Este artigo foi traduzido por máquina. Para visualizar o arquivo em inglês, marque a caixa de seleção Inglês. Você também pode exibir o texto Em inglês em uma janela pop-up, movendo o ponteiro do mouse sobre o texto.
Tradução
Inglês

Auditoria de caixa de correio log no Exchange 2016

[Este tópico é uma documentação de pré-lançamento e está sujeito a alterações em versões futuras. Tópicos em branco são incluídos como espaços reservados. Se você tem comentários, adoraríamos saber! Envie-nos um email para ExchangeHelpFeedback@microsoft.com.]  

Aplica-se a:Exchange Server 2016

Saiba mais sobre os tipos de login específicos e as ações de usuário que podem ser auditadas quando a auditoria de caixa de correio log está habilitado para caixas de correio de usuário no Exchange 2016.

Caixas de correio podem conter informações confidenciais, informações HBI (de alto impacto nos negócios) e PII (informações de identificação pessoal). Por isso, é importante acompanhar quem faz logon nas caixas de correio da sua organização e rastrear as ações executadas. É especialmente importante monitorar o acesso de usuários que não sejam donos das caixas de correio em questão. Esses usuários são chamados de usuários representantes.

Usando o log de auditoria de caixa de correio, você pode registrar o acesso à caixa de correio por proprietários de caixas de correio, representantes (inclusive os administradores com total permissão de acesso a caixas de correio) e administradores.

Ao habilitar o log de auditoria para uma caixa de correio, você pode especificar quais ações do usuário (por exemplo, acesso, movimentação ou exclusão de uma mensagem) serão registradas para um tipo de logon (administrador, representante, usuário ou proprietário). As entradas de log de auditoria também incluem informações importantes como, por exemplo, endereço IP do cliente, nome do host e processo ou cliente utilizado para acessar a caixa de correio. Para itens movidos, a entrada inclui o nome da pasta de destino.

Conteúdo

Logs de auditoria de caixa de correio

Habilitação de caixa de correio log de auditoria

Ações de caixa de correio registradas pelo correio log de auditoria

Pesquisar o log de auditoria de caixa de correio

Entradas de log de auditoria de caixa de correio

Obter mais informações

Logs de auditoria de caixas de correio são gerados para cada caixa de correio que tem a caixa de correio habilitada de log de auditoria. Entradas de log são armazenadas na pasta itens recuperáveis na caixa de correio auditada, na subpasta auditorias. Isso garante que todas as entradas de log de auditoria estão disponíveis a partir de um único local, independentemente de qual cliente o método de acesso foi usado para acessar a caixa de correio ou qual servidor ou computador administrador usa para acessar o log de auditoria de caixa de correio. Se você mover uma caixa de correio para outro servidor de caixa de correio, os logs de auditoria de caixa de correio para essa caixa de correio também são movidos porque eles estão localizados na caixa de correio.

Por padrão, as entradas do log de auditoria de caixa de correio são mantidas na caixa de correio por 90 dias e depois excluídas. Esse período de retenção pode ser modificado com o uso do parâmetro AuditLogAgeLimit com o cmdlet Set-Mailbox. Se uma caixa de correio estiver em Retenção In-Loco ou em Retenção de Litígio, as entradas de log de auditoria só serão retidas até que o período de retenção de log da caixa de correio seja atingido. Para reter as entradas de log de auditoria por mais tempo, é preciso aumentar o período de retenção alterando o valor do parâmetro AuditLogAgeLimit. Também é possível exportar as entradas de log de auditoria antes de o período de retenção terminar. Para mais informações, consulte:

O registro em log de auditoria de caixa de correio é habilitado por caixa de correio. Use o cmdlet Set-Mailbox para habilitar ou desabilitar o log de auditoria de caixa de correio. Para detalhes, consulte Habilitar ou desabilitar uma caixa de correio do log de auditoria de caixas de correio.

Quando você habilita o log de auditoria de caixa de correio para uma caixa de correio, o acesso à caixa de correio e algumas ações executadas por administradores e representantes são registradas no log por padrão. Para registrar em log as ações executadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas.

Voltar ao início

A tabela a seguir lista as ações registradas pelo log de auditoria de caixa de correio, incluindo os tipos de logon para os quais a ação pode ser registrada.

 

AçãoDescriçãoAdministradorRepresentante***Proprietário

Copiar

Um item é copiado para outra pasta.

Sim

Não

Não

Criar

Um item é criado nas pastas Calendário, Contatos, Anotações ou Tarefas na caixa de correio; por exemplo, é criada uma nova solicitação de reunião. Observe que a mensagem ou a criação da pasta não são auditadas.

Sim*

Sim*

Sim

FolderBind

Uma pasta da caixa de correio é acessada.

Sim*

Sim**

Não

HardDelete

Um item é excluído permanentemente da pasta Itens Recuperáveis.

Sim*

Sim*

Sim

MailboxLogin

O usuário entrou em sua caixa de correio.

Não

Não

Sim

MessageBind

Um item é acessado no painel de leitura ou aberto.

Sim

Não

Não

Move

Um item é movido para outra pasta.

Sim*

Sim

Sim

MoveToDeletedItems

Um item é movido para a Itens Excluídos.

Sim*

Sim

Sim

SendAs

Uma mensagem é enviada usando permissões Enviar como.

Sim*

Sim*

Não

SendOnBehalf

Uma mensagem é enviada usando permissões Enviar em nome de.

Sim*

Sim

Não

SoftDelete

Um item é excluído da pasta Itens Excluídos.

Sim*

Sim*

Sim

Atualizar

As propriedades de um item são atualizadas.

Sim*

Sim*

Sim

noteObservação:
Auditado por padrão se a auditoria estiver habilitada para uma caixa de correio.
* * Entradas para ações de vincular pasta executadas por representantes são consolidadas. Uma entrada de log é gerada para acesso a pastas individuais dentro de um período de tempo de 24 horas.
Um administrador que tenha sido atribuído a permissão de acesso completo à caixa de correio de um usuário é considerado um usuário delegado.

Caso não seja mais necessário fazer a auditoria de alguns tipos de ações da caixa de correio, modifique a configuração de registro em log de auditoria da caixa de correio para desabilitar essas ações. Entradas de log existentes não serão limpas enquanto o limite de idade das entradas de log de auditoria não for atingido.

Voltar ao início

Você pode usar os seguintes métodos para pesquisar entradas de log de auditoria de caixa de correio:

Voltar ao início

A tabela a seguir descreve os campos registrados em uma entrada de log de auditoria de caixa de correio.

 

CampoPopulado com

Operation

Uma destas ações:

  • Copiar

  • Criar

  • FolderBind

  • HardDelete

  • MailboxLogin

  • MessageBind

  • Mover

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Atualizar

OperationResult

Um destes resultados:

  • Falha

  • PartiallySucceeded

  • Com Êxito

LogonType

Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:

  • Owner

  • Delegar

  • Admin

DestFolderId

GUID da pasta de destino para operações de movimentação.

DestFolderPathName

Caminho da pasta de destino para operações de movimentação.

FolderId

GUID da pasta.

FolderPathName

Caminho da pasta.

ClientInfoString

Detalhes que identificam qual cliente ou componente do Exchange realizou a operação.

ClientIPAddress

Endereço IP do computador cliente.

ClientMachineName

Nome do computador cliente.

ClientProcessName

O nome do processo do aplicativo cliente.

ClientVersion

Versão do aplicativo do cliente.

InternalLogonType

O tipo de usuário interno (uma pessoa em sua organização) que executou a operação. Os valores possíveis para esse campo são as mesmas do campo LogonType .

MailboxOwnerUPN

Nome UPN do proprietário da caixa de correio.

MailboxOwnerSid

SID (identificador de segurança) do proprietário da caixa de correio.

DestMailboxOwnerUPN

Nome UPN do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.

DestMailboxOwnerSid

SID do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.

DestMailboxOwnerGuid

GUID do proprietário da caixa de correio de destino.

CrossMailboxOperation

Informações sobre se a operação registrada é uma operação de caixas de correio cruzadas (por exemplo, copiar ou mover mensagens entre caixas de correio).

LogonUserDisplayName

Nome para exibição do usuário que está conectado.

DelegateUserDisplayName

Nome para exibição do usuário representado.

LogonUserSid

SID do usuário que está conectado.

SourceItems

ItemID dos itens de caixa de correio nos quais a ação registrada foi realizada (por exemplo, mover ou excluir). Para operações realizadas em diversos itens, o campo é retornado como uma coleção de itens.

SourceFolders

GUID da pasta de origem.

ItemId

ID do item.

ItemSubject

Assunto do item.

MailboxGuid

GUID da caixa de correio.

MailboxResolvedOwnerName

Nome resolvido do usuário da caixa de correio no formato DOMÍNIO\NomeDeContaSAM.

LastAccessed

A hora na qual a operação foi realizada.

Identity

ID da entrada do log de auditoria.

Voltar ao início

  • Acesso de administrador a caixas de correio   Considera-se que caixas de correio são acessadas por um administrador apenas nestes cenários:

  • Ignorando o log de auditoria de caixa de correio   O acesso a caixas de correio por processos automatizados – por exemplo, contas usadas por ferramentas de terceiros ou contas utilizadas para fins de monitoramento por força de lei – pode criar um grande número de entradas de log de auditoria, e isso talvez não interesse à sua organização. Essas contas podem ser configuradas para ignorar o registro em log de auditoria de caixa de correio. Para detalhes, consulte Bypass de um usuário da conta de auditoria de caixa de correio log.

  • Registrando ações de proprietários de caixas de correio   Para caixas de correio como, por exemplo, Caixa de Correio de Pesquisa de Descoberta, as quais podem conter informações confidenciais, considere habilitar o log de auditoria de caixa de correio para ações do proprietário da caixa de correio; por exemplo, exclusão de mensagens.

Voltar ao início

 
Mostrar: