2019
• Fecha de finalización: 3 de octubre de 2019
• Cmdlets: Update-RoleGroupMember

Search-AdminAuditLog -Cmdlets Update-RoleGroupMember -StartDate (Get-Date "08/04/2019").ToUniversalTime() -EndDate (Get-Date "10/03/2019").ToUniversalTime()

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Search-AdminAuditLog.

Ver los detalles de las entradas del registro de auditoría

El cmdlet Search-AdminAuditLog devuelve los campos descritos en la sección Auditar el contenido del registro más adelante en este artículo. De los campos devueltos por el cmdlet, dos campos, CmdletParameters y ModifiedProperties, contienen información adicional que no se devuelve de forma predeterminada.

Para ver el contenido de los campos CmdletParameters y ModifiedProperties siga los pasos que se describen a continuación.

1. Decida los criterios que desea buscar, ejecute el cmdlet Search-AdminAuditLog y guarde los resultados en una variable utilizando el siguiente comando.

   $Results = Search-AdminAuditLog <search criteria>
   

2. Cada entrada de registro de auditoría se almacena como un elemento de matriz en la variable $Results. Puede seleccionar un elemento de matriz especificando su índice de elemento de matriz. Los índices de elemento de matriz comienzan en cero (0) para el primer elemento de matriz. Por ejemplo, para recuperar el quinto elemento de matriz, que tiene un índice de 4, utilice el siguiente comando.

   $Results[4]
   

3. El comando anterior devuelve la entrada de registro almacenada en el elemento de matriz 4. Para ver el contenido de los campos CmdletParameters y ModifiedProperties para esta entrada de registro, utilice los siguientes comandos.

   $Results[4].CmdletParameters
   $Results[4].ModifiedProperties
   

4. Para ver el contenido de los campos CmdletParameters o ModifiedParameters en otra entrada de registro, cambie el índice del elemento de matriz.

Contenido del registro de auditoría

Todas las entradas del registro de auditoría contienen la información que se describe en la tabla siguiente. El registro de auditoría contiene una o varias entradas de registro de auditoría.