Exportación de registros de auditoría de buzones de correo

 

Se aplica a: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Última modificación del tema: 2011-11-23

Cuando un buzón de correo tiene habilitada la auditoría, Microsoft Exchange guarda la información en el registro de auditoría de buzones de correo siempre que un usuario que no sea el propietario obtenga acceso al buzón de correo. Cada entrada de registro incluye información acerca de quién tuvo acceso al buzón y en qué momento, las acciones realizadas por el usuario que es no propietario y si la acción se realizó correctamente. Las entradas del registro de auditoría de buzones de correo se retienen, de manera predeterminada, durante 90 días. Puede usar el registro de auditoría de buzones de correo para determinar si un usuario que no es el propietario ha tenido acceso a un buzón de correo.

Al exportar las entradas de los registros de auditoría de buzones de correo, Microsoft Exchange registra las entradas en un archivo XML y lo adjunta a un mensaje de correo electrónico que se envía a los destinatarios especificados.

En este tema se explica lo siguiente:

Configuración del registro de auditoría de buzones de correo

Desde habilitar registro de auditoría de buzones de correo en cada buzón que desee auditar para poder exportar y consultar los registros de auditoría. También tiene que configurar Outlook Web App para permitir los datos adjuntos de XML.

Habilitación del registro de auditoría de buzones de correo

Tiene que habilitar el registro de auditoría de buzones de correo para el que desee ejecutar un informe de acceso al buzón de correo del que no se es propietario. Si el registro de la auditoría de buzones de correo no está habilitado para un buzón, no obtendrá ningún resultado para él cuando exporte dicho registro.

Para habilitar el registro de auditoría de buzones de correo para un solo buzón, ejecute el siguiente comando de PowerShell:

Set-Mailbox <Identity> -AuditEnabled $true

Para habilitar la auditoría de buzones de correo para todos los buzones de la organización, ejecute los siguientes comandos:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Configuración de Outlook Web App para permitir datos adjuntos de XML

Al exportar el informe de auditoría de buzones de correo, Microsoft Exchange adjunta el registro de auditoría, que es un archivo XML, a un mensaje de correo electrónico. Sin embargo, Outlook Web App bloquea los datos adjuntos de XML de forma predeterminada. Tiene que configurar Outlook Web App para permitir los datos adjuntos de XML de modo que pueda tener acceso al registro de auditoría exportado.

Ejecute el siguiente comando para permitir datos adjuntos de XML en Outlook Web App:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
Exportación del registro de auditoría de buzones de correo

  1. Seleccione Administrar mi organización > Funciones y auditoría > Auditoría.

  2. Haga clic en Exportar el registro de auditoría de buzones de correo.

  3. Configure los siguientes criterios de búsqueda para exportar las entradas del informe de auditoría de buzones de correo:

    • Fechas de inicio y finalización   Seleccione el intervalo de fechas de las entradas que se incluirán en el archivo exportado.

    • Buzones de correo de los que se buscará el registro de auditoría   Seleccione los buzones de correo de los que se recuperarán las entradas de registro de auditoría.

    • Tipo de acceso no propietario   Seleccione una de las siguientes opciones para definir el tipo de acceso no propietario del que se recuperarán las entradas:

      • Todos los no propietarios   Se busca el acceso por parte de administradores y usuarios delegados de la organización y por parte de los administradores del centro de datos de Microsoft.

      • Usuarios externos   Se busca el acceso por parte de los administradores del centro de datos de Microsoft.

      • Administradores y usuarios delegados   Se busca el acceso por parte de administradores y usuarios delegados de la organización.

      • Administradores   Se busca el acceso por parte de los administradores de la organización.

    • Destinatarios   Seleccione los usuarios a los que se enviará el registro de auditoría de buzones de correo.

  4. Haga clic en Exportar.

    Microsoft Exchange recupera las entradas del informe de auditoría de buzones de correo que cumplen los criterios de búsqueda, los guarda en un archivo denominado SearchResult.xml y, a continuación, adjunta el archivo XML a un mensaje de correo electrónico enviado a los destinatarios que especificó.

  5. Haga clic en Exportar.

    Microsoft Exchange recupera las entradas del informe de auditoría de administrador que cumplen los criterios de búsqueda, los guarda en un archivo denominado SearchResult.xml y, a continuación, adjunta el archivo XML a un mensaje de correo electrónico enviado a los destinatarios que especificó.

Nota Para obtener acceso y ejecutar cualquiera de los informes que se encuentran en la pestaña Informes de auditoría en el panel de control de Exchange, deben asignarse los permisos necesarios a un usuario. Para más información, vea la sección "Concesión de acceso a los usuarios a los informes de auditoría" de Uso de informes de auditoría en Exchange Online.

Consulta del registro de auditoría de buzones de correo

Para abrir o guardar el archivo SearchResult.xml:

  1. Inicie sesión en el buzón al que se envió el registro de auditoría de buzones de correo.

  2. En la bandeja de entrada, abra los datos adjuntos de XML enviados por Microsoft Exchange. Observe que el cuerpo del mensaje de correo electrónico contiene los criterios de búsqueda.

  3. Haga clic en los datos adjuntos y seleccione la opción para abrir o guardar el archivo XML.

Entradas del registro de auditoría de buzones de correo

En el siguiente ejemplo se muestra una entrada del registro de auditoría de buzones de correo que se incluye en el archivo SearchResult.xml. Cada entrada va precedida por una etiqueta XML <Event> y termina con la etiqueta XML </Event>. Esta entrada muestra que el administrador purgó el mensaje con el asunto "Notification of litigation hold" de la carpeta Elementos recuperables en el buzón de correo de tamaraj el 30 de abril de 2010.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\tamaraj50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=tamaraj@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>
Campos útiles en el registro de auditoría de buzones de correo

Observe estos campos. Pueden ayudarle a identificar la información concreta acerca de cada instancia de acceso de no propietario a un buzón de correo.

 

Campo Descripción

Owner

El propietario del buzón al que obtuvo acceso un usuario que no es el propietario.

LastAccessed

La fecha y hora en que se obtuvo acceso al buzón de correo.

Operation

La acción que realizó el usuario no propietario. Para obtener más información, vea la sección "¿Qué se almacena en el registro de auditoría de buzones de correo?" en Ejecución de un informe de acceso al buzón de correo del que no se es propietario

OperationResult

Si la acción que realizó el usuario no propietario se efectuó correctamente o no.

LogonType

El tipo de acceso no propietario. Los valores son: administrator, delegate y external.

FolderPathName

El nombre de la carpeta que contenía el mensaje afectado por el usuario no propietario.

ClientInfoString

Información acerca del cliente de correo usado por el usuario no propietario para tener acceso al buzón de correo.

ClientIPAddress

Dirección IP del equipo que usó el usuario no propietario para tener acceso al buzón.

InternalLogonType

El tipo de inicio de sesión de la cuenta que usó el usuario no propietario para tener acceso a este buzón de correo.

MailboxOwnerUPN

Dirección de correo electrónico del propietario del buzón de correo.

LogonUserDN

Nombre para mostrar del usuario no propietario.

Subject

Línea de asunto del mensaje de correo electrónico afectado por el usuario no propietario.

 
Temas de ayuda relacionados
Cargando...
No se encontraron recursos.