Log de auditoria de caixa de correio no Exchange Server
Como as caixas de correio podem conter informações confidenciais e de alto impacto comercial (HBI) e PII (informações pessoalmente identificáveis), é importante rastrear quem faz logon nas caixas de correio da sua organização e quais ações são tomadas. É especialmente importante controlar o acesso a caixas de correio por usuários diferentes do proprietário da caixa de correio. Esses usuários são chamados de usuários delegados.
Usando o log de auditoria de caixa de correio, você pode registrar o acesso à caixa de correio por proprietários de caixas de correio, representantes (inclusive os administradores com total permissão de acesso a caixas de correio) e administradores.
Ao habilitar o log de auditoria para uma caixa de correio, você pode especificar quais ações do usuário (por exemplo, acesso, movimentação ou exclusão de uma mensagem) serão registradas para um tipo de logon (administrador, representante, usuário ou proprietário). As entradas de log de auditoria também incluem informações importantes como, por exemplo, endereço IP do cliente, nome do host e processo ou cliente utilizado para acessar a caixa de correio. Para itens movidos, a entrada inclui o nome da pasta de destino.
Logs de auditoria de caixa de correio
Os logs de auditoria de caixa de correio são gerados para cada caixa de correio que tenha o registro em log de auditoria de caixa de correio habilitado. As entradas de log são armazenadas na subpasta Auditorias da pasta Itens Recuperáveis, na caixa de correio auditada. Isso garante que todas as entradas de log de auditoria estejam disponíveis em um único local, independentemente de qual método de acesso ao cliente foi usado para acessar a caixa de correio ou qual servidor ou computador um administrador usa para acessar o log de auditoria da caixa de correio. Se você mover uma caixa de correio para outro servidor de Caixa de Correio, os logs de auditoria de caixa de correio dessa caixa também serão movidos, pois estão localizados na caixa de correio.
Por padrão, as entradas do log de auditoria de caixa de correio são mantidas na caixa de correio por 90 dias e depois excluídas. Você pode modificar esse período de retenção usando o parâmetro AuditLogAgeLimit com o cmdlet Set-Mailbox . Se uma caixa de correio estiver em Retenção In-Loco ou em Retenção de Litígio, as entradas de log de auditoria só serão retidas até que o período de retenção de log da caixa de correio seja atingido. Para manter as entradas de log de auditoria por mais tempo, você precisa aumentar o período de retenção alterando o valor para o parâmetro AuditLogAgeLimit . Também é possível exportar as entradas de log de auditoria antes de o período de retenção terminar. Para mais informações, consulte:
Habilitar o registro em log de auditoria de caixa de correio
O registro em log de auditoria de caixa de correio é habilitado por caixa de correio. Use o cmdlet Set-Mailbox para habilitar ou desabilitar o log de auditoria de caixa de correio. Para detalhes, consulte Habilitar ou desabilitar uma caixa de correio do log de auditoria de caixa de correio.
Quando você habilita o log de auditoria de caixa de correio para uma caixa de correio, o acesso à caixa de correio e algumas ações executadas por administradores e representantes são registradas no log por padrão. Para registrar em log as ações executadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas.
Ações de caixa de correio registradas pelo log de auditoria de caixa de correio
A tabela a seguir lista as ações registradas pelo log de auditoria de caixa de correio, incluindo os tipos de logon para os quais a ação pode ser registrada. Observe que um administrador que recebeu a permissão de Acesso Completo para a caixa de correio de um usuário é considerado um usuário delegado.
Caso não seja mais necessário fazer a auditoria de alguns tipos de ações da caixa de correio, modifique a configuração de registro em log de auditoria da caixa de correio para desabilitar essas ações. Entradas de log existentes não serão limpas enquanto o limite de idade das entradas de log de auditoria não for atingido.
Ação | Descrição | Administrador | Delegar | Proprietário |
---|---|---|---|---|
Copiar | Um item é copiado para outra pasta. | Sim | Não | Não |
Criar | Um item é criado nas pastas Calendário, Contatos, Anotações ou Tarefas na caixa de correio; por exemplo, é criada uma nova solicitação de reunião. Observe que a mensagem ou a criação da pasta não são auditadas. | Sim1 | Sim1 | Sim |
FolderBind | Uma pasta da caixa de correio é acessada. | Sim1 | Sim2 | Não |
HardDelete | Um item é excluído permanentemente da pasta Itens Recuperáveis. | Sim1 | Sim1 | Sim |
MailboxLogin | O usuário entrou em sua caixa de correio. | Não | Não | Sim3 |
MessageBind | Um item é acessado no painel de leitura ou aberto. | Sim | Não | Não |
Mover | Um item é movido para outra pasta. | Sim1 | Sim | Sim |
MoveToDeletedItems | Um item é movido para a Itens Excluídos. | Sim1 | Sim | Sim |
SendAs | Uma mensagem é enviada usando permissões Enviar como. | Sim1 | Sim1 | Não |
SendOnBehalf | Uma mensagem é enviada usando permissões Enviar em nome de. | Sim1 | Sim | Não |
SoftDelete | Um item é excluído da pasta Itens Excluídos. | Sim1 | Sim1 | Sim |
Atualizar | As propriedades de um item são atualizadas. | Sim1 | Sim1 | Sim |
1 Auditado por padrão se a auditoria estiver habilitada para uma caixa de correio.
2 As entradas para ações de associação de pastas executadas pelos delegados são consolidadas. Uma entrada de log é gerada para o acesso individual da pasta dentro de um intervalo de 24 horas.
3 A auditoria para logons de proprietário em uma caixa de correio funciona apenas para logons POP3, IMAP4 ou OAuth. Não funciona para logons NTLM ou Kerberos na caixa de correio.
Pesquisando o log de auditoria da caixa de correio
Você pode usar os seguintes métodos para pesquisar entradas de log de auditoria de caixa de correio:
Pesquise de forma síncrona uma única caixa de correio: você pode usar o cmdlet Search-MailboxAuditLog para pesquisar de forma síncrona as entradas de log de auditoria da caixa de correio para uma única caixa de correio. O cmdlet exibe os resultados da pesquisa na janela do Shell de Gerenciamento do Exchange. Para detalhes, consulte Search Mailbox Audit Log for a Mailbox.
Pesquise assíncronamente uma ou mais caixas de correio: você pode criar uma pesquisa de log de auditoria de caixa de correio para pesquisar assíncronamente logs de auditoria de caixa de correio para uma ou mais caixas de correio e, em seguida, ter os resultados da pesquisa enviados para um endereço de email especificado. Os resultados da pesquisa são enviados como um anexo XML. Para criar a pesquisa, use o cmdlet New-MailboxAuditLogSearch. Para obter detalhes, consulte Criar uma pesquisa de log de auditoria de caixa de correio.
Use relatórios de auditoria no Centro de Administração do Exchange (EAC): você pode usar a guia Auditoria no EAC para executar um relatório de acesso de caixa de correio não proprietário (contém entradas para ações de administrador e exclusão) ou exportar entradas não proprietárias do log de auditoria da caixa de correio. Veja mais detalhes em:
Entradas de log de auditoria de caixa de correio
A tabela a seguir descreve os campos registrados em uma entrada de log de auditoria de caixa de correio.
Campo | Populado com |
---|---|
Operação | Uma destas ações: Copiar Criar FolderBind HardDelete MailboxLogin MessageBind Mover MoveToDeletedItems SendAs SendOnBehalf SoftDelete Atualizar |
OperationResult | Um destes resultados: Falhou ParcialmenteSucedido Succeeded |
LogonType | Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem: Proprietário Delegar Administrador |
DestFolderId | GUID da pasta de destino para operações de movimentação. |
DestFolderPathName | Caminho da pasta de destino para operações de movimentação. |
FolderId | GUID da pasta. |
FolderPathName | Caminho da pasta. |
ClientInfoString | Detalhes que identificam qual cliente ou componente do Exchange executou a operação. |
ClientIPAddress | Endereço IP do computador cliente. |
ClientMachineName | Nome do computador cliente. |
ClientProcessName | O nome do processo do aplicativo cliente. |
ClientVersion | Versão do aplicativo do cliente. |
InternalLogonType | O tipo de usuário interno (uma pessoa em sua organização) que realizou a operação. Os valores possíveis para esse campo são os mesmos do campo LogonType . |
MailboxOwnerUPN | Nome UPN do proprietário da caixa de correio. |
MailboxOwnerSid | SID (identificador de segurança) do proprietário da caixa de correio. |
DestMailboxOwnerUPN | Nome UPN do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio. |
DestMailboxOwnerSid | SID do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio. |
DestMailboxOwnerGuid | GUID do proprietário da caixa de correio de destino. |
CrossMailboxOperation | Informações sobre se a operação registrada é uma operação de caixas de correio cruzadas (por exemplo, copiar ou mover mensagens entre caixas de correio). |
LogonUserDisplayName | Nome para exibição do usuário que está conectado. |
DelegateUserDisplayName | Nome para exibição do usuário representado. |
LogonUserSid | SID do usuário que está conectado. |
SourceItems | ItemID dos itens de caixa de correio nos quais a ação registrada foi realizada (por exemplo, mover ou excluir). Para operações realizadas em diversos itens, o campo é retornado como uma coleção de itens. |
SourceFolders | GUID da pasta de origem. |
ItemId | ID do item. |
ItemSubject | Assunto do item. |
MailboxGuid | GUID da caixa de correio. |
MailboxResolvedOwnerName | Nome resolvido pelo usuário da caixa de correio no formato DOMAIN\ SamAccountName. |
LastAccessed | A hora na qual a operação foi realizada. |
Identity | ID da entrada do log de auditoria. |
Mais informações
Acesso do administrador a caixas de correio: as caixas de correio são consideradas acessadas por um administrador somente nos seguintes cenários:
A Descoberta eletrônica In-loco é usada para pesquisar uma caixa de correio.
O cmdlet New-MailboxExportRequest é usado para exportar uma caixa de correio.
Microsoft Exchange Server objetos de dados de dados de colaboração e cliente MAPI são usados para acessar a caixa de correio.
Ignorar o registro em log de auditoria de caixa de correio: o acesso à caixa de correio por processos automatizados autorizados, como contas usadas por ferramentas de terceiros ou contas usadas para monitoramento legal, pode criar um grande número de entradas de log de auditoria de caixa de correio e pode não ser de interesse para sua organização. Essas contas podem ser configuradas para ignorar o registro em log de auditoria de caixa de correio. Para obter detalhes, confira Ignorar uma conta de usuário do log de auditoria da caixa de correio.
Registrar ações do proprietário da caixa de correio: para caixas de correio como a Caixa de Correio de Pesquisa de Descoberta, que pode conter informações mais confidenciais, considere habilitar o registro em log de auditoria de caixa de correio para ações do proprietário da caixa de correio, como exclusão de mensagens.