Ver la actividad de auditoría de custodio

  • Artículo

¿Necesita averiguar si un usuario ha visto un documento determinado o si ha purgado un elemento de su buzón? Microsoft Purview eDiscovery (Premium) ahora se integra con la herramienta de búsqueda de registros de auditoría existente en el portal de cumplimiento Microsoft Purview. Con esta experiencia insertada, puede usar la herramienta administración de custodias de eDiscovery (Premium) para facilitar la investigación mediante el acceso y la búsqueda de la actividad de los custodios dentro de su caso.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Obtener permisos

Debe tener asignado el rol Ver solo registros de auditoría o Registros de auditoría en Exchange Online para buscar o exportar el registro de auditoría. De forma predeterminada, estos roles se asignan a los grupos de roles Administración de cumplimiento y Administración de la organización en la página Permisos del Centro de administración de Exchange. Para proporcionar a un usuario la capacidad de buscar en el registro de auditoría de eDiscovery (Premium) con el nivel mínimo de privilegios, puede crear un grupo de roles personalizado en Exchange Online, agregar el rol Registros de auditoría de solo vista o Registros de auditoría y, a continuación, agregar el usuario como miembro del nuevo grupo de roles. Para obtener más información, consulteAdministrar grupos de roles en Exchange en línea.

Importante

Si asigna a un usuario el rol Ver solo registros de auditoría o Registros de auditoría en la página Permisos del portal de cumplimiento, no podrá buscar ni exportar el registro de auditoría. Tiene que asignar los permisos en Exchange en línea. Esto se debe a que el cmdlet subyacente que se usa para buscar en el registro de auditoría es un cmdlet Exchange en línea.

Paso 1: Búsqueda el registro de auditoría para las actividades realizadas por un custodio

  1. Vaya a eDiscovery > eDiscovery (Premium) y abra el caso.

  2. Seleccione la pestaña Orígenes .

  3. En la página Custodios , seleccione un custodio de la lista y, a continuación, seleccione Ver actividad de custodio en la página desplegable.

    Se muestra la página de búsqueda Actividades de custodio. Tenga en cuenta que el custodio que seleccionó en el paso anterior se muestra en el cuadro desplegable Custodio . Puede seleccionar diferentes custodios en el cuadro desplegable, pero solo puede buscar actividades para un custodio a la vez.

    Página de búsqueda de actividades de custodio.

  4. Configurar los siguientes criterios de búsqueda:

    1. Actividades : seleccione la lista desplegable para mostrar las actividades que puede buscar. Después de que ejecute la búsqueda, solo se muestran las entradas seleccionadas del registro de auditoría de las actividades. Al seleccionar Mostrar resultados para todas las actividades , se mostrarán los resultados de todas las actividades realizadas por el custodio que coincidan con los demás criterios de búsqueda.

      Lista de actividades.

    2. Fecha de inicio y fecha de finalización : seleccione un intervalo de fecha y hora para mostrar los eventos que se produjeron dentro de ese período. Los últimos siete días están seleccionados de forma predeterminada. La fecha y la hora se presentan en formato de Hora universal coordinada (UTC). El intervalo de fechas máximo que puede especificar es de un año.

    3. Custodios : seleccione en este cuadro y, a continuación, seleccione un custodio específico para mostrar los resultados de la búsqueda. Los registros de auditoría de la actividad seleccionada realizada por los usuarios seleccionados en este cuadro se muestran en la lista de resultados.

  5. Seleccione Búsqueda Botón. Para ejecutar la búsqueda con los criterios de búsqueda. Los resultados de la búsqueda se cargan y, después de unos instantes, se muestran en Resultados en la página de búsqueda Actividades de custodio.

Paso 2: Ver los resultados de la búsqueda de registros de auditoría

Los resultados de una búsqueda de registros de auditoría se muestran en Resultados en la página Registro de auditoría del custodio. Un máximo de 5000 eventos (más recientes) se muestran en incrementos de 150 eventos. Para mostrar más eventos, puede usar la barra de desplazamiento en el panel Resultados, o bien puede presionar Mayús + Final para mostrar los siguientes 150 eventos.

Los resultados contienen la siguiente información sobre cada evento que la búsqueda ha devuelto.

  • Fecha: la fecha y la hora (en formato UTC) cuando se ha realizado el evento.
  • Dirección IP: la dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.
  • Usuario: el usuario (o cuenta de servicio) que ha realizado la acción que ha desencadenado el evento.
  • Actividad: la actividad que ha realizado el usuario. Este valor corresponde a las actividades que ha seleccionado en la lista desplegable de actividades. Para un evento del registro de auditoría de administración de Exchange, el valor de esta columna es un cmdlet de Exchange.
  • Elemento: el objeto que se ha creado o modificado como resultado de la actividad correspondiente. Por ejemplo, el archivo que se ha visto o modificado, o la cuenta de usuario que se ha actualizado. No todas las actividades tienen un valor en esta columna.
  • Detalle: detalles adicionales sobre una actividad. De nuevo, no todas las actividades tendrán un valor.

Paso 3: Filtrar los resultados de la búsqueda

Además de ordenar, también puede filtrar los resultados de una búsqueda de registro de auditoría. Esto puede ayudarle a filtrar rápidamente los resultados de un usuario o actividad específico.

Para filtrar los resultados:

  1. Cree y ejecute una búsqueda de registros de auditoría.

  2. Cuando se muestren los resultados, seleccione Filtrar resultados.

  3. Los cuadros de palabra clave se muestran en cada encabezado de columna.

  4. Seleccione uno de los cuadros de un encabezado de columna y escriba una palabra o frase, en función de la columna por la que esté filtrando. Los resultados se volverán a ajustar de manera dinámica para mostrar los eventos que coincidan con su filtro.

  5. Para borrar un filtro, seleccione la X en el cuadro de filtro o simplemente seleccione Ocultar filtrado.

Exportación de los resultados de la búsqueda a un archivo

Puede exportar los resultados de una búsqueda de registros de auditoría a un archivo de valores separados por comas (CSV) en el equipo local. Puede abrir este archivo en Microsoft Excel y usar características como búsqueda, ordenación, filtrado y división de una sola columna (que contiene celdas de varios valores) en varias columnas.

  1. Ejecute una búsqueda de registro de auditoría, y luego revise los criterios de búsqueda hasta que tenga los resultados deseados.

  2. Seleccione Exportar resultados y seleccione una de las siguientes opciones:

    • Guardar los resultados cargados: Elija esta opción para exportar solo las entradas que se muestran en Resultados en la página de búsqueda del registro de auditoría del custodio . El archivo CSV que se descarga contiene las mismas columnas (y datos) que se muestran en la página (Fecha, Usuario, Actividad, Elemento y Detalles). Se incluye una columna adicional (titulada Más) en el archivo CSV que contiene más información de la entrada de registro de auditoría. Como está exportando los mismos resultados que se han cargado (y visualizado) en la página Búsqueda de registros de auditoría, se exportan un máximo de 5 000 entradas.

    • Descargue todos los resultados: Elija esta opción para exportar todas las entradas del registro de auditoría que cumplan los criterios de búsqueda. Para obtener un gran conjunto de resultados de búsqueda, elija esta opción para descargar todas las entradas del registro de auditoría, además de los 5000 resultados que se pueden mostrar en la página de búsqueda del registro de auditoría del custodio . Esta opción descargará los datos sin procesar del registro de auditoría en un archivo CSV y contiene información adicional de la entrada de registro de auditoría en una columna denominada AuditData. Puede tardar más en descargar el archivo si elige esta opción de exportación ya que el archivo puede ser mucho más grande que el que se descarga si eligiera otra opción.

      Importante

      Puede descargar un máximo de 50 000 entradas en un archivo CSV desde una única búsqueda de registros de auditoría. Si se descargan 50 000 entradas en el archivo CSV, probablemente puede suponer que existen más de 50 000 eventos que cumplen los criterios de búsqueda. Para exportar más de este límite, pruebe a usar un intervalo de fecha para reducir el número de entradas de registro de auditoría. Puede que tenga que ejecutar varias búsquedas con intervalos de fecha de menor tamaño para exportar más de 50 000 entradas.

  3. Después de seleccionar una opción de exportación, se muestra un mensaje en la parte inferior de la ventana que le pide que abra el archivo CSV, lo guarde en la carpeta Descargas o guárdelo en una carpeta específica.

Para obtener más información sobre cómo ver, filtrar o exportar resultados de búsqueda de registros de auditoría, consulte Búsqueda el registro de auditoría.