Registro de auditoría de administrador en Exchange Server
Se aplica a: Exchange Server 2013
Puede usar el registro de auditoría de administrador en Microsoft Exchange Server 2013 para registrar cuando un usuario o administrador realiza un cambio en su organización. Al mantener un registro de los cambios, puede realizar un seguimiento de los cambios de la persona que realizó el cambio, aumentar los registros de cambios con registros detallados de los cambios implementados, cumplir con los requisitos reglamentarios y las solicitudes de detección, y mucho más.
De forma predeterminada, el registro de auditoría está habilitado en las nuevas instalaciones de Exchange 2013.
Qué se audita
Se auditan los cmdlets que se ejecutan directamente en el Shell de administración de Exchange. Además, también se registran las operaciones realizadas con el Centro de administración de Exchange (EAC), ya que ejecutan cmdlets en segundo plano.
Los cmdlets, independientemente de donde se ejecuten, se auditan si un cmdlet está en la lista de auditoría del cmdlet y si uno o más parámetros de ese cmdlet están en la lista de auditoría del parámetro. La finalidad del registro de auditoría es mostrar qué acciones se han realizado para modificar objetos en una organización de Exchange, en lugar de qué objetos se han visualizado.
Importante
Es posible que no se registre un cmdlet si se produce un error antes de que el cmdlet llame al agente de extensión de cmdlet del registro de auditoría de administrador. Si se produce un error después de llamar al agente de registro de auditoría de administración, el cmdlet se registra junto con el error asociado. Para obtener más información, vea la sección Admin Audit Log Agent más adelante en este tema:
Los cambios realizados con las herramientas de administración de Microsoft Exchange Server 2010 se registran; sin embargo, los cambios que usan Microsoft Exchange Server herramientas de administración de 2007 no se registran.
Los cambios en la configuración del registro de auditoría se actualizan cada 60 minutos en los equipos que tienen shell abierto al momento de realizar un cambio de configuración. Si desea aplicar los cambios de inmediato, cierre y vuelva a abrir el shell en cada equipo.
Un comando puede tardar hasta 15 minutos a partir de su ejecución en aparecer en los resultados de búsqueda del registro de auditoría. Esto se debe a que las entradas del registro de auditoría deben indexarse antes de que puedan realizarse búsquedas en ellas. Si un comando no aparece en el registro de auditoría del administrador, espere unos minutos y vuelva a hacer la búsqueda.
Configuración del registro de auditoría
De forma predeterminada, si el registro de auditoría está habilitado, se crea una entrada de registro cada vez que se ejecuta cualquier cmdlet. Si no quiere auditar todos los cmdlets que se ejecutan, puede configurar el registro de auditoría para que audite únicamente los cmdlets y los parámetros que le interesen. Puede configurar el registro de auditoría con el cmdlet Set-AdminAuditLogConfig. Los parámetros a los que se hace referencia en las siguientes secciones se usan con este cmdlet.
Importante
Los cambios realizados en la configuración del registro de auditoría del administrador siempre se registran, independientemente de si el cdmlet Set-AdministratorAuditLog está incluido en la lista de cmdlets que se auditan y de si el registro de auditoría está habilitado o deshabilitado.
Cuando se ejecuta un comando, Exchange inspecciona el cmdlet que se usó. Si el cmdlet que se ejecutó coincide con cualquiera de los cmdlets proporcionados con el parámetro AdminAuditLogConfigCmdlets , Exchange comprueba los parámetros especificados en el parámetro AdminAuditLogConfigParameters . Si al menos uno o más parámetros de la lista de parámetros coinciden, Exchange registra el cmdlet que se ejecutó en el buzón especificado mediante el parámetro AdminAuditLogMailbox . En las secciones siguientes se ofrece más información sobre los aspectos de la configuración del registro de auditoría.
Para más información sobre la administración de la configuración del registro de auditoría, vea Administrar el registro de auditoría de administrador.
Cmdlets
Puede controlar qué cmdlets se auditan proporcionando una lista de cmdlets y sus parámetros que desea registrar. Al configurar el registro de auditoría, puede especificar para auditar cada cmdlet o puede especificar los cmdlets que desea auditar mediante el parámetro AdminAuditLogConfigCmdlets . Puede especificar nombres de cmdlet completos, como New-Mailbox, o puede especificar nombres de cmdlet parciales y incluir esos nombres en caracteres comodín, como un asterisco (*
). Por ejemplo, si desea registrar cuándo se ejecuta cualquier cmdlet que contenga la cadena Transport
, puede especificar un valor de *Transport*
. Puede usar una combinación de nombres de cmdlet completos y nombres de cmdlet parciales al mismo tiempo para adaptar la configuración del registro de auditoría a sus necesidades.
Parameters
Además de especificar qué cmdlets desea registrar, también puede indicar que los cmdlets sólo se deberán registrar si se usan determinados parámetros en esos cmdlets. Use el parámetro AdminAuditLogConfigParameters para especificar los parámetros que se deben registrar. Al igual que con los cmdlets, puede especificar nombres de parámetro completos, como Database
, o nombres de parámetros parciales entre caracteres comodín (*
), como *Address*
, o una combinación de ambos.
Límite de antigüedad del registro de auditoría
De forma predeterminada, el registro de auditoría está configurado para almacenar entradas de registro de auditoría durante 90 días. Después de 90 días, se elimina la entrada del registro de auditoría. Puede cambiar el límite de antigüedad del registro de auditoría mediante el parámetro AdminAuditLogAgeLimit. Puede especificar el número de días, horas, minutos y segundos que se deben conservar en las entradas del registro de auditoría. Para especificar un valor, use el formato dd.hh:mm:ss
en el que se aplica lo siguiente:
dd: número de días para mantener la entrada del registro de auditoría.
hh: número de horas para mantener la entrada del registro de auditoría.
mm: número de minutos para mantener la entrada del registro de auditoría.
ss: número de segundos para mantener la entrada del registro de auditoría.
Debe especificar varios años mediante el dd
campo . Por ejemplo, 365 días equivale a un año; 730 días equivale a dos años; 913 días equivale a dos años y seis meses. Por ejemplo, para establecer el límite de edad del registro de auditoría en dos años y seis meses, use la sintaxis 913.00:00:00
.
Advertencia
Puede definir el límite de antigüedad del registro de auditoría en un valor menor que el límite de antigüedad actual. Para ello, se eliminan todas las entradas del registro cuya antigüedad supera el nuevo límite de antigüedad.
Si establece el límite de edad en 0, Exchange elimina todas las entradas del registro de auditoría.
Se recomienda otorgar permiso para configurar el límite de antigüedad del registro de auditoría solamente a los usuarios de mayor confianza.
Registro detallado
De forma predeterminada, el registro de auditoría del administrador solo registra el nombre del cmdlet, los parámetros de cmdlet (y los valores especificados), el objeto que se modificó, quién ejecutó el cmdlet, cuándo se ejecutó el cmdlet y en qué servidor se ejecutó el cmdlet. El registro de auditoría de administrador no registra qué propiedades se modificaron en el objeto. Si desea que el registro de auditoría incluya también las propiedades del objeto que se modificaron, puede habilitar el registro detallado estableciendo el parámetro LogLevel en Verbose
. Al habilitar el registro detallado, además de la información registrada de forma predeterminada, las propiedades modificadas en un objeto, incluidos sus valores antiguos y nuevos, se incluyen en el registro de auditoría.
Cmdlets de prueba
Los cmdlets que empiezan con el verbo Test no se registran de forma predeterminada. Puede indicar que los cmdlets test deben registrarse estableciendo el parámetro $true
TestCmdletLoggingEnabled en . Aunque puede habilitar el registro de cmdlets de prueba, se recomienda hacerlo solo durante breves períodos de tiempo, ya que los cmdlets de prueba pueden producir una gran cantidad de información.
Registros de auditoría
Cada vez que se registra un cmdlet, se crea una entrada en el registro de auditoría. Los registros de auditoría se almacenan en un buzón de arbitraje oculto y dedicado al que solo se puede acceder mediante el EAC o el cmdlet Search-AdminAuditLog o New-AdminAuditLogSearch . No se puede abrir con Microsoft Outlook Web App o Microsoft Outlook. Las siguientes secciones proporcionan información sobre los siguientes aspectos:
Qué se incluye en los registros
Informes disponibles en la página de auditoría de EAC
Cmdlets de búsqueda de registros de auditoría
Contenido del registro de auditoría
Todas las entradas del registro de auditoría contienen la información que se describe en la tabla siguiente. El registro de auditoría contiene una o varias entradas de registro de auditoría. El número de entradas de registro de auditoría se controla mediante el límite de antigüedad del registro de auditoría especificado mediante el cmdlet Set-AdminAuditLogConfig . Se eliminan todas las entradas del registro de auditoría que superan el límite de antigüedad.
Campos de entrada del registro de auditoría
Campo | Descripción |
---|---|
RunspaceId |
Exchange utiliza este campo de manera interna. |
ObjectModified |
Este campo contiene el objeto modificado por el cmdlet especificado en el CmdletName campo. |
CmdletName |
Este campo contiene el nombre del cmdlet que ejecutó el usuario en el Caller campo . |
CmdletParameters |
Este campo contiene los parámetros que se especificaron cuando se ejecutó el cmdlet en el CmdletName campo. En este campo también se almacena (aunque no es visible en la salida predeterminada) el valor especificado con el parámetro (si existe). Para obtener más información sobre cómo acceder a la información adicional de este campo, vea Buscar en los cambios del grupo de roles o en los registros de auditoría del administrador. |
ModifiedProperties |
Este campo contiene las propiedades que se modificaron en el objeto del ObjectModified campo . Además, en este campo se almacenan el valor anterior de la propiedad y el nuevo valor almacenado, aunque no están visibles en los resultados predeterminados. Para obtener más información sobre cómo acceder a la información adicional de este campo, vea Buscar en los cambios del grupo de roles o en los registros de auditoría del administrador. Importante: Este campo solo se rellena si el parámetro LogLevel del cmdlet Set-AdminAuditLogConfig está establecido Verbose en . |
Caller |
Este campo contiene la cuenta de usuario del usuario que ejecutó el cmdlet en el CmdletName campo . |
Succeeded |
Este campo especifica si el cmdlet del CmdletName campo se ejecutó correctamente. El valor es o True False . |
Error |
Este campo contiene el mensaje de error generado si el cmdlet del CmdletName campo no se pudo completar correctamente. |
RunDate |
Este campo contiene la fecha y hora en que se ejecutó el cmdlet del CmdletName campo. La fecha y la hora se almacenan en formato de hora universal coordinada (UTC). |
OriginatingServer |
Este campo indica el servidor en el que se ejecutó el cmdlet especificado en el CmdletName campo. |
Identity |
Exchange utiliza este campo de manera interna. |
IsValid |
Exchange utiliza este campo de manera interna. |
ObjectState |
Exchange utiliza este campo de manera interna. |
Informes de auditoría del EAC
La página de auditoría del EAC tiene varios informes que proporcionan información sobre varios tipos de cambios de cumplimiento y configuración administrativa. Los informes siguientes proporcionan información sobre los cambios de configuración en la organización:
Informe de grupo de roles de administrador: este informe le permite buscar cambios en los grupos de roles de administración que especifique dentro de un período de tiempo especificado. Los resultados que se devuelven muestran los grupos de funciones que han sido modificados, quien los modificó y cuándo, y qué cambios se realizaron. Se puede devolver un máximo de 3000 entradas. Si es posible que su búsqueda devuelva más de 3000 entradas, use el informe de Registro de auditoría de administrador o el cmdlet Search-AdminAuditLog.
Registro de auditoría de administrador: este informe le permite exportar las entradas de registro de auditoría registradas dentro de un período de tiempo especificado a un archivo XML y, a continuación, enviar el archivo por correo electrónico a un destinatario que especifique. Para más información sobre el contenido del archivo XML, vea Estructura del registro de auditoría de administrador.
Para obtener información sobre cómo usar estos informes, consulte Búsqueda en los cambios del grupo de roles o registros de auditoría de administrador.
Para obtener información sobre los demás informes incluidos en la página de auditoría , consulte Informes de auditoría de Exchange.
Cmdlet Search-AdminAuditLog
Al ejecutar el cmdlet Search-AdminAuditLog , se devuelven todas las entradas de registro de auditoría que coinciden con los criterios de búsqueda especificados. Puede especificar los siguientes criterios de búsqueda:
Cmdlets: especifica los cmdlets que desea buscar en el registro de auditoría de administrador.
Parámetros: especifica los parámetros, separados por comas, que desea buscar en el registro de auditoría de administrador. Solo puede buscar parámetros si especifica el cmdlet que quiere buscar.
Fecha de finalización: limita los resultados del registro de auditoría del administrador a las entradas de registro que se produjeron en o antes de la fecha especificada.
Fecha de inicio: limita los resultados del registro de auditoría del administrador a las entradas de registro que se produjeron en o después de la fecha especificada.
Identificadores de objeto: especifica que solo se deben devolver entradas de registro de auditoría de administrador que contengan los objetos modificados especificados.
Identificadores de usuario: especifica que solo deben devolverse las entradas de registro de auditoría de administrador que contienen los identificadores especificados del usuario que ejecutó el cmdlet.
Finalización correcta: especifica si solo se deben devolver las entradas de registro de auditoría de administrador que indicaron que se ha producido un error o que se ha realizado correctamente.
Todas las entradas del registro de auditoría contienen la información que se describe en la tabla de Audit Log Contents. De forma predeterminada, solamente se devuelven las primeras 1000 entradas del registro que coinciden con los criterios especificados. Sin embargo, puede invalidar esta configuración predeterminada y habilitar la devolución de una mayor o menor cantidad de entradas con el parámetro ResultSize. Puede especificar un valor de Unlimited
con el parámetro ResultSize para devolver todas las entradas de registro que coincidan con los criterios especificados.
Para obtener información sobre cómo usar el cmdlet Search-AdminAuditLog , consulte Búsqueda de cambios en el grupo de roles o registros de auditoría de administrador.
Cmdlet New-AdminAuditLogSearch
El cmdlet New-AdminAuditLogSearch busca el registro de auditoría al igual que el cmdlet Search-AdminAuditLog. Sin embargo, en lugar de mostrar los resultados de la búsqueda de registros de auditoría en el Shell, el cmdlet New-AdminAuditLogSearch realiza la búsqueda y, a continuación, envía los resultados de la búsqueda a un destinatario que especifique a través de un mensaje de correo electrónico. Los resultados se incluyen como datos adjuntos en formato XML en el mensaje de correo electrónico.
Puede usar el mismo criterio de búsqueda con el cmdlet New-AdminAuditLogSearch que usa con el cdmlet Search-AdminAuditLog. Para obtener una lista de los criterios de búsqueda, consulte Search-AdminAuditLog Cmdlet.
Después de ejecutar el cmdlet New-AdminAuditLogSearch, Exchange puede tardar hasta 15 minutos en entregar el informe al destinatario especificado. El informe adjunto en un archivo XML puede tener un máximo de 10 megabytes (MB). El archivo XML contiene la misma información descrita en la tabla del contenido del registro de auditoría. Para más información sobre la estructura del archivo XML, vea Estructura del registro de auditoría de administrador.
Nota:
Outlook Web App no permite abrir datos adjuntos en formato XML de forma predeterminada. Puede configurar Exchange para poder ver datos XML adjuntos mediante Outlook Web App o puede recurrir a otro cliente de correo electrónico, como Microsoft Outlook, para ver los datos adjuntos. Para obtener información sobre cómo configurar Outlook Web App para que pueda ver datos adjuntos XML, consulte Ver o configurar Outlook Web App directorios virtuales.
Para obtener información sobre cómo usar el cmdlet New-AdminAuditLogSearch , consulte Búsqueda de cambios en el grupo de roles o registros de auditoría de administrador.
Entradas de registro de auditoría manual
Además de registrar cmdlets de Exchange cuando se ejecutan, Exchange 2013 permite escribir manualmente entradas de registro en el registro de auditoría. Exchange 2013 admite esto mediante el cmdlet Write-AdminAuditLog . A continuación se muestran algunas situaciones en las que es posible que quiera agregar una entrada registro manual:
Entrada y salida de script personalizado
Información de control de cambios
Hora de inicio y finalización de mantenimiento
Con el cmdlet Write-AdminAuditLog , se especifica una cadena de texto que se va a incluir en el registro de auditoría mediante el parámetro Comment . El parámetro Comment acepta una cadena alfanumérica de hasta 500 caracteres. Toda la información capturada al registrar un cmdlet de Exchange se incluye en la entrada de registro de auditoría manual con la cadena de comentario. Para obtener una descripción de cada campo incluido en el registro de auditoría, consulte la tabla contenido del registro de auditoría.
Puede recuperar entradas de registro de auditoría manuales de la misma manera que cualquier otra entrada de registro, mediante la página de auditoría de EAC o mediante los cmdlets Search-AdminAuditLog o New-AdminAuditLogSearch .
Para ver el contenido del parámetro Comment en el cmdlet Write-AdminAuditLog en una entrada de registro de auditoría manual, vea Buscar los cambios del grupo de roles o los registros de auditoría del administrador.
Replicación de Active Directory
El registro de auditoría de administrador usa la replicación de Active Directory para replicar las opciones de configuración que se especifican en los controladores de dominio de la organización. En función de la configuración de replicación, es posible que los cambios que realice no se apliquen inmediatamente a todos los servidores que ejecutan Exchange 2013 o Exchange 2010 en su organización.
Agente del registro de auditoría de administrador
El agente de extensión de cmdlets integrado del registro de auditoría de Administración realiza el registro de auditoría de administrador de las operaciones de cmdlet en Exchange 2013. Este agente lee la configuración del registro de auditoría y, después, realiza una evaluación de cada cmdlet que se ejecuta en la organización. Si los criterios especificados en la configuración del registro de auditoría coinciden con el cmdlet que se está ejecutando, el agente genera un registro de auditoría.
El agente de registro de auditoría de Administración está habilitado de forma predeterminada, lo que es necesario para que funcione el registro de auditoría. No se puede deshabilitar y su prioridad no se puede cambiar. Para obtener más información acerca de los agentes de extensión del cmdlet, consulte Agentes de extensión de cmdlet.