Como configurar o arquivamento automático de logs de evento de auditoria do Exchange

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

Tópico modificado em: 2009-05-15

Este tópico explica como usar a ferramenta Visualizador de Eventos no Windows Server 2008 para configurar o arquivamento automático de logs de eventos de Auditoria do Microsoft Exchange.

O Windows Server 2008 poderá arquivar automaticamente o log de eventos quando o tamanho máximo do log de eventos tiver sido atingido. Esta configuração de log de eventos do Windows Server 2008 será denominada Arquivar o log quando estiver cheio, não substituir eventos. Por padrão, essa configuração está habilitada para o log de eventos de Auditoria do Exchange. Quando o tamanho máximo do log de eventos de Auditoria do Exchange é atingido, o Windows Server 2008 fecha o arquivo de log atual e arquiva o arquivo de log na pasta em que o log de Auditoria do Exchange está localizado. Você pode ver os arquivos de log arquivados em Logs Salvos no Visualizador de Eventos.

Importante

Não é recomendável armazenar os logs de auditoria nas mesmas unidades lógicas que o banco de dados e os arquivos de log de transações. Se o espaço disponível no disco rígido for pouco e os logs de auditoria consumirem todo o espaço em disco disponível, o serviço Armazenamento de Informações do Microsoft Exchange desmontará os bancos de dados por causa do espaço insuficiente na unidade de disco.

O formato do arquivo de log é o seguinte:

Archive-<nome do arquivo de Log de Auditoria do Exchange>-<datetime>.evtx

Por exemplo, se o caminho para o nome do arquivo de log de Auditoria do Exchange for D:\ExchangeAuditing\ExchangeAuditing.evtx, o nome do arquivo será semelhante ao seguinte:

Archive-ExchangeAuditing-2009-05-06-12-54-33-725.evtx

Quando um arquivo de log tiver sido estendido, a ID de evento 105 será registrada no log de Sistema. Esse evento é semelhante ao seguinte:

Exemplo de entrada da ID de evento 105

Nome do Log: Sistema Origem: Microsoft-Windows-Eventlog ID do evento: 105 Categoria da Tarefa: Backup automático do log Nível: Informações Descrição: Backup automático do log de eventos Log:Auditoria do Exchange Arquivo:d:\ExchangeAuditing\ Archive-ExchangeAuditing-2009-05-06-12-54-33-725

Antes de começar

Para executar esse procedimento, use uma conta à qual tenha sido delegado o seguinte:

• Direitos de administrador local

Para obter mais informações sobre permissões, delegação de funções e os direitos necessários para administrar o Exchange Server 2007, consulte Considerações sobre permissão.

Procedimento

Para usar o Visualizador de Eventos do Windows Server 2008 para arquivar logs de eventos automaticamente

1. Clique em Iniciar, em Executar, digite eventvwr e clique em OK.

2. No Visualizador de Eventos, expanda logs de Aplicativo e Serviços e clique em Auditoria do Exchange.

3. Clique com o botão direito do mouse em Auditoria do Exchange e clique em Propriedades.

4. Clique em Arquivar o log quando estiver cheio, não substituir eventos.

5. Clique em OK.

Para obter mais informações

Para obter mais informações sobre Auditoria do Exchange, consulte Noções básicas sobre Auditoria de Acesso à Caixa de Correio com o Exchange Server 2007 Service Pack 2.