Búsqueda el registro de auditoría para investigar problemas comunes de soporte técnico
En este artículo se describe cómo usar la herramienta de búsqueda de registros de auditoría para ayudarle a investigar problemas comunes de soporte técnico. Esto incluye el uso del registro de auditoría para:
- Búsqueda de la dirección IP del equipo usado para acceder a una cuenta en peligro
- Determinar quién configuró el reenvío de correo electrónico para un buzón
- Determinar si un usuario eliminó elementos de correo electrónico en su buzón
- Determinar si un usuario creó una regla de bandeja de entrada
- Investigar por qué un usuario fuera de la organización ha iniciado sesión correctamente
- Búsqueda para las actividades de buzón realizadas por usuarios con licencias que no son E5
- Búsqueda para las actividades de buzón realizadas por los usuarios delegados
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Uso de la herramienta de búsqueda de registros de auditoría
Cada uno de los escenarios de solución de problemas descritos en este artículo se basa en el uso de la herramienta de búsqueda de registros de auditoría en el portal de Microsoft Purview o en la portal de cumplimiento Microsoft Purview. En esta sección se enumeran los permisos necesarios para buscar en el registro de auditoría y se describen los pasos para acceder a las búsquedas de registros de auditoría y ejecutarlas. En cada sección de escenario se explica cómo configurar una consulta de búsqueda de registros de auditoría y qué buscar en la información detallada de los registros de auditoría que coinciden con los criterios de búsqueda.
Permisos necesarios para usar la herramienta de búsqueda de registros de auditoría
Debe tener asignados los roles Registros de auditoría o Registros de auditoría de solo vista en Purview o en el portal de cumplimiento para buscar en el registro de auditoría. De forma predeterminada, estos roles se asignan a los grupos de roles Lector de auditoría y Administrador de auditoría en la página Grupos de roles del portal de Microsoft Purview y la página Permisos del portal de cumplimiento.
Para acceder a los cmdlets de auditoría, debe tener asignados los roles Registros de auditoría y Registros de auditoría de solo vista en el Centro de administración de Exchange. De forma predeterminada, estos roles se asignan a los grupos de roles Administración de cumplimiento y Administración de la organización en la página Permisos del Centro de administración de Exchange.
Para obtener más información, consulte Introducción a las soluciones de auditoría.
Ejecución de búsquedas de registros de auditoría
Para obtener instrucciones detalladas sobre cómo ejecutar una búsqueda del registro de auditoría, consulte Búsqueda el registro de auditoría.
Búsqueda de la dirección IP del equipo usado para acceder a una cuenta en peligro
La dirección IP correspondiente a una actividad realizada por cualquier usuario se incluye en la mayoría de los registros de auditoría. La información sobre el cliente usado también se incluye en el registro de auditoría.
Esta es la manera de configurar una consulta de búsqueda de registros de auditoría para este escenario:
Actividades: Si es relevante para su caso, seleccione una actividad específica para buscar. Para solucionar problemas de cuentas en peligro, considere la posibilidad de seleccionar la actividad Usuario que inició sesión en el buzón enActividades de buzón de Exchange. Esto devuelve registros de auditoría que muestran la dirección IP que se utilizó al iniciar sesión en el buzón. De lo contrario, deje este campo en blanco para devolver los registros de auditoría de todas las actividades.
Sugerencia
Si deja este campo en blanco, se devolverán las actividades UserLoggedIn, que es una actividad Microsoft Entra que indica que alguien ha iniciado sesión en una cuenta de usuario. Use el filtrado en los resultados de la búsqueda para mostrar los registros de auditoría UserLoggedIn .
Fecha de inicio y fecha de finalización: seleccione un intervalo de fechas aplicable a la investigación.
Usuarios: Si va a investigar una cuenta en peligro, seleccione el usuario cuya cuenta se ha puesto en peligro. Esto devuelve los registros de auditoría de las actividades realizadas por esa cuenta de usuario.
Archivo, carpeta o sitio: Deje este campo en blanco.
Después de ejecutar la búsqueda, la dirección IP de cada actividad se muestra en la columna Dirección IP de los resultados de la búsqueda. Seleccione el registro en los resultados de la búsqueda para ver información más detallada en la página de control flotante.
Determinar quién configuró el reenvío de correo electrónico para un buzón
Cuando se configura el reenvío de correo electrónico para un buzón, los mensajes de correo electrónico que se envían al buzón se reenvían a otro buzón. Los mensajes se pueden reenviar a los usuarios dentro o fuera de la organización. Cuando se configura el reenvío de correo electrónico en un buzón, el cmdlet subyacente de Exchange Online que se usa es Set-Mailbox.
Esta es la manera de configurar una consulta de búsqueda de registros de auditoría para este escenario:
Actividades: Deje este campo en blanco para que la búsqueda devuelva registros de auditoría para todas las actividades. Esto es necesario para devolver los registros de auditoría relacionados con el cmdlet Set-Mailbox .
Fecha de inicio y fecha de finalización: seleccione un intervalo de fechas aplicable a la investigación.
Usuarios: A menos que investigue un problema de reenvío de correo electrónico para un usuario específico, deje este campo en blanco. Esto le ayuda a identificar si se configuró el reenvío de correo electrónico para cualquier usuario.
Archivo, carpeta o sitio: Deje este campo en blanco.
Después de ejecutar la búsqueda, seleccione Filtrar resultados en la página de resultados de búsqueda. En el cuadro del encabezado de columna Actividad , escriba Set-Mailbox para que solo se muestren los registros de auditoría relacionados con el cmdlet Set-Mailbox .
En este momento, debe examinar los detalles de cada registro de auditoría para determinar si la actividad está relacionada con el reenvío de correo electrónico. Seleccione el registro de auditoría para mostrar la página flotante Detalles y, a continuación, seleccione Más información. La siguiente captura de pantalla y descripciones resaltan la información que indica que el reenvío de correo electrónico se estableció en el buzón.
a. En el campo ObjectId , se muestra el alias del buzón en el que se estableció el reenvío de correo electrónico. Este buzón también se muestra en la columna Elemento de la página de resultados de búsqueda.
b. En el campo Parámetros , el valor ForwardingSmtpAddress indica que el reenvío de correo electrónico se estableció en el buzón. En este ejemplo, el correo se reenvía a la dirección de correo electrónico mike@contoso.com, que está fuera de la organización alpinehouse.onmicrosoft.com.
c. El valor True del parámetro DeliverToMailboxAndForward indica que se entrega una copia del mensaje a sarad@alpinehouse.onmicrosoft.comy se reenvía a la dirección de correo electrónico especificada por el parámetro ForwardingSmtpAddress , que en este ejemplo es mike@contoso.com. Si el valor del parámetro DeliverToMailboxAndForward se establece en Falso, el correo electrónico solo se reenvía a la dirección especificada por el parámetro ForwardingSmtpAddress. No se entrega al buzón especificado en el campo ObjectId.
d. El campo UserId indica el usuario que estableció el reenvío de correo electrónico en el buzón especificado en el campo ObjectId . Este usuario también se muestra en la columna Usuarior de la página de resultados de búsqueda. En este caso, parece que el propietario del buzón establece el reenvío de correo electrónico en el buzón.
Si determina que no se debe establecer el reenvío de correo electrónico en el buzón, puede quitarlo ejecutando el siguiente comando en Exchange Online PowerShell:
Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null
Para obtener más información sobre los parámetros relacionados con el reenvío de correo electrónico, consulte el artículo Set-Mailbox .
Determinar si un usuario eliminó elementos de correo electrónico
A partir de enero de 2019, Microsoft activa el registro de auditoría de buzones de correo de forma predeterminada para todas las organizaciones de Office 365 y Microsoft. Esto significa que ciertas acciones realizadas por los propietarios de buzones de correo se registran automáticamente y los registros de auditoría de buzón correspondientes están disponibles al buscarlos en el registro de auditoría del buzón. Antes de que la auditoría de buzones se activara de forma predeterminada, tenía que habilitarla manualmente para cada buzón de correo de usuario de la organización.
Las acciones de buzón registradas de forma predeterminada incluyen las acciones de buzón SoftDelete y HardDelete realizadas por los propietarios del buzón. Esto significa que puede usar los pasos siguientes para buscar en el registro de auditoría eventos relacionados con elementos de correo electrónico eliminados. Para obtener más información sobre la auditoría de buzones de correo de forma predeterminada, vea Administrar la auditoría de buzones de correo.
Esta es la manera de configurar una consulta de búsqueda de registros de auditoría para este escenario:
Actividades: En Actividades de buzón de Exchange, seleccione una o ambas de las actividades siguientes:
Mensajes eliminados de la carpeta Elementos eliminados: Esta actividad corresponde a la acción de auditoría del buzón softDelete . Esta actividad también se registra cuando un usuario elimina permanentemente un elemento seleccionándolo y presionando Mayús+Supr. Después de eliminar permanentemente un elemento, el usuario puede recuperarlo hasta que expire el período de retención de elementos eliminados.
Mensajes purgados del buzón de correo: Esta actividad corresponde a la acción de auditoría del buzón HardDelete . Esto se registra cuando un usuario purga un elemento de la carpeta Elementos recuperables. Los administradores pueden usar la herramienta de búsqueda en el portal de Microsoft Purview o en el portal de cumplimiento para buscar y recuperar elementos purgados hasta que expire el período de retención de elementos eliminados o más tiempo si el buzón del usuario está en espera.
Fecha de inicio y fecha de finalización: seleccione un intervalo de fechas aplicable a la investigación.
Usuarios: Si selecciona un usuario en este campo, la herramienta de búsqueda de registros de auditoría devuelve los registros de auditoría de los elementos de correo electrónico eliminados (SoftDeleted o HardDeleted) por el usuario especificado. A veces, es posible que el usuario que elimina un correo electrónico no sea el propietario del buzón.
Archivo, carpeta o sitio: Deje este campo en blanco.
Después de ejecutar la búsqueda, puede filtrar los resultados de la búsqueda para mostrar los registros de auditoría de los elementos eliminados temporalmente o de los elementos eliminados de forma permanente. Seleccione el registro de auditoría para mostrar la página flotante Detalles y, a continuación, seleccione Más información. En el campo Elementoafectados se muestra información adicional sobre el elemento eliminado, como la línea de asunto y la ubicación del elemento cuando se eliminó. En las capturas de pantalla siguientes se muestra un ejemplo del campo Elementosafectados de un elemento eliminado temporalmente y un elemento eliminado de forma rígida.
Ejemplo de campo AffectedItems para elemento eliminado temporalmente
Ejemplo de campo AffectedItems para elemento eliminado de forma rígida
Recuperar elementos de correo electrónico eliminados
Los usuarios pueden recuperar elementos eliminados temporalmente si el período de retención de elementos eliminados no ha expirado. En Exchange Online, el período de retención de elementos eliminados predeterminado es de 14 días, pero los administradores pueden aumentar esta configuración a un máximo de 30 días. Dirija a los usuarios al artículo de Recuperación de elementos eliminados o correo electrónico en Outlook en la web para obtener instrucciones sobre cómo recuperar elementos eliminados.
Como se explicó anteriormente, es posible que los administradores puedan recuperar elementos eliminados de forma rígida si el período de retención de elementos eliminados no ha expirado o si el buzón está en espera, en cuyo caso los elementos se mantienen hasta que expire la duración de la suspensión. Al ejecutar una búsqueda de contenido, los elementos eliminados temporalmente y eliminados de forma rígida en la carpeta Elementos recuperables se devuelven en los resultados de búsqueda si coinciden con la consulta de búsqueda. Para obtener más información sobre la ejecución de búsquedas de contenido, consulte Búsqueda de contenido en Office 365.
Sugerencia
Para buscar elementos de correo electrónico eliminados, busque todo o parte de la línea de asunto que se muestra en el campo Elementosafectados del registro de auditoría.
Determinar si un usuario creó una regla de bandeja de entrada
Cuando los usuarios crean una regla de bandeja de entrada para su buzón de Exchange Online, se guarda un registro de auditoría correspondiente en el registro de auditoría. Para obtener más información sobre las reglas de bandeja de entrada, consulte:
- Uso de reglas de bandeja de entrada en Outlook en la Web
- Administración de mensajes de correo electrónico en Outlook mediante reglas
Esta es la manera de configurar una consulta de búsqueda de registros de auditoría para este escenario:
Actividades: En Actividades de buzón de Exchange, seleccione una o ambas de las actividades siguientes:
New-InboxRule Crear nueva regla de bandeja de entrada desde Outlook Web App. Esta actividad devuelve registros de auditoría cuando se crean reglas de bandeja de entrada con Outlook Web App o Exchange Online PowerShell.
Reglas de bandeja de entrada actualizadas desde el cliente de Outlook. Esta actividad devuelve registros de auditoría cuando se crean, modifican o quitan reglas de bandeja de entrada mediante el cliente de escritorio de Outlook.
Fecha de inicio y fecha de finalización: seleccione un intervalo de fechas aplicable a la investigación.
Usuarios: A menos que investigue a un usuario específico, deje este campo en blanco. Esto le ayuda a identificar las nuevas reglas de bandeja de entrada configuradas por cualquier usuario.
Archivo, carpeta o sitio: Deje este campo en blanco.
Después de ejecutar la búsqueda, los registros de auditoría de esta actividad se muestran en los resultados de la búsqueda. Seleccione un registro de auditoría para mostrar la página flotante Detalles y, a continuación, seleccione Más información. La información sobre la configuración de la regla de bandeja de entrada se muestra en el campo Parámetros. En la captura de pantalla y las descripciones siguientes se resalta la información sobre las reglas de bandeja de entrada.
a. En el campo ObjectId , se muestra el nombre completo de la regla de bandeja de entrada. Este nombre incluye el alias del buzón del usuario (por ejemplo, SaraD) y el nombre de la regla de bandeja de entrada (por ejemplo, "Mover mensajes del administrador").
b. En el campo Parámetros , se muestra la condición de la regla de bandeja de entrada. En este ejemplo, el parámetro From especifica la condición. El valor definido para el parámetro From indica que la regla de bandeja de entrada actúa en el correo electrónico enviado por admin@alpinehouse.onmicrosoft.com. Para obtener una lista completa de los parámetros que se pueden usar para definir condiciones de reglas de bandeja de entrada, consulte el artículo New-InboxRule .
c. El parámetro MoveToFolder especifica la acción de la regla de bandeja de entrada. En este ejemplo, los mensajes recibidos de admin@alpinehouse.onmicrosoft.com se mueven a la carpeta denominada AdminSearch. Consulte también el artículo New-InboxRule para obtener una lista completa de los parámetros que se pueden usar para definir la acción de una regla de bandeja de entrada.
d. El campo UserId indica el usuario que creó la regla de bandeja de entrada especificada en el campo ObjectId . Este usuario también se muestra en la columna Usuarior de la página de resultados de búsqueda.
Investigar por qué un usuario fuera de la organización ha iniciado sesión correctamente
Al revisar los registros de auditoría en el registro de auditoría, es posible que vea registros que indican que Microsoft Entra ID ha autenticado un usuario externo y que ha iniciado sesión correctamente en su organización. Por ejemplo, un administrador de contoso.onmicrosoft.com puede ver un registro de auditoría que muestra que un usuario de otra organización (por ejemplo, fabrikam.onmicrosoft.com) ha iniciado sesión correctamente en contoso.onmicrosoft.com. Del mismo modo, puede ver registros de auditoría que indican que los usuarios con una cuenta microsoft (MSA), como un Outlook.com o Live.com, han iniciado sesión correctamente en su organización. En estas situaciones, la actividad auditada es el usuario que ha iniciado sesión.
Este comportamiento es una característica del diseño de la aplicación. Microsoft Entra ID, el servicio de directorio, permite algo llamado autenticación de paso a través cuando un usuario externo intenta acceder a un sitio de SharePoint o a una ubicación de OneDrive en su organización. Cuando el usuario externo intenta hacerlo, se le pide que escriba sus credenciales. Microsoft Entra ID usa las credenciales para autenticar al usuario, lo que significa que solo Microsoft Entra ID comprueba que el usuario es quien dice ser. La indicación del inicio de sesión correcto en el registro de auditoría es el resultado de Microsoft Entra autenticar al usuario. El inicio de sesión correcto no significa que el usuario haya podido acceder a ningún recurso ni realizar ninguna otra acción en su organización. Solo indica que Microsoft Entra ID ha autenticado al usuario. Para que un usuario de paso a través acceda a recursos de SharePoint o OneDrive, un usuario de su organización tendría que compartir explícitamente un recurso con el usuario externo enviándole una invitación para compartir o un vínculo de uso compartido anónimo.
Nota:
Microsoft Entra ID permite la autenticación de paso a través solo para aplicaciones propias, como SharePoint Online y OneDrive para la Empresa. No se permite para otras aplicaciones de terceros.
Este es un ejemplo y descripciones de las propiedades pertinentes en un registro de auditoría para un usuario que ha iniciado sesión en un evento que es el resultado de la autenticación de paso a través. Seleccione el registro de auditoría para mostrar la página flotante Detalles y, a continuación, seleccione Más información.
a. Este campo indica que el usuario que intentó acceder a un recurso de su organización no se encontró en la Microsoft Entra ID de la organización.
b. En este campo se muestra el UPN del usuario externo que intentó acceder a un recurso de su organización. Este identificador de usuario también se identifica en las propiedades User y UserId del registro de auditoría.
c. La propiedad ApplicationId identifica la aplicación que desencadenó la solicitud de inicio de sesión. El valor de 00000003-0000-0ff1-ce00-000000000000 que se muestra en la propiedad ApplicationId de este registro de auditoría indica SharePoint Online. OneDrive para la Empresa también tiene este mismo ApplicationId.
d. Esto indica que la autenticación de paso a través se realizó correctamente. En otras palabras, Microsoft Entra ID ha autenticado correctamente al usuario.
e. El valor RecordType de 15 indica que la actividad auditada (UserLoggedIn) es un evento de inicio de sesión de Secure Token Service (STS) en Microsoft Entra ID.
Para obtener más información sobre las otras propiedades que se muestran en un registro de auditoría UserLoggedIn, consulte la información de esquema relacionada Microsoft Entra en Office 365 esquema de api de actividad de administración.
Estos son dos escenarios de ejemplo que darían lugar a una actividad de auditoría correcta de inicio de sesión del usuario debido a la autenticación de paso a través:
Un usuario con una cuenta microsoft (como SaraD@outlook.com) ha intentado acceder a un documento de una cuenta de OneDrive para la Empresa en fourthcoffee.onmicrosoft.com y no hay una cuenta de usuario invitado correspondiente para SaraD@outlook.com en fourthcoffee.onmicrosoft.com.
Un usuario con una cuenta profesional o educativa en una organización (como pilarp@fabrikam.onmicrosoft.com) ha intentado acceder a un sitio de SharePoint en contoso.onmicrosoft.com y no hay una cuenta de usuario invitado correspondiente para pilarp@fabrikam.com en contoso.onmicrosoft.com.
Sugerencias para investigar inicios de sesión correctos resultantes de la autenticación de paso a través
Busque en el registro de auditoría las actividades realizadas por el usuario externo identificado en el registro de auditoría del Usuario que ha iniciado sesión. Escriba el UPN para el usuario externo en el cuadro Usuarios y use un intervalo de fechas si es relevante para su escenario. Por ejemplo, puede crear una búsqueda con los siguientes criterios de búsqueda:
Además de las actividades del usuario que ha iniciado sesión , se pueden devolver otros registros de auditoría, como los que indican que un usuario de su organización ha compartido recursos con el usuario externo y si el usuario externo ha accedido, modificado o descargado un documento compartido con él.
Busque actividades de uso compartido de SharePoint que indiquen que un archivo se ha compartido con el usuario externo identificado por un registro de auditoría del usuario que ha iniciado sesión. Para obtener más información, consulte Usar la auditoría de uso compartido en el registro de auditoría.
Exporte los resultados de la búsqueda de registros de auditoría que contienen registros relevantes para la investigación para que pueda usar Excel para buscar otras actividades relacionadas con el usuario externo. Para más información, consulteExportar, configurar y ver registros de auditoría.
Búsqueda para las actividades de buzón realizadas por usuarios con licencias que no son E5
Incluso cuando la auditoría de buzones activada de forma predeterminada está activada para su organización, es posible que observe que los eventos de auditoría de buzones de algunos usuarios no se encuentran en las búsquedas de registros de auditoría mediante el portal de Microsoft Purview o el portal de cumplimiento, el cmdlet Búsqueda-UnifiedAuditLog o la API de actividad de administración de Office 365. El motivo es que los eventos de auditoría de buzón solo se devuelven para los usuarios con licencias E5 cuando uno de los métodos anteriores busca en el registro de auditoría unificado.
Para recuperar registros de auditoría de buzones de correo para usuarios que no sean E5, puede realizar una de las siguientes soluciones alternativas:
Habilite manualmente la auditoría de buzones en buzones individuales (ejecute el
Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $truecomando en Exchange Online PowerShell). Después de hacerlo, busque actividades de auditoría de buzones mediante el portal de Microsoft Purview, el portal de cumplimiento, el cmdlet Búsqueda-UnifiedAuditLog o la API de actividad de administración de Office 365.Nota:
Si la auditoría de buzones ya parece estar habilitada en el buzón de correo, pero las búsquedas no devuelven resultados, cambie el valor del parámetro AuditEnabled a
$falsey vuelva a$true.Use los siguientes cmdlets en Exchange Online PowerShell:
Search-MailboxAuditLog para buscar usuarios específicos en el registro de auditoría del buzón.
New-MailboxAuditLogSearch para buscar usuarios específicos en el registro de auditoría del buzón y enviar los resultados por correo electrónico a los destinatarios especificados.
Búsqueda para las actividades de buzón realizadas en un buzón específico (incluidos los buzones compartidos)
Al usar la lista desplegable Usuarios en la herramienta de búsqueda de registros de auditoría en el portal de Microsoft Purview, el portal de cumplimiento o el comando Búsqueda-UnifiedAuditLog -UserIds en Exchange Online PowerShell, puede buscar actividades realizadas por un usuario específico. Para las actividades de auditoría de buzones de correo, este tipo de búsqueda busca las actividades realizadas por el usuario especificado. No garantiza que todas las actividades realizadas en el mismo buzón se devuelvan en los resultados de la búsqueda. Por ejemplo, una búsqueda de registros de auditoría no devolverá registros de auditoría para las actividades realizadas por un usuario delegado porque la búsqueda de actividades de buzón realizadas por un usuario específico no devolverá las actividades realizadas por un usuario delegado al que se le hayan asignado permisos para acceder al buzón de otro usuario. (Un usuario delegado es alguien al que se le ha asignado el permiso de buzón SendAs, SendOnBehalf o FullAccess al buzón de otro usuario).
Además, el uso de la lista desplegable Usuario en la herramienta de búsqueda de registros de auditoría o el Búsqueda-UnifiedAuditLog -UserIds no devolverá resultados para las actividades realizadas en un buzón compartido.
Para buscar las actividades realizadas en un buzón específico o para buscar actividades realizadas en un buzón compartido, use la siguiente sintaxis al ejecutar el cmdlet Búsqueda-UnifiedAuditLog:
Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid
Por ejemplo, el comando siguiente devuelve los registros de auditoría de las actividades realizadas en el buzón compartido del equipo de cumplimiento de Contoso entre agosto de 2020 y octubre de 2020:
Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid
Como alternativa, puede usar el cmdlet Búsqueda-MailboxAuditLog para buscar registros de auditoría para la actividad realizada en un buzón específico. Esto incluye la búsqueda de actividades realizadas en un buzón compartido.
En el ejemplo siguiente se devuelven registros de auditoría de buzones de correo para las actividades realizadas en el buzón compartido del equipo de cumplimiento de Contoso:
Search-MailboxAuditLog -Identity complianceteam@contoso.onmicrosoft.com -StartDate 08/01/2020 -EndDate 10/31/2020 -ShowDetails
En el ejemplo siguiente se devuelven registros de auditoría de buzones de correo para las actividades realizadas en el buzón especificado por usuarios delegados:
Search-MailboxAuditLog -Identity <mailbox identity> -StartDate <date> -EndDate <date> -LogonTypes Delegate -ShowDetails
También puede usar el cmdlet New-MailboxAuditLogSearch para buscar en el registro de auditoría un buzón específico y enviar los resultados por correo electrónico a los destinatarios especificados.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de