Anterior

Siguientes

Usar la búsqueda de registros de auditoría para investigar problemas comunes de soporte técnico

Completado

En esta unidad se describe cómo las organizaciones pueden usar la herramienta de búsqueda de registros de auditoría para ayudarles a investigar los siguientes problemas comunes de soporte técnico:

• Busque la dirección IP del equipo usado para acceder a una cuenta en peligro.
• Determinar quién configuró el reenvío de correo electrónico para un buzón.
• Determinar si un usuario eliminó elementos de correo electrónico en su buzón.
• Determinar si un usuario creó una regla de bandeja de entrada.
• Investigue por qué un usuario externo a la organización ha iniciado sesión correctamente.
• Busque las actividades de buzón realizadas por usuarios con licencias que no sean E5.
• Buscar actividades de buzón realizadas por usuarios delegados.

Cada uno de los escenarios de solución de problemas descritos en esta unidad se basa en el uso de la herramienta de búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview. En cada escenario se explica cómo configurar una consulta de búsqueda de registros de auditoría para el problema correspondiente. También se describe lo que se debe buscar en la información detallada de los registros de auditoría que coinciden con los criterios de búsqueda.

Permisos necesarios para usar la herramienta de búsqueda de registros de auditoría

A un usuario se le debe asignar el rol de registros de auditoría de solo vista o registros de auditoría en Exchange Online para buscar en el registro de auditoría. De forma predeterminada, estos roles se asignan a los grupos de roles administración de cumplimiento de y administración de la organización en la página Permisos del Centro de administración de Exchange. Los administradores globales de Office 365 y Microsoft 365 se agregan automáticamente como miembros del grupo de roles de administración de la organización en Exchange Online.

Ejecución de búsquedas de registros de auditoría

En esta sección se describen los conceptos básicos para crear y ejecutar búsquedas de registros de auditoría. Use estas instrucciones como punto de partida para cada escenario de solución de problemas de esta unidad. Para obtener instrucciones paso a paso más detalladas, vea Buscar el registro de auditoría.

1. Inicie sesión en el portal de cumplimiento de Microsoft Purview.

2. En el portal de cumplimiento de Microsoft Purview, en el panel de navegación izquierdo, seleccione Auditar.

3. En la página Auditoría, la pestaña Buscar se muestra de forma predeterminada.

   

   Puede configurar los siguientes criterios de búsqueda. Cada escenario de solución de problemas de este artículo recomienda instrucciones específicas para configurar estos campos.

   • R: Fecha de inicio y fecha de finalización. Seleccione un intervalo de fecha y hora para mostrar los eventos que han sucedido en ese período. Los últimos siete días están seleccionados de forma predeterminada. La fecha y la hora se presentan en formato de Hora universal coordinada (UTC). El intervalo de fechas máximo que puede especificar es de 180 días.
   • B. Actividades. Actividades: haga clic en la lista desplegable para mostrar las actividades que puede buscar. Después de que ejecute la búsqueda, solo se muestran las entradas seleccionadas del registro de auditoría de las actividades. Si selecciona Mostrar resultados para todas las actividades, se mostrarán los resultados de todas las actividades que cumplan los demás criterios de búsqueda. Tendrá que dejar este campo en blanco en algunos de los escenarios de solución de problemas.
   • C. Usuarios. Seleccione en este cuadro y, a continuación, seleccione uno o varios usuarios para mostrar los resultados de la búsqueda. Los registros de auditoría de la actividad seleccionada realizada por los usuarios seleccionados en este cuadro se muestran en la lista de resultados. Deje este cuadro en blanco para devolver las entradas de todos los usuarios (y cuentas de servicio) de su organización.
   • D. Archivo, carpeta o sitio. Escriba uno o todos los nombres de archivo o carpeta para buscar actividad relacionada con el archivo de carpeta que contiene la palabra clave especificada. También puede especificar una dirección URL de un archivo o carpeta. Si usa una dirección URL, asegúrese de escribir la ruta de acceso completa de la dirección URL o, si solo escribe una parte de la dirección URL, no incluya caracteres especiales ni espacios. Deje este cuadro en blanco para devolver las entradas de todos los archivos y carpetas de la organización. Este campo se deja en blanco en todos los escenarios de solución de problemas de esta unidad.

4. Seleccione Búsqueda para ejecutar la búsqueda con sus criterios de búsqueda.

Los resultados de la búsqueda se cargan y, transcurridos unos instantes, se muestran en una página de la herramienta de búsqueda de registros de auditoría. Cada una de las secciones de esta unidad proporciona instrucciones sobre los aspectos que se deben buscar en el contexto del escenario de solución de problemas específico.

Problema: buscar la dirección IP del equipo usado para acceder a una cuenta en peligro

La dirección IP correspondiente a una actividad realizada por cualquier usuario se incluye en la mayoría de los registros de auditoría. La información sobre el cliente usado también se incluye en el registro de auditoría.

Esta es la manera de configurar una consulta de búsqueda de registros de auditoría para este escenario:

• Actividades. Si es relevante para su caso, seleccione una actividad específica para buscar. Para solucionar problemas de cuentas en peligro, considere la posibilidad de seleccionar el usuario que inició sesión en la actividad de buzón en actividades de buzón de Exchange. Esto devuelve registros de auditoría que muestran la dirección IP que se utilizó al iniciar sesión en el buzón. De lo contrario, deje este campo en blanco para devolver los registros de auditoría de todas las actividades.

  Sugerencia

  Si deja este campo en blanco, se devolverán las actividades UserLoggedIn, que es una actividad de Microsoft Entra que indica que alguien ha iniciado sesión en una cuenta de usuario. Use el filtrado en los resultados de la búsqueda para mostrar los registros de auditoría UserLoggedIn.

• Fecha de inicio y fecha de finalización. Seleccione un intervalo de fechas que sea aplicable a su investigación.

• Usuarios Si está investigando una cuenta en peligro, seleccione el usuario cuya cuenta se ha puesto en peligro. Esto devuelve los registros de auditoría de las actividades realizadas por esa cuenta de usuario.

• Archivo, carpeta o sitio. Deje este campo en blanco.

Después de ejecutar la búsqueda, la dirección IP de cada actividad se muestra en la columna dirección IP de los resultados de la búsqueda. Seleccione el registro en los resultados de la búsqueda para ver información más detallada en la página de control flotante.

Problema: determinar quién configuró el reenvío de correo electrónico para un buzón

Cuando se configura el reenvío de correo electrónico para un buzón, los mensajes de correo electrónico que se envían al buzón se reenvían a otro buzón. Los mensajes se pueden reenviar a los usuarios dentro o fuera de una organización. Cuando se configura el reenvío de correo electrónico en un buzón, el cmdlet subyacente de Exchange Online que se usa es Set-Mailbox.

Esta es la manera de configurar una consulta de búsqueda de registros de auditoría para este escenario:

• Actividades. Deje este campo en blanco para que la búsqueda devuelva registros de auditoría para todas las actividades. Esto es necesario para devolver los registros de auditoría relacionados con el cmdlet Set-Mailbox .
• Fecha de inicio y fecha de finalización. Seleccione un intervalo de fechas aplicable a la investigación.
• Usuarios A menos que esté investigando un problema de reenvío de correo electrónico para un usuario específico, deje este campo en blanco. Esto le ayuda a identificar si el reenvío de correo electrónico se configuró para cualquier usuario.
• Archivo, carpeta o sitio. Deje este campo en blanco.

Después de ejecutar la búsqueda, seleccione Filtrar resultados en la página de resultados de búsqueda. En el cuadro del encabezado de columna Actividad , escriba Set-Mailbox para que solo se muestren los registros de auditoría relacionados con el cmdlet Set-Mailbox.

En este momento, debe examinar los detalles de cada registro de auditoría para determinar si la actividad está relacionada con el reenvío de correo electrónico. Seleccione el registro de auditoría para mostrar la página flotante Detalles y, a continuación, seleccione Más información. La siguiente captura de pantalla y descripciones resaltan la información que indica que el reenvío de correo electrónico se estableció en el buzón.

• R: ObjectId. Se muestra el alias del buzón en el que se estableció el reenvío de correo electrónico. Este buzón también se muestra en la columna Elemento de la página de resultados de búsqueda.
• B. Parameters. El valor ForwardingSmtpAddress indica que el reenvío de correo electrónico se estableció en el buzón. En este ejemplo, el correo se reenvía a la dirección de correo electrónico mike@contoso.com, que está fuera de la organización alpinehouse.onmicrosoft.com.
• C. Verdadero. Este valor del parámetro DeliverToMailboxAndForward indica que una copia del mensaje se entrega a sarad@alpinehouse.onmicrosoft.com Y se reenvía a la dirección de correo electrónico especificada por el parámetro ForwardingSmtpAddress, que en este ejemplo es mike@contoso.com. Si el valor del parámetro DeliverToMailboxAndForward se establece en Falso, el correo electrónico solo se reenvía a la dirección especificada por el parámetro ForwardingSmtpAddress. No se entrega al buzón especificado en el campo ObjectId.
• D. UserId. Indica el usuario que estableció el reenvío de correo electrónico en el buzón especificado en el campo ObjectId . Este usuario también se muestra en la columna Usuarior de la página de resultados de búsqueda. En este caso, parece que el propietario del buzón establece el reenvío de correo electrónico en su buzón.

Si determina que no se debe establecer el reenvío de correo electrónico en el buzón, puede quitarlo ejecutando el siguiente comando en Exchange Online PowerShell:

Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null

Problema: determinar si un usuario eliminó elementos de correo electrónico

A partir de 2019, el registro de auditoría de buzones está activado de forma predeterminada para todas las organizaciones Microsoft 365. Como resultado:

• Ciertas acciones realizadas por los propietarios de buzones de correo se registran automáticamente.
• Los registros de auditoría de buzón correspondientes están disponibles al buscarlos en el registro de auditoría del buzón.

Antes de activar el registro de auditoría de buzones de correo de forma predeterminada, las organizaciones tenían que habilitarlo manualmente para cada uno de sus buzones de usuario.

Las acciones de buzón registradas de forma predeterminada incluyen las acciones de buzón SoftDelete y HardDelete realizadas por los propietarios del buzón. Como resultado, las organizaciones pueden usar los pasos siguientes para buscar eventos relacionados con elementos de correo electrónico eliminados en el registro de auditoría. Para obtener más información sobre la auditoría de buzones de correo de forma predeterminada, vea Administrar la auditoría de buzones de correo.

Esta es la manera de configurar una consulta de búsqueda de registros de auditoría para este escenario:

• Actividades. En Actividades de buzón de Exchange, seleccione una o ambas de las actividades siguientes:
  • Mensajes eliminados de la carpeta Elementos eliminados. Esta actividad corresponde a la acción de auditoría de buzón de SoftDelete . Esta actividad también se registra cuando un usuario elimina permanentemente un elemento seleccionándolo y presionando Mayús+Supr. Después de eliminar permanentemente un elemento, el usuario puede recuperarlo hasta que expire el período de retención de elementos eliminados.
  • Mensajes purgados del buzón. Esta actividad corresponde a la acción de auditoría del buzón HardDelete. Esta actividad se registra cuando un usuario purga un elemento de la carpeta Elementos recuperables. Los administradores pueden usar la herramienta búsqueda de contenido en el portal de cumplimiento Microsoft Purview para buscar y recuperar elementos purgados hasta que expire el período de retención de elementos eliminados o más tiempo si el buzón del usuario está en espera.
• Fecha de inicio y fecha de finalización. Seleccione un intervalo de fechas aplicable a la investigación.
• Usuarios Si selecciona un usuario en este campo, la herramienta de búsqueda de registros de auditoría devuelve los registros de auditoría de los elementos de correo electrónico eliminados temporalmente o eliminados permanentemente por el usuario que especifique. A veces, es posible que el usuario que elimina un correo electrónico no sea el propietario del buzón.
• Archivo, carpeta o sitio. Deje este campo en blanco.

Después de ejecutar la búsqueda, puede filtrar los resultados de la búsqueda para mostrar los registros de auditoría de los elementos eliminados temporalmente o de los elementos eliminados de forma permanente. Seleccione el registro de auditoría para mostrar la página flotante Detalles y, a continuación, seleccione Más información. En el campo Elementoafectados se muestra información adicional sobre el elemento eliminado, como la línea de asunto y la ubicación del elemento cuando se eliminó.

En las capturas de pantalla siguientes se muestra un ejemplo del campo Elementosafectados de un elemento eliminado temporalmente y un elemento eliminado de forma rígida.

Ejemplo del campo Elementosafectados para un elemento eliminado temporalmente:

Ejemplo del campo Elementosafectados para un elemento eliminado de forma rígida:

Recuperar elementos de correo electrónico eliminados

Los usuarios pueden recuperar elementos eliminados temporalmente si el período de retención de elementos eliminados no ha expirado. En Exchange Online, el período de retención de elementos eliminados predeterminado es de 14 días. Sin embargo, los administradores pueden aumentar esta configuración a un máximo de 30 días. Dirija a los usuarios al artículo de Recuperación de elementos eliminados o correo electrónico en Outlook en la web para obtener instrucciones sobre cómo recuperar elementos eliminados.

Como se explicó anteriormente, los administradores pueden recuperar elementos eliminados permanentemente si el período de retención de elementos eliminados no ha expirado o si el buzón está en suspensión, en cuyo caso los elementos se conservan hasta que expira la duración de la retención. Al ejecutar una búsqueda de contenido, los elementos eliminados temporalmente y eliminados de forma rígida en la carpeta Elementos recuperables se devuelven en los resultados de búsqueda si coinciden con la consulta de búsqueda.

Sugerencia

Para buscar elementos de correo electrónico eliminados, busque todo o parte de la línea de asunto que se muestra en el campo Elementosafectados del registro de auditoría.

Problema: determinar si un usuario creó una regla de bandeja de entrada

Cuando los usuarios crean una regla de bandeja de entrada para su buzón de Exchange Online, se guarda un registro de auditoría correspondiente en el registro de auditoría.

Esta es la manera de configurar una consulta de búsqueda de registros de auditoría para este escenario:

• Actividades. En Actividades de buzón de Exchange, seleccione una o ambas de las actividades siguientes:
  • New-InboxRule Crear nueva regla de bandeja de entrada desde Outlook Web App. Esta actividad devuelve registros de auditoría cuando se crean reglas de bandeja de entrada con Outlook Web App o Exchange Online PowerShell.
  • Reglas de bandeja de entrada actualizadas desde el cliente de Outlook. Esta actividad devuelve registros de auditoría cuando se crean, modifican o quitan reglas de bandeja de entrada mediante el cliente de escritorio de Outlook.
• Fecha de inicio y fecha de finalización. Seleccione un intervalo de fechas aplicable a la investigación.
• Usuarios A menos que esté investigando a un usuario específico, deje este campo en blanco. Al hacerlo, puede identificar nuevas reglas de bandeja de entrada configuradas por cualquier usuario.
• Archivo, carpeta o sitio. Deje este campo en blanco.

Después de ejecutar la búsqueda, los registros de auditoría de esta actividad se muestran en los resultados de la búsqueda. Seleccione un registro de auditoría para mostrar la página flotante Detalles y, a continuación, seleccione Más información. La información sobre la configuración de la regla de bandeja de entrada se muestra en el campo Parámetros. En la captura de pantalla y las descripciones siguientes se resalta la información sobre las reglas de bandeja de entrada.

• R: ObjectId. Se muestra el nombre completo de la regla de bandeja de entrada. Este nombre incluye el alias del buzón del usuario (por ejemplo, SaraD) y el nombre de la regla de bandeja de entrada (por ejemplo, "Mover mensajes del administrador").
• B. Parameters. Se muestra la condición de la regla de bandeja de entrada. En este ejemplo, el parámetro From especifica la condición. El valor definido para el parámetro From indica que la regla de bandeja de entrada actúa sobre el correo electrónico enviado por admin@alpineskihouse.onmicrosoft.com.
• C. MoveToFolder. Este parámetro especifica la acción para la regla de bandeja de entrada. En este ejemplo, los mensajes recibidos de admin@alpineskihouse.onmicrosoft.com se mueven a la carpeta denominada AdminSearch. A
• D. UserId. Indica el usuario que creó la regla de bandeja de entrada especificada en el campo ObjectId . Este usuario también se muestra en la columna Usuarior de la página de resultados de búsqueda.

Problema: investigue por qué un usuario externo a la organización ha iniciado sesión correctamente

Cuando una organización revisa los registros de auditoría en el registro de auditoría, es posible que vea registros que indican que un usuario externo se autenticó mediante el identificador de Microsoft Entra e inició sesión correctamente en su inquilino de Microsoft 365. Por ejemplo:

• Un administrador de contoso.onmicrosoft.com puede ver un registro de auditoría que muestra que un usuario de otra organización (por ejemplo, fabrikam.onmicrosoft.com) ha iniciado sesión correctamente en contoso.onmicrosoft.com.
• Del mismo modo, el administrador puede ver registros de auditoría que indican que los usuarios con una cuenta de Microsoft (MSA), como un Outlook.com o Live.com, han iniciado sesión correctamente en contoso.onmicrosoft.com.

Nota:

En estas situaciones, la actividad auditada es el usuario que ha iniciado sesión.

Este comportamiento es una característica del diseño de la aplicación. Microsoft Entra ID, el servicio de directorio, permite algo denominado autenticación de paso a través cuando un usuario externo intenta acceder a un sitio de SharePoint o a una ubicación de OneDrive en una organización. Cuando el usuario externo intenta iniciar sesión, se le pide que escriba sus credenciales. Microsoft Entra ID usa las credenciales para autenticar al usuario, lo que significa que solo Microsoft Entra ID comprueba que el usuario es quien dice ser.

La indicación del inicio de sesión correcto en el registro de auditoría es el resultado de que Microsoft Entra autentica al usuario. El inicio de sesión correcto no significa que el usuario haya podido acceder a ningún recurso ni realizar ninguna otra acción en la organización. Solo indica que microsoft Entra ID autenticó al usuario. Para que un usuario de paso a través tenga acceso a recursos de SharePoint o OneDrive, un usuario interno de la organización tendría que compartir explícitamente un recurso con el usuario externo enviándole una invitación de uso compartido o un vínculo de uso compartido anónimo.

Nota:

Microsoft Entra ID solo permite la autenticación de paso a través para aplicaciones propias, como SharePoint Online y OneDrive para la Empresa. No se permite para otras aplicaciones de terceros.

En la captura de pantalla siguiente se muestra un ejemplo y descripciones de las propiedades pertinentes en un registro de auditoría para un usuario que ha iniciado sesión en caso de que sea el resultado de la autenticación de paso a través. Seleccione el registro de auditoría para mostrar la página flotante Detalles y, a continuación, seleccione Más información.

• R: Id. de actor. Este campo indica que el usuario que intentó acceder a un recurso de su organización no se encontró en el identificador de Microsoft Entra de la organización.
• B. Actor UPN. Este campo muestra el UPN del usuario externo que intentó acceder a un recurso de la organización. Este identificador de usuario también se identifica en las propiedades User y UserId del registro de auditoría.
• C. ApplicationId. Esta propiedad identifica la aplicación que desencadenó la solicitud de inicio de sesión. El valor de 00000003-0000-0ff1-ce00-000000000000 que se muestra en la propiedad ApplicationId de este registro de auditoría indica SharePoint Online. OneDrive para la Empresa también tiene este mismo ApplicationId.
• D. ExtendedProperties. Este campo indica que la autenticación de paso a través se realizó correctamente. Es decir, microsoft Entra ID ha autenticado correctamente al usuario.
• E. RecordType. El valor 15 indica que la actividad auditada (UserLoggedIn) es un evento de inicio de sesión de Secure Token Service (STS) en Microsoft Entra ID.

Los ejemplos siguientes son escenarios que darían lugar a una correcta actividad de auditoría de inició de sesión de usuario debido a la autenticación de paso a través:

• Un usuario con una cuenta de Microsoft (por ejemplo SaraD@outlook.com) ha intentado acceder a un documento de una cuenta de OneDrive para la Empresa en fourthcoffee.onmicrosoft.com. Sin embargo, no hay una cuenta de usuario invitado correspondiente para SaraD@outlook.com en fourthcoffee.onmicrosoft.com.
• Un usuario con una cuenta profesional o educativa en una organización (por ejemplo pilarp@fabrikam.onmicrosoft.com) ha intentado acceder a un sitio de SharePoint en contoso.onmicrosoft.com. Sin embargo, no hay una cuenta de usuario invitado correspondiente para pilarp@fabrikam.com en contoso.onmicrosoft.com.

Sugerencias para investigar los intentos de inicio de sesión correctos resultantes de la autenticación de paso a través

Las organizaciones deben tener en cuenta las siguientes consideraciones al investigar los intentos de inicio de sesión correctos resultantes de la autenticación de paso a través:

• Busque en el registro de auditoría las actividades realizadas por el usuario externo identificado en el registro de auditoría del Usuario que ha iniciado sesión. Escriba el UPN para el usuario externo en el cuadro Usuarios y use un intervalo de fechas si es relevante para su escenario. Por ejemplo, puede crear una búsqueda con los siguientes criterios de búsqueda:

  

  Además de las actividades del usuario que ha iniciado sesión, se pueden devolver otros registros de auditoría. Por ejemplo, los registros que indican que un usuario de la organización ha compartido recursos con el usuario externo y si el usuario externo ha accedido, modificado o descargado un documento que se ha compartido con él.

• Busque actividades de uso compartido de SharePoint que indiquen que un archivo se ha compartido con el usuario externo identificado por un registro de auditoría del usuario que ha iniciado sesión. Para obtener más información, consulte Usar la auditoría de uso compartido en el registro de auditoría.

• Exporte los resultados de la búsqueda de registros de auditoría que contengan registros relevantes para la investigación. Al hacerlo, puede usar Excel para buscar otras actividades relacionadas con el usuario externo.

Problema: buscar actividades de buzón realizadas por usuarios con licencias que no sean E5

Incluso cuando la auditoría de buzones está activada de forma predeterminada para una organización, los eventos de auditoría de buzones de correo de algunos usuarios no se encontrarán en las búsquedas de registros de auditoría cuando la organización use cualquiera de los métodos siguientes:

• el portal de cumplimiento de Microsoft Purview
• el cmdlet Search-UnifiedAuditLog
• el API de Actividad de administración de Office 365

¿Por qué? Dado que los eventos de auditoría de buzón solo se devuelven para los usuarios con licencias E5 cuando se usa uno de los métodos anteriores para buscar en el registro de auditoría unificado.

Para recuperar registros de auditoría de buzones de correo para usuarios que no son E5, puede completar una de las siguientes soluciones alternativas:

• Habilite manualmente la auditoría de buzones en buzones individuales. Para ello, ejecute el siguiente comando en Exchange Online PowerShell:

  Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true
  

  Después de ejecutar este comando, busque actividades de auditoría de buzones mediante el portal de cumplimiento de Microsoft Purview, el cmdlet Search-UnifiedAuditLog o la API de actividad de administración de Office 365.

  Sugerencia

  Si la auditoría de buzones ya parece estar habilitada en el buzón de correo, pero las búsquedas no devuelven resultados, cambie el valor del parámetro AuditEnabled a $false y vuelva a $true.

• Use los siguientes cmdlets en Exchange Online PowerShell:

  • Search-MailboxAuditLog para buscar usuarios específicos en el registro de auditoría del buzón.
  • New-MailboxAuditLogSearch buscar en el registro de auditoría del buzón usuarios específicos y enviar los resultados por correo electrónico a los destinatarios especificados.

Problema: buscar actividades de buzón realizadas en un buzón específico (incluidos los buzones compartidos)

Al usar la lista desplegable Usuarios en la herramienta de búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview o el comando Search-UnifiedAuditLog -UserIds en Exchange Online PowerShell, puede buscar actividades realizadas por un usuario específico.

Para las actividades de auditoría de buzón, este tipo de búsqueda buscará las actividades realizadas por el usuario especificado. Sin embargo, no garantiza que todas las actividades realizadas en el mismo buzón se devuelvan en los resultados de la búsqueda.

Por ejemplo, una búsqueda de registros de auditoría no devolverá registros de auditoría para las actividades realizadas por un usuario delegado. ¿Por qué? Dado que la búsqueda de actividades de buzón realizadas por un usuario específico no devolverá las actividades realizadas por un usuario delegado al que se han asignado permisos para acceder al buzón de otro usuario.

Nota:

Un usuario delegado es alguien al que se le ha asignado el permiso de buzón de SendAs, SendOnBehalfo FullAccess al buzón de otro usuario.

Además, el uso de la lista desplegable Usuario en la herramienta de búsqueda de registros de auditoría o el Search-UnifiedAuditLog -UserIds no devolverá resultados para las actividades que se completaron en un buzón compartido.

Para buscar las actividades realizadas en un buzón específico o para buscar actividades realizadas en un buzón compartido, use la siguiente sintaxis al ejecutar el cmdlet Search-UnifiedAuditLog:

Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid

Por ejemplo, el comando siguiente devuelve los registros de auditoría de las actividades realizadas en el buzón compartido del equipo de cumplimiento de Contoso entre agosto de 2020 y octubre de 2020:

Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid

Como alternativa, puede usar el cmdlet Search-MailboxAuditLog para buscar los registros de auditoría de las actividades realizadas en un buzón específico. Este proceso incluye la búsqueda de actividades realizadas en un buzón compartido.

En el ejemplo siguiente se devuelven registros de auditoría de buzones de correo para las actividades realizadas en el buzón compartido del equipo de cumplimiento de Contoso:

Search-MailboxAuditLog -Identity complianceteam@contoso.onmicrosoft.com -StartDate 08/01/2020 -EndDate 10/31/2020 -ShowDetails

En el ejemplo siguiente se devuelven registros de auditoría de buzones de correo para las actividades realizadas en el buzón especificado por usuarios delegados:

Search-MailboxAuditLog -Identity <mailbox identity> -StartDate <date> -EndDate <date> -LogonTypes Delegate -ShowDetails

También puede usar el cmdlet New-MailboxAuditLogSearch para buscar en el registro de auditoría un buzón específico y enviar los resultados por correo electrónico a destinatarios especificados.

Comprobación de conocimientos

Elija la mejor respuesta para cada una de las siguientes preguntas. Luego seleccione "Comprobar respuestas".

Compruebe sus conocimientos

1.

Como administradora de empresa de la publicación Lucerne, Patti Fernandez ha observado que los eventos de auditoría de buzones de algunos usuarios no se han encontrado en las búsquedas de registros de auditoría. Esta situación se produjo cuando el equipo de cumplimiento de Lucerne usó el portal de cumplimiento de Microsoft Purview o la API de actividad de administración de Office 365 para ejecutar la búsqueda. ¿Cuál fue la causa probable de esta situación?

Los eventos que faltan eran actividad de administrador para eventos relacionados con Microsoft Entra

El equipo de cumplimiento debe haber usado el cmdlet Search-UnifiedAuditLog para ejecutar la búsqueda.

Cuando se usa cualquiera de estos métodos de búsqueda, los eventos de auditoría de buzón solo se devuelven para los usuarios con licencias E5.

Debe responder todas las preguntas antes de comprobar su trabajo.

Continuar