Utilizar o Registo de Auditoria para Registar Acções do Utilizador

 

Aplicável a: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Data da última modificação do tópico: 2011-03-19

 

O registo de auditoria regista acções específicas efectuadas por utilizadores específicos. Os administradores podem utilizá-lo para manter um registo de todas as alterações efetuadas aos objetos de destinatário. O registo de auditoria pode ajudar a sua organização a cumprir os requisitos legais e de regulamentação. Uma configuração atenta do âmbito do registo de auditoria permite-lhe controlar exactamente as acções que são registadas, facilitando a revisão e gestão dos registos de auditoria.

Neste tópico, abordamos os seguintes pontos:

Que acções são registadas?

Por predefinição, qualquer acção que se baseie num cmdlet do Windows PowerShell e não comece com os verbos Get ou Test é registada. A acção não tem de ser efectuada directamente no Windows PowerShell. Todas as acções no Painel de Controlo do Exchange e em Outlook Web App > Opções são criadas sobre cmdlets do Windows PowerShell. Assim, quando um utilizador recorre ao Windows PowerShell, ao Painel de Controlo do Exchange ou a Outlook Web App > Opções para efectuar qualquer acção que crie, modifique ou elimine um objecto, essa acção é registada.

Como são registadas as acções do utilizador?

Os dados do registo de auditoria são armazenados em mensagens de correio electrónico enviadas para uma caixa de correio de auditoria. Quando um utilizador efectua uma acção que é registada, é enviada uma mensagem de correio electrónico para a caixa de correio especificada como a caixa de correio de auditoria, onde são armazenados os registos de auditoria. Se uma acção envolver mais do que um cmdlet, cada cmdlet é registado numa mensagem de correio electrónico separada. Se o mesmo cmdlet for utilizado em vários objectos, cada objecto é registado numa mensagem de correio electrónico separada.

Quando planear a sua estratégia de registo de auditoria, não se esqueça de determinar como pretende arquivar as mensagens de correio electrónico do registo de auditoria que são enviadas para a caixa de correio de auditoria. A quota da caixa de correio, ou tamanho máximo permitido de uma caixa de correio, é de 10 GB, mas o serviço de correio electrónico deixa de entregar correio electrónico numa caixa de correio quando esta atinge o tamanho especificado pelo limite de Recepção impedida, que é de 9,668 GB. Por este motivo, se estiver a executar o Outlook Live Directory Sync (OLSync), não deve executar o registo de auditoria sem o configurar atentamente com vista a reduzir o âmbito das acções do utilizador registadas. Caso contrário, a caixa de correio de auditoria poderá ficar rapidamente cheia com mensagens de correio electrónico.

Para ver os registos de auditoria, pode utilizar qualquer cliente de correio electrónico, tal como o Microsoft Office Outlook ou Microsoft Office Outlook Web App para aceder à caixa de correio de auditoria especificada.

Cada mensagem de correio electrónico contém as informações que se seguem.

 

Item Descrição

Message subject

O assunto da mensagem de correio electrónico utiliza o formato <Caller> : <Cmdlet Name>. Caller corresponde à conta de utilizador utilizada para executar o cmdlet. Cmdlet Name corresponde ao nome do cmdlet executado pelo utilizador.

Cmdlet Name

O nome do cmdlet executado pelo utilizador. Cada mensagem de correio electrónico deve conter apenas um valor para Cmdlet Name.

Object Modified

O nome do objecto que foi modificado pelo cmdlet. Cada mensagem de correio electrónico deve conter apenas um valor para Object Modified.

Parameter

Os parâmetros que foram utilizados com o cmdlet e os valores especificados para os parâmetros. Se tiver sido utilizado mais do que um parâmetro, serão mostrados vários campos Parameter.

Property Modified

Os nomes das propriedades modificadas e os valores das propriedades modificadas. Se tiver sido utilizada mais do que uma propriedade, serão mostrados vários campos Property Modified.

Caller

A conta de utilizador utilizada para executar o cmdlet.

O chamador é expresso como um identificador de segurança (SID) GUID. Para mapear o SID para um utilizador específico, execute o seguinte comando:

Get-user <SID>

Por exemplo, se o SID S-1-5-21-2509217035-2741517866-3256245913-3907 estiver listado como o Caller, execute o seguinte comando no Windows PowerShell para determinar o nome de utilizador do SID:

Get-user S-1-5-21-2509217035-2741517866-3256245913-3907

Succeeded

Especifica se o cmdlet foi executado com êxito. O valor é True ou False.

Error

A mensagem de erro gerada se o cmdlet não tiver sido concluído com êxito. Se o cmdlet tiver sido concluído com êxito, o valor será None.

Run Date

Mostra a data e hora de início em que o cmdlet foi executado. A data e hora de início são armazenadas num formato de hora universal coordenada (UTC).

Ver as definições do registo de auditoria

Execute o comando seguinte:

Get-AdminAuditLogConfig

Início da página

 
Tópicos de ajuda relacionados
A carregar...
Não foram encontrados recursos.