Compartir a través de

Configuración del archivado automático de registros de eventos de auditoría de Exchange

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

Última modificación del tema: 2009-05-15

En este tema se explica cómo utilizar la herramienta Visor de eventos de Windows Server 2008 para configurar el archivado automático de los registros de eventos de auditoría de Microsoft Exchange.

Windows Server 2008 puede archivar automáticamente el registro de eventos cuando éste alcanza su tamaño máximo. Esta configuración del registro de eventos de Windows Server 2008 se denomina Archivar el registro cuando esté lleno, no sobrescribir eventos. De manera predeterminada, esta configuración está habilitada para el registro de eventos de auditoría de Exchange. Cuando el registro de eventos de auditoría de Exchange alcanza el tamaño máximo, Windows Server 2008 cierra el archivo de registro actual y lo archiva en la carpeta en la que está ubicado el registro de auditoría de Exchange. La opción Registros guardados del Visor de eventos permite consultar los archivos de registro archivados.

Importante

No se recomienda almacenar los archivos de auditoría en las mismas unidades lógicas que la base de datos y los archivos de registro de transacciones. Si no dispone de mucho espacio en la unidad de disco duro y los registros de auditoría consumen todo el espacio disponible, el servicio Almacén de información de Microsoft Exchange desmontará las bases de datos debido a la falta de espacio disponible en el disco.

El formato del archivo de registro de archivado es el siguiente:

Archivo-<Nombre del archivo de registro de auditoría de Exchange>-<fechahora>.evtx

Por ejemplo, si la ruta de acceso del nombre del archivo de registro de auditoría de Exchange es D:\ExchangeAuditing\ExchangeAuditing.evtx, el nombre del archivo será similar al siguiente:

Archive-ExchangeAuditing-2009-05-06-12-54-33-725.evtx

Cuando se sustituye un archivo de registro, se registra el id. de evento 105 en el registro del sistema. Este evento es similar al siguiente:

Ejemplo de entrada del id. de evento 105

Nombre del registro: Sistema

Origen: Microsoft-Windows-Eventlog

Id. de evento: 105

Categoría de la tarea: Copia de seguridad automática del registro

Nivel: Información

Descripción:

Copia de seguridad automática del registro de eventos

Registro: Auditoría de Exchange

Archivo: d:\ExchangeAuditing\ Archive-ExchangeAuditing-2009-05-06-12-54-33-725

Antes de empezar

Para realizar este procedimiento, la cuenta que utilice debe tener delegada la siguiente función:

  • Derechos de administrador local

Para obtener más información acerca de permisos, funciones delegadas y derechos necesarios para administrar Exchange Server 2007, consulte Consideraciones sobre permisos.

Procedimiento

Para archivar automáticamente archivos de eventos mediante el Visor de eventos de Windows Server 2008

  1. Haga clic en Inicio, en Ejecutar, escriba eventvwr y, a continuación, haga clic en Aceptar

  2. En Visor de eventos, expanda Registros de aplicaciones y servicios y, a continuación, haga clic en Auditoría de Exchange.

  3. Haga clic con el botón secundario en Auditoría de Exchange y, a continuación, en Propiedades.

  4. Haga clic en Archivar el registro cuando esté lleno; no sobrescribir eventos.

  5. Haga clic en Aceptar.

Para obtener más información

Para obtener más información acerca de la Auditoría de Exchange, consulte Descripción de la auditoría de acceso a buzones con Exchange Server 2007 Service Pack 2.