Exportación de registros de auditoría de buzones en Exchange Online
Nota:
El Centro de administración de Exchange clásico está en desuso en la implementación en todo el mundo. Se recomienda buscar en el registro de auditoría en el portal de cumplimiento Microsoft Purview. Para obtener más información, vea Desuso del centro de administración clásico de Exchange en el servicio WW y Busque el registro de auditoría en el portal de cumplimiento.
Cuando la auditoría de buzones está habilitada para un buzón de correo, Exchange Online registra información en el registro de auditoría del buzón cada vez que un usuario distinto del propietario accede al buzón. Cada entrada de registro incluye información sobre quién accedió al buzón y cuándo, las acciones realizadas por el no propietario y si la acción se realizó correctamente. Las entradas del registro de auditoría de buzones de correo se retienen, de manera predeterminada, durante 90 días. Puede usar el registro de auditoría del buzón para determinar si un usuario distinto del propietario accede a un buzón.
Al exportar entradas de registros de auditoría de buzones de correo, Exchange Online guarda las entradas en un archivo XML y lo adjunta a un mensaje de correo electrónico enviado a los destinatarios especificados.
Antes de empezar
Tiempo estimado para completar cada procedimiento: varía. El registro de auditoría del buzón de correo se envía unos días después de exportarlo.
A partir de enero de 2019, el registro de auditoría del buzón de correo está habilitado de forma predeterminada para todas las organizaciones Exchange Online. Para más información, consulte Administrar auditoría del buzón..
Si va a usar Outlook en la Web (anteriormente conocida como Outlook Web App) para ver las entradas exportadas, debe habilitar .xml datos adjuntos en Outlook en la Web. Para obtener más información, consulte Configuración de Outlook en la Web para permitir datos adjuntos XML.
Para buscar y abrir el Centro de administración de Exchange (EAC), consulte Centro de administración de Exchange en Exchange Online.
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte la entrada "Ver informes" en el tema Permisos de características en Exchange Online.
Para obtener información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este tema, vea Métodos abreviados de teclado para el Centro de administración de Exchange.
Sugerencia
¿Problemas? Pida ayuda en el foro de Exchange Online.
Exportación del registro de auditoría de buzones de correo
En el EAC, vaya aAuditoríade administración de> cumplimiento.
Haga clic en Exportar registros de auditoría de buzones de correo.
Configure los siguientes criterios de búsqueda para exportar las entradas del informe de auditoría de buzones de correo:
- Fechas de inicio y finalización: seleccione el intervalo de fechas para que las entradas se incluyan en el archivo exportado.
- Buzones para los que buscar el registro de auditoría: seleccione los buzones para los que recuperar las entradas de registro de auditoría.
- Tipo de acceso no propietario: seleccione una de las siguientes opciones para definir el tipo de acceso de no propietario para el que recuperar entradas:
- Todos los usuarios que no son propietarios: busque acceso por parte de administradores y usuarios delegados dentro de su organización y de los administradores del centro de datos de Microsoft en Exchange Online.
- Usuarios externos: busque acceso por parte de los administradores del centro de datos de Microsoft.
- Administradores y usuarios delegados: busque acceso por parte de administradores y usuarios delegados dentro de la organización.
- Administradores: busque acceso por parte de los administradores de su organización.
- Destinatarios: seleccione los usuarios a los que se va a enviar el registro de auditoría del buzón.
Haga clic en Exportar.
Exchange Online recupera entradas en el registro de auditoría del buzón que cumplen los criterios de búsqueda, las guarda en un archivo denominado SearchResult.xml y, a continuación, adjunta el archivo XML a un mensaje de correo electrónico enviado a los destinatarios especificados.
¿Cómo saber si el proceso se ha completado correctamente?
Inicie sesión en el buzón al que se envió el registro de auditoría de buzones de correo. Si ha exportado correctamente el registro de auditoría, recibirá un mensaje enviado desde Exchange. Este mensaje puede tardar unos días en recibirse. El registro de auditoría de buzones (llamado SearchResult.xml) se adjuntará a este mensaje. Si ha configurado correctamente Outlook en la Web para permitir datos adjuntos XML, puede descargar el archivo XML adjunto.
Consulta del registro de auditoría de buzones de correo
Para guardar y ver el archivo SearchResult.xml:
- Inicie sesión en el buzón al que se envió el registro de auditoría de buzones de correo.
- En la Bandeja de entrada, abra el mensaje con los datos adjuntos del archivo XML enviados por Exchange Online. Observe que el cuerpo del mensaje de correo electrónico contiene los criterios de búsqueda.
- Haga clic en el archivo adjunto y seleccione la opción de descargar el archivo XML.
- Abra el archivo SearchResult.xml en Microsoft Excel.
Más información
Entradas del registro de auditoría de buzones
En el ejemplo siguiente se muestra una entrada del registro de auditoría de buzones incluida en el archivo SearchResult.xml. Cada entrada va precedida por una etiqueta XML <Event> y termina con la etiqueta XML </Event>. Esta entrada muestra que el administrador purgue el mensaje con el asunto "Notificación de suspensión por juicio" de la carpeta Elementos recuperables del buzón de David el 30 de abril de 2021.
<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
Owner="PPLNSL-dom\david50001-1363917750"
LastAccessed="2021-04-30T11:01:55.140625-07:00"
Operation="HardDelete"
OperationResult="Succeeded"
LogonType="Admin"
FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
FolderPathName="\Recoverable Items\Deletions"
ClientInfoString="Client=OWA;Action=ViaProxy"
ClientIPAddress="10.196.241.168"
InternalLogonType="Owner"
MailboxOwnerUPN="david@contoso.com"
MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
CrossMailboxOperation="false"
LogonUserDN="Administraor"
LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
<SourceItems>
<ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
Subject="Notification of litigation hold"
FolderPathName="\Recoverable Items\Deletions" />
</SourceItems>
</Event>
Campos útiles en el registro de auditoría de buzones
Esta es una descripción de los campos útiles en el registro de auditoría del buzón. Pueden ayudarle a identificar información específica sobre cada instancia de acceso no propietario de un buzón de correo.
| Campo | Description |
|---|---|
| Owner | Propietario del buzón al que un no propietario accedió. |
| LastAccessed | La fecha y hora en que se obtuvo acceso al buzón de correo. |
| Operación | Acción realizada por el no propietario. Para obtener más información, vea la sección "¿Qué se registra en el registro de auditoría del buzón?" en Ejecución de un informe de acceso de buzón de correo no propietario en Exchange Online. |
| OperationResult | Si la acción realizada por el no propietario se realizó correctamente o no. |
| LogonType | Tipo de acceso que no es de propietario. Entre ellos se incluyen admin, delegate y external. |
| FolderPathName | Nombre de la carpeta que contenía el mensaje afectado por el no propietario. |
| ClientInfoString | Información sobre el cliente de correo usado por el no propietario para acceder al buzón. |
| ClientIPAddress | Dirección IP del equipo utilizado por el no propietario para acceder al buzón. |
| InternalLogonType | Tipo de inicio de sesión de la cuenta usada por el no propietario para acceder a este buzón. |
| MailboxOwnerUPN | Dirección de correo electrónico del propietario del buzón de correo. |
| LogonUserDN | Nombre para mostrar del no propietario. |
| Asunto | Línea de asunto del mensaje de correo electrónico que el no propietario ha afectado. |