Log de auditoria de caixa de correio no Exchange Server

Como as caixas de correio podem conter informações confidenciais e de alto impacto comercial (HBI) e PII (informações pessoalmente identificáveis), é importante rastrear quem faz logon nas caixas de correio da sua organização e quais ações são tomadas. É especialmente importante controlar o acesso a caixas de correio por usuários diferentes do proprietário da caixa de correio. Esses usuários são chamados de usuários delegados.

Usando o log de auditoria de caixa de correio, você pode registrar o acesso à caixa de correio por proprietários de caixas de correio, representantes (inclusive os administradores com total permissão de acesso a caixas de correio) e administradores.

Ao habilitar o log de auditoria para uma caixa de correio, você pode especificar quais ações do usuário (por exemplo, acesso, movimentação ou exclusão de uma mensagem) serão registradas para um tipo de logon (administrador, representante, usuário ou proprietário). As entradas de log de auditoria também incluem informações importantes como, por exemplo, endereço IP do cliente, nome do host e processo ou cliente utilizado para acessar a caixa de correio. Para itens movidos, a entrada inclui o nome da pasta de destino.

Logs de auditoria de caixa de correio

Os logs de auditoria de caixa de correio são gerados para cada caixa de correio que tenha o registro em log de auditoria de caixa de correio habilitado. As entradas de log são armazenadas na subpasta Auditorias da pasta Itens Recuperáveis, na caixa de correio auditada. Isso garante que todas as entradas de log de auditoria estejam disponíveis em um único local, independentemente de qual método de acesso ao cliente foi usado para acessar a caixa de correio ou qual servidor ou computador um administrador usa para acessar o log de auditoria da caixa de correio. Se você mover uma caixa de correio para outro servidor de Caixa de Correio, os logs de auditoria de caixa de correio dessa caixa também serão movidos, pois estão localizados na caixa de correio.

Por padrão, as entradas do log de auditoria de caixa de correio são mantidas na caixa de correio por 90 dias e depois excluídas. Você pode modificar esse período de retenção usando o parâmetro AuditLogAgeLimit com o cmdlet Set-Mailbox . Se uma caixa de correio estiver em Retenção In-Loco ou em Retenção de Litígio, as entradas de log de auditoria só serão retidas até que o período de retenção de log da caixa de correio seja atingido. Para manter as entradas de log de auditoria por mais tempo, você precisa aumentar o período de retenção alterando o valor para o parâmetro AuditLogAgeLimit . Também é possível exportar as entradas de log de auditoria antes de o período de retenção terminar. Para mais informações, consulte:

Habilitar o registro em log de auditoria de caixa de correio

O registro em log de auditoria de caixa de correio é habilitado por caixa de correio. Use o cmdlet Set-Mailbox para habilitar ou desabilitar o log de auditoria de caixa de correio. Para detalhes, consulte Habilitar ou desabilitar uma caixa de correio do log de auditoria de caixa de correio.

Quando você habilita o log de auditoria de caixa de correio para uma caixa de correio, o acesso à caixa de correio e algumas ações executadas por administradores e representantes são registradas no log por padrão. Para registrar em log as ações executadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas.

Ações de caixa de correio registradas pelo log de auditoria de caixa de correio

A tabela a seguir lista as ações registradas pelo log de auditoria de caixa de correio, incluindo os tipos de logon para os quais a ação pode ser registrada. Observe que um administrador que recebeu a permissão de Acesso Completo para a caixa de correio de um usuário é considerado um usuário delegado.

Caso não seja mais necessário fazer a auditoria de alguns tipos de ações da caixa de correio, modifique a configuração de registro em log de auditoria da caixa de correio para desabilitar essas ações. Entradas de log existentes não serão limpas enquanto o limite de idade das entradas de log de auditoria não for atingido.

Ação Descrição Administrador Delegar Proprietário
Copiar Um item é copiado para outra pasta. Sim Não Não
Criar Um item é criado nas pastas Calendário, Contatos, Anotações ou Tarefas na caixa de correio; por exemplo, é criada uma nova solicitação de reunião. Observe que a mensagem ou a criação da pasta não são auditadas. Sim1 Sim1 Sim
FolderBind Uma pasta da caixa de correio é acessada. Sim1 Sim2 Não
HardDelete Um item é excluído permanentemente da pasta Itens Recuperáveis. Sim1 Sim1 Sim
MailboxLogin O usuário entrou em sua caixa de correio. Não Não Sim3
MessageBind Um item é acessado no painel de leitura ou aberto. Sim Não Não
Mover Um item é movido para outra pasta. Sim1 Sim Sim
MoveToDeletedItems Um item é movido para a Itens Excluídos. Sim1 Sim Sim
SendAs Uma mensagem é enviada usando permissões Enviar como. Sim1 Sim1 Não
SendOnBehalf Uma mensagem é enviada usando permissões Enviar em nome de. Sim1 Sim Não
SoftDelete Um item é excluído da pasta Itens Excluídos. Sim1 Sim1 Sim
Atualizar As propriedades de um item são atualizadas. Sim1 Sim1 Sim

1 Auditado por padrão se a auditoria estiver habilitada para uma caixa de correio.

2 As entradas para ações de associação de pastas executadas pelos delegados são consolidadas. Uma entrada de log é gerada para o acesso individual da pasta dentro de um intervalo de 24 horas.

3 A auditoria para logons de proprietário em uma caixa de correio funciona apenas para logons POP3, IMAP4 ou OAuth. Não funciona para logons NTLM ou Kerberos na caixa de correio.

Pesquisando o log de auditoria da caixa de correio

Você pode usar os seguintes métodos para pesquisar entradas de log de auditoria de caixa de correio:

  • Pesquise de forma síncrona uma única caixa de correio: você pode usar o cmdlet Search-MailboxAuditLog para pesquisar de forma síncrona as entradas de log de auditoria da caixa de correio para uma única caixa de correio. O cmdlet exibe os resultados da pesquisa na janela do Shell de Gerenciamento do Exchange. Para detalhes, consulte Search Mailbox Audit Log for a Mailbox.

  • Pesquise assíncronamente uma ou mais caixas de correio: você pode criar uma pesquisa de log de auditoria de caixa de correio para pesquisar assíncronamente logs de auditoria de caixa de correio para uma ou mais caixas de correio e, em seguida, ter os resultados da pesquisa enviados para um endereço de email especificado. Os resultados da pesquisa são enviados como um anexo XML. Para criar a pesquisa, use o cmdlet New-MailboxAuditLogSearch. Para obter detalhes, consulte Criar uma pesquisa de log de auditoria de caixa de correio.

  • Use relatórios de auditoria no Centro de Administração do Exchange (EAC): você pode usar a guia Auditoria no EAC para executar um relatório de acesso de caixa de correio não proprietário (contém entradas para ações de administrador e exclusão) ou exportar entradas não proprietárias do log de auditoria da caixa de correio. Veja mais detalhes em:

Entradas de log de auditoria de caixa de correio

A tabela a seguir descreve os campos registrados em uma entrada de log de auditoria de caixa de correio.

Campo Populado com
Operação Uma destas ações:
Copiar
Criar
FolderBind
HardDelete
MailboxLogin
MessageBind
Mover
MoveToDeletedItems
SendAs
SendOnBehalf
SoftDelete
Atualizar
OperationResult Um destes resultados:
Falhou
ParcialmenteSucedido
Succeeded
LogonType Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:
Proprietário
Delegar
Administrador
DestFolderId GUID da pasta de destino para operações de movimentação.
DestFolderPathName Caminho da pasta de destino para operações de movimentação.
FolderId GUID da pasta.
FolderPathName Caminho da pasta.
ClientInfoString Detalhes que identificam qual cliente ou componente do Exchange executou a operação.
ClientIPAddress Endereço IP do computador cliente.
ClientMachineName Nome do computador cliente.
ClientProcessName O nome do processo do aplicativo cliente.
ClientVersion Versão do aplicativo do cliente.
InternalLogonType O tipo de usuário interno (uma pessoa em sua organização) que realizou a operação. Os valores possíveis para esse campo são os mesmos do campo LogonType .
MailboxOwnerUPN Nome UPN do proprietário da caixa de correio.
MailboxOwnerSid SID (identificador de segurança) do proprietário da caixa de correio.
DestMailboxOwnerUPN Nome UPN do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.
DestMailboxOwnerSid SID do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.
DestMailboxOwnerGuid GUID do proprietário da caixa de correio de destino.
CrossMailboxOperation Informações sobre se a operação registrada é uma operação de caixas de correio cruzadas (por exemplo, copiar ou mover mensagens entre caixas de correio).
LogonUserDisplayName Nome para exibição do usuário que está conectado.
DelegateUserDisplayName Nome para exibição do usuário representado.
LogonUserSid SID do usuário que está conectado.
SourceItems ItemID dos itens de caixa de correio nos quais a ação registrada foi realizada (por exemplo, mover ou excluir). Para operações realizadas em diversos itens, o campo é retornado como uma coleção de itens.
SourceFolders GUID da pasta de origem.
ItemId ID do item.
ItemSubject Assunto do item.
MailboxGuid GUID da caixa de correio.
MailboxResolvedOwnerName Nome resolvido pelo usuário da caixa de correio no formato DOMAIN\ SamAccountName.
LastAccessed A hora na qual a operação foi realizada.
Identity ID da entrada do log de auditoria.

Mais informações

  • Acesso do administrador a caixas de correio: as caixas de correio são consideradas acessadas por um administrador somente nos seguintes cenários:

  • Ignorar o registro em log de auditoria de caixa de correio: o acesso à caixa de correio por processos automatizados autorizados, como contas usadas por ferramentas de terceiros ou contas usadas para monitoramento legal, pode criar um grande número de entradas de log de auditoria de caixa de correio e pode não ser de interesse para sua organização. Essas contas podem ser configuradas para ignorar o registro em log de auditoria de caixa de correio. Para obter detalhes, confira Ignorar uma conta de usuário do log de auditoria da caixa de correio.

  • Registrar ações do proprietário da caixa de correio: para caixas de correio como a Caixa de Correio de Pesquisa de Descoberta, que pode conter informações mais confidenciais, considere habilitar o registro em log de auditoria de caixa de correio para ações do proprietário da caixa de correio, como exclusão de mensagens.