Habilitar ou desabilitar o log de auditoria de caixa de correio para uma caixa de correio no Exchange Server

  • Artigo

Com o log de auditoria da caixa de correio no Exchange Server, você pode rastrear logons em uma caixa de correio, bem como quais ações são tomadas enquanto o usuário está conectado. Quando você habilita o registro em log de auditoria de caixa de correio para uma caixa de correio, algumas ações executadas por administradores e delegados são registradas por padrão. Nenhuma das ações executadas pelo proprietário da caixa de correio é registrada por padrão. Para saber mais sobre o log de auditoria da caixa de correio e quais ações podem ser registradas, confira Registro em log de auditoria da caixa de correio no Exchange Server.

Cuidado

A auditoria das ações do proprietário da caixa de correio pode gerar um grande número de entradas de log de auditoria de caixa de correio e, portanto, é desabilitada por padrão. Recomendamos que você só habilite a auditoria de ações específicas de proprietário necessárias para atender aos requisitos de negócios ou conformidade.

Do que você precisa saber para começar?

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Log de auditoria da caixa de correio" na política de mensagens e permissões de conformidade no tópico Exchange Server.

  • Entradas no log de auditoria de caixa de correio são mantidas por 90 dias, por padrão. Confira a seção Mais informações alterar quanto tempo as entradas são retidas.

  • Você não pode usar o Centro de administração do Exchange (EAC) para habilitar ou desabilitar o log de auditoria de caixa de correio. Você precisa usar o Shell de Gerenciamento do Exchange. Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.

  •   Um administrador que recebeu a permissão de Acesso Completo à caixa de correio de um usuário é considerado um usuário representante.

  • Considera-se que caixas de correio são acessadas por um administrador apenas nestes cenários:

    • A Descoberta eletrônica In-loco é usada para pesquisar uma caixa de correio.

    • O cmdlet New-MailboxExportRequest é usado para exportar uma caixa de correio.

    • O Microsoft Exchange Server MAPI Editor é usado para acessar a caixa de correio.

Habilitar ou desabilitar o log de auditoria de caixa de correio

Você pode usar o Shell de Gerenciamento do Exchange para habilitar ou desabilitar o registro em log de auditoria de caixa de correio para uma caixa de correio. Isso habilita ou desabilita o registro em log de todas as operações especificadas para administrador, delegados e proprietário da caixa de correio.

Este exemplo permite o registro em log de auditoria de caixa de correio para a caixa de correio de Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true

Esse exemplo habilita o log de auditoria de caixa de correio para todas as caixas de correio em sua organização.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}

Este exemplo desabilita o registro em log de auditoria de caixa de correio para a caixa de correio de Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $false

Para obter informações detalhadas sobre sintaxes e parâmetros, confira Set-Mailbox.

Configurar configurações de log de auditoria de caixa de correio para o administrador, delegado e acesso ao proprietário

Quando o log de auditoria da caixa de correio é habilitado para uma caixa de correio, somente as ações de administrador, delegado e proprietário especificadas na configuração de log de auditoria para a caixa de correio são registradas.

Este exemplo especifica que as MessageBind ações e FolderBind executadas pelos administradores serão registradas na caixa de correio de Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditAdmin MessageBind,FolderBind -AuditEnabled $true

Este exemplo especifica que as SendAs ações ou SendOnBehalf executadas pelos usuários delegados serão registradas na caixa de correio de Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true

Este exemplo especifica que a ação HardDelete executada pelo proprietário da caixa de correio será registrada na caixa de correio de Ben Smith.

Set-Mailbox -Identity "Ben Smith" -AuditOwner HardDelete -AuditEnabled $true

Para obter informações detalhadas sobre sintaxes e parâmetros, confira Set-Mailbox.

Como saber se funcionou?

Para verificar se você habilitou com êxito o registro em log de auditoria de caixa de correio para uma caixa de correio e especificou as configurações corretas de log para administrador, delegado ou acesso ao proprietário, use o cmdlet Get-Mailbox para recuperar as configurações de log de auditoria da caixa de correio para essa caixa de correio.

Este exemplo recupera as configurações da caixa de correio de Ben Smith e pipes as configurações de auditoria especificadas, incluindo o limite de idade do log de auditoria, para o cmdlet Format-List .

Get-Mailbox "Ben Smith" | Format-List Audit*

Um valor da True propriedade AuditEnabled verifica se o log de auditoria está habilitado.

Este exemplo recupera as configurações de auditoria de todas as caixas de correio em sua organização.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Format-List Name,Audit*

Mais informações

As ações auditadas para cada tipo de usuário podem não ser todas exibidas quando você executa o cmdlet Get-Mailbox . Mas você pode executar os seguintes comandos para exibir todas as ações auditadas para um tipo de logon do usuário específico.

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner

Por padrão, as entradas no log de auditoria de caixa de correio são mantidas por 90 dias. Quando uma entrada tiver mais de 90 dias, ela é excluída. Você pode usar o cmdlet Set-Mailbox para alterar essa configuração para que os itens sejam mantidos por um período maior (ou menor).

Este exemplo aumenta o limite de idade para entradas de log de auditoria de caixa de correio na caixa de correio de Pilar Pinilla para 180 dias.

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

Este exemplo diminui o limite de idade para entradas de log de auditoria de caixa de correio para todas as caixas de correio do usuário em sua organização para 60 dias.

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Set-Mailbox -AuditLogAgeLimit 60