Visão geral do log de auditoria do administrador
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2015-03-09
Você pode usar o registro em log de auditoria em Microsoft Exchange Server 2010 para registrar ações tomadas pelo usuário ou administrador que faça alterações em sua organização Ao manter o registro das alterações, você pode rastrear uma mudança até à pessoa que a fez. Você também pode aumentar seus registros de alterações com registros detalhados das alterações como foram implementadas, usar registros para fazer cumprir com requisitos regulamentares e solicitações de descoberta e muito mais.
Por padrão, o registro em log de auditoria está habilitado em novas instalações do Microsoft Exchange Server 2010 Service Pack 1 (SP1).
O que é auditado
Cmdlets que são executados diretamente no Shell de Gerenciamento do Shell de Gerenciamento do Exchange são auditados. Além disso, operações realizadas usando o EMC (Console de Gerenciamento do Exchange) e a interface de gerenciamento Web do Exchange também são registradas em log porque essas operações executam cmdlets em segundo plano.
Cmdlets, onde quer que sejam executados, serão auditados se um deles estiver na lista de auditoria de cmdlets e um ou mais parâmetros desse cmdlet estiverem na lista de auditoria de parâmetros. Os cmdlets Get- e Search- não são registrados em log. O objetivo do registro em log de auditoria é mostrar quais ações foram tomadas para modificar objetos em uma organização do Exchange, e não quais objetos foram exibidos.
Importante
Um cmdlet poderá não ser registrado em log se ocorrer um erro antes de o cmdlet chamar o agente de extensão de cmdlet Log de Auditoria de Admin. Se ocorrer um erro depois que o agente de Log de Auditoria de Admin for chamado, o cmdlet será registrado em log com o erro associado. Para obter mais informações, consulte a seção Agente de Log de Auditoria de Admin mais adiante neste tópico.
Alterações feitas por meio das ferramentas de gerenciamento do Microsoft Microsoft Exchange Server 2007 não são registradas em log.
As alterações feitas na configuração do log de auditoria são atualizadas a cada 60 minutos em computadores que têm o Shell aberto no momento em que é feita uma alteração na configuração. Se você quiser aplicar as alterações imediatamente, feche e reabra o Shell em cada computador.
Configuração de log de auditoria
Por padrão, quando o registro em log de auditoria está habilitado, uma entrada de log é criada sempre que um cmdlet, que não seja Get- ou Search-, é executado. Se não quiser auditar todos os cmdlets executados, o log de auditoria poderá ser configurado para auditar apenas os cmdlets e os parâmetros em que você está interessado. O log de auditoria é configurado com o cmdlet Set-AdminAuditLogConfig. Os parâmetros mencionados nas seções a seguir são usados com esse cmdlet.
Importante
As alterações feitas na configuração do log de auditoria do administrador são sempre registradas em log, independentemente de o cmdlet Set-AdministratorAuditLog estar incluído na lista de cmdlets que estão sendo auditados ou de o registro em log de auditoria estar habilitado ou desabilitado.
Quando um comando é executado, o Exchange inspeciona o cmdlet usado. Se o cmdlet executado corresponder a qualquer dos cmdlets fornecidos com o parâmetro AdminAuditLogConfigCmdlets, o Exchange irá verificar os parâmetros especificados no parâmetro AdminAuditLogConfigParameters. Se ao menos um parâmetro na lista de parâmetros tiver correspondência, o Exchange registrará em log o cmdlet executado na caixa de correio especificada, usando o parâmetro AdminAuditLogMailbox.
Dica
Com o Exchange 2010 RTM (versão de produção), você especifica uma caixa de correio de log de auditoria de administrador. O registro em log de auditoria do administrador no Exchange 2010 SP1 utiliza uma caixa de correio dedicada. Essa caixa de correio dedicada não pode ser alterada nem configurada.
As seções a seguir contêm mais informações sobre cada aspecto da configuração do log de auditoria.
Para obter mais informações sobre como gerenciar a configuração do log de auditoria, consulte Configurar Log de Auditoria de Administrador.
Cmdlets
É possível controlar quais cmdlets serão auditados fornecendo uma lista de cmdlets e dos parâmetros que deseja registrar. Ao configurar o log de auditoria, você pode especificar a auditoria de todos os cmdlets ou especificar os cmdlets que você deseja auditar usando o parâmetro AdminAuditLogConfigCmdlets. Você pode especificar nomes completos de cmdlets, como New-Mailbox, ou especificar nomes parciais de cmdlets e colocar esses nomes entre caracteres curinga, como um asterisco (*). Por exemplo, se quiser um registro em log quando qualquer cmdlet que contenha a cadeia de caracteres Transport for executado, você poderá especificar um valor de *Transport*. É possível misturar nomes completos e nomes parciais de cmdlet para adequar o log de auditoria às suas necessidades.
Parâmetros
Além de especificar quais cmdlets deseja registrar em log, você também pode indicar que os cmdlets só sejam registrados se certos parâmetros deles forem usados. Use o parâmetro AdminAuditLogConfigParameters para especificar os parâmetros a serem registrados em log. Assim como faz com os cmdlets, você pode especificar nomes completos de parâmetros, como Database, ou nomes parciais de parâmetros entre caracteres curinga (*), como *Address*, ou uma combinação de ambos.
Limite de idade do log de auditoria
Por padrão, o registro em log de auditoria é configurado para armazenar entradas de log de auditoria por 90 dias. Após 90 dias, a entrada de log de auditoria é excluída. É possível alterar o limite de idade do log de auditoria usando o parâmetro AdminAuditLogAgeLimit. É possível especificar o número de dias, horas, minutos e segundos que as entradas de log de auditoria devem ser mantidas. Para especificar um valor, utilize o formato dd.hh:mm:ss em que o seguinte se aplica:
dd O número de dias que a entrada do log de auditoria será mantida.
hh O número de horas que a entrada do log de auditoria será mantida.
mm O número de minutos que a entrada do log de auditoria será mantida.
ss O número de segundos que a entrada do log de auditoria será mantida.
Você deve especificar anos múltiplos usando o campo dd. Por exemplo, 365 dias é igual a um ano; 730 dias é igual a dois anos; 913 dias é igual a dois anos e seis meses. Por exemplo, para definir o limite de idade do log de auditoria como dois anos e seis meses, use a sintaxe 913.00:00:00.
Aviso
Você pode definir para o limite de idade do log de auditoria um valor menor do que o limite de idade atual. Se isso for feito, todas as entradas do log de auditoria com idade que exceda o novo limite de idade serão excluídas.
Se você definir o limite de idade para 0, o Exchange exclui todas as entradas no log de auditoria.
Recomendamos que você conceda permissões de configuração do limite de idade do log de auditoria somente a usuários extremamente confiáveis.
Cmdlets de teste
Os cmdlets que começam com o verbo Test não são registrados em log por padrão. Você pode indicar que cmdlets Test devem ser registrados em log configurando o parâmetro TestCmdletLoggingEnabled como $true. Embora seja possível habilitar o registro em log de cmdlets de teste, recomendamos que você o faça somente por curtos períodos de tempo. Isso se deve ao fato de que cmdlets de teste podem produzir uma grande quantidade de informações.
Logs de auditoria
Toda vez que um cmdlet é registrado em log, uma entrada de log de auditoria é criada. Os logs de auditoria estão armazenados em uma caixa de correio de arbitragem dedicada e oculta que pode ser acessada somente por meio da página Relatórios de Auditoria do Painel de Controle do Exchange (ECP) ou pelos cmdlets Search-AdminAuditLog ou New-AdminAuditLogSearch. Os registros de auditoria podem ser abertos usando o Microsoft Office Outlook Web App ou o Microsoft Outlook. As seções a seguir contém informações sobre o seguinte:
O que está incluído nos logs
Relatórios disponíveis na página Relatórios de Auditoria do ECP
Cmdlets de pesquisa de log de auditoria
Dica
Com o Exchange 2010 RTM (versão de produção), você especifica uma caixa de correio de log de auditoria de administrador. O registro em log de auditoria do administrador no Exchange 2010 SP1 utiliza uma caixa de correio dedicada. Essa caixa de correio dedicada não pode ser alterada nem configurada.
A página Relatórios de Auditoria do ECP e os cmdlets Search-AdminAuditLog e New-AdminAuditLogSearch trabalham somente com os logs de auditoria de administrador do Exchange 2010 SP1. Para exibir o conteúdo de uma caixa de correio de log de auditoria do Exchange 2010 RTM, você deve abrir a caixa de correio usando o Outlook Web App ou um cliente de email, como o Outlook.
Conteúdo do log de auditoria
Cada entrada de log de auditoria contém as informações descritas na tabela a seguir. O log de auditoria contém uma ou mais entradas de log de auditoria. O número de entradas de log de auditoria é controlado pelo limite de idade do log de auditoria especificado pelo cmdlet Set-AdminAuditLog. Todas as entradas de log de auditoria que excederem o limite de idade serão excluídas.
Campos de entrada de log de auditoria
| Campo | Descrição |
|---|---|
|
Esse campo é usado internamente pelo Exchange. |
|
Este campo contém o objeto que foi modificado pelo cmdlet especificado no campo |
|
Este campo contém o nome do cmdlet que foi executado pelo usuário no campo |
|
Este campo contém os parâmetros que foram especificados quando o cmdlet no campo |
|
Este campo contém as propriedades que foram modificadas no objeto do campo |
|
Este campo contém a conta do usuário que executou o cmdlet no campo |
|
Este campo especifica se o cmdlet no campo |
|
Este campo contém a mensagem de erro gerada por causa da falha de conclusão do cmdlet no campo |
|
Este campo contém a data e a hora da execução do cmdlet no campo |
|
Esse campo é usado internamente pelo Exchange. |
|
Esse campo é usado internamente pelo Exchange. |
Relatórios de auditoria do ECP
A página dos Relatórios de Auditoria no ECP possui diversos relatórios que fornecem informações sobre vários tipos de alterações de configuração administrativa e de conformidade. Os relatórios a seguir fornecem informações sobre alterações nas configurações em sua organização:
Alterações na função de Administrador Este relatório permite que você pesquise alterações nos grupos de função de gerenciamento que você especifica dentro de um período de tempo especificado. Os resultados retornados incluem os grupos de função que foram alterados, quem os alterou e quando, além de quais alterações foram feitas. Um valor máximo de 3.000 entradas pode ser retornado. Se sua pesquisa retornar mais de 3.000 entradas, use o relatório Alterações na configuração de exportação ou o cmdlet Search-AdminAuditLog.
Alterações na configuração de exportação Este relatório permite que você exporte as entradas de log de auditoria gravadas dentro de um período de tempo especificado para um arquivo XML e depois envie o arquivo por email para um destinatário especificado por você. Para obter mais informações sobre o conteúdo do arquivo XML, consulte Estrutura de log de auditoria do administrador.
Para obter mais informações sobre como usar esses relatórios, consulte Pesquisar o Log de Auditoria do Administrador.
Relatórios para retenção de litígio, alterações na configuração de caixas de correio e acesso a caixas de correio que não são do proprietário também estão incluídos na página Relatórios de Auditoria. Para obter mais informações sobre esses relatórios, consulte
Cmdlet Search-AdminAuditLog
Quando o cmdlet Search-AdminAuditLog é executado, todas as entradas de log de auditoria que correspondem aos critérios de pesquisa que você especificou são retornados. Você pode especificar os seguintes critérios de pesquisa:
Cmdlets Especifica os cmdlets que você quer pesquisar no log de auditoria do administrador.
Parâmetros Especifica os parâmetros que você quer pesquisar no log de auditoria do administrador. Você pode pesquisar parâmetros somente se você especificar um cmdlet a ser pesquisado.
Data final Direciona os resultados do log de auditoria do administrador para as entradas de log que ocorreram na data especificada ou antes.
Data inicial Direciona os resultados do log de auditoria do administrador para as entradas de log que ocorreram na data especificada ou depois.
IDs de objeto Especifica que somente as entradas de log de auditoria de administrador que contenham os objetos alterados especificados devem ser retornadas.
IDs de usuário Especifica que somente as entradas de log de auditoria de administrador que contenham as IDs especificadas do usuário que executou o cmdlet devem ser retornadas.
Conclusão bem-sucedida Especifica que somente as entradas de log de auditoria de administrador que indicaram sucesso ou falha podem ser retornadas.
Cada entrada de log de auditoria retornada contém as informações descritas na tabela de Conteúdo do log de auditoria. Por padrão, somente as 1.000 primeiras entradas de log que correspondam aos critérios que você especifica são retornadas. Contudo, é possível substituir esse padrão e retornar mais ou menos entradas usando o parâmetro ResultSize. É possível especificar um valor de Unlimited com o parâmetro ResultSize para retornar todas as entradas de log que correspondam aos critérios especificados.
Para obter informações sobre como usar o cmdlet Search-AdminAuditLog, consulte Pesquisar o Log de Auditoria do Administrador.
Cmdlet New-AdminAuditLogSearch
O cmdlet New-AdminAuditLogSearch pesquisa o log de auditoria da mesma maneira que o cmdlet Search-AdminAuditLog. Contudo, em vez de exibir os resultados da pesquisa do log de auditoria no Shell, o cmdlet New-AdminAuditLogSearch executa a pesquisa e depois envia por email os resultados da pesquisa para um destinatário especificado. Os resultados são incluídos como um anexo XML à mensagem de e-mail.
É possível usar os mesmos critérios de pesquisa com o cmdlet New-AdminAuditLogSearch que é usado no cmdlet Search-AdminAuditLog. Para obter uma lista com critérios de pesquisa, consulte Cmdlet Search-AdminAuditLog.
Após a execução do cmdlet New-AdminAuditLogSearch, o Exchange pode levar até 15 minutos para entregar o relatório ao destinatário especificado. O relatório com o arquivo XML anexado pode ser de, no máximo, 10 megabytes (MB). O arquivo XML contém as mesmas informações descritas na tabela de Conteúdo do log de auditoria. Para obter mais informações sobre a estrutura do arquivo XML, consulte Estrutura de log de auditoria do administrador.
Dica
O Outlook Web App não permite que você abra anexos XML por padrão. O Exchange pode ser configurado para permitir que anexos XML sejam exibidos usando o Outlook Web App, ou você pode usar outro cliente de email, como o Microsoft OfficeOutlook, para exibir o anexo. Para saber mais sobre como configurar o Outlook Web App para permitir que você exiba um anexo XML, consulte Exibir ou Configurar os Diretórios Virtuais do Outlook Web App.
Para informações sobre como usar o cmdlet New-AdminAuditLogSearch, consulte Pesquisar o Log de Auditoria do Administrador.
Entradas manuais de log de auditoria
Além de os cmdlets do Exchange serem registrados em log quando são executados, o Exchange 2010 SP1 permite que você grave manualmente entradas de log no log de auditoria. O Exchange 2010 SP1 oferece suporte a esse recurso usando o cmdlet Write-AdminAuditLog . As situações nas quais você pode querer adicionar uma entrada manual de log são as seguintes:
Entrada e saída de script personalizado
Informações de controle de alterações
Horário de início e término de manutenção
Com o cmdlet Write-AdminAuditLog , você especifica uma cadeia de textos a ser incluída no log de auditoria usando o parâmetro Comment. O parâmetro Comment aceita uma cadeia alfanumérica de até 500 caracteres. Na entrada do log de auditoria manual, junto com a cadeia de caracteres de comentários, estão as mesmas informações capturadas quando um cmdlet do Exchange for registrado em log. Para uma descrição de cada campo incluído no log de auditoria, consulte a tabela em Conteúdo do log de auditoria.
É possível recuperar as entradas manuais de log de auditoria da mesma maneira que qualquer outra entrada de log, usando a página Relatórios de Auditoria do ECP ou usando os cmdlets Search-AdminAuditLog ou New-AdminAuditLogSearch.
Para exibir o conteúdo do parâmetro Comment no cmdlet Write-AdminAuditLog em uma entrada manual de log de auditoria, consulte Pesquisar o Log de Auditoria do Administrador.
Replicação do Active Directory
O registro em log da auditoria do administrador depende da replicação do Active Directory para replicar as definições de configuração e especificar os controladores de domínio na organização. Dependendo das configurações de replicação, as alterações feitas talvez não sejam aplicadas imediatamente a todos os servidores com Exchange 2010 em sua organização.
Agente de Log de Auditoria de Admin
O agente de extensão de cmdlet integrado de Log de Auditoria de Admin realiza o registro em log de auditoria de administrador de operações do cmdlet no Exchange 2010. Esse agente lê a configuração do log de auditoria e realiza uma avaliação de cada cmdlet executado em sua organização. Se os critérios especificados na configuração do log de auditoria corresponderem ao cmdlet que está sendo executado, o agente gerará um log de auditoria.
O agente de Log de Auditoria de Admin vem habilitado por padrão, e isso é necessário para que o log de auditoria funcione. Ele não pode ser desabilitado e sua prioridade não pode ser alterada. Para obter mais informações sobre agentes de extensão de cmdlet, consulte Entendendo os Agentes de Extensão de Cmdlet.
Como os Registros de Auditoria de Administrador Podem Causar Rápido Crescimento do Banco de Dados
Por padrão, o registro de auditoria está ativado no Exchange Server 2010. Os resultados do registro são armazenados na caixa de correio de arbitragem na pasta AdminAuditLogs. Se forem executados cmdlets Shell de Gerenciamento do Exchange frequentemente, são geradas várias entradas de registro e pode fazer com que o tamanho do banco de dados cresça rapidamente. Este comportamento pode ocorrer mesmo se não existir nenhum usuário.
Para determinar o tamanho da pasta AdminAuditLogs, execute o seguinte cmdlet em Shell de Gerenciamento do Exchange: Get-MailboxFolderstatistics "Guia da caixa de correio de arbitragem" -FolderScope RecoverableItems –IncludeAnalysis. Em seguida, visualize o a contagem de itens e o tamanho da pasta AdminAuditLogs
Se a contagem de itens e o tamanho dessa pasta for elevado, execute o seguinte cmdlet para excluir os itens da pasta: Search-Mailbox "Guia da caixa de correio de arbitragem" -Dumpsteronly -deletecontent.
Um cmdlet que esteja sendo executado frequentemente pode estar causando o crescimento do banco de dados. Tipicamente, o cmdlet está em um script que está agendado para ser executado periodicamente. Identifique o cmdlet que está causando o crescimento do registro de auditoria do administrador. Depois de confirmar que o cmdlet pode ser excluído desse registro, execute o seguinte cmlet em Shell de Gerenciamento do Exchange: Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets nome do cmdlet. Por exemplo, execute o seguinte comando: Set-AdminAuditLogConfig AdminAuditLogExcludedCmdlets Add-DistributionGroupMember. Depois de executar o cmdlet, você tem de aguardar que a replicação conclua.