Uso de informes de auditoría en Exchange Online

 

Se aplica a: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Última modificación del tema: 2011-11-23

Use el registro de auditoría para solucionar los problemas de configuración mediante el seguimiento de cambios específicos efectuados por los administradores y como ayuda para cumplir los requisitos normativos, de cumplimiento normativo y de litigio. Microsoft Exchange proporciona dos tipos de registro de auditoría:

  • El registro de auditoría de administrador guarda cualquier acción, según un cmdlet de Windows PowerShell, que ha realizado un administrador. Esto puede ayudar a solucionar problemas de configuración o a identificar la causa de problemas relacionados con la seguridad o el cumplimiento normativo.

  • En el registro de auditoría de buzones de correo se indica cada vez que otro usuario que no es el propietario obtiene acceso al buzón. Esto puede ayudar a determinar quién ha tenido acceso a un buzón y lo que ha hecho.

En este tema se explica lo siguiente:

Exportación de registros de auditoría

En la pestaña Auditoría del Panel de control de Exchange, puede buscar y exportar entradas del registro de auditoría de administrador y el registro de auditoría de buzones de correo.

  • Exportación del registro de auditoría de administrador   Cualquier acción que realiza un administrador y se basa en un cmdlet de Windows PowerShell cmdlet y que no comienza con los verbos Get, Search o Test se registra en el registro de auditoría del administrador. Las entradas del registro de auditoría incluyen el cmdlet que se ejecutó, el parámetro y los valores utilizados con el cmdlet, así como el momento en el que la operación se realizó correctamente. Puede buscar y exportar las entradas del informe de auditoría de administrador. Al exportar los resultados de la búsqueda, Microsoft Exchange los guarda en un archivo XML y lo adjunta a un mensaje de correo electrónico.

  • Exportación de registros de auditoría de buzones de correo   Cuando el registro de auditoría de buzones de correo está habilitado para un buzón de correo, Microsoft Exchange guarda un registro de las acciones que se llevan a cabo en los datos del buzón por parte de los usuarios que no son propietarios, el cual se almacena en una carpeta oculta del buzón de correo que se está auditando. Las entradas de este registro indican si otro usuario que no sea el propietario ha obtenido acceso al buzón de correo, quién ha obtenido acceso al buzón y cuándo, las acciones que ha realizado el usuario que no es propietario y si la acción se realizó correctamente. Al buscar entradas en el registro de auditoría de buzones de correo y exportarlas, Microsoft Exchange guarda los resultados de la búsqueda en un archivo XML y lo adjunta a un mensaje de correo electrónico.

Nota   Para las organizaciones basadas en la nube, las entradas del registro de auditoría se conservan durante 90 días. Cuando una entrada tiene una antigüedad mayor que 90 días, se elimina.

Ejecución de informes de auditoría

Al ejecutar cualquiera de los siguientes informes de la pestaña Auditoría del Panel de control de Exchange, los resultados se muestran en el panel de detalles.

Configuración del registro de auditoría

Para poder ejecutar los informes de auditoría y exportarlos, tiene que configurar el registro de auditoría para su organización

Habilitación del registro de auditoría de buzones de correo

Tiene que habilitar el registro de auditoría de buzones de correo para el que desee ejecutar un informe de acceso al buzón de correo del que no se es propietario. Si el registro de la auditoría de buzones de correo no está habilitado para un buzón, no obtendrá ningún resultado para él cuando ejecute un informe o exporte dicho registro.

Para habilitar el registro de auditoría de buzones de correo para un solo buzón, Ejecute el comando siguiente
 de PowerShell:

Set-Mailbox <Identity> -AuditEnabled $true

Para habilitar la auditoría de buzones de correo para todos los buzones de la organización, ejecute los siguientes comandos:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Concesión de acceso a los usuarios a los informes de auditoría

De forma predeterminada, los administradores pueden obtener acceso y ejecutar cualquiera de los informes de la pestaña Auditoría del Panel de control de Exchange. Sin embargo, otros usuarios, como el administrador de registros o el personal jurídico, deben tener asignados los permisos necesarios.

La manera más fácil de conceder acceso de los usuarios consiste en agregarlos al grupo de funciones de administración de registros. También puede usar Windows PowerShell para conceder acceso a un usuario a la pestaña Auditoría mediante la asignación de la función de administrador Registros de auditoría al usuario. Para obtener más información, vea Grupos de funciones de administrador y Funciones de RBAC integradas.

Adición de un usuario al grupo de funciones de administración de registros

  1. Seleccione Administrar mi organización > Funciones y auditoría > Funciones de administrador.

  2. En la lista de grupos de funciones, haga clic en Administración de registros y, a continuación, en Detalles.

  3. En Miembros, haga clic en Agregar.

  4. En el cuadro de diálogo Seleccionar miembros, seleccione al usuario. Puede buscar un usuario escribiendo el nombre para mostrar completo o parte de éste y haciendo clic en icono Buscar. También puede ordenar la lista si hace clic en los encabezados de columna Nombre o Nombre para mostrar.

  5. Haga clic en Agregar y, a continuación, haga clic en Aceptar para volver a la página de grupos de funciones.

  6. Haga clic en Guardar para guardar el cambio realizado en el grupo de funciones.

En el panel de detalles, el usuario se indica en Miembros y puede obtener acceso a la pestaña Auditoría del Panel de control de Exchange, ejecutar informes de auditoría y exportar registros de auditoría.

Asignación de la función de administrador Registros de auditoría a un usuario

Ejecute el comando siguiente
 para asignar la función de administrador Registros de auditoría a un usuario:

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

De este modo, el usuario podrá seleccionar Administrar mi organización > Funciones y auditoría > Auditoría en el Panel de control de Exchange para ejecutar cualquiera de los informes. El usuario también puede exportar el registro de auditoría de buzones de correo y el informe de auditoría de administrador.

Nota   Para permitir que un usuario ejecute informes de auditoría pero no exporte los registros de auditoría, use el comando anterior para asignar la función de administrador Registros de auditoría con permiso de vista.

Configuración de Outlook Web App para permitir datos adjuntos de XML

Al exportar el registro de auditoría de buzones de correo o el registro de auditoría de administrador, Microsoft Exchange adjunta el registro de auditoría, que es un archivo XML, a un mensaje de correo electrónico. Sin embargo, Outlook Web App bloquea los datos adjuntos de XML de forma predeterminada. Tiene que configurar Outlook Web App para permitir los datos adjuntos de XML de modo que pueda tener acceso al registro de auditoría exportado.

Ejecute el comando siguiente
 para permitir datos adjuntos de XML en Outlook Web App:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
 
Temas de ayuda relacionados
Cargando...
No se encontraron recursos.