Usar o rexistro de auditoría para gravar accións de usuarios

 

Aplícase a: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Última modificación do tema: 2011-03-19

 

Os rexistros de auditoría gravan accións específicas realizadas por determinados usuarios. Os administradores poden utilizalo para manter un rexistro de todos os cambios para obxectos de destinatario. O rexistro de auditoría pode axudar á organización a cumprir coas disposicións regulamentarias ou legais. Se se configura coidadosamente o ámbito do rexistro de auditoría, poden controlarse exactamente as accións que se rexistran, grazas ao cal resulta máis doado revisar e xestionar os rexistros de auditoría.

Neste tema, tratamos o seguinte:

Que accións se rexistran?

De xeito predefinido, rexístrase calquera acción baseada nun cmdlet de Windows PowerShell que non comeza polos verbos Get ou Test. A acción non ten que realizarse directamente en Windows PowerShell. Todas as accións do panel de control de Exchange e en Outlook Web App > Opcións baséanse nos cmdlet de Windows PowerShell. Por tanto, sempre que o usuario utilice Windows PowerShell, o panel de control de Exchange, ou Outlook Web App > Opcións para realizar unha acción que crea, modifica ou elimina un obxecto, a acción queda rexistrada.

Como se rexistran as accións?

Os datos do rexistro de auditoría almacénanse en mensaxes de correo electrónico que se envían a unha caixa de correo de auditoría. Cando un usuario realiza unha acción que se rexistra, envíase unha mensaxe de correo electrónico á caixa de correo especificada como caixa de correo de auditoría, onde se almacenan os rexistros de auditoría. Se unha acción implica varios cmdlet, cada cmdlet rexístrase nunha mensaxe de correo electrónico diferente. Se se usa o mesmo cmdlet para varios obxectos, cada obxecto rexístrase nunha mensaxe de correo electrónico diferente.

Cando planee a estratexia de rexistro de auditoría, non esqueza pensar no xeito de arquivar as mensaxes de rexistro de auditoría que se envían a unha caixa de correo de auditoría. A cota da caixa de correo, ou o tamaño máximo permitido dunha caixa de correo é de 10 GB, aínda que o servizo de correo electrónico deixa de entregar mensaxes de correo electrónico a unha caixa de correo cando se alcanza o tamaño especificado polo límite Prohibir recibir, que é de 9,668 GB. Por esta razón, se está a executar Outlook Live Directory Sync (OLSync), non debe executar o rexistro de auditoría sen configuralo coidadosamente para reducir o ámbito das accións de usuario que se rexistran. Do contrario, a caixa de correo de auditoría pode encherse rapidamente con mensaxes de correo electrónico de rexistro de auditoría.

Se desexa ver os rexistros de auditoría, pode usar calquera cliente de correo electrónico, como Microsoft Office Outlook ou Microsoft Office Outlook Web App, para acceder á caixa de correo de auditoría especificada.

Cada mensaxe de correo electrónico inclúe a seguinte información.

 

Elemento Descrición

Message subject

O asunto da mensaxe de correo electrónico usa o formato <Autor da chamada> : <Nome de cmdlet>. Caller é a conta de usuario utilizada para executar o cmdlet. Cmdlet Name é o nome de cmdlet que executa o usuario.

Cmdlet Name

O nome de cmdlet que executa o usuario. Cada mensaxe de correo electrónico debe conter un único valor para Cmdlet Name.

Object Modified

Nome do obxecto modificado polo cmdlet. Cada mensaxe de correo electrónico debe conter un único valor para Object Modified.

Parameter

Os parámetros que se usaron co cmdlet e os valores especificados para estes parámetros. Se se usan varios parámetros, aparecen varios campos Parameter.

Property Modified

Os nomes das propiedades modificadas e os seus valores. Se se modificaron varias propiedades, aparecen varios campos Property Modified.

Caller

A conta de usuario utilizada para executar o cmdlet.

O autor da chamada exprésase como un GUID de identificador de seguranza (SID). Para atribuír o SID a un usuario específico, execute o seguinte comando:

Get-user <SID>

Por exemple, se o SID, S-1-5-21-2509217035-2741517866-3256245913-3907, se indica como Caller, execute o seguinte comando en Windows PowerShell para determinar o nome de usuario do SID:

Get-user S-1-5-21-2509217035-2741517866-3256245913-3907

Succeeded

Especifica se o cmdlet se executou correctamente. O valor é True ou False.

Error

A mensaxe de erro que se xerou se o cmdlet non se completou correctamente. Se o cmdlet se completou correctamente, o valor é None.

Run Date

Amosa a data e hora de execución do cmdlet. A data e a hora gárdanse co formato de código de hora universal (UTC).

Ver a configuración do rexistro de auditoría

Execute o seguinte comando:

Get-AdminAuditLogConfig

Inicio da páxina

 
Temas de axuda relacionados
Cargando...
Non se atopou ningún recurso.