Exportar logs de auditoria de caixas de correio

 

Aplica-se a: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Tópico modificado em: 2011-11-23

Quando a auditoria de caixas de correio é habilitada para uma caixa de correio, o Microsoft Exchange registra informações no log de auditoria de caixas de correio sempre que um usuário, que não for o proprietário, acessar a caixa de correio. Cada entrada de log inclui informações sobre quem acessou a caixa de correio e quando ela foi acessada, as ações executadas pelo não proprietário e se a ação foi bem-sucedida. Entradas no log de auditoria de caixa de correio são mantidas por 90 dias, por padrão. Você poderá usar o log de auditoria de caixas de correio quando um usuário, que não for o proprietário, tiver acessado uma caixa de correio.

Quando você exporta entradas dos logs de auditoria de caixas de correio, o Microsoft Exchange salva as entradas em um arquivo XML e o anexa a uma mensagem de email enviada aos destinatários especificados.

Este tópico explica o seguinte:

Configurar o log de auditoria de caixas correio

Você precisa habilitar o log de auditoria de caixas de correio em cada caixa de correio que desejar auditar para poder exportar e exibir os logs de auditoria de caixas de correio. Também é preciso configurar o Outlook Web App para permitir anexos de XML.

Habilitar log de auditoria de caixas de correio

Você precisa habilitar o log de auditoria de caixas de correio em cada caixa de correio para a qual desejar executar um relatório de acesso não proprietário. Se o log de auditoria de caixas de correio não for habilitado para uma caixa de correio, você não obterá nenhum resultado para ela ao exportar o log de auditoria de caixas de correio.

Para habilitar o log de auditoria de caixas de correio para uma única caixa de correio, execute o seguinte comando do PowerShell:

Set-Mailbox <Identity> -AuditEnabled $true

Para habilitar a auditoria de caixas de correio para todas as caixas de correio de usuário da sua organização, execute os seguintes comandos:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Configurar o Outlook Web App para permitir anexos de XML

Quando você exporta o log de auditoria de caixas de correio, o Microsoft Exchange anexa o log de auditoria, que é um arquivo XML, a uma mensagem de email. No entanto, o Outlook Web App bloqueia anexos de XML por padrão. Você precisa configurar o Outlook Web App para permitir anexos de XML de forma que seja possível acessar o log de auditoria exportado.

Execute o comando a seguir para permitir anexos de XML no Outlook Web App:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
Exportar o log de auditoria de caixas de correio

  1. Selecione Gerenciar Minha Organização > Funções e Auditoria > Auditoria.

  2. Clique em Exportar o log de auditoria de caixas de correio.

  3. Configure os seguintes critérios de pesquisa para exportar as entradas do log de auditoria de caixas de correio:

    • Datas de início e término   Selecione o intervalo de datas para as entradas a serem incluídas no arquivo exportado.

    • Caixas de correio nas quais procurar logs de auditoria   Selecione as caixas de correio para as quais recuperar entradas do log de auditoria.

    • Tipo de acesso não proprietário   Selecione uma das opções a seguir para definir o tipo de acesso não proprietário para o qual recuperar entradas:

      • Todos os não proprietários   Pesquisa acesso por administradores e usuários delegados dentro da organização e por administradores de datacenter Microsoft.

      • Usuários externos   Pesquisa acesso somente por administradores de datacenter Microsoft.

      • Administradores e usuários delegados   Procura acesso por administradores e usuários delegados dentro da organização.

      • Administradores   Procura acesso por administradores em sua organização.

    • Destinatários   Selecione os usuários aos quais enviar o log de auditoria de caixas de correio.

  4. Clique em Exportar.

    O Microsoft Exchange recupera as entradas do log de auditoria de caixas de correio que atendem aos critérios de pesquisa, salva-as em um arquivo chamado SearchResult.xml e anexa o arquivo XML a uma mensagem de email enviada aos destinatários que você especificar.

  5. Clique em Exportar.

    O Microsoft Exchange recupera as entradas do log de auditoria de administrador que atendem aos critérios de pesquisa, salva-as em um arquivo chamado SearchResult.xml e anexa o arquivo XML a uma mensagem de email enviada aos destinatários que você especificar.

Observação   Para acessar e executar quaisquer dos relatórios na guia Relatórios de Auditoria no Painel de Controle do Exchange, um usuário tem que receber as permissões necessárias. Para mais informações, consulte a seção "Fornecer aos usuários acesso aos Relatórios de Auditoria" de Usar relatórios de auditoria no Exchange Online.

Exibir o log de auditoria de caixas de correio

Para abrir ou salvar o arquivo SearchResult.xml:

  1. Entre na caixa de correio para a qual o log de auditoria de caixas de correio foi enviado.

  2. Na Caixa de Entrada, abra a mensagem com o anexo de arquivo XML enviado pelo Microsoft Exchange. Observe que o corpo da mensagem de email contém os critérios de pesquisa.

  3. Clique no anexo e selecione para abrir ou salvar o arquivo XML.

Entradas no log de auditoria de caixas de correio

O exemplo a seguir mostra uma entrada do log de auditoria de caixas de correio contida no arquivo SearchResult.xml. Cada entrada é precedida pela marca XML <Event> e termina com a marca XML </Event>. Esta entrada mostra que o administrador limpou a mensagem com o assunto "Notification of litigation hold" da pasta Itens Recuperáveis na caixa de correio de tamaraj no dia 30 de abril de 2010.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\tamaraj50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=tamaraj@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>
Campos úteis no log de auditoria de caixas de correio

Observe estes campos. Eles podem ajudar a identificar informações específicas sobre cada instância de acesso não proprietário de uma caixa de correio.

 

Campo Descrição

Owner

O proprietário da caixa de correio que foi acessada por um não proprietário.

LastAccessed

A data e a hora em que a caixa de correio foi acessada.

Operation

A ação que foi executada pelo não proprietário. Para obter mais informações, consulte a seção "O que é registrado no log de auditoria de caixas de correio?" em Executar um relatório de acesso à caixa de correio de um não proprietário

OperationResult

Se a ação executada pelo não proprietário foi bem-sucedida ou falhou.

LogonType

O tipo de acesso não proprietário. Isso inclui administrador, delegado e externo.

FolderPathName

O nome da pasta que continha a mensagem que foi afetada pelo não proprietário.

ClientInfoString

Informações sobre o cliente de email usado pelo não proprietário para acessar a caixa de correio.

ClientIPAddress

O endereço IP do computador usado pelo não proprietário para acessar a caixa de correio.

InternalLogonType

O tipo de logon da conta usado pelo não proprietário para acessar essa caixa de correio.

MailboxOwnerUPN

O endereço de email do proprietário da caixa de correio.

LogonUserDN

O nome para exibição do não proprietário.

Subject

A linha de assunto da mensagem de email que foi afetada pelo não proprietário.

 
Tópicos relacionados da Ajuda
Carregando...
Nenhum recurso foi encontrado.