Exportar rexistros de auditoría de caixas de correo

 

Aplícase a: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Última modificación do tema: 2011-11-23

Se a auditoría de caixas de correo está activada para unha caixa de correo, Microsoft Exchange rexistra información no rexistro de auditoría de caixas de correo sempre que un usuario que non é o propietario accede á caixa de correo. Cada entrada do rexistro inclúe información sobre quen accedeu á caixa de correo e cando, as accións realizadas polo non propietario e se a acción se realizou correctamente. As entradas do rexistro de auditoría da caixa de correo gárdanse por defecto durante 90 días. Pode utilizar o rexistro de auditoría de caixas de correo para determinar se un usuario distinto ao propietario accedeu a unha caixa de correo.

Se exporta entradas desde os rexistros de auditorías de caixas de correo, Microsoft Exchange gardará as entradas nun ficheiro XML e o anexará a unha mensaxe de correo electrónico enviada aos destinatarios específicos.

Neste tema explícase o seguinte:

Configurar un rexistro de auditoría de caixas de correo

Ten que activar os rexistros de auditorías de caixas de correo en todas as caixas de correo das que desexe realizar unha auditoría, para poder exportar e ver os rexistros de auditorías de caixas de correo. Tamén ten que configurar Outlook Web App para permitir os anexos XML.

Activar un rexistro de auditoría de caixas de correo

Ten que activar os rexistros de auditorías de caixas de correo en todas as caixas de correo nas que desexe executar un informe de acceso de usuarios non propietarios. Se o rexistro de auditorías de caixas de correo non está activado para unha caixa de correo, non obterá ningún resultado relacionado con ela cando se exporte o rexistro de auditoría de caixas de correo.

Para activar un rexistro de auditoría de caixas de correo para unha única caixa de correo, execute o seguinte comando de PowerShell:

Set-Mailbox <Identity> -AuditEnabled $true

Para activar a auditoría de caixas de correo para todas as caixas de correo de usuario da súa organización, execute os comandos seguintes:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Configure Outlook Web App para que permita anexos XML

Ao exportar o rexistro de auditoría de caixas de correo, Microsoft Exchange anexa o rexistro de auditoría, que é un ficheiro XML, a unha mensaxe de correo electrónico. Non obstante, Outlook Web App bloquea de xeito predefinido os anexos XML. Ten que configurar Outlook Web App para permitir os anexos XML, de xeito que poida acceder ao rexistro de auditoría exportado.

Execute o seguinte mandado para permitir os anexos XML en Outlook Web App:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
Exportar o rexistro de auditoría de caixas de correo

  1. Seleccione Xestionar a miña organización > Funcións & Auditoría > Auditoría.

  2. Prema Exportar o rexistro de auditoría de caixas de correo.

  3. Configure os criterios de busca seguintes para exportar as entradas desde o rexistro de auditoría de caixas de correo:

    • Datas de inicio e finalización   Seleccione o intervalo de datas para as entradas que se incluirán no ficheiro exportado.

    • Caixas de correo para as que buscar o rexistro de auditoría   Seleccione as caixas de correo das que desexe recuperar as entradas do rexistro de auditoría.

    • Tipo de acceso de non propietario   Seleccione unha das opcións seguintes para definir o tipo de acceso de non propietario cuxas entradas desexa recuperar:

      • Todos os non propietarios   Busque por acceso de administradores e usuarios delegados dentro da súa organización, así como de administradores de centros de datos de Microsoft.

      • Usuarios externos   Busque por acceso de administradores de centros de datos de Microsoft.

      • Administradores e usuarios delegados   Busque o acceso de administradores e usuarios delegados dentro da súa organización.

      • Administradores   Busque o acceso de administradores na súa organización.

    • Destinatarios   Seleccione os usuarios aos que enviar o rexistro de auditoría de caixas de correo.

  4. Prema Exportar.

    Microsoft Exchange recupera as entradas no rexistro de auditoría de caixas de correo que cumpren os seus criterios de busca, gárdaas nun ficheiro denominado SearchResult.xml e, a seguir, anexa o ficheiro XML a unha mensaxe de correo electrónico enviada aos destinatarios especificados.

  5. Prema Exportar.

    Microsoft Exchange recupera as entradas no rexistro de auditoría de administrador que cumpren os seus criterios de busca, gárdaas nun ficheiro denominado SearchResult.xml e, a seguir, anexa o ficheiro XML a unha mensaxe de correo electrónico enviada aos destinatarios especificados.

Nota   Para acceder a e executar calquera dos informes do separador Informes de auditoría no panel de control de Exchange, os usuarios precisan ter asignados os permisos necesarios. Para obter máis información, consulte a sección "Outorgar acceso aos usuarios a informes de auditoría" de Utilizar informes de auditoría en Exchange Online.

Ver o rexistro de auditoría de caixas de correo

Para abrir ou gardar o ficheiro SearchResult.xml:

  1. Inicie sesión na caixa de correo onde se enviou o rexistro de auditoría de caixas de correo.

  2. Na Caixa de entrada, abra a mensaxe co anexo de ficheiro XML enviado por Microsoft Exchange. Teña en conta que o corpo da mensaxe de correo electrónico contén os criterios de busca.

  3. Prema o anexo e seleccione abrir ou gardar o ficheiro XML.

Entradas no rexistro de auditoría de caixas de correo

No exemplo seguinte móstrase unha entrada do rexistro de auditoría de caixas de correo contida no ficheiro SearchResults.xml. Cada entrada está precedida pola etiqueta XML <Event> e termina coa etiqueta XML </Event>. Esta entrada mostra que o administrador purgou a mensaxe co asunto "Notification of litigation hold" desde o cartafol de elementos recuperables da caixa de entrada de tamaraj o 30 de abril de 2010.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\tamaraj50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=tamaraj@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>
Campos útiles do rexistro de auditoría de caixas de correo

Observe estes campos. Pódenlle axudar a identificar información específica sobre cada instancia do acceso de non propietario dunha caixa de correo.

 

Campo Descrición

Owner

O propietario da caixa de correo á que accedeu un non propietario.

LastAccessed

Data e hora de acceso á caixa de correo.

Operation

Acción realizada polo non propietario. Para obter máis información, consulte a sección "Que queda rexistrado no rexistro de auditoría de caixas de correo?" no apartado Executar un informe de acceso á caixa de correo de non propietario

OperationResult

Se a acción realizada polo non propietario foi correcta ou non.

LogonType

O tipo de acceso do non propietario. Inclúense as opcións administrador, delegado e externo.

FolderPathName

Nome do cartafol que contiña a mensaxe afectada polo non propietario.

ClientInfoString

Información sobre o cliente de correo utilizado polo non propietario para acceder á caixa de correo.

ClientIPAddress

Enderezo IP do computador utilizado polo non propietario para acceder á caixa de correo.

InternalLogonType

Tipo de inicio de sesión da conta utilizado polo non propietario para acceder a esta caixa de correo.

MailboxOwnerUPN

Enderezo de correo electrónico do propietario da caixa de correo.

LogonUserDN

Nome para mostrar do non propietario.

Subject

Liña de asunto da mensaxe de correo electrónico afectada polo non propietario.

 
Temas de axuda relacionados
Cargando...
Non se atopou ningún recurso.