Administración del registro de auditoría de administrador en Exchange Server
El registro de auditoría de administrador en Exchange Server permite crear una entrada de registro cada vez que se ejecuta un cmdlet especificado. Las entradas de registro le proporcionan información sobre qué cmdlet se ejecutó, qué parámetros se usaron, quién ejecutó el cmdlet y qué objetos estuvieron afectados. Para obtener más información sobre el registro de auditoría de administrador, consulte Registro de auditoría de administrador en Exchange Server.
¿Qué necesita saber antes de empezar?
Tiempo estimado para completar cada procedimiento: menos de 5 minutos
Este procedimiento solo puede realizarse con PowerShell. Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.
Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte la entrada "Registro de auditoría de administrador" en el tema Sobre la infraestructura de Exchange y los permisos de PowerShell .
El registro de auditoría de administración usa la replicación de Active Directory para replicar las opciones de configuración que especifique en los controladores de dominio de la organización. En función de la configuración de replicación, es posible que los cambios que realice no se apliquen inmediatamente a todos los servidores de Exchange 2016 y Exchange 2019 de su organización.
Los cambios en la configuración del registro de auditoría se actualizan cada 60 minutos en los equipos que tienen el Shell de administración de Exchange abierto en el momento en que se realice un cambio en la configuración. Si quiere aplicar los cambios inmediatamente, cierre y vuelva a abrir el Shell de administración de Exchange en todos los equipos.
Un comando puede tardar hasta 15 minutos a partir de su ejecución en aparecer en los resultados de búsqueda del registro de auditoría. Esto se debe a que las entradas del registro de auditoría deben indexarse antes de que puedan realizarse búsquedas en ellas. Si un comando no aparece en el registro de auditoría del administrador, espere unos minutos y vuelva a hacer la búsqueda.
Especificar los cmdlets que se van a auditar
De manera predeterminada, el registro de auditoría crea una entrada de registro para cada cmdlet que se ejecuta. Si está habilitando el registro de auditoría por primera vez y quiere observar el comportamiento, no debe cambiar la lista de auditoría del cmdlet. Si previamente ha especificado cmdlets para auditar y ahora quiere auditar todos los cmdlets, puede auditar todos los cmdlets especificando el carácter comodín asterisco (*) con el parámetro AdminAuditLogCmdlets en el cmdlet Set-AdminAuditLogConfig , como se muestra en el siguiente comando.
Set-AdminAuditLogConfig -AdminAuditLogCmdlets *
Puede especificar qué cmdlets auditar proporcionando una lista de cmdlets mediante el parámetro AdminAuditLogCmdlets . Al proporcionar la lista de cmdlets que se van a auditar, puede proporcionar cmdlets únicos, cmdlets con caracteres comodín de asterisco (*) o una combinación de ambos. Cada entrada de la lista está separada por comas. Todos los siguientes valores son válidos:
New-Mailbox*TransportRule*Management*Set-Transport*
En este ejemplo, se auditan los cmdlets especificados en la lista anterior.
Set-AdminAuditLogConfig -AdminAuditLogCmdlets New-Mailbox, *TransportRule, *Management*, Set-Transport*
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Especificar los parámetros que se van a auditar
De forma predeterminada, el registro de auditoría crea una entrada de registro para todos los cmdlets que se ejecutan, independientemente de los parámetros especificados. Si está habilitando el registro de auditoría por primera vez y quiere observar el comportamiento, no debe cambiar la lista de auditoría de parámetros. Si previamente ha especificado parámetros para auditar y ahora quiere auditar todos los parámetros, puede hacerlo especificando el carácter comodín asterisco (*) con el parámetro AdminAuditLogParameters en el cmdlet Set-AdminAuditLogConfig , como se muestra en el siguiente comando.
Set-AdminAuditLogConfig -AdminAuditLogParameters *
Puede especificar qué parámetros desea auditar mediante el parámetro AdminAuditLogParameters . Al proporcionar la lista de parámetros que se van a auditar, puede proporcionar parámetros únicos, parámetros con caracteres comodín de asterisco (*) o una combinación de ambos. Cada entrada de la lista está separada por comas. Todos los siguientes valores son válidos:
Database*Address*Custom**Region
Nota:
Para que se cree una entrada de registro de auditoría cuando se ejecute un comando, el comando debe incluir al menos uno o varios parámetros que existan en al menos uno o varios cmdlets especificados con el parámetro AdminAuditLogCmdlets .
En este ejemplo, se auditan los parámetros especificados en la lista anterior.
Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address*, Custom*, *Region
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Especificar el límite de antigüedad del registro de auditoría de administración
El límite de antigüedad del registro de auditoría determina durante cuánto tiempo se conservarán las entradas del registro de auditoría. Cuando una entrada del registro supera el límite de antigüedad, se elimina. El valor predeterminado es de 90 días.
Puede especificar el límite de edad en días. O bien, puede especificar el número de días, horas, minutos y segundos que deben conservarse las entradas del registro de auditoría. Para especificar un valor más específico que días, use el formato dd.hh.mm:ss donde se aplica lo siguiente:
dd: número de días para mantener la entrada del registro de auditoría
hh: número de horas para mantener la entrada del registro de auditoría
mm: número de minutos para mantener la entrada del registro de auditoría
ss: número de segundos para mantener la entrada del registro de auditoría
Precaución
Puede definir el límite de antigüedad del registro de auditoría en un valor menor que el límite de antigüedad actual. Para ello, se eliminan todas las entradas del registro cuya antigüedad supere el nuevo límite de antigüedad. > Si establece el límite de edad en 0, Exchange elimina todas las entradas del registro de auditoría. > Se recomienda asignar permisos para configurar el límite de antigüedad del registro de auditoría solo a usuarios de alta confianza.
En este ejemplo, se especifica un límite de antigüedad de dos años y seis meses.
Set-AdminAuditLogConfig -AdminAuditLogAgeLimit 913
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Habilitar o deshabilitar el registro de los cmdlets Test
Los cmdlets que comienzan con el verbo Test no se registran de forma predeterminada. Esto se debe a que los cmdlets Test pueden generar una cantidad importante de datos en un período corto. Solamente puede habilitar el registro de los cmdlets Test durante períodos cortos de tiempo.
Este comando habilita el registro de los cmdlets Test.
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $true
Este comando deshabilita el registro de los cmdlets Test.
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $false
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdminAuditLogConfig.
Deshabilitar el registro de auditoría de administración
Para deshabilitar el registro de auditoría de administración, use el comando siguiente.
Set-AdminAuditLogConfig -AdminAuditLogEnabled $false
Habilitar el registro de auditoría de administración
Para habilitar el registro de auditoría de administración, use el comando siguiente.
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true
Ver la configuración del registro de auditoría de administración
Para consultar los parámetros del registro de auditoría de administración que ha configurado para la organización, use el comando siguiente.
Get-AdminAuditLogConfig