Uso de registro de auditoría para registrar acciones de usuario
Se aplica a: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu
Última modificación del tema: 2011-03-19
Los registros de auditoría graban acciones específicas realizadas por determinados usuarios. Cuando el registro de auditoría está activo, los administradores pueden usarlo para mantener un registro de todos los cambios realizados en los objetos de destinatario. El registro de auditoría puede ayudar a la organización a cumplir las disposiciones reglamentarias o legales. Si se configura detenidamente el ámbito del registro de auditoría, pueden controlarse exactamente las acciones que se registran, gracias a lo cual resulta más fácil revisar y administrar los registros de auditoría.
En este tema se describe lo siguiente:
- ¿Qué acciones se registran?
- ¿Cómo se registran las acciones de usuario?
- Configuración del registro de auditoría
- Activación del registro de auditoría
- Configuración de lo que se va a registrar
- Desactivación del registro de auditoría
- Consulta de la configuración del registro de auditoría
¿Qué acciones se registran?
De forma predeterminada, se registra cualquier acción basada en un cmdlet de Windows PowerShell que no comienza por los verbos Get o Test. La acción no tiene que realizarse directamente en Windows PowerShell. Todas las acciones del Panel de control de Exchange y Outlook Web App > Opciones se basan en los cmdlets de Windows PowerShell. Por tanto, siempre que un usuario hace uso de Windows PowerShell, el Panel de control de Exchange o Outlook Web App > Opciones para llevar a cabo una acción que crea, modifica o elimina un objeto, la acción queda registrada.
¿Cómo se registran las acciones de usuario?
Los datos del registro de auditoría se almacenan en mensajes de correo electrónico que se envían a un buzón de correo de auditoría. Cuando un usuario realiza una acción que se registra, se envía un mensaje de correo electrónico al buzón de correo especificado como buzón de correo de auditoría, donde se almacenan los registros de auditoría. Si en una acción están implicados varios cmdlets, cada cmdlet se registra en un mensaje de correo electrónico diferente. Si se usa el mismo cmdlet para varios objetos, cada objeto se registra en un mensaje de correo electrónico distinto.
Cuando planee la estrategia de registro de auditoría, no olvide tener en cuenta cómo desea archivar los mensajes de registro de auditoría que se envían a un buzón de correo de auditoría. La cuota de buzón de correo o el tamaño máximo permitido de un buzón de correo es de 10 GB, aunque el servicio de correo electrónico deja de entregar mensajes de correo electrónico a un buzón de correo cuando se alcanza el tamaño especificado por el límite de Prohibir recepción, que es de 9,668 GB. Por este motivo, si está ejecutando Sincronización de directorios de Outlook Live (OLSync), no debe ejecutar el registro de auditoría sin configurarlo detenidamente para reducir el ámbito de las acciones de usuario que se registran. De lo contrario, el buzón de correo de auditoría puede llenarse rápidamente con mensajes de correo electrónico de registro de auditoría.
Si desea ver los registros de auditoría, puede usar cualquier cliente de correo electrónico, como Microsoft Office Outlook o Microsoft Office Outlook Web App, para obtener acceso al buzón de correo de auditoría especificado.
Cada mensaje de correo electrónico contiene la siguiente información.
| Elemento | Descripción |
|---|---|
Asunto del mensaje |
En el asunto del mensaje de correo electrónico se usa el formato <Autor de llamada>: <Nombre de cmdlet>. Autor de llamada es la cuenta de usuario que se usa para ejecutar el cmdlet. Nombre de cmdlet es el nombre del cmdlet ejecutado por el usuario. |
Nombre de cmdlet |
Nombre del cmdlet ejecutado por el usuario. Cada mensaje de correo electrónico debe contener un único valor para Nombre de cmdlet. |
Objeto modificado |
Nombre del objeto modificado por el cmdlet. Cada mensaje de correo electrónico debe contener un único valor para Objeto modificado. |
Parámetro |
Parámetros que se usan con el cmdlet y los valores especificados para estos parámetros. Si se usan varios parámetros, aparecen varios campos Parámetro. |
Propiedades modificadas |
Nombre de las propiedades modificadas y sus valores. Si se modificaron varias propiedades, aparecen varios campos Propiedad modificada. |
Autor de llamada |
Cuenta de usuario que se usa para ejecutar el cmdlet. El autor de llamada se expresa como un GUID de identificador de seguridad (SID). Para asignar el SID a un usuario específico, ejecute el comando siguiente: Por ejemplo, si el SID, |
Se realizó correctamente |
Especifica si el cmdlet se ejecutó correctamente. El valor es |
Error |
Mensaje de error que se genera si el cmdlet no se completa correctamente. Si el cmdlet se completa correctamente, el valor es |
Fecha de ejecución |
Muestra la fecha y hora en que se ejecutó el cmdlet. La fecha y hora se guardan con el formato de hora UTC. |
Principio de página
Configuración del registro de auditoría
Para configurar los valores de registro de auditoría, debe usarse Windows PowerShell.
Para obtener información sobre cómo instalar y configurar Windows PowerShell V2 y conectarlo al servicio, vea Uso de Windows PowerShell.
Activación del registro de auditoría
Ejecute el comando siguiente:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogMailbox <mailbox e-mail address>
Por ejemplo, para activar el registro de auditoría y especificar que se almacenen los registros de auditoría en el buzón de correo logging@contoso.edu existente, ejecute el comando siguiente:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogMailbox logging@contoso.edu
Nota No puede activar el registro de auditoría sin especificar un buzón de correo para almacenar los registros de auditoría. El buzón de correo que especifique como buzón de correo de auditoría no requiere ninguna otra configuración adicional. Puede crearlo como un buzón de correo normal. Si anteriormente especificó un buzón de correo con el parámetro AdminAuditLogMailbox, no es necesario que lo especifique de nuevo con el parámetro AdminAuditLogEnabled para activar el registro de auditoría.
Principio de página
Configuración de lo que se va a registrar
Como ya se dijo, de forma predeterminada, el registro de auditoría detecta todos los cmdlets excepto aquellos que comienzan con los verbos Get o Test. Si desea limitar los cmdlets o parámetros que se registran, puede usar los parámetros AdminAuditLogCmdlets y AdminAuditLogParameters en el cmdlet Set-AdminAuditLogConfig.
Especificación de los cmdlets y parámetros que se registran
De forma predeterminada, el valor de los parámetros AdminAuditLogCmdlets y AdminAuditLogParameters es *, lo que significa que se registran todos los cmdlets y los parámetros. Para limitar los elementos que se registran, puede especificar nombres de cmdlet y de parámetros. Puede especificar varios cmdlets o parámetros separando los nombres mediante comas. También puede usar el carácter comodín ( * ) en los nombres de cmdlet o de parámetro. A continuación se muestran algunos ejemplos acerca de cómo se usan caracteres comodín en los nombres de cmdlet y de parámetro:
*-Mailbox*Address*Custom*
Por ejemplo, para restringir el registro de auditoría a los cmdlets que comienzan por el verbo Remove, ejecute el comando siguiente:
Set-AdminAuditLogConfig -AdminAuditLogCmdlets Remove-* -AdminAuditLogParameters *
Activación del registro de auditoría de cmdlets Test
De forma predeterminada, los cmdlets que comienzan por los verbos Get o Test no se registran. Use el parámetro TestCmdletLoggingEnabled del cmdlet Set-AdminAuditLogConfig para activar o desactivar el registro de los cmdlets que comienzan por el verbo Test.
Para activar el registro de los cmdlets Test, ejecute el comando siguiente:
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $true
Para desactivar el registro de los cmdlets Test, ejecute el comando siguiente:
Set-AdminAuditLogConfig -TestCmdletLoggingEnabled $false
Note Test cmdlets can return a lot of data. Por tanto, debe considerar la posibilidad de activar el registro de los cmdlets Test solo durante un breve período de tiempo.
Principio de página
Desactivación del registro de auditoría
Ejecute el comando siguiente:
Set-AdminAuditLogConfig -AdminAuditLogEnabled $false
Consulta de la configuración del registro de auditoría
Ejecute el comando siguiente:
Get-AdminAuditLogConfig
Principio de página