Busque cambios en el grupo de roles o registros de auditoría de administrador en Exchange Online

Nota

El centro de administración de Exchange clásico está en desuso en la implementación en todo el mundo. Se recomienda buscar en el registro de auditoría en el portal de cumplimiento de Microsoft Purview. Para obtener más información, vea Desuso del centro de administración de Exchange clásico en el servicio WW y Busque el registro de auditoría en el portal de cumplimiento.

En Exchange Online organizaciones o organizaciones independientes de Exchange Online Protection (EOP) sin Exchange Online buzones, puede usar las siguientes opciones para buscar en los registros de auditoría de administración para detectar quién realizó cambios en la configuración de la organización y el destinatario:

  • Ejecute un informe de grupo de roles de administrador en el Centro de administración de Exchange (EAC).
  • Use PowerShell para buscar entradas de registro de auditoría de administración y enviar los resultados a un destinatario.

Estas opciones pueden ser útiles al intentar realizar un seguimiento de la causa de un comportamiento inesperado, identificar a un administrador malintencionado o comprobar que se cumplen los requisitos de cumplimiento. Ambas opciones se describen en este artículo.

Sugerencia

También puede usar el EAC para ver las entradas en el registro de auditoría de administración. Para obtener más información, vea Ver el registro de auditoría de administración.

¿Qué necesita saber antes de comenzar?

Sugerencia

¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Online o Exchange Online Protection.

Usar el EAC para ejecutar un informe de grupo de roles de administrador

Use el informe del grupo de roles de administrador para ver los cambios en la pertenencia que se han realizado a los roles de administración.

  1. En el EAC, vaya a Auditoría de administración > de cumplimiento y, a continuación, elija Ejecutar un informe de grupo de roles de administrador.

  2. En la página Buscar cambios en los grupos de roles de administrador que se abre, configure los siguientes valores:

    • Fecha de inicio y fecha de finalización: escriba un intervalo de fechas. De manera predeterminada, el informe busca los cambios efectuados en los grupos de roles de administrador en las últimas dos semanas.

    • Seleccionar grupos de roles: de forma predeterminada, se buscan todos los grupos de roles. Para filtrar los resultados por grupos de roles específicos, haga clic en Seleccionar grupos de roles. En el cuadro de diálogo que aparece, seleccione un grupo de roles y haga clic en Agregar ->. Repita este paso tantas veces como sea necesario y, a continuación, haga clic en Aceptar cuando haya terminado.

  3. Cuando haya terminado, haga clic en Buscar.

Si se encuentra algún cambio con los criterios especificados, aparecerán en el panel de resultados. Haga clic en un grupo de roles de los resultados de la búsqueda para ver los cambios en el panel de detalles.

Supervisión de cambios en la pertenencia a grupos de funciones

Cuando se agregan miembros a un grupo de funciones, o se quitan de él, los resultados de la búsqueda mostrados en el panel de detalles indican que la pertenencia al grupo de funciones se ha actualizado y enumera los miembros actuales. En los resultados no se indica explícitamente el usuario que se agregó o quitó.

Para determinar si un usuario se agregó o quitó, tiene que comparar dos entradas independientes en el informe. Por ejemplo, veamos las siguientes entradas de registro para el grupo de roles Servicio de asistencia:

1/27/2021 16:43
Administrador
Miembros actualizados: Administrator;annb,florencef;pilarp
2/06/2018 10:09 AM
Administrador
Miembros actualizados: Administrator;annb;florencef;pilarp;tonip
2/19/2021 2:12 p.m.
Administrador
Miembros actualizados: Administrator;annb;florencef;tonip

En este ejemplo, la cuenta de usuario Administrador realizó los siguientes cambios:

  • El 2/06/2021, agregaron el usuario tonip.
  • El 19/2/2021, quitaron al usuario pilarp.

Uso del EAC para exportar el registro de auditoría de administración

Nota

En EOP independiente, no puede exportar el registro de auditoría de administración desde el EAC. Pero puede usar PowerShell para buscar entradas de registro de auditoría y enviar resultados a un destinatario.

Si va a usar Outlook en la Web (anteriormente conocido como Outlook Web App) para ver las entradas exportadas, debe habilitar .xml datos adjuntos en Outlook en la Web. Para obtener más información, consulte Configuración de Outlook en la Web para permitir datos adjuntos XML.

La exportación del registro de auditoría de administración escribe la información en un archivo XML y la envía como datos adjuntos en un mensaje de correo electrónico. El tamaño máximo del archivo XML es 10 megabytes (MB).

  1. En el EAC, seleccione Auditoría de administración > de cumplimiento y, a continuación, haga clic en Exportar el registro de auditoría de administración.
  2. Seleccione un intervalo de fechas mediante los campos Fecha de inicio y Fecha de finalización.
  3. En el campo Enviar el informe de auditoría a, haga clic en Seleccionar usuarios y, a continuación, seleccione el destinatario al que desea enviar el informe.
  4. Haga clic en Exportar.

Si se encuentran entradas con los criterios especificados, se creará un archivo XML que se enviará como datos adjuntos de correo electrónico al destinatario que especifique.

Uso de PowerShell para buscar entradas de registro de auditoría

Puede usar Exchange Online PowerShell o PowerShell Exchange Online Protection independiente para buscar entradas de registro de auditoría que cumplan los criterios especificados. Para obtener una lista de criterios de búsqueda, consulte Cmdlet Search-AdminAuditLog. Este procedimiento usa el cmdlet Search-AdminAuditLog y muestra los resultados de búsqueda en PowerShell. Puede usar este cmdlet cuando necesite devolver un conjunto de resultados que supere los límites definidos en el cmdlet New-AdminAuditLogSearch o en los informes de auditoría de EAC.

Para buscar en el registro de auditoría los criterios que especifique, utilice la siguiente sintaxis.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Nota

De manera predeterminada, el cmdlet Search-AdminAuditLog devuelve un máximo de 1.000 entradas de registro. Use el parámetro ResultSize para especificar hasta 250 000 entradas de registro. O bien, use el valor Unlimited para devolver todas las entradas.

En este ejemplo se buscan todas las entradas del registro de auditoría con los siguientes criterios:

  • Fecha de inicio: 08/04/2020
  • Fecha de finalización: 10/03/2020
  • Identificadores de usuario: davids, , chrisd``kima
  • Cmdlets: Set-Mailbox
  • Parámetros: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima

En este ejemplo se buscan los cambios realizados en un buzón específico. Esto resulta útil si está resolviendo problemas o necesita proporcionar información para una investigación. Se utilizan los siguientes criterios:

  • Fecha de inicio: 05/01/2020
  • Fecha de finalización: 10/03/2020
  • Id. de objeto: contoso.com/Users/DavidS
Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS

Si las búsquedas devuelven muchas entradas de registro, se recomienda usar el procedimiento proporcionado en Uso de PowerShell para buscar entradas de registro de auditoría y enviar resultados a un destinatario más adelante en este artículo. El procedimiento de esta sección envía un archivo XML como dato adjunto de correo electrónico a los destinatarios que especifique, de modo que será más fácil extraer los datos que interesan.

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Search-AdminAuditLog.

Ver los detalles de las entradas del registro de auditoría

El cmdlet Search-AdminAuditLog devuelve los campos descritos en Auditar el contenido del registro. Entre los campos que devuelve el cmdlet, CmdletParameters y ModifiedProperties contienen información adicional que no se puede ver de manera predeterminada.

Para ver el contenido de los campos CmdletParameters y ModifiedProperties siga los pasos que se describen a continuación. O bien, puede usar el procedimiento de Uso de PowerShell para buscar entradas de registro de auditoría y enviar resultados a un destinatario más adelante en este artículo para crear un archivo XML.

En este procedimiento se aplican los siguientes conceptos:

  1. Decida los criterios que desea buscar, ejecute el cmdlet Search-AdminAuditLog y guarde los resultados en una variable utilizando el siguiente comando.

    $Results = Search-AdminAuditLog <search criteria>
    
  2. Cada entrada de registro de auditoría se almacena como un elemento de matriz en la variable $Results. Puede seleccionar un elemento de matriz especificando su índice de elemento de matriz. Los índices de elemento de matriz comienzan en cero (0) para el primer elemento de matriz. Por ejemplo, para recuperar el quinto elemento de matriz, que tiene un índice de 4, utilice el siguiente comando.

    $Results[4]
    
  3. El comando anterior devuelve la entrada de registro almacenada en el elemento de matriz 4. Para ver el contenido de los campos CmdletParameters y ModifiedProperties para esta entrada de registro, utilice los siguientes comandos.

    $Results[4].CmdletParameters
    $Results[4].ModifiedProperties
    
  4. Para ver el contenido de los campos CmdletParameters o ModifiedParameters en otra entrada de registro, cambie el índice del elemento de matriz.

Uso de PowerShell para buscar entradas de registro de auditoría y enviar resultados a un destinatario

Nota

El informe que el cmdlet New-AdminAuditLogSearch genera puede tener un tamaño máximo de 10 MB. Si la búsqueda devuelve un informe de más de 10 MB, cambie los criterios de búsqueda especificados. Por ejemplo, reduzca el intervalo de fechas y ejecute varios informes para cubrir el intervalo de fechas original.

Si va a usar Outlook en la Web (anteriormente conocido como Outlook Web App) para ver las entradas exportadas, debe habilitar .xml datos adjuntos en Outlook en la Web. Para obtener más información, consulte Configuración de Outlook en la Web para permitir datos adjuntos XML.

Puede usar Exchange Online PowerShell o Exchange Online Protection PowerShell independiente para buscar entradas de registro de auditoría que cumplan los criterios especificados y, a continuación, enviar esos resultados a un destinatario que especifique como datos adjuntos de archivos XML. Los resultados se envían al destinatario en 15 minutos. Para obtener una lista de criterios de búsqueda, consulte Criterios de cmdlet Search-AdminAuditLog.

Para buscar en el registro de auditoría los criterios que especifique, utilice la siguiente sintaxis.

New-AdminAuditLogSearch -Cmdlets <cmdlet1, cmdlet2, ...> -Parameters <parameter1, parameter2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$true | $false > -StatusMailRecipients <recipient1, recipient2, ...> -Name <string to include in subject>

En este ejemplo se buscan todas las entradas del registro de auditoría con los siguientes criterios:

  • Fecha de inicio: 08/04/2020
  • Fecha de finalización: 10/03/2020
  • Identificadores de usuario davids, chrisd, kima
  • Cmdlets: Set-Mailbox
  • Parámetros: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

El comando envía los resultados a la dirección SMTP al buzón davids@contoso.com con "Cambios en el límite del buzón" en la línea de asunto del mensaje.

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

Para obtener más información sobre el formato del archivo XML, consulte Estructura de registro de auditoría de administración.

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-AdminAuditLogSearch.