Búsquedas en el registro de auditoría
Una organización puede usar la herramienta de búsqueda de registros de auditoría en el portal de cumplimiento Microsoft Purview para buscar en el registro de auditoría unificado. Al hacerlo, la organización puede ver la actividad de usuario y administrador. Por ejemplo, es posible que una organización tenga que determinar si un usuario ha visto un documento específico o ha purgado un elemento de su buzón.
Miles de operaciones de usuarios y administradores que se realizan en docenas de servicios y soluciones de Microsoft 365 se capturan, graban y retienen en el registro de auditoría unificado de su organización. Los usuarios de tu organización pueden usar la herramienta de búsqueda de registro de auditoría para buscar, ver y exportar (a un archivo CSV) los registros de auditoría de estas operaciones.
Servicios de Microsoft 365 que admiten la auditoría
Microsoft 365 admite un registro de auditoría para que las organizaciones puedan buscar actividades realizadas en diferentes servicios de Microsoft 365. En la tabla siguiente se enumeran los servicios y características de Microsoft 365 (en orden alfabético) compatibles con el registro de auditoría unificado.
| Característica o servicio de Microsoft 365 | Tipos de registro |
|---|---|
| Microsoft Entra ID | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Azure Information Protection | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| Cumplimiento de comunicaciones | ComplianceSuperVisionExchange |
| Explorador de contenido | LabelContentExplorer |
| Conectores de datos | ComplianceConnector |
| Prevención de pérdida de datos (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| eDiscovery | Detección, AeD |
| Coincidencia exacta de datos | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| Formularios | MicrosoftForms |
| Barreras de información | InformationBarrierPolicyApplication |
| Microsoft Defender XDR | AirActionigation, AirManualContextigation, AirAdminActionActionActionIgation, MS365DCustomDetection |
| Microsoft Teams | MicrosoftTeams |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive para la Empresa | OneDrive |
| Power Apps | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Cuarentena | Cuarentena |
| Directivas y etiquetas de retención | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| Tipos de información confidencial | DlpSensitiveInformationType |
| Etiquetas de confidencialidad | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| Portal de mensajes cifrados | OMEPortal |
| SharePoint Online | SharePoint, SharePointFileOperation, SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation |
| Stream | MicrosoftStream |
| Inteligencia sobre amenazas | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| Workplace Analytics | WorkplaceAnalytics |
| Yammer | Yammer |
| SystemSync | DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData |
La tabla anterior identifica el valor de tipo de registro que se usará para buscar actividades en el registro de auditoría en el servicio correspondiente. Las búsquedas se pueden realizar mediante el cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell o mediante un script de PowerShell. Algunos servicios tienen varios tipos de registro para diferentes tipos de actividades dentro del mismo servicio. Para una lista más completa de los tipos de registros de auditoría, vea elEsquema de la API de Actividad de administración de Office 365.
Lectura adicional. Para más información sobre el uso de PowerShell para buscar en el registro de auditoría, vea:
Búsquedas en el registro de auditoría
El proceso de búsqueda en el registro de auditoría dentro de la portal de cumplimiento Microsoft Purview incluye los pasos siguientes:
- Ejecutar una búsqueda de registros de auditoría.
- Ver los resultados de la búsqueda.
- Exportar los resultados de búsqueda a un archivo.
Cada uno de estos métodos se examina con más detalle en las secciones siguientes.
Paso 1: Ejecute una búsqueda de registros de auditoría
Inicie sesión en el portal Microsoft Purview compliance.
Sugerencia
Use una sesión de exploración privada (no una sesión normal) para acceder al portal de cumplimiento. Al hacerlo, se impedirá que se use la credencial con la que ha iniciado sesión actualmente. Presione CTRL+MAYÚS+N para abrir una sesión de Exploración de InPrivate en Microsoft Edge o una sesión de exploración privada en Google Chrome (denominada ventana de incógnito).
En el portal de cumplimiento de Microsoft Purview, en el panel de navegación izquierdo, seleccione Auditoría.
Nota:
Si se muestra el vínculoIniciar el registro de la actividad administrativa y de usuario, haga clic en él para activar la auditoría. Si no ve este vínculo, la auditoría ya está habilitada para la organización.
En la página Auditoría, la pestaña Buscar se muestra de forma predeterminada. Configure los siguientes criterios de búsqueda en esta pestaña:
R: Fecha de inicio y fecha de finalización. Los últimos siete días se seleccionan de manera predeterminada. Seleccione un intervalo de fecha y hora para mostrar los eventos que han sucedido en ese período. La fecha y la hora se muestran en hora local. El intervalo de fechas máximo que puede especificar es de 180 días. Se muestra un error si el intervalo de fechas seleccionado es mayor que 180 días.
Si usa el intervalo de fechas máximo de 180 días, seleccione la hora actual para la fecha de inicio. De otro modo, recibirá un error que dice que la fecha de inicio es anterior a la fecha de finalización. Si ha implementado la auditoría en los últimos 180 días, el intervalo de fechas máximo no puede comenzar antes de la fecha en que se implementó la auditoría.
B. Actividades. Seleccione la lista desplegable para mostrar las actividades que puede buscar. Las actividades administrativas y de usuario se organizan en grupos de actividades relacionadas. Puede seleccionar actividades específicas o puede hacer clic en el nombre del grupo de actividades para seleccionar todas las actividades del grupo. También puede hacer clic en una actividad seleccionada para borrar la selección. Después de que ejecute la búsqueda, solo se muestran las entradas seleccionadas del registro de auditoría de las actividades. Al seleccionarMostrar los resultados de todas las actividades, se mostrarán los resultados de todas las actividades que el usuario o el grupo de usuarios seleccionado ha realizado. Se registran más de 100 actividades de usuario y de administrador en el registro de auditoría.
C. Usuarios. Seleccione en este cuadro y, a continuación, seleccione uno o varios usuarios para mostrar los resultados de la búsqueda. Las entradas del registro de auditoría de la actividad seleccionada realizada por los usuarios que selecciona en este cuadro, se muestran en la lista de resultados. Deje este cuadro en blanco para devolver las entradas de todos los usuarios (y cuentas de servicio) de su organización.
D. Archivo, carpetao sitio. Escribe uno o todos los nombres de archivo o carpeta para buscar actividad relacionada con el archivo de carpeta que contiene la palabra clave especificada. También puede especificar una dirección URL de un archivo o carpeta. Si usa una dirección URL, asegúrese de escribir la dirección URL completa, o si escribe solo una parte de esta, de no incluir espacios ni caracteres especiales. Sin embargo, se admite el uso del carácter comodín (*).
Deje este cuadro en blanco para devolver las entradas de todos los archivos y carpetas de la organización.
- Si busca todas las actividades relacionadas con un sitio, agregue el carácter comodín (*) después de la dirección URL para devolver todas las entradas de ese sitio. Por ejemplo:
https://contoso-my.sharepoint.com/personal* - Si busca todas las actividades relacionadas con un archivo, agregue el carácter comodín (*) antes del nombre de archivo para devolver todas las entradas de ese archivo. Por ejemplo: *Customer_Profitability_Sample.csv
- Si busca todas las actividades relacionadas con un sitio, agregue el carácter comodín (*) después de la dirección URL para devolver todas las entradas de ese sitio. Por ejemplo:
Haga clic en Búsqueda para ejecutar la búsqueda mediante sus criterios de búsqueda.
Paso 2: Ver los resultados de la búsqueda
Una vez que haya iniciado una búsqueda, se cargarán los resultados. Después de unos instantes, se muestran en una página nueva. Cuando finaliza la búsqueda, se muestra el número de resultados que se ha encontrado.
Se mostrará un máximo de 50 000 eventos en incrementos de 150 eventos. Si más de 50 000 eventos cumplen los criterios de búsqueda, solo se mostrarán los 50 000 eventos sin ordenar devueltos.
Los resultados de una búsqueda de registro de auditoría se muestran en Resultados en la página Búsqueda de registros de auditoría. Como se mencionó anteriormente, se muestran un máximo de 50 000 eventos (más recientes) en incrementos de 150 eventos. Use la barra de desplazamiento o pulse MAYÚS + Fin para mostrar los 150 eventos siguientes.
Los resultados contienen la siguiente información sobre cada evento que la búsqueda ha devuelto:
Fecha. La fecha y hora (de acuerdo a su hora local) en la que ocurrió el evento.
Dirección IP. La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.
Nota:
Para ciertos servicios, el valor que se visualiza en este campo podría ser la dirección IP de una aplicación de confianza (por ejemplo, aplicaciones de Office en la web) que llama al servicio en nombre de un usuario y no de la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para la actividad de administrador (o actividad realizada por una cuenta del sistema) para Microsoft Entra eventos relacionados, la dirección IP no se registra. Como resultado, el valor mostrado en este campo es null.
Usuario. El usuario (o cuenta de servicio) que ha realizado la acción que ha desencadenado el evento.
Actividad. La actividad que ha realizado el usuario. Este valor corresponde a las actividades que ha seleccionado en la lista desplegable de Actividades. Para un evento del registro de auditoría de administración de Exchange, el valor de esta columna es un cmdlet de Exchange.
Elemento. El objeto que se ha creado o modificado como resultado de la actividad correspondiente. Por ejemplo, el archivo que se ha visto o modificado, o la cuenta de usuario que se ha actualizado. No todas las actividades tienen un valor en esta columna.
Detalle. Información adicional sobre una actividad. Nuevamente, no todas las actividades tendrán un valor.
Sugerencia
Haga clic en un encabezado de columna en Resultados para ordenarlos. Puede ordenar los resultados de la A hasta la Z o de la Z hasta la A. Haga clic en el encabezado Fecha para ordenar los resultados del más antiguo al más nuevo o al revés.
Puede ver más detalles sobre un evento al hacer clic en el registro de eventos de la lista de resultados de búsqueda. Se muestra una página de control flotante que contiene las propiedades detalladas del registro de eventos. Las propiedades que se muestran dependen del servicio en el que se produce el evento.
Paso 3: Exportar los resultados de la búsqueda a un archivo
Las organizaciones pueden exportar los resultados de una búsqueda de registros de auditoría. Los resultados se exportan a un archivo de valores separados por comas (CSV) en un equipo local. Este archivo se puede abrir en Microsoft Excel. Puede usar características como buscar, ordenar, filtrar y dividir una sola columna (que contiene múltiples propiedades) en columnas múltiples.
Ejecute una búsqueda de registro de auditoría, y luego revise los criterios de búsqueda hasta que tenga los resultados deseados.
En la página Resultados de la búsqueda , seleccione Exportar y, a continuación, seleccione Descargar todos los resultados.
Todas las entradas del registro de auditoría que cumplen los criterios de búsqueda, se exportan a un archivo CSV. Los datos sin procesar del registro de auditoría se guardan en un archivo CSV. Se incluye información adicional de la entrada del registro de auditoría en una columna denominada AuditData en el archivo CSV.
Importante
Puede descargar un máximo de 50 000 entradas en un archivo CSV desde una única búsqueda de registros de auditoría. Si se descargan 50 000 entradas en el archivo CSV, probablemente puede suponer que existen más de 50 000 eventos que cumplen los criterios de búsqueda. Para exportar más de este límite, pruebe a usar un intervalo de fecha para reducir el número de entradas de registro de auditoría. Puede que tenga que ejecutar varias búsquedas con intervalos de fecha de menor tamaño para exportar más de 50 000 entradas.
Una vez completado el proceso de exportación, se muestra un mensaje en la parte superior de la ventana que le pide que abra el archivo CSV y lo guarde en el equipo local. También puede acceder al archivo CSV en la carpeta Descargas en Explorador de archivo.
Sugerencias para buscar el registro de auditoría
Las organizaciones deben tener en cuenta las siguientes consideraciones al buscar en el registro de auditoría:
Hay varias maneras de seleccionar actividades:
Puede seleccionar actividades específicas de búsqueda haciendo clic en el nombre de la actividad.
O puede buscar todas las actividades en un grupo (como Actividades de archivos y carpetas) haciendo clic en el nombre de grupo.
Si se selecciona una actividad, puede hacer clic en ella para cancelar la selección.
También puede usar el cuadro de búsqueda para mostrar las actividades que contengan la palabra clave que usted escriba.
Tiene que seleccionar Mostrar resultados para todas las actividades en la lista deActividades para mostrar los eventos del registro de auditoría de administración de Exchange. Los eventos de este registro de auditoría muestran un nombre de cmdlet (por ejemplo, Set-Mailbox) en la columna Actividaden los resultados.
De forma similar, hay algunas actividades de auditoría que no tienen un elemento correspondiente en la lista Actividades. Si conoce el nombre de la operación para estas actividades, puede buscar todas las actividades y, a continuación, filtrar las operaciones después de exportar los resultados de la búsqueda a un archivo CSV.
Haga clic en Borrar para borrar los criterios actuales de búsqueda. El intervalo de fecha vuelve al predeterminado de los últimos siete días. Para cancelar todas las actividades seleccionadas, seleccione Borrar todo para mostrar los resultados de todas las actividades.
Si se encuentran 50 000 resultados, puede suponer que probablemente existen más de 50 000 eventos que cumplen los criterios de búsqueda. Puede:
- Refine los criterios de búsqueda y vuelva a ejecutar la búsqueda para obtener menos resultados.
- Exporte todos los resultados de la búsqueda seleccionando Exportar resultados y, a continuación, seleccionando Descargar todos los resultados.
Comprobación de conocimientos
Elija la mejor respuesta para cada una de las siguientes preguntas.