Exportar logs de auditoria de caixa de correio em Exchange Online
Observação
O centro de administração do Exchange Clássico está no processo de ser preterido na implantação mundial. Recomendamos pesquisar o log de auditoria no portal de conformidade do Microsoft Purview. Para obter mais informações, confira Preterir o centro de administração clássico do Exchange no serviço WW e pesquisar o log de auditoria no portal de conformidade.
Quando a auditoria de caixa de correio é habilitada para uma caixa de correio, Exchange Online registra informações no log de auditoria da caixa de correio sempre que um usuário diferente do proprietário acessa a caixa de correio. Cada entrada de log inclui informações sobre quem acessou a caixa de correio e quando, as ações executadas pelo nonowner e se a ação foi bem-sucedida. Entradas no log de auditoria de caixa de correio são mantidas por 90 dias, por padrão. Você pode usar o log de auditoria da caixa de correio para determinar se um usuário diferente do proprietário acessa uma caixa de correio.
Quando você exporta entradas de logs de auditoria de caixa de correio, Exchange Online salva as entradas em um arquivo XML e as anexa a uma mensagem de email enviada aos destinatários especificados.
Antes de começar
Tempo estimado para concluir cada procedimento: varia. O log de auditoria da caixa de correio é enviado dentro de alguns dias após você exportá-lo.
A partir de janeiro de 2019, o logon de auditoria da caixa de correio por padrão está habilitado para todas as organizações Exchange Online. Para saber mais, consulte Gerenciar a auditoria da caixa de correio.
Se você usar Outlook na Web (anteriormente conhecida como Outlook Web App) para exibir as entradas exportadas, você precisará habilitar .xml anexos no Outlook na Web. Para obter detalhes, consulte Configurar Outlook na Web para permitir anexos XML.
Para localizar e abrir o Centro de administração do Exchange (EAC), consulte Centro de administração do Exchange em Exchange Online.
Para executar este procedimento, você precisa de permissões. Para ver quais permissões você precisa, consulte a entrada "Exibir relatórios" nas permissões de recurso no tópico Exchange Online.
Para obter informações sobre atalhos de teclado que podem se aplicar aos procedimentos neste tópico, consulte Atalhos de teclado para o centro de administração do Exchange.
Dica
Está com problemas? Peça ajuda no fórum Exchange Online.
Exportar o log de auditoria de caixas de correio
No EAC, acesse Auditoria de Gerenciamento>de Conformidade.
Clique em Exportar os logs de auditoria de caixas de correio.
Configure os seguintes critérios de pesquisa para exportar as entradas do log de auditoria de caixas de correio:
- Datas de início e término: selecione o intervalo de datas para as entradas a serem incluídas no arquivo exportado.
- Caixas de correio para pesquisar log de auditoria: selecione as caixas de correio para as quais recuperar entradas de log de auditoria.
- Tipo de acesso não proprietário: selecione uma das seguintes opções para definir o tipo de acesso sem conhecimento para recuperar entradas para:
- Todos os não proprietários: pesquise acesso por administradores e usuários delegados dentro de sua organização e por administradores de datacenter da Microsoft em Exchange Online.
- Usuários externos: pesquise acesso por administradores de datacenter da Microsoft.
- Administradores e usuários delegados: procure acesso por administradores e usuários delegados dentro de sua organização.
- Administradores: pesquise acesso por administradores em sua organização.
- Destinatários: selecione os usuários para os quais enviar o log de auditoria da caixa de correio.
Clique em Exportar.
Exchange Online recupera entradas no log de auditoria da caixa de correio que atendem aos critérios de pesquisa, salva-as em um arquivo chamado SearchResult.xml e anexa o arquivo XML a uma mensagem de email enviada aos destinatários especificados.
Como saber se funcionou?
Entre na caixa de correio para a qual o log de auditoria de caixas de correio foi enviado. Se você tiver exportado com êxito o log de auditoria, receberá uma mensagem enviada do Exchange. Pode levar alguns dias para receber essa mensagem. O log de auditoria de caixa de correio (chamado SearchResult.xml) será anexado a esta mensagem. Se você tiver configurado corretamente Outlook na Web para permitir anexos XML, poderá baixar o arquivo XML anexado.
Exibir o log de auditoria de caixas de correio
Para salvar e exibir o arquivo SearchResult.xml:
- Entre na caixa de correio para a qual o log de auditoria de caixas de correio foi enviado.
- Na caixa de entrada, abra a mensagem com o anexo de arquivo XML enviado por Exchange Online. Observe que o corpo da mensagem de email contém os critérios de pesquisa.
- Clique no anexo e selecione para baixar o arquivo XML.
- Abra o SearchResult.xml no Microsoft Excel.
Mais informações
Entradas no log de auditoria de caixa de correio
O exemplo a seguir mostra uma entrada do log de auditoria de caixa de correio contido no arquivo SearchResult.xml. Cada entrada é precedida pela marca XML <Event> e termina com a marca XML </Event>. Esta entrada mostra que o administrador limpou a mensagem com o assunto, "Notificação de contencioso hold" da pasta Itens Recuperáveis na caixa de correio de David em 30 de abril de 2021.
<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
Owner="PPLNSL-dom\david50001-1363917750"
LastAccessed="2021-04-30T11:01:55.140625-07:00"
Operation="HardDelete"
OperationResult="Succeeded"
LogonType="Admin"
FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
FolderPathName="\Recoverable Items\Deletions"
ClientInfoString="Client=OWA;Action=ViaProxy"
ClientIPAddress="10.196.241.168"
InternalLogonType="Owner"
MailboxOwnerUPN="david@contoso.com"
MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
CrossMailboxOperation="false"
LogonUserDN="Administraor"
LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
<SourceItems>
<ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
Subject="Notification of litigation hold"
FolderPathName="\Recoverable Items\Deletions" />
</SourceItems>
</Event>
Campos úteis no log de auditoria de caixa de correio
Aqui está uma descrição de campos úteis no log de auditoria da caixa de correio. Eles podem ajudá-lo a identificar informações específicas sobre cada instância de acesso sem conhecimento de uma caixa de correio.
| Campo | Descrição |
|---|---|
| Proprietário | O proprietário da caixa de correio que foi acessada por um não identificador. |
| LastAccessed | A data e a hora em que a caixa de correio foi acessada. |
| Operação | A ação que foi executada pelo nonowner. Para obter mais informações, consulte a seção "O que é registrado no log de auditoria da caixa de correio?" em Executar um relatório de acesso de caixa de correio não habilitado no Exchange Online. |
| OperationResult | Se a ação executada pelo nonowner foi bem-sucedida ou falhou. |
| LogonType | O tipo de acesso sem conhecimento. Elas incluem administrador, delegado e externo. |
| FolderPathName | O nome da pasta que continha a mensagem que foi afetada pelo nonowner. |
| ClientInfoString | Informações sobre o cliente de email usado pelo nonowner para acessar a caixa de correio. |
| ClientIPAddress | O endereço IP do computador usado pelo nonowner para acessar a caixa de correio. |
| InternalLogonType | O tipo de logon da conta usada pelo nonowner para acessar essa caixa de correio. |
| MailboxOwnerUPN | O endereço de email do proprietário da caixa de correio. |
| LogonUserDN | O nome de exibição do nonowner. |
| Assunto | A linha de assunto da mensagem de email que foi afetada pelo nonowner. |