Uso de registro de auditoría para registrar acciones de usuario

 

Se aplica a: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Última modificación del tema: 2011-03-19

 

Los registros de auditoría graban acciones específicas realizadas por determinados usuarios. Los administradores pueden utilizarlos para mantener un registro de todos los cambios que realizan a los objetos de destinatarios. El registro de auditoría puede ayudar a la organización a cumplir las disposiciones reglamentarias o legales. Si se configura detenidamente el ámbito del registro de auditoría, pueden controlarse exactamente las acciones que se registran, gracias a lo cual resulta más fácil revisar y administrar los registros de auditoría.

En este tema se describe lo siguiente:

¿Qué acciones se registran?

De forma predeterminada, se registra cualquier acción basada en un cmdlet de Windows PowerShell que no comienza por los verbos Get o Test. La acción no tiene que realizarse directamente en Windows PowerShell. Todas las acciones del Panel de control de Exchange y Outlook Web App > Opciones se basan en los cmdlets de Windows PowerShell. Por tanto, siempre que un usuario hace uso de Windows PowerShell, el Panel de control de Exchange o Outlook Web App > Opciones para llevar a cabo una acción que crea, modifica o elimina un objeto, la acción queda registrada.

¿Cómo se registran las acciones de usuario?

Los datos del registro de auditoría se almacenan en mensajes de correo electrónico que se envían a un buzón de correo de auditoría. Cuando un usuario realiza una acción que se registra, se envía un mensaje de correo electrónico al buzón de correo especificado como buzón de correo de auditoría, donde se almacenan los registros de auditoría. Si en una acción están implicados varios cmdlets, cada cmdlet se registra en un mensaje de correo electrónico diferente. Si se usa el mismo cmdlet para varios objetos, cada objeto se registra en un mensaje de correo electrónico distinto.

Cuando planee la estrategia de registro de auditoría, no olvide tener en cuenta cómo desea archivar los mensajes de registro de auditoría que se envían a un buzón de correo de auditoría. La cuota de buzón de correo o el tamaño máximo permitido de un buzón de correo es de 10 GB, aunque el servicio de correo electrónico deja de entregar mensajes de correo electrónico a un buzón de correo cuando se alcanza el tamaño especificado por el límite de Prohibir recepción, que es de 9,668 GB. Por este motivo, si está ejecutando Outlook Live Directory Sync (OLSync), no debe ejecutar el registro de auditoría sin configurarlo detenidamente para reducir el ámbito de las acciones de usuario que se registran. De lo contrario, el buzón de correo de auditoría puede llenarse rápidamente con mensajes de correo electrónico de registro de auditoría.

Si desea ver los registros de auditoría, puede usar cualquier cliente de correo electrónico, como Microsoft Office Outlook o Microsoft Office Outlook Web App, para obtener acceso al buzón de correo de auditoría especificado.

Cada mensaje de correo electrónico contiene la siguiente información.

 

Elemento Descripción

Message subject

En el asunto del mensaje de correo electrónico se usa el formato <Autor de llamada>: <Nombre de cmdlet>. Caller es la cuenta de usuario que se usa para ejecutar el cmdlet. Cmdlet Name es el nombre del cmdlet ejecutado por el usuario.

Cmdlet Name

Nombre del cmdlet ejecutado por el usuario. Cada mensaje de correo electrónico debe contener un único valor para Cmdlet Name.

Object Modified

Nombre del objeto modificado por el cmdlet. Cada mensaje de correo electrónico debe contener un único valor para Object Modified.

Parameter

Parámetros que se usan con el cmdlet y los valores especificados para estos parámetros. Si se usan varios parámetros, aparecen varios campos Parameter.

Property Modified

Nombre de las propiedades modificadas y sus valores. Si se modificaron varias propiedades, aparecen varios campos Property Modified.

Caller

Cuenta de usuario que se usa para ejecutar el cmdlet.

El autor de llamada se expresa como un GUID de identificador de seguridad (SID). Para asignar el SID a un usuario específico, ejecute el comando siguiente:

Get-user <SID>

Por ejemplo, si el SID, S-1-5-21-2509217035-2741517866-3256245913-3907, aparece como Caller, ejecute el comando siguiente en Windows PowerShell para determinar el nombre de usuario del SID:

Get-user S-1-5-21-2509217035-2741517866-3256245913-3907

Succeeded

Especifica si el cmdlet se ejecutó correctamente. El valor es True o False.

Error

Mensaje de error que se genera si el cmdlet no se completa correctamente. Si el cmdlet se completa correctamente, el valor es None.

Run Date

Muestra la fecha y hora en que se ejecutó el cmdlet. La fecha y hora se guardan con el formato de hora UTC.

Ver la configuración del registro de auditoría

Ejecute el siguiente comando:

Get-AdminAuditLogConfig

Principio de página

 
Temas de ayuda relacionados
Cargando...
No se encontraron recursos.