Búsqueda del registro de auditoría en el portal de cumplimiento
¿Necesita averiguar si un usuario ha visto un documento determinado o si ha purgado un elemento de su buzón? De ser así, puede usar la herramienta de búsqueda del registro de auditoría en el portal de cumplimiento de Microsoft Purview para buscar el registro de auditoría unificado para ver la actividad de los usuarios y administradores en su organización. Miles de operaciones de usuarios y administradores que se realizan en docenas de servicios y soluciones de Microsoft 365 se capturan, graban y retienen en el registro de auditoría unificado de su organización. Los usuarios de tu organización pueden usar la herramienta de búsqueda de registro de auditoría para buscar, ver y exportar (a un archivo CSV) los registros de auditoría de estas operaciones.
Sugerencia
Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.
Servicios de Microsoft 365 que admiten la auditoría
¿Por qué un registro de auditoría unificado? Porque puede buscar actividades realizadas en diferentes servicios de Microsoft 365 en el registro de auditoría. En la tabla siguiente se enumeran los servicios, aplicaciones y características de Microsoft 365 compatibles con el registro de auditoría unificado.
| Servicio o característica de Microsoft 365 | Tipos de registro |
|---|---|
| Azure Active Directory | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Azure Information Protection | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| Cumplimiento de comunicaciones | ComplianceSupervisionExchange |
| Explorador de contenido | LabelContentExplorer |
| Conectores de datos | ComplianceConnector |
| Prevención de pérdida de datos (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| eDiscovery (Estándar + Premium) | Detección, AeD |
| Portal de mensajes cifrados | OMEPortal |
| Coincidencia exacta de datos | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| Formularios | MicrosoftForms |
| Barreras de información | InformationBarrierPolicyApplication |
| Microsoft 365 Defender | AirActionigation, AirManualContextigation, AirAdminActionActionActionIgation, MS365DCustomDetection |
| Expertos en Microsoft Defender | DefenderExpertsforXDRAdmin |
| Microsoft Defender for Identity (MDI) | MicrosoftDefenderForIdentityAudit |
| Microsoft Planner | PlannerCopyPlan, PlannerPlan, PlannerPlanList, PlannerRoster, PlannerRosterSensitivityLabel, PlannerTask, PlannerTaskList, PlannerTenantSettings |
| Microsoft Project para la web | ProjectAccessed, ProjectCreated, ProjectDeleted, ProjectTenantSettingsUpdated, ProjectUpdated, RoadmapAccessed,RoadmapCreated, RoadmapDeleted, RoadmapItemAccessed,RoadmapItemCreated,RoadmapItemDeleted, RoadmapItemUpdated, RoadmapTenantSettingsUpdated, RoadmapUpdated, TaskAccessed, TaskCreated,TaskDeleted, TaskUpdated |
| etiquetas de Microsoft Purview Information Protection (MIP) | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| Microsoft Teams | MicrosoftTeams |
| Microsoft To Do | MicrosoftToDo, MicrosoftToDoAudit |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive para la Empresa | OneDrive |
| Power Apps | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Cuarentena | Cuarentena |
| Tipos de información confidencial | DlpSensitiveInformationType |
| Etiquetas de confidencialidad | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| SharePoint Online | SharePoint, SharePointFileOperation,SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation |
| Stream | MicrosoftStream |
| SystemSync | DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData |
| Inteligencia sobre amenazas | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| Viva Goals | Viva Goals |
| Workplace Analytics | WorkplaceAnalytics |
| Yammer | Yammer |
Para obtener más información sobre las operaciones auditadas en cada uno de los servicios enumerados en la tabla anterior, consulte el artículo Audit log activities (Actividades de registro de auditoría ).
La tabla anterior también identifica el valor de tipo de registro que se usará para buscar actividades en el registro de auditoría en el servicio correspondiente mediante el cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell o mediante un script de PowerShell. Algunos servicios tienen varios tipos de registro para diferentes tipos de actividades dentro del mismo servicio. Para una lista más completa de los tipos de registros de auditoría, vea elEsquema de la API de Actividad de administración de Office 365.
Para más información sobre el uso de PowerShell para buscar en el registro de auditoría, vea:
Antes de realizar búsquedas en el registro de auditoría
Asegúrese de revisar los siguientes elementos antes de empezar a buscar en el registro de auditoría.
La búsqueda en el registro de auditoría está activada de forma predeterminada para organizaciones de Microsoft 365 y Office 365 Enterprise. Para comprobar que la búsqueda de registros de auditoría está activada, puede ejecutar el siguiente comando en Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabledEl valor de
Truepara la propiedad UnifiedAuditLogIngestionEnabled indica que la búsqueda de registros de auditoría está activada. Para obtener más información, consulte Desactivar o activar la búsqueda de registros de auditoría.Importante
Asegúrese de ejecutar el comando anterior en Exchange Online PowerShell. Aunque el cmdlet Get-AdminAuditLogConfig también está disponible en PowerShell de cumplimiento de seguridad & , la propiedad UnifiedAuditLogIngestionEnabled siempre
Falsees , incluso cuando la búsqueda de registros de auditoría está activada.Debe tener asignado el rol Ver solo registros de auditoría o Registros de auditoría en Exchange Online para buscar en el registro de auditoría. De forma predeterminada, estos roles se asignan a los grupos de roles Administración de cumplimiento y Administración de la organización en la página Permisos del Centro de administración de Exchange. Los administradores globales de Office 365 y Microsoft 365 se agregan automáticamente como miembros del grupo de roles de la Administración de la organización en Exchange Online. Para proporcionar a un usuario la capacidad de buscar en el registro de auditoría con el nivel mínimo de privilegios, puede crear un grupo de roles personalizado en Exchange Online, agregar el rol Registros de auditoría de solo vista o Registros de auditoría y, a continuación, agregar el usuario como miembro del nuevo grupo de roles. Para obtener más información, consulteAdministrar grupos de roles en Exchange en línea.
Si asigna a un usuario el rol Registros de auditoría o Registros de auditoría de solo lectura en la página Permisos del portal de cumplimiento, no podrá buscar el registro de auditoría. Tiene que asignar los permisos en Exchange en línea. Esto se debe a que el cmdlet subyacente que se usa para buscar en el registro de auditoría es un cmdlet Exchange en línea.
Cuando un usuario o administrador realiza una actividad auditada, se genera un registro de auditoría y se almacena en el registro de auditoría de la organización. La cantidad de tiempo que se retiene un registro de auditoría (y que se puede buscar en el registro de auditoría) depende de la suscripción a Office 365 o Microsoft 365 Enterprise y, específicamente, del tipo de licencia que se ha asignado a usuarios específicos.
En el caso de los usuarios que tienen asignada una licencia de Office 365 E5 o Microsoft 365 E5 (o usuarios con una licencia de complemento de Cumplimiento de Microsoft 365 E5 o de eDiscovery y auditoría de Microsoft 365 E5), los registros de auditoría de Azure Active Directory, Exchange y la actividad de SharePoint se conservan durante un año de forma predeterminada. Las organizaciones también pueden crear directivas de retención de registros de auditoría para conservar registros de auditoría de actividades en otros servicios durante un año. Para obtener más información, vea administrar directivas de retención de los registros de auditoría.
Nota:
Si su organización ha participado en el programa de vista previa privado para la retención de registros de auditoría de un año, la duración de la retención de los registros de auditoría que se generaron antes de la fecha de lanzamiento de disponibilidad general no se restablecerá.
Para los usuarios que tengan asignadas otras licencias de Office 365 o Microsoft 365 (que no sean E5), los registros de auditoría se conservarán durante 90 días. Para obtener una lista de las suscripciones de Office 365 y Microsoft 365 que admiten el registro de auditoría unificado, consulte la descripción del servicio del portal de seguridad y cumplimiento.
Nota:
Incluso cuando la auditoría de buzones está activada de forma predeterminada, es posible que observe que los eventos de auditoría de buzones de correo de algunos usuarios no se encuentran en las búsquedas de registros de auditoría en el portal de cumplimiento o a través de la API de actividad de administración de Office 365. Para obtener más información, vea Más información sobre el registro de auditoría del buzón de correo.
Si desea desactivar la búsqueda de registros de auditoría de su organización, puede ejecutar el siguiente comando en el PowerShell de Exchange Online:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falsePara volver a activar la búsqueda de auditoría, puede ejecutar el comando siguiente en PowerShell de Exchange en línea :
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $truePara obtener más información, consulteDesactivar la búsqueda de registros de auditoría.
El cmdlet subyacente que se usa para buscar en el registro de auditoría es un cmdlet de Exchange Online, que es Search-UnifiedAuditLog. Esto significa que puede usar este cmdlet para buscar en el registro de auditoría en lugar de usar la herramienta de búsqueda en la página Auditoría del portal de cumplimiento. Tiene que ejecutar este cmdlet en Exchange Online PowerShell. Para obtener más información, consulte Search-UnifiedAuditLog.
Para obtener información sobre cómo exportar los resultados de búsqueda devueltos por el cmdlet Search-UnifiedAuditLoga un archivo CSV, consulte la sección "sugerencias para exportar y ver el registro de auditoría" exportar, configurar y ver el registro de auditoría registros.
Si desea descargar mediante programación los datos del registro de auditoría, le recomendamos que use la API de Actividad de administración de Office 365 en lugar de usar un script de PowerShell. La API de Actividad de administración de Office 365 es un servicio REST de la web que puede usar para desarrollar operaciones, soluciones de supervisión de seguridad y cumplimiento para su organización. Para obtener más información, consultela referencia de la API de Actividad de administración de Office 365.
Azure Active Directory (Azure AD) es el servicio de directorio para Microsoft 365. El registro de auditoría unificado contiene las actividades del usuario, dominio, aplicación, grupo y directorio que se realizaron en el Centro de administración de Microsoft 365 o en el portal de administración de Azure. Para obtener una lista completa de los eventos de Azure AD, consulteEventos del informe de auditoría de Azure Active Directory.
Microsoft no garantiza una hora específica después de que se produzca un evento para que el registro de auditoría correspondiente se devuelva en los resultados de una búsqueda de registros de auditoría. Para los servicios principales (como Exchange, SharePoint, OneDrive y Teams), la disponibilidad de registros de auditoría suele ser de 60 a 90 minutos después de que se produzca un evento. Para otros servicios, la disponibilidad de los registros de auditoría puede ser más larga. Sin embargo, algunos problemas que son inevitables (como una interrupción del servidor) pueden producirse fuera del servicio de auditoría que retrasa la disponibilidad de los registros de auditoría. Por estas razones, Microsoft no se compromete a un tiempo de entrega específico.
Para buscar actividades de Power BI en el registro de auditoría, debe habilitar la auditoría en el portal de administración de Power BI. Para obtener instrucciones, consulte la sección "registros de auditoría"en el portal de administración de Power BI.
Búsquedas en el registro de auditoría
Aquí se muestra el proceso para buscar el registro de auditoría en Microsoft 365.
- Paso 1: Ejecute una búsqueda de registros de auditoría
- Paso 2: Vea los resultados de la búsqueda
- Paso 3: Exportar los resultados de la búsqueda a un archivo
Paso 1: Ejecute una búsqueda de registros de auditoría
Vaya a https://compliance.microsoft.com e inicie sesión.
Sugerencia
Use una sesión de exploración privada (no una sesión normal) para acceder al portal de cumplimiento, ya que esto impedirá que se use la credencial con la que ha iniciado sesión actualmente. Presione CTRL+MAYÚS+N para abrir una sesión de Exploración de InPrivate en Microsoft Edge o una sesión de exploración privada en Google Chrome (denominada ventana de incógnito).
En el panel izquierdo del portal de cumplimiento, seleccione Auditar.
Aparecerá la página Auditoría.
Nota:
Si se muestra el vínculoIniciar el registro de la actividad administrativa y de usuario, haga clic en él para activar la auditoría. Si no ve este vínculo, la auditoría está habilitada para la organización.
En la pestaña Buscar,configure los siguientes criterios de búsqueda:
- Fecha de inicio y Fecha de finalización: los últimos siete días se seleccionan de manera predeterminada. Seleccione un intervalo de fecha y hora para mostrar los eventos que han sucedido en ese período. La fecha y hora se presentan en hora universal coordinada (UTC). El intervalo máximo de fecha que puede especificar es 90 días. Se muestra un error si el intervalo de fecha seleccionado es superior a 90 días.
Sugerencia
Si está usando el intervalo de fecha máximo de 90 días, seleccione la hora actual para la Fecha de inicio. De otro modo, recibirá un error que dice que la fecha de inicio es anterior a la fecha de finalización. Si ha activado la auditoría en los últimos 90 días, el intervalo máximo de fecha no puede comenzar antes de la fecha en la que se ha activado la auditoría.
Actividades: seleccione la lista desplegable para mostrar las actividades que puede buscar. Las actividades administrativas y de usuario se organizan en grupos de actividades relacionadas. Puede seleccionar actividades específicas o puede hacer clic en el nombre del grupo de actividades para seleccionar todas las actividades del grupo. También puede hacer clic en una actividad seleccionada para borrar la selección. Después de que ejecute la búsqueda, solo se muestran las entradas seleccionadas del registro de auditoría de las actividades. Al seleccionarMostrar los resultados de todas las actividades, se mostrarán los resultados de todas las actividades que el usuario o el grupo de usuarios seleccionado ha realizado.
Se registran más de 100 actividades de usuario y de administrador en el registro de auditoría. Seleccione la pestaña Actividades auditadas en el artículo de este artículo para ver las descripciones de cada actividad en cada uno de los distintos servicios.Usuarios: seleccione en este cuadro y, a continuación, seleccione uno o varios usuarios para mostrar los resultados de la búsqueda. Las entradas del registro de auditoría de la actividad seleccionada realizada por los usuarios que selecciona en este cuadro, se muestran en la lista de resultados. Deje este cuadro en blanco para devolver las entradas de todos los usuarios (y cuentas de servicio) de su organización.
Archivo, carpeta o sitio: escriba algunos o todos los nombres de carpeta o de archivo para buscar las actividades relacionadas con el archivo de la carpeta que contengan la palabra clave especifica. También puede especificar una dirección URL de un archivo o carpeta. Si usa una dirección URL, asegúrese de que escriba la ruta de acceso de dirección URL completa o que, si escribe una parte de la dirección URL, no incluya caracteres ni espacios especiales (sin embargo, se admite el uso del carácter comodín (*) .
Deje este cuadro en blanco para devolver las entradas de todos los archivos y carpetas de la organización.
Sugerencia
Si busca todas las actividades relacionadas con un sitio, agregue el carácter comodín (*) después de la dirección URL para devolver todas las entradas de ese sitio; por ejemplo,
"https://contoso-my.sharepoint.com/personal*".Si busca todas las actividades relacionadas con un archivo, agregue el carácter comodín (*) antes del nombre de archivo para devolver todas las entradas de ese archivo; por ejemplo,
"*Customer_Profitability_Sample.csv".
Haga clic en Búsqueda para ejecutar la búsqueda mediante sus criterios de búsqueda.
Los resultados de la búsqueda se cargan y, después de unos instantes, se muestran en una página nueva. Cuando finaliza la búsqueda, se muestra el número de resultados que se ha encontrado. Se mostrará un máximo de 50 000 eventos en incrementos de 150 eventos. Si más de 50 000 eventos cumplen los criterios de búsqueda, solo se mostrarán los 50 000 eventos sin ordenar devueltos.
Sugerencias para buscar el registro de auditoría
Puede seleccionar actividades específicas de búsqueda haciendo clic en el nombre de la actividad. O bien, puede buscar todas las actividades de un grupo (como las actividades archivo y carpeta) seleccionando el nombre del grupo. Si se selecciona una actividad, puede hacer clic en ella para cancelar la selección. También puede usar el cuadro de búsqueda para mostrar las actividades que contengan la palabra clave que usted escriba.
Tiene que seleccionar Mostrar resultados para todas las actividades en la lista deActividades para mostrar los eventos del registro de auditoría de administración de Exchange. Los eventos de este registro de auditoría muestran un nombre de cmdlet (por ejemplo,Set-Mailbox) en la columna deActividaden los resultados. Para obtener más información, seleccione la pestaña Actividades auditadas en este artículo y, a continuación, seleccione Actividades de administrador de Exchange.
De forma similar, hay algunas actividades de auditoría que no tienen un elemento correspondiente en la lista Actividades. Si conoce el nombre de la operación para estas actividades, puede buscar todas las actividades y, a continuación, filtrar las operaciones después de exportar los resultados de la búsqueda a un archivo CSV.
Haga clic en Borrar para borrar los criterios actuales de búsqueda. El intervalo de fecha vuelve al predeterminado de los últimos siete días. También puede seleccionar Borrar todo para mostrar los resultados de todas las actividades para cancelar todas las actividades seleccionadas.
Si se encuentran 50 000 resultados, puede suponer que probablemente existen más de 50 000 eventos que cumplen los criterios de búsqueda. Puede refinar los criterios de búsqueda y volver a ejecutar la búsqueda para devolver menos resultados, o bien puede exportar los 50 000 resultados de búsqueda seleccionando Exportar resultados>Descargar todos los resultados.
Paso 2: Ver los resultados de la búsqueda
Los resultados de una búsqueda de registro de auditoría se muestran en Resultados en la página Búsqueda de registros de auditoría. Como se mencionó anteriormente, se muestran un máximo de 50 000 eventos (más recientes) en incrementos de 150 eventos. Use la barra de desplazamiento o pulse MAYÚS + Fin para mostrar los 150 eventos siguientes.
Los resultados contienen la siguiente información sobre cada evento que la búsqueda ha devuelto:
Fecha: fecha y hora (en UTC) en que se produjo el evento.
Dirección IP: la dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.
Nota:
Para ciertos servicios, el valor que se visualiza en este campo podría ser la dirección IP de una aplicación de confianza (por ejemplo, aplicaciones de Office en la web) que llama al servicio en nombre de un usuario y no de la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Asimismo, para la actividad del administrador (o la actividad que realiza una cuenta del sistema) para eventos relacionados con Azure Active Directory, la dirección IP no se registra y el valor que se muestra en este campo es
null.Usuario: el usuario (o cuenta de servicio) que ha realizado la acción que ha desencadenado el evento.
Actividad: la actividad que ha realizado el usuario. Este valor corresponde a las actividades que ha seleccionado en la lista desplegable de Actividades. Para un evento del registro de auditoría de administración de Exchange, el valor de esta columna es un cmdlet de Exchange.
Elemento: el objeto que se ha creado o modificado como resultado de la actividad correspondiente. Por ejemplo, el archivo que se ha visto o modificado, o la cuenta de usuario que se ha actualizado. No todas las actividades tienen un valor en esta columna.
Detalle: información adicional sobre una actividad. Nuevamente, no todas las actividades tendrán un valor.
Sugerencia
Haga clic en un encabezado de columna en Resultados para ordenarlos. Puede ordenar los resultados de la A hasta la Z o de la Z hasta la A. Haga clic en el encabezado Fecha para ordenar los resultados del más antiguo al más nuevo o al revés.
Ver los detalles de un evento específico
Puede ver más detalles sobre un evento al hacer clic en el registro de eventos de la lista de resultados de búsqueda. Se muestra una página de control flotante que contiene las propiedades detalladas del registro de eventos. Las propiedades que se muestran dependen del servicio en el que se produce el evento.
Paso 3: Exportar los resultados de la búsqueda a un archivo
Puede exportar los resultados de una búsqueda de registro de auditoría a un archivo de valores separados por comas (CSV) en su computadora local. Puede abrir este archivo en Microsoft Excel y usar características como buscar, ordenar, filtrar y dividir una sola columna (que contiene múltiples propiedades) en columnas múltiples.
Ejecute una búsqueda de registro de auditoría, y luego revise los criterios de búsqueda hasta que tenga los resultados deseados.
En la página de resultados de búsqueda, seleccione Exportar>Descargar todos los resultados.
Todas las entradas del registro de auditoría que cumplen los criterios de búsqueda, se exportan a un archivo CSV. Los datos sin procesar del registro de auditoría se guardan en un archivo CSV. Se incluye información adicional de la entrada del registro de auditoría en una columna denominada AuditData en el archivo CSV.
Importante
Puede descargar un máximo de 50 000 entradas en un archivo CSV desde una única búsqueda de registros de auditoría. Si se descargan 50 000 entradas en el archivo CSV, probablemente puede suponer que existen más de 50 000 eventos que cumplen los criterios de búsqueda. Para exportar más de este límite, pruebe a usar un intervalo de fecha para reducir el número de entradas de registro de auditoría. Puede que tenga que ejecutar varias búsquedas con intervalos de fecha de menor tamaño para exportar más de 50 000 entradas.
Una vez completado el proceso de exportación, se muestra un mensaje en la parte superior de la ventana que le pide que abra el archivo CSV y lo guarde en el equipo local. También puede acceder al archivo CSV en la carpeta Descargas.
Obtener más información sobre exportar y visualizar resultados de la búsqueda del registro de auditoría
Al descargar todos los resultados de la búsqueda, el archivo CSV contiene las columnas CreationDate, UserIds, Operations y AuditData. La columna AuditData contiene información adicional sobre cada evento (similar a la información detallada que se muestra en la página de control flotante al ver los resultados de la búsqueda en el portal de cumplimiento). Los datos en esta columna se componen de un objeto JSON que contiene varias propiedades del registro de auditoría. Cadapropiedad: valorpar del objeto JSON es separado por una coma. Puede usar la herramienta de transformación de JSON en el editor de Power Query en Excel para dividir la columnaAuditData en columnas múltiples de forma que cada propiedad del objeto JSON tenga su propia columna. Esto le permitirá ordenar y filtrar en una o más de estas propiedades. Para obtener instrucciones paso a paso para usar el editor de Power Query para transformar el objeto JSON, consulteexportar, configurar y ver los archivos de registros de auditoría.
Después de que divida la columna AuditData, puede filtrar en la columna deOperaciones para mostrar las propiedades detalladas de un tipo de actividad específico.
Cuando descargue todos los resultados de una consulta de búsqueda que contenga eventos de diferentes servicios, la columnaAuditData del archivo CSV contiene diferentes propiedades en función del servicio en que se ha realizado la acción. Por ejemplo, las entradas de los registros de auditoría de Exchange y Azure AD incluyen una propiedad denominadaResultStatus que indica si la acción se ha realizado correctamente o no. Esta propiedad no se incluye para los eventos en SharePoint. De manera similar, los eventos de SharePoint tienen una propiedad que identifica la dirección URL del sitio para las actividades relacionadas con la carpeta y el archivo. Para mitigar este comportamiento, considere la posibilidad de usar diferentes búsquedas para exportar los resultados de las actividades de un único servicio.
Para obtener una descripción de las propiedades que se enumeran en la columna AuditData del archivo CSV cuando descarga todos los resultados, y el servicio al que se aplica cada uno, consulte Propiedades detalladas del registro de auditoría.
Preguntas más frecuentes
¿Qué servicios de Microsoft 365 se auditan actualmente?
Se auditan los servicios más usados, como Exchange Online, SharePoint Online, OneDrive para la Empresa, Azure Active Directory, Microsoft Teams, Dynamics 365, Microsoft Defender para Office 365 y Power BI. Consulte el principio de este artículo para obtener una lista de los servicios que se van a auditar.
¿Qué actividades audita el servicio de auditoría en Microsoft 365?
Consulte el artículo Audit log activities (Actividades de registro de auditoría) para obtener una lista y una descripción de las actividades auditadas.
¿Cuánto tiempo tarda un registro de auditoría en disponible después de que se produzca un evento?
La mayoría de los datos de auditoría están disponibles en un plazo de entre 60 y 90 minutos, pero pueden tardar hasta 24 horas después de que se produzca un evento para que la entrada de registro de auditoría correspondiente se muestre en los resultados de la búsqueda. Consulte la sección Antes de buscar en el registro de auditoría de este artículo que muestra el tiempo que tardan los eventos en los distintos servicios en estar disponibles.
¿Durante cuánto tiempo se conservan los registros de auditoría?
Como se ha explicado anteriormente, los registros de auditoría para las actividades que realizan los usuarios que tienen asignada una licencia de Office 365 E5 o Microsoft E5 (o los usuarios con una licencia del complemento de Microsoft 365 E5) se conservan durante un año. Para todas las demás suscripciones que admiten el registro de auditoría unificado, los registros de auditoría se conservan durante 90 días.
¿Puedo tener acceso a los datos de auditoría mediante programación?
Sí. La API de Actividad de administración de Office 365 se usa para capturar los registros de auditoría mediante programación. Para empezar, consulte Empezar con el APÏ de Office 365 Management.
¿Hay otras formas de obtener registros de auditoría que no sean en el portal de seguridad y cumplimiento o con la API de Actividad de administración de Office 365?
Sí, puede recuperar los registros de auditoría mediante los siguientes métodos:
- La API de Actividad de administración de Office 365.
- La herramienta de búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview.
- El cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell.
¿Necesito habilitar individualmente la auditoría en cada servicio en el que deseo capturar registros de auditoría?
En la mayoría de los servicios, la auditoría se habilita de forma predeterminada tras activarla inicialmente para la organización (como se describe en la sección Antes de realizar búsquedas en el registro de auditoría de este artículo).
¿El servicio de auditoría admite la con la desduplicación de registros?
No. La canalización del servicio de auditoría está casi en tiempo real, y por lo tanto no es compatible con la des duplicación.
¿Dónde se almacenan los datos de auditoría?
Actualmente, tenemos auditorías de canalización de implementaciones en las regiones NA (Norteamérica), EMEA (Europa, Oriente Medio y África) y APAC (Asia Pacífico). Los inquilinos alojados en estas regiones tendrán sus datos de auditoría almacenados en la región. En el caso de los inquilinos multigeográficos, los datos de auditoría recopilados de todas las regiones del inquilino solo se almacenarán en la región principal del inquilino. Sin embargo, es posible que flujos los datos en estas zonas para equilibrar la carga y solo durante las cuestiones de sitio en directo. Cuando realizamos estas actividades, los datos en tránsito se encriptan.
¿Está la auditoría de datos encriptada?
Los datos de auditoría se almacenan en buzones de Exchange (datos en reposo) en la misma región donde se implementa la canalización de auditoría unificada. Exchange no cifra los datos del buzón en reposo. Sin embargo, el cifrado de nivel de servicio cifra todos los datos de los buzones, ya que los servidores de Exchange en centros de datos de Microsoft se cifran mediante BitLocker. Para obtener más información, consulte Cifrado de Microsoft 365 para Skype Empresarial, OneDrive para la Empresa, SharePoint Online y Exchange Online.
Los datos de correo en tránsito siempre se cifran.