Uso de registros de auditoría de buzones en Microsoft 365
En Microsoft 365, puede ejecutar registros de auditoría de buzón para determinar cuándo se actualizó un buzón inesperadamente o si faltan elementos de un buzón. Por ejemplo, es posible que tenga que hacerlo si los elementos se mueven o si se eliminan de forma inesperada o incorrecta.
Nota: Para el entorno vNext, de forma predeterminada, los registros de auditoría del buzón de correo no están habilitados. La característica debe estar activada para que un usuario inicie una búsqueda.
Ejecución y comprobación de los registros de auditoría del buzón
El registro de auditoría de buzones permite a los usuarios obtener información sobre las acciones que realizan los no propietarios y administradores. El registro de auditoría del buzón de correo solo está disponible para los miembros del grupo de autoservicio De buzón de informes de auditoría mediante Windows Remote PowerShell.
Nota
- De forma predeterminada, solo está habilitado el registro de auditoría de buzón que no es propietario y el registro de auditoría del buzón de propietario está deshabilitado. Si tiene que realizar el registro de auditoría del buzón de propietario para investigar un problema específico, puede habilitar temporalmente el proceso durante dos semanas.
- Es posible que algunas organizaciones no le permitan usar el registro de auditoría del buzón. En este caso, la característica se desactivará para usted.
Para investigar este problema, cree y use un script de Windows PowerShell mediante el script de ejemplo que se proporciona en el paso 1 de esta sección y, a continuación, personalice una búsqueda. De forma predeterminada, puede investigar las acciones que realizan los no propietarios y administradores. Este script exporta contenido en un archivo simplificado de valores separados por comas (.csv) para ayudarle a solucionar problemas de informes sobre los elementos que faltan o que se actualizaron inesperadamente.
Importante
Se recomienda a los clientes que usen este script de ejemplo. Microsoft Online Services proporciona el script para ayudar en determinadas investigaciones. Los scripts de Microsoft Online Services son genéricos y deben ser utilizables en todos los entornos de cliente. Si se producen errores cuando se ejecuta un script, el contenido del script se debe usar como ejemplo para crear un script personalizado para un entorno de cliente determinado. Microsoft Online Services proporciona el script como comodidad a los clientes de Microsoft 365 sin garantía, expresados o implícitos.
Paso 1: Ejecutar el script
Para ejecutar el script, siga estos pasos:
Abra un editor de texto, como el Bloc de notas y, a continuación, copie el código siguiente en el archivo. El código usa el
search-mailboxAuditLogcomando que forma parte de Microsoft Exchange Server.param ([PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$Mailbox, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$StartDate, [PARAMETER(Mandatory=$TRUE,ValueFromPipeline=$FALSE)] [string]$EndDate, [PARAMETER(Mandatory=$FALSE,ValueFromPipeline=$FALSE)] [string]$Subject, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$IncludeFolderBind, [PARAMETER(Mandatory=$False,ValueFromPipeline=$FALSE)] [switch]$ReturnObject) BEGIN { [string[]]$LogParameters = @('Operation', 'LogonUserDisplayName', 'LastAccessed', 'DestFolderPathName', 'FolderPathName', 'ClientInfoString', 'ClientIPAddress', 'ClientMachineName', 'ClientProcessName', 'ClientVersion', 'LogonType', 'MailboxResolvedOwnerName', 'OperationResult') } END { if ($ReturnObject) {return $SearchResults} elseif ($SearchResults.count -gt 0) { $Date = get-date -Format yyMMdd_HHmmss $OutFileName = "AuditLogResults$Date.csv" write-host write-host -fore green "Posting results to file: $OutfileName" $SearchResults | export-csv $OutFileName -notypeinformation -encoding UTF8 } } PROCESS { write-host -fore green 'Searching Mailbox Audit Logs...' $SearchResults = @(search-mailboxAuditLog $Mailbox -StartDate $StartDate -EndDate $EndDate -LogonTypes Owner, Admin, Delegate -ShowDetails -resultsize 50000) write-host -fore green '$($SearchREsults.Count) Total entries Found' if (-not $IncludeFolderBind) { write-host -fore green 'Removing FolderBind operations.' $SearchResults = @($SearchResults | ? {$_.Operation -notlike 'FolderBind'}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select ($LogParameters + @{Name='Subject';e={if (($_.SourceItems.Count -eq 0) -or ($_.SourceItems.Count -eq $null)){$_.ItemSubject} else {($_.SourceItems[0].SourceItemSubject).TrimStart(' ')}}}, @{Name='CrossMailboxOp';e={if (@('SendAs','Create','Update') -contains $_.Operation) {'N/A'} else {$_.CrossMailboxOperation}}})) $LogParameters = @('Subject') + $LogParameters + @('CrossMailboxOp') If ($Subject -ne '' -and $Subject -ne $null) { write-host -fore green 'Searching for Subject: $Subject' $SearchResults = @($SearchResults | ? {$_.Subject -match $Subject -or $_.Subject -eq $Subject}) write-host -fore green 'Filtered to $($SearchREsults.Count) Entries' } $SearchResults = @($SearchResults | select $LogParameters) }En el menú Archivo, seleccione Guardar como.
En el cuadro Guardar como tipo , seleccione Todo el archivo.
En el cuadro Nombre de archivo, escriba Run-MailboxAuditLogSearcher.ps1 y, a continuación, seleccione Guardar.
Abra Windows PowerShell y conéctese a Windows Remote PowerShell.
Busque la carpeta en la que guardó el script y, a continuación, ejecute el script:
.\Run-MailboxAuditLogSearcher.ps1Nota
- Si ejecuta el script sin parámetros, se le pedirán los siguientes parámetros predeterminados:
- Buzón
- StartDate
- Fecha de finalización
- Para buscar entradas del día actual, agregue un día al valor de fecha de finalización en la ventana del símbolo del sistema. Por ejemplo, si la fecha actual es 14/3/2017 y desea incluir el día actual en la búsqueda, escriba 3/15/2017 como fecha de finalización.
- Si ejecuta el script sin parámetros, se le pedirán los siguientes parámetros predeterminados:
Paso 2: Personalización de una búsqueda de registros de auditoría de buzón
En Microsoft 365, las entradas de registro de auditoría de buzón se conservan en el buzón durante 90 días. Se le pedirá que indique una fecha de inicio y una fecha de finalización para la búsqueda. Puede usar varios parámetros opcionales para personalizar la búsqueda. Para obtener una descripción de estos parámetros, vea la sección "Más información".
Si se encuentran elementos después de que se ejecute el script, recibirá un mensaje similar al siguiente:
Buscar registros de auditoría de buzón de correo...
11 Entradas totales encontradas
Quitar las operaciones FolderBind.
Filtrado a 1 entradasPublicar resultados en el archivo: AuditLogResults121024_142419.csv
Este mensaje de ejemplo indica que el proceso de búsqueda ha encontrado 11 entradas. De forma predeterminada, las entradas FolderBind se filtran y los siguientes tipos de operación permanecen:
- Copiar
- Crear
- HardDelete
- MessageBind
- Move
- MoveToDeletedItems
- SendAs
- SendOnBehalf
- SoftDelete
- Actualizar
Nota
La operación FolderBind indica las horas a las que un no propietario tiene acceso al buzón. Esta es la operación más común. No es necesario ver las operaciones FolderBind al investigar un elemento que se actualiza o elimina.
Revise la salida del archivo .csv. Se exportan las columnas más útiles y algunas de estas columnas se combinan para facilitar la revisión de la salida. Para obtener más información sobre las columnas que se exportan, vea la sección "Más información".
Registro de auditoría de buzón de propietario
El registro de auditoría de buzón está activado de forma predeterminada para todas las organizaciones. Una de las principales ventajas de habilitar la auditoría de buzones de correo de forma predeterminada es que no es necesario administrar acciones de buzón auditadas. Microsoft administra estas acciones automáticamente y agregamos automáticamente nuevas acciones de buzón para que se auditen de forma predeterminada a medida que las liberamos.
Sin embargo, es posible que su organización tenga que auditar un conjunto diferente de acciones de buzón para buzones de usuario y buzones compartidos. Para obtener más información sobre cómo cambiar las acciones de buzón que se auditan para cada tipo de inicio de sesión y cómo revertir a las acciones predeterminadas administradas por Microsoft, vea Cambiar o restaurar acciones de buzón registradas de forma predeterminada.
Más información
Parámetros de script opcionales
En la lista siguiente se describen los parámetros opcionales que generan resultados diferentes cuando se usan junto con el Run-MailboxAuditLogSearcher script:
IncludeFolderBind: impide que la operación FolderBind se filtre de la salida. Puede usar la información de FolderBind para investigar el problema de acceso al buzón.
Por ejemplo, el siguiente cmdlet busca en el buzón "Probar usuario 1" e incluye todas las operaciones:
.\Run-MailboxAuditLogSearcher.ps1 -IncludeFolderBind -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"Asunto: permite especificar el asunto de un elemento para limitar la búsqueda de operaciones que se realizan en ese elemento.
Por ejemplo, el siguiente cmdlet filtra todas las salidas excepto los elementos que tienen el asunto establecido como "Buenas noticias":
.\Run-MailboxAuditLogSearcher.ps1 -Subject "<Good News>" -Mailbox "<test1@contoso.comgt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"ReturnObject: hace que los resultados se muestren en pantalla (pero no se exportan a un archivo .csv).
Por ejemplo, el siguiente cmdlet muestra la salida en pantalla:
.\Run-MailboxAuditLogSearcher.ps1 -ReturnObject -Mailbox "<Test User 1gt;" -StartDate "<04/10/17gt;" -EndDate "<04/27/17gt;"
Columnas exportadas desde el archivo .csv
Se exportan las columnas más útiles del archivo .csv. Algunas de estas columnas se combinan para facilitar la revisión de la salida. En la tabla siguiente se enumeran las columnas que se exportan.
| Columna | Descripción |
|---|---|
| Subject | Asunto del elemento |
| Operación | Acciones que se realizan en el elemento |
| LogonUserDisplayName | Nombre para mostrar del usuario que ha iniciado sesión |
| LastAccessed | Hora en la que se realizó la operación |
| DestFolderPathName | Carpeta de destino para la operación de traslado |
| FolderPathName | Ruta de acceso de la carpeta |
| ClientInfoString | Detalles sobre el cliente que realiza la operación |
| LastAccessed | Dirección IP del equipo cliente |
| ClientMachineName | Nombre del equipo cliente |
| ClientProcessName | Nombre del proceso de aplicación cliente |
| ClientVersion | Versión de la aplicación cliente |
| LogonType | El tipo de inicio de sesión del usuario que realiza la operación Nota Tipos de inicio de sesión incluye lo siguiente: - Delegado para no propietario - Administrador - Propietario del buzón (no registrado de forma predeterminada) |
| MailboxResolvedOwnerName | Nombre resuelto del usuario de buzón Nota Resuelta tiene el siguiente formato: Dominio\SamAccountName |
| OperationResult | El estado de la operación Nota Los resultados de la operación incluyen lo siguiente: - Failed - ParcialmenteSucceeded - Succeeded |
| CrossMailboxOperation | Información sobre si la operación registrada es una operación entre buzones (por ejemplo, copiar o mover mensajes entre buzones) |
Más información sobre el registro de auditoría de buzones
El cmdlet Search-MailboxAuditLog se usa en el script de ejemplo del paso 1 para buscar un único buzón de forma sincrónica. También puede hacerlo ejecutando el cmdlet en Windows Remote PowerShell.
Para más información sobre el cmdlet, vaya al siguiente artículo de TechNet:
Puede buscar uno o varios buzones de correo de forma asincrónica. Para ello, ejecute el siguiente cmdlet en Windows Remote PowerShell:
New-MailboxAuditLogSearchPara obtener más información sobre este cmdlet, vaya al siguiente artículo:
Para obtener más información sobre las entradas predeterminadas del registro de auditoría del buzón de correo, vaya a la sección "Entradas del registro de auditoría de buzón" del siguiente artículo: