Compartilhar via


Registro em log de auditoria da caixa de correio

Aplica-se a: Exchange Server 2013

Como as caixas de correio podem conter informações confidenciais e de alto impacto comercial (HBI) e PII (informações pessoalmente identificáveis), é importante rastrear quem faz logon nas caixas de correio da sua organização e quais ações são tomadas. É especialmente importante controlar o acesso a caixas de correio por usuários diferentes do proprietário da caixa de correio. Esses usuários são chamados de usuários delegados.

Usando o log de auditoria de caixa de correio, você pode registrar o acesso à caixa de correio por proprietários de caixas de correio, representantes (inclusive os administradores com total permissão de acesso a caixas de correio) e administradores.

Ao habilitar o log de auditoria para uma caixa de correio, você pode especificar quais ações do usuário (por exemplo, acesso, movimentação ou exclusão de uma mensagem) serão registradas para um tipo de logon (administrador, representante, usuário ou proprietário). As entradas de log de auditoria também incluem informações importantes como, por exemplo, endereço IP do cliente, nome do host e processo ou cliente utilizado para acessar a caixa de correio. Para itens movidos, a entrada inclui o nome da pasta de destino.

Logs de auditoria de caixa de correio

Os logs de auditoria de caixa de correio são gerados para cada caixa de correio que tenha o registro em log de auditoria de caixa de correio habilitado. As entradas de log são armazenadas na subpasta Auditorias da pasta Itens Recuperáveis, na caixa de correio auditada. Isso garante que todas as entradas de auditoria fiquem disponíveis em um único local, independentemente do método de acesso para cliente usado para acessar a caixa de correio ou de qual servidor ou estação de trabalho foi usado pelo administrador para acessar o log de auditoria de caixa de correio. Se você mover uma caixa de correio para outro servidor de Caixa de Correio, os logs de auditoria de caixa de correio dessa caixa também serão movidos, pois estão localizados na caixa de correio.

Por padrão, as entradas do log de auditoria de caixa de correio são mantidas na caixa de correio por 90 dias e depois excluídas. Você pode modificar esse período de retenção usando o parâmetro AuditLogAgeLimit com o cmdlet Set-Mailbox . Se uma caixa de correio estiver em Retenção In-Loco ou em Retenção de Litígio, as entradas de log de auditoria só serão retidas até que o período de retenção de log da caixa de correio seja atingido. Para manter as entradas de log de auditoria por mais tempo, você precisa aumentar o período de retenção alterando o valor para o parâmetro AuditLogAgeLimit . Também é possível exportar as entradas de log de auditoria antes de o período de retenção terminar. Para saber mais, veja:

Habilitar o registro em log de auditoria de caixa de correio

O registro em log de auditoria de caixa de correio é habilitado por caixa de correio. Use o cmdlet Set-Mailbox para habilitar ou desabilitar o log de auditoria de caixa de correio. Para detalhes, consulte Habilitar ou desabilitar uma caixa de correio do log de auditoria de caixa de correio.

Quando você habilita o log de auditoria de caixa de correio para uma caixa de correio, o acesso à caixa de correio e algumas ações executadas por administradores e representantes são registradas no log por padrão. Para registrar em log as ações executadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas.

Ações de caixa de correio registradas pelo log de auditoria de caixa de correio

A tabela a seguir lista as ações registradas pelo log de auditoria de caixa de correio, incluindo os tipos de logon para os quais a ação pode ser registrada.

Ação Descrição Administrador Delegar Proprietário
Copiar Um item é copiado para outra pasta. Sim Não Não
Criar Um item é criado nas pastas Calendário, Contatos, Anotações ou Tarefas na caixa de correio; por exemplo, é criada uma nova solicitação de reunião. Observe que a mensagem ou a criação da pasta não são auditadas. Sim* Sim* Sim
FolderBind Uma pasta da caixa de correio é acessada. Sim* Sim** Não
HardDelete Um item é excluído permanentemente da pasta Itens Recuperáveis. Sim* Sim* Sim
MessageBind Um item é acessado no painel de leitura ou aberto. Sim Não Não
Mover Um item é movido para outra pasta. Sim* Sim Sim
MoveToDeletedItems Um item é movido para a Itens Excluídos. Sim* Sim Sim
SendAs Uma mensagem é enviada usando permissões Enviar como. Sim* Sim* Não aplicável
SendOnBehalf Uma mensagem é enviada usando permissões Enviar em nome de. Sim* Sim Não se aplica
SoftDelete Um item é excluído da pasta Itens Excluídos. Sim* Sim* Sim
Atualizar As propriedades de um item são atualizadas. Sim* Sim* Sim

* Audited by default if auditing is enabled for a mailbox.

** As entradas para ações de associação de pastas realizadas pelos representantes são consolidadas. Uma entrada de log é gerada para o acesso individual da pasta dentro de um intervalo de 24 horas.

Caso não seja mais necessário fazer a auditoria de alguns tipos de ações da caixa de correio, modifique a configuração de registro em log de auditoria da caixa de correio para desabilitar essas ações. Entradas de log existentes não serão limpas enquanto o limite de idade das entradas de log de auditoria não for atingido.

Pesquisar entradas de log de auditoria de caixa de correio

Você pode usar os seguintes métodos para pesquisar entradas de log de auditoria de caixa de correio:

Entradas de log de auditoria de caixa de correio

A tabela a seguir descreve os campos registrados em uma entrada de log de auditoria de caixa de correio.

Campo Populado com
Operação Uma destas ações:
  • Copiar
  • Criar
  • FolderBind
  • HardDelete
  • MessageBind
  • Mover
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Atualizar
OperationResult Um destes resultados:
  • Falhou
  • ParcialmenteSucedido
  • Succeeded
LogonType Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:
  • Proprietário
  • Delegar
  • Administrador
DestFolderId GUID da pasta de destino para operações de movimentação.
DestFolderPathName Caminho da pasta de destino para operações de movimentação.
FolderId GUID da pasta.
FolderPathName Caminho da pasta.
ClientInfoString Detalhes que identificam qual cliente ou componente do Exchange executou a operação.
ClientIPAddress Endereço IP do computador cliente.
ClientMachineName Nome do computador cliente.
ClientProcessName O nome do processo do aplicativo cliente.
ClientVersion Versão do aplicativo do cliente.
InternalLogonType Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:
  • Proprietário
  • Delegar
  • Administrador
MailboxOwnerUPN Nome UPN do proprietário da caixa de correio.
MailboxOwnerSid SID (identificador de segurança) do proprietário da caixa de correio.
DestMailboxOwnerUPN Nome UPN do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.
DestMailboxOwnerSid SID do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio.
DestMailboxOwnerGuid GUID do proprietário da caixa de correio de destino.
CrossMailboxOperation Informações sobre se a operação registrada é uma operação de caixas de correio cruzadas (por exemplo, copiar ou mover mensagens entre caixas de correio).
LogonUserDisplayName Nome para exibição do usuário que está conectado.
DelegateUserDisplayName Nome para exibição do usuário representado.
LogonUserSid SID do usuário que está conectado.
SourceItems ItemID dos itens de caixa de correio nos quais a ação registrada foi realizada (por exemplo, mover ou excluir). Para operações realizadas em diversos itens, o campo é retornado como uma coleção de itens.
SourceFolders GUID da pasta de origem.
ItemId ID do item.
ItemSubject Assunto do item.
MailboxGuid GUID da caixa de correio.
MailboxResolvedOwnerName Nome resolvido pelo usuário da caixa de correio no formato DOMAIN_SamAccountName_.
LastAccessed A hora na qual a operação foi realizada.
Identity ID da entrada do log de auditoria.

Mais informações

  • Acesso do administrador a caixas de correio: as caixas de correio são consideradas acessadas por um administrador somente nos seguintes cenários:

  • Ignorar o registro em log de auditoria de caixa de correio: o acesso à caixa de correio por processos automatizados autorizados, como contas usadas por ferramentas de terceiros ou contas usadas para monitoramento legal, pode criar um grande número de entradas de log de auditoria de caixa de correio e pode não ser de interesse para sua organização. Essas contas podem ser configuradas para ignorar o registro em log de auditoria de caixa de correio. Para detalhes, consulte Bypass de um usuário da conta de auditoria de caixa de correio log.

  • Registrar ações do proprietário da caixa de correio: para caixas de correio como a Caixa de Correio de Pesquisa de Descoberta, que pode conter informações mais confidenciais, considere habilitar o registro em log de auditoria de caixa de correio para ações do proprietário da caixa de correio, como exclusão de mensagens.