Visão geral do log de auditoria do administrador
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2009-11-30
Você pode usar o log de auditoria do administrador no Microsoft Exchange Server 2010 para registrar quando um usuário ou administrador em sua organização executa um cmdlet. Mantendo um log dos cmdlets executados, você pode rastrear quem fez cada alteração, acrescentar aos seus logs de alterações registros detalhados da alteração quando ela foi implementada, estar em conformidade com exigências regulamentares e com solicitações para descoberta e mais.
O que é auditado
Cmdlets que são executados diretamente no Shell de Gerenciamento do Exchange são auditados. Além disso, operações realizadas usando o EMC (Console de Gerenciamento do Exchange) e a interface de gerenciamento Web do Exchange também são registradas em log porque essas operações executam cmdlets em segundo plano.
Onde quer que os cmdlets sejam executados, eles serão auditados se um deles estiver na lista de auditoria de cmdlets e um ou mais parâmetros desse cmdlet estiverem na lista de auditoria de parâmetros. Cmdlets Get não são registrados. O objetivo do log de auditoria é mostrar quais ações foram tomadas para modificar objetos em uma organização do Exchange e não quais objetos foram exibidos.
Importante
Um cmdlet poderá não ser registrado em log se ocorrer um erro antes de o cmdlet chamar o agente de extensão de cmdlet Log de Auditoria de Admin. Se ocorrer um erro depois que o agente de Log de Auditoria de Admin for chamado, o cmdlet será registrado em log com o erro associado. Para obter mais informações, consulte "Agente de Log de Auditoria de Admin", posteriormente neste tópico.
As alterações feitas na configuração do log de auditoria são atualizadas a cada 60 minutos em computadores que têm o Shell aberto no momento em que é feita uma alteração na configuração. Se você quiser aplicar as alterações imediatamente, feche e reabra o Shell em cada computador.
Configuração de log de auditoria
Por padrão, quando o log de auditoria está habilitado, uma entrada de log é criada sempre que um cmdlet que não seja Get for executado. Ao configurar o log de auditoria, você precisa especificar a caixa de correio na qual deseja armazenar os logs. Se não quiser auditar todos os cmdlets executados, o log de auditoria poderá ser configurado para auditar apenas os cmdlets e os parâmetros em que você está interessado. O log de auditoria é configurado com o cmdlet Set-AdminAuditLogConfig. Os parâmetros mencionados nas seções a seguir são usados com esse cmdlet.
Quando um comando é executado, o Exchange inspeciona o cmdlet usado. Se o cmdlet executado corresponder a qualquer dos cmdlets fornecidos com o parâmetro AdminAuditLogConfigCmdlets, o Exchange irá verificar os parâmetros especificados no parâmetro AdminAuditLogConfigParameters. Se ao menos um parâmetro na lista de parâmetros tiver correspondência, o Exchange registrará em log o cmdlet executado na caixa de correio especificada, usando o parâmetro AdminAuditLogMailbox. As seções a seguir contêm mais informações sobre cada aspecto da configuração do log de auditoria.
Para obter mais informações, consulte Configurar Log de Auditoria de Administrador.
Cmdlets
É possível controlar quais cmdlets serão auditados fornecendo uma lista de cmdlets e dos parâmetros que deseja registrar. Ao configurar o log de auditoria, você pode especificar a auditoria de todos os cmdlets ou especificar os cmdlets que você deseja auditar usando o parâmetro AdminAuditLogConfigCmdlets. Você pode especificar nomes completos de cmdlets, como New-Mailbox, ou especificar nomes parciais de cmdlets e colocar esses nomes entre caracteres curinga, como um asterisco (*). Por exemplo, se quiser um registro em log quando qualquer cmdlet que contenha a cadeia de caracteres Transport for executado, você poderá especificar um valor de *Transport*. É possível misturar nomes completos e nomes parciais de cmdlet para adequar o log de auditoria às suas necessidades.
Parâmetros
Além de especificar quais cmdlets deseja registrar em log, você também pode indicar que os cmdlets só sejam registrados se certos parâmetros deles forem usados. Use o parâmetro AdminAuditLogConfigParameters para especificar os parâmetros a serem registrados em log. Assim como faz com os cmdlets, você pode especificar nomes completos de parâmetros, como Database, ou nomes parciais de parâmetros entre caracteres curinga (*), como *Address*, ou uma combinação de ambos.
Caixa de correio de auditoria
Nesta versão do Exchange 2010, as entradas de log de auditoria são armazenadas em uma caixa de correio que você especifica usando o parâmetro AdminAuditLogMailbox. A caixa de correio de auditoria deve estar acessível apenas a um grupo restrito de administradores. Essa restrição é necessária porque informações confidenciais podem ser expostas pelo log de auditoria. Todos os valores especificados em parâmetros de cmdlets registrados pelo log de auditoria, exceto senhas, são armazenados nos logs de auditoria.
Como o log de auditoria tem potencial para registrar todos os comandos executados em sua organização pelos seus usuários e administradores, é bom monitorar a caixa de correio de auditoria regularmente. Se a caixa de correio ficar cheia, os novos logs enviados serão perdidos e não será possível recuperá-los.
Para garantir que apenas entradas de log de auditoria seja armazenadas nessa caixa de correio, pode ser interessante restringir quem tem permissão para enviar emails para a caixa de correio. Para obter mais informações sobre como restringir quem pode enviar emails para uma caixa de correio, consulte Configurar restrições de entrega de mensagens.
Logs de auditoria
Os logs de auditoria serão armazenados como mensagens de email na caixa de correio especificada após você configurar o log de auditoria. Você pode acessar os logs abrindo a caixa de correio, usando qualquer cliente de email, como o Microsoft Outlook ou o Microsoft Office Outlook Web App.
Cada vez que um cmdlet é registrado em log, uma mensagem de email de log de auditoria é criada e entregue à caixa de correio de auditoria. Cada log contém as informações descritas na tabela a seguir.
Campos de entrada de log de auditoria
| Campo | Descrição |
|---|---|
Assunto da Mensagem |
Conta do usuário que executou o cmdlet e o cmdlet que foi executado. |
Nome do Cmdlet |
Cmdlet executado pelo chamador. |
Objeto Modificado |
Objeto modificado pelo cmdlet. |
Parâmetro |
Parâmetros especificados quando o cmdlet foi executado, e os valores, fornecidos. Se mais de um parâmetro tiver sido especificado, vários campos de Parâmetro serão mostrados. |
Chamador |
Conta do usuário que executou o cmdlet. |
Com Êxito |
Se o cmdlet tiver sido executado com êxito. O valor é True (verdadeiro) ou False (falso). |
Erro |
Mensagem de erro gerada se o cmdlet não for concluído com êxito. |
Data de Execução |
Data e hora de execução do cmdlet. A data e a hora são armazenadas em formato UTC (Tempo Universal Coordenado). |
Dica
Cada campo de entrada do log de auditoria contém uma GUID. Essa GUID é apenas interna e não deve ser usada como referência ao se interpretar ou processar os logs de auditoria.
Replicação do Active Directory
O registro em log da auditoria do administrador depende da replicação do Active Directory para replicar as definições de configuração e especificar os controladores de domínio na organização. Dependendo das configurações de replicação, as alterações feitas talvez não sejam aplicadas imediatamente a todos os servidores com Exchange 2010 em sua organização.
Agente de Log de Auditoria de Admin
O agente de extensão de cmdlet integrado de Log de Auditoria de Admin realiza o registro em log de auditoria de administrador de operações do cmdlet no Exchange 2010. Esse agente lê a configuração do log de auditoria e realiza uma avaliação de cada cmdlet executado em sua organização. Se o critério especificado na configuração do log de auditoria corresponder ao cmdlet que está sendo executado, o agente gerará um log de auditoria que será enviado para a caixa de correio de auditoria.
Agentes de extensão de cmdlet podem ser habilitados ou desabilitados. O agente de Log de Auditoria de Admin vem habilitado por padrão, e isso é necessário para que o log de auditoria funcione. Os estados habilitado e desabilitado do agente de Log de Auditoria de Admin e o recurso de log de auditoria de administrador são separados. Ambos devem estar habilitados para que o registro em log seja feito. Se um deles for desabilitado, não haverá registro em log.
Como o agente de Log de Auditoria de Admin vem habilitado por padrão, não deve haver necessidade de alterar a configuração do agente. Se você precisar habilitar ou desabilitar o agente ou se quiser saber mais sobre os agentes de extensão de cmdlet, consulte os tópicos a seguir: