Exportar logs de auditoria de caixa de correio no Exchange 2013
Aplica-se a: Exchange Server 2013
Quando a auditoria de caixas de correio é habilitada para uma caixa de correio, o Microsoft Exchange registra informações no log de auditoria de caixas de correio sempre que um usuário, que não for o proprietário, acessar a caixa de correio. Cada entrada de log inclui informações sobre quem acessou a caixa de correio e quando ela foi acessada, as ações executadas pelo não proprietário e se a ação foi bem-sucedida. Entradas no log de auditoria de caixa de correio são mantidas por 90 dias, por padrão. Você poderá usar o log de auditoria de caixas de correio quando um usuário, que não for o proprietário, tiver acessado uma caixa de correio.
Quando você exporta entradas dos logs de auditoria de caixas de correio, o Microsoft Exchange salva as entradas em um arquivo XML e o anexa a uma mensagem de email enviada aos destinatários especificados.
Antes de começar
Tempo estimado para concluir cada procedimento: Os tempos variam.
Os procedimentos neste tópico exigem permissões específicas. Consulte cada procedimento para ver informações sobre permissões.
Para obter informações sobre atalhos de teclado que podem se aplicar aos procedimentos neste tópico, confira Atalhos de teclado para o centro de administração do Exchange no Exchange 2013.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.
Configurar o log de auditoria de caixas correio
Você precisa habilitar o log de auditoria de caixas de correio em cada caixa de correio que desejar auditar para poder exportar e exibir os logs de auditoria de caixas de correio. É necessário configurar também o Microsoft Outlook Web App para permitir que anexos de XML utilizem o Outlook Web App para acessar o log de auditoria.
Etapa 1: Habilitar log de auditoria de caixas de correio
Você precisa habilitar o log de auditoria de caixas de correio em cada caixa de correio para a qual desejar executar um relatório de acesso não proprietário. Se o log de auditoria de caixas de correio não for habilitado para uma caixa de correio, você não obterá nenhum resultado para ela ao exportar o log de auditoria de caixas de correio.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Log de auditoria da caixa de correio" no tópico Permissões de conformidade e política de mensagens .
Para habilitar o log de auditoria de caixas de correio para uma única caixa de correio, execute o seguinte comando no Shell:
Set-Mailbox <Identity> -AuditEnabled $true
Para habilitar os logs de auditoria de caixas de correio para todas as caixas de correio de usuário da sua organização, execute os seguintes comandos:
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Etapa 2: Configurar o Outlook Web App para permitir anexos de XML
Quando você exporta o log de auditoria de caixas de correio, o Microsoft Exchange anexa o log de auditoria, que é um arquivo XML, a uma mensagem de email. No entanto, o Outlook Web App bloqueia anexos de XML por padrão. Para acessar o log de auditoria exportado, é necessário usar o Microsoft Outlook ou configurar o Outlook Web App para permitir anexos de XML.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Outlook Web App políticas de caixa de correio" no tópico Permissões de clientes e dispositivos móveis.
Execute os procedimentos a seguir para permitir anexos XML no Outlook Web App. Em Exchange Server 2013, use o valor Default para o parâmetro Identity.
Execute o seguinte comando para adicionar XML à lista de tipos de arquivos permitidos no Outlook Web App.
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes @{add='.xml'}Execute o seguinte comando para remover XML da lista de tipos de arquivos bloqueados no Outlook Web App.
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -BlockedFileTypes @{remove='.xml'}
Como saber se funcionou?
Para verificar se o log de auditoria de caixas de correio foi configurado com sucesso, faça o seguinte:
Execute o comando a seguir para verificar se os logs de auditoria foram configurados para as caixas de correio.
Get-Mailbox | Format-List Name,AuditEnabledUm valor da
Truepropriedade AuditEnabled verifica se o log de auditoria está habilitado.Execute o seguinte comando para verificar se são permitidos anexos XML no Outlook Web App.
Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypesVerifique se isso
.xmlestá incluído na lista de tipos de arquivo permitidos.Execute o seguinte comando para garantir que anexos XML sejam removidos da lista de arquivos bloqueados no Outlook Web App.
Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypesVerifique se
.xmlisso não está incluído na lista de tipos de arquivo bloqueados.
Exportar o log de auditoria de caixas de correio
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Log de auditoria de administrador somente exibição" no tópico permissões de infraestrutura do Exchange e do Shell .
No Centro de administração do Exchange (EAC), acesse Auditoria de Gerenciamento>de Conformidade.
Clique em Exportar os logs de auditoria de caixas de correio.
Configure os seguintes critérios de pesquisa para exportar as entradas do log de auditoria de caixas de correio:
Datas de início e término: selecione o intervalo de datas para as entradas a serem incluídas no arquivo exportado.
Caixas de correio para pesquisar log de auditoria: selecione as caixas de correio para as quais recuperar entradas de log de auditoria.
Tipo de acesso não proprietário: selecione uma das seguintes opções para definir o tipo de acesso não proprietário para recuperar entradas para:
Todos os não proprietários: procure acesso por administradores e usuários delegados dentro de sua organização.
Usuários externos: pesquise acesso por administradores de datacenter da Microsoft.
Administradores e usuários delegados: procure acesso por administradores e usuários delegados dentro de sua organização.
Administradores: pesquise acesso por administradores em sua organização.
Destinatários: selecione os usuários para os quais enviar o log de auditoria da caixa de correio.
Clique em Exportar.
O Exchange recupera entradas no log de auditoria da caixa de correio que atendem aos critérios de pesquisa, as salva em um arquivo chamado SearchResult.xml e anexa o arquivo XML a uma mensagem de email enviada aos destinatários especificados.
Como saber se funcionou?
Entre na caixa de correio para a qual o log de auditoria de caixas de correio foi enviado. Se você exportou com êxito o log de auditoria, receberá uma mensagem enviada do Exchange. O log de auditoria de caixa de correio (chamado SearchResult.xml) será anexado a esta mensagem. Se você configurou corretamente o Outlook Web App para permitir anexos XML, pode baixar o arquivo XML anexado.
Exibir o log de auditoria de caixas de correio
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Log de auditoria de administrador somente exibição" no tópico permissões de infraestrutura do Exchange e do Shell .
Para salvar e exibir o arquivo SearchResult.xml:
Entre na caixa de correio para a qual o log de auditoria de caixas de correio foi enviado.
Na Caixa de Entrada, abra a mensagem com o anexo de arquivo XML enviado pelo Microsoft Exchange. Observe que o corpo da mensagem de email contém os critérios de pesquisa.
Clique no anexo e selecione para baixar o arquivo XML.
Abra o SearchResult.xml no Microsoft Excel.
Mais informações
Entradas no log de auditoria da caixa de correio: o exemplo a seguir mostra uma entrada do log de auditoria da caixa de correio contida no arquivo SearchResult.xml. Cada entrada é precedida pela marca XML <Event> e termina com a marca XML </Event>. Essa entrada mostra que o administrador eliminou a mensagem com o assunto "Notification of litigation hold" da pasta Itens Recuperáveis na caixa de correio de David no dia 30 de abril de 2010.
<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" Owner="PPLNSL-dom\david50001-1363917750" LastAccessed="2010-04-30T11:01:55.140625-07:00" Operation="HardDelete" OperationResult="Succeeded" LogonType="Admin" FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000" FolderPathName="\Recoverable Items\Deletions" ClientInfoString="Client=OWA;Action=ViaProxy" ClientIPAddress="10.196.241.168" InternalLogonType="Owner" MailboxOwnerUPN="david@contoso.com" MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" CrossMailboxOperation="false" LogonUserDN="Administrator" LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149"> <SourceItems> <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540" Subject="Notification of litigation hold" FolderPathName="\Recoverable Items\Deletions" /> </SourceItems> </Event>Campos úteis no log de auditoria da caixa de correio: aqui está uma descrição de campos úteis no log de auditoria da caixa de correio. Eles podem ajudar a identificar informações específicas sobre cada instância de acesso não proprietário de uma caixa de correio.
Campo Descrição Proprietário O proprietário da caixa de correio que foi acessada por um não proprietário. LastAccessed A data e a hora em que a caixa de correio foi acessada. Operation A ação que foi executada pelo não proprietário. Para obter mais informações, confira a seção "O que é registrado no log de auditoria da caixa de correio?" em Executar um relatório de acesso de caixa de correio não proprietário no Exchange 2013. OperationResult Se a ação executada pelo não proprietário foi bem-sucedida ou falhou. LogonType O tipo de acesso não proprietário. Isso inclui administrador, delegado e externo. FolderPathName O nome da pasta que continha a mensagem que foi afetada pelo não proprietário. ClientInfoString Informações sobre o cliente de email usado pelo não proprietário para acessar a caixa de correio. ClientIPAddress O endereço IP do computador usado pelo não proprietário para acessar a caixa de correio. InternalLogonType O tipo de logon da conta usado pelo não proprietário para acessar essa caixa de correio. MailboxOwnerUPN O endereço de email do proprietário da caixa de correio. LogonUserDN O nome para exibição do não proprietário. Subject A linha de assunto da mensagem de email que foi afetada pelo não proprietário.