Registro de auditoría de buzones en Exchange Server
Dado que los buzones de correo pueden contener información confidencial y de alto impacto comercial, así como información de identificación personal, es importante realizar un seguimiento de quién inicia sesión en los buzones de la organización y qué acciones se llevan a cabo. Es especialmente importante que lleve un seguimiento del acceso a los buzones por parte de usuarios que no sean el propietario del buzón en cuestión. Estos usuarios se conocen como usuarios delegados.
Mediante el registro de auditoría de buzones, puede registrar el acceso al buzón por parte de los propietarios de buzones, delegados (incluidos los administradores con permisos de acceso total a buzones) y administradores.
Al habilitar el registro de auditoría para un buzón de correo, se pueden especificar las acciones de usuario (por ejemplo, acceso, traslado o eliminación de mensajes) que se registrarán para un tipo de inicio de sesión (administrador, usuario delegado o propietario). Las entradas del registro de auditoría también incluyen información importante, tal como la dirección IP del cliente, el nombre de host y el proceso o cliente utilizado para acceder al buzón. Para los elementos movidos, la entrada incluye el nombre de la carpeta de destino.
Registros de auditoría de buzón de correo
Los registros de auditoría del buzón de correo se generan para cada buzón que tenga habilitado el registro de auditoría del buzón de correo. Las entradas del registro se almacenan en la carpeta de elementos recuperables en el buzón auditado, en la subcarpeta Auditorías. Esto garantiza que las entradas del registro de auditoría estén disponibles en una ubicación única, independientemente del método de acceso del cliente que se haya usado para acceder al buzón o del servidor o equipo que un administrador use para acceder al registro de auditoría de buzón. Si mueve un buzón de correo a otro servidor de buzones de correo, también se moverán los registros de auditoría del buzón de correo pertinentes porque se encuentran en el buzón de correo.
De forma predeterminada, las entradas de un registro de auditoría de buzón se conservan en el buzón de correo durante 90 días y luego se eliminan. Puede modificar este período de retención mediante el parámetro AuditLogAgeLimit con el cmdlet Set-Mailbox . Si un buzón está en retención en contexto o en retención por juicio, las entradas del registro de auditoría solo se conservarán hasta que se haya alcanzado el período de retención del registro de auditoría de buzón. Para conservar las entradas del registro de auditoría durante más tiempo, tiene que aumentar el período de retención cambiando el valor del parámetro AuditLogAgeLimit . También puede exportar entradas del registro de auditoría antes de que se alcance el período de retención. Para obtener más información, consulte:
Habilitación del registro de auditoría de buzón
El registro de auditoría de buzón se habilita por buzón de correo. El cmdlet Set-Mailbox permite habilitar o deshabilitar el registro de auditoría de buzón. Para obtener más información, vea Habilitar o deshabilitar el registro de auditoría de buzones para un buzón.
Al habilitar el registro de auditoría de buzón en un buzón de correo, el acceso al buzón de correo y algunas acciones realizadas por los administradores y delegados se registran de forma predeterminada. Para registrar las acciones que lleva a cabo el propietario del buzón de correo, es necesario especificar las acciones de propietario que se deben auditar.
Acciones de buzón de correo registradas por el registro de auditoría de buzón
En la siguiente tabla se enumeran las acciones registradas por el registro de auditoría de buzón de correo, incluidos los tipos de inicio de sesión para los que se puede registrar la acción. Tenga en cuenta que un administrador al que se haya asignado el permiso Acceso total en el buzón de un usuario se considera usuario delegado.
Si ya no necesita que se auditen determinados tipos de acciones de buzón de correo, tendrá que modificar la configuración de registro de auditoría del buzón para deshabilitarlas. Las entradas de registro existentes no se purgan hasta que se ha alcanzado el límite de antigüedad de las entradas del registro de auditaría.
| Acción | Descripción | Admin | Delegado | Owner |
|---|---|---|---|---|
| Copiar | Se copia un elemento en otra carpeta. | Sí | No | No |
| Crear | Se crea un elemento en la carpeta Calendario, Contactos, Notas o Tareas del buzón; por ejemplo, se crea una nueva convocatoria de reunión. Tenga en cuenta que la creación de mensajes o carpetas no se audita. | Sí1 | Sí1 | Sí |
| FolderBind | Se obtiene acceso a una carpeta de buzón de correo. | Sí1 | Sí2 | No |
| HardDelete | Se elimina un elemento de la carpeta Elementos recuperables de forma permanente. | Sí1 | Sí1 | Sí |
| MailboxLogin | El usuario inició sesión en su buzón. | No | No | Sí3 |
| MessageBind | Se abre o se obtiene acceso a un elemento desde el panel de lectura. | Sí | No | No |
| Mover | Se mueve un elemento a otra carpeta. | Sí1 | Sí | Sí |
| MoveToDeletedItems | Se mueve un elemento a la carpeta Elementos eliminados. | Sí1 | Sí | Sí |
| SendAs | Se envía un mensaje con los permisos Enviar como. | Sí1 | Sí1 | No |
| SendOnBehalf | Se envía un mensaje con los permisos Enviar en nombre de. | Sí1 | Sí | No |
| SoftDelete | Se elimina un elemento de la carpeta Elementos eliminados. | Sí1 | Sí1 | Sí |
| Actualizar | Se actualizan las propiedades de un elemento. | Sí1 | Sí1 | Sí |
1 Auditado de forma predeterminada si la auditoría está habilitada para un buzón de correo.
2 Las entradas para las acciones de enlace de carpetas realizadas por delegados se consolidan. Se genera una entrada de registro para el acceso a cada carpeta en un plazo de 24 horas.
3 La auditoría de los inicios de sesión del propietario en un buzón solo funciona para los inicios de sesión POP3, IMAP4 o OAuth. No funciona para los inicios de sesión NTLM o Kerberos en el buzón.
Buscar el registro de auditoría del buzón de correo
Puede usar los métodos indicados a continuación para buscar entradas del registro de auditoría de buzón:
Buscar sincrónicamente en un único buzón: puede usar el cmdlet Search-MailboxAuditLog para buscar de forma sincrónica entradas de registro de auditoría de buzón de correo para un único buzón. El cmdlet muestra los resultados de la búsqueda en la ventana del Shell de administración de Exchange. Para obtener más información, consulte Registro de auditoría de buzón de correo de búsqueda para un buzón de correo.
Búsqueda asincrónica en uno o varios buzones: puede crear una búsqueda de registros de auditoría de buzón para buscar de forma asincrónica los registros de auditoría de buzones de uno o varios buzones y, a continuación, enviar los resultados de la búsqueda a una dirección de correo electrónico especificada. Los resultados de la búsqueda se envían como datos adjuntos XML. Para crear la búsqueda, use el cmdlet New-MailboxAuditLogSearch. Para obtener más información, consulte Creación de una búsqueda de registros de auditoría de buzones.
Usar informes de auditoría en el Centro de administración de Exchange (EAC): puede usar la pestaña Auditoría del EAC para ejecutar un informe de acceso de buzón de correo no propietario (contiene entradas para acciones de administración y eliminación) o exportar entradas que no son de propietario desde el registro de auditoría de buzones. Para más información, vea:
Entradas de registro de auditoría de buzón
En la siguiente tabla se describen los campos registrados en una entrada del registro de auditoría de buzón.
| Campo | Se rellena con |
|---|---|
| Operación | Una de las acciones siguientes: Copiar Crear FolderBind HardDelete MailboxLogin MessageBind Mover MoveToDeletedItems SendAs SendOnBehalf SoftDelete Update |
| OperationResult | Uno de los resultados siguientes: Failed Parcialmentesucceeded Succeeded |
| LogonType | Tipo de inicio de sesión del usuario que realizó la operación. Entre los tipos de inicio de sesión, se incluyen: Propietario Delegado Administrador |
| DestFolderId | GUID de la carpeta de destino para las operaciones de movimiento. |
| DestFolderPathName | Ruta de acceso de la carpeta de destino para las operaciones de movimiento. |
| FolderId | GUID de la carpeta. |
| FolderPathName | Ruta de acceso de la carpeta. |
| ClientInfoString | Detalles que identifican qué cliente o qué componente de Exchange realizó la operación. |
| ClientIPAddress | Dirección IP del equipo cliente. |
| ClientMachineName | Nombre del equipo cliente. |
| ClientProcessName | Nombre del proceso de la aplicación cliente. |
| ClientVersion | Versión de la aplicación cliente. |
| InternalLogonType | El tipo de usuario interno (una persona de su organización) que ha realizado la operación. Los posibles valores para este campo son los mismos que los del campo LogonType. |
| MailboxOwnerUPN | Nombre principal de usuario (UPN) del propietario del buzón. |
| MailboxOwnerSid | Identificador de seguridad del propietario del buzón (SID). |
| DestMailboxOwnerUPN | Nombre principal de usuario (UPN) del propietario del buzón de destino, registrado para operaciones entre buzones. |
| DestMailboxOwnerSid | SID del propietario del buzón de destino, registrado para operaciones entre buzones. |
| DestMailboxOwnerGuid | GUID del propietario del buzón de destino. |
| CrossMailboxOperation | Información sobre si la operación registrada es una operación entre buzones (por ejemplo, copiar o mover mensajes entre buzones). |
| LogonUserDisplayName | Nombre para mostrar del usuario que ha iniciado sesión. |
| DelegateUserDisplayName | Nombre para mostrar del usuario delegado. |
| LogonUserSid | SID del usuario que ha iniciado sesión. |
| SourceItems | Identificador de elemento de los elementos de buzón donde se haya realizado la acción registrada (por ejemplo, mover o eliminar). Para las operaciones realizados en varios elementos, este campo se devuelve como un conjunto de elementos. |
| SourceFolders | GUID de la carpeta de origen. |
| ItemId | Identificador del elemento. |
| ItemSubject | Asunto del elemento. |
| MailboxGuid | GUID del buzón. |
| MailboxResolvedOwnerName | Nombre resuelto por el usuario del buzón con el formato DOMAIN\ SamAccountName. |
| LastAccessed | Hora en que se realizó la operación. |
| Identity | Identificador de entrada de registro de auditoría. |
Más información
Acceso de administrador a buzones: los buzones se consideran accesibles por un administrador solo en los siguientes escenarios:
La exhibición de documentos electrónicos local se usa para realizar búsquedas en un buzón.
El cmdlet New-MailboxExportRequest se usa para exportar un buzón de correo.
Microsoft Exchange Server objetos de datos de colaboración y cliente MAPI se usa para acceder al buzón.
Omitir el registro de auditoría de buzones: el acceso al buzón mediante procesos automatizados autorizados, como cuentas usadas por herramientas de terceros o cuentas usadas para la supervisión legal, puede crear un gran número de entradas de registro de auditoría de buzones de correo y puede que no sea de interés para su organización. Puede configurar estas cuentas para que se omita el registro de auditoría de buzón. Para obtener más información, vea Omitir una cuenta de usuario del registro de auditoría del buzón de correo.
Registrar acciones de propietario del buzón de correo: para buzones como el buzón de búsqueda de detección, que puede contener información más confidencial, considere la posibilidad de habilitar el registro de auditoría de buzones para las acciones del propietario del buzón, como la eliminación de mensajes.