Informações sobre o registro em log de auditoria de caixa de correio
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2016-11-28
Como as caixas de correio têm boas chances de conter informações confidenciais de alto impacto sobre os negócios, além de informações de identificação pessoal, é importante que você acompanhe quem faz logon nas caixas de correio de sua organização e quais ações são realizadas. É especialmente importante monitorar o acesso de usuários que não sejam donos das caixas de correio em questão. Esses usuários são chamados de usuários representantes.
Com o registro em log de auditoria de caixa de correio, você pode registrar o acesso às caixas de correio por proprietários, representantes (incluindo administradores com permissões de acesso completo à caixa de correio) e administradores. Considera-se que as caixas de correio sejam acessadas por um administrador apenas nos seguintes cenários:
A pesquisa de descoberta é usada para pesquisar uma caixa de correio
O cmdlet New-MailboxExportRequest é usado para exportar uma caixa de correio
O Editor de MAPI do Microsoft Exchange Server é usado para acessar a caixa de correio
Ao habilitar um log de auditoria para uma caixa de correio, você pode especificar quais ações de usuário (por exemplo, acesso, movimentação ou exclusão de mensagens) devem ser registradas em log para um tipo de logon (administrador, usuário representante ou proprietário). As entradas no log de auditoria também incluem informações importantes, como o endereço IP do cliente, o nome do host e o processo ou cliente usado para acessar a caixa de correio. Para itens movidos, a entrada inclui o nome da pasta de destino.
Dica
Para caixas de correio como a Caixa de correio de pesquisa de descoberta, que podem conter mais informações confidenciais, considere habilitar o registro em log de auditoria da caixa de correio para ações do proprietário da caixa, como a exclusão de mensagens.
Conteúdo
Logs de auditoria de caixa de correio
Habilitando o registro em log de auditoria de caixa de correio
Pesquisando entradas de log de auditoria de caixa de correio
Entradas de log de auditoria de caixa de correio
Logs de auditoria de caixa de correio
Os logs de auditoria de caixa de correio são gerados para cada caixa de correio que tenha o registro em log de auditoria de caixa de correio habilitado. As entradas de log são armazenadas na subpasta Auditorias da Pasta Itens Recuperáveis da caixa de correio auditada. Isso garante que todos os logs de auditoria estejam disponíveis a partir de um mesmo local, seja qual for o método de acesso para cliente usado para acessar a caixa de correio, ou qual servidor ou estação de trabalho um administrador usou para acessar o log de auditoria da caixa de correio. Se você mover uma caixa de correio para outro servidor de Caixa de Correio, os logs de auditoria de caixa de correio dessa caixa também serão movidos, pois estão localizados na caixa de correio.
Por padrão, as entradas do log de auditoria de caixa de correio são mantidas na caixa por 90 dias. Esse período de retenção pode ser modificado com o uso do parâmetro AuditLogAgeLimit com o cmdlet Set-Mailbox. Se uma caixa de correio estiver em retenção para fins de litígio, as entradas do log de auditoria serão mantidas apenas até que o período de retenção dos logs de auditoria da caixa de correio termine. Para manter as entradas do log de auditoria por mais tempo, é preciso aumentar o período de retenção por meio da alteração do valor do parâmetro do AuditLogAgeLimit ou exportar as entradas do log de auditoria antes do término do período de retenção. Para obter mais informações, consulte Criar uma Pesquisa de Log de Auditoria de Caixa de Correio.
Logs de auditoria de caixa de correio
Habilitando o registro em log de auditoria de caixa de correio
O registro em log de auditoria de caixa de correio é habilitado por caixa de correio. Use o cmdlet Set-Mailbox para habilitar ou desabilitar o log de auditoria de caixa de correio. Para detalhes, consulte Habilitar ou Desabilitar Registro de Auditoria da Caixa de Correio para uma Caixa de Correio.
Quando você habilita o log de auditoria de caixa de correio para uma caixa de correio, o acesso à caixa de correio e algumas ações executadas por administradores e representantes são registradas no log por padrão. Para registrar em log as ações executadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas. A tabela a seguir lista as ações registradas pelo log de auditoria de caixa de correio, incluindo os tipos de logon cujas ações serão registradas.
Ações de caixa de correio registradas pelo log de auditoria de caixa de correio
| Ação | Descrição | Administrador | Delegar | Owner |
|---|---|---|---|---|
Copy |
Um item é copiado para outra pasta. |
Sim |
Não |
Não |
Create |
Um item é criado na caixa de correio (por exemplo, uma mensagem é enviada ou recebida). Dica A criação de pastas não sofre auditoria. |
Sim* |
Sim* |
Sim |
FolderBind |
Uma pasta da caixa de correio é acessada.*** |
Sim* |
Sim** |
Não |
HardDelete |
Um item é excluído permanentemente da pasta Itens Recuperáveis. |
Sim* |
Sim* |
Sim |
MessageBind |
Um item é acessado no painel de leitura ou aberto.*** |
Sim |
Não |
Não |
Move |
Um item é movido para outra pasta. |
Sim* |
Sim |
Sim |
MoveToDeletedItems |
Um item é movido para a Itens Excluídos. |
Sim* |
Sim |
Sim |
SendAs |
Uma mensagem é enviada usando permissões Enviar como. |
Sim* |
Sim* |
Não se aplica |
SendOnBehalf |
Uma mensagem é enviada usando permissões Enviar em nome de. |
Sim* |
Sim |
Não aplicável |
SoftDelete |
Um item é excluído da pasta Itens Excluídos. |
Sim* |
Sim* |
Sim |
Update |
As propriedades de um item são atualizadas. |
Sim* |
Sim* |
Sim |
Copy |
Um item é copiado para outra pasta. |
Sim |
Não |
Não |
Create |
Um item é criado na caixa de correio (por exemplo, uma mensagem é enviada ou recebida). Dica A criação de pastas não sofre auditoria. |
Sim* |
Sim* |
Sim |
FolderBind |
Uma pasta da caixa de correio é acessada.*** |
Sim* |
Sim** |
Não |
HardDelete |
Um item é excluído permanentemente da pasta Itens Recuperáveis. |
Sim* |
Sim* |
Sim |
MessageBind |
Um item é acessado no painel de leitura ou aberto.*** |
Sim |
Não |
Não |
Move |
Um item é movido para outra pasta. |
Sim* |
Sim |
Sim |
MoveToDeletedItems |
Um item é movido para a Itens Excluídos. |
Sim* |
Sim |
Sim |
SendAs |
Uma mensagem é enviada usando permissões Enviar como. |
Sim* |
Sim* |
Não se aplica |
SendOnBehalf |
Uma mensagem é enviada usando permissões Enviar em nome de. |
Sim* |
Sim |
Não aplicável |
SoftDelete |
Um item é excluído da pasta Itens Excluídos. |
Sim* |
Sim* |
Sim |
Update |
As propriedades de um item são atualizadas. |
Sim* |
Sim* |
Sim |
* Auditado por padrão, se a auditoria estiver habilitada para uma caixa de correio. ** Entradas para ações de associação de pasta que são executadas por representantes são consolidadas. É gerada uma entrada de log para o acesso a pastas individuais em um intervalo de 24 horas. *** FolderBind e MessageBind não são registrados em log para o calendário padrão.
O acesso à caixa de correio por processos automatizados autorizados, como contas usadas por ferramentas de terceiros ou aquelas usadas para monitoramento legal, pode criar um grande número de entradas de log de auditoria de caixa de correio. Isso pode não ser interessante para sua organização. Essas contas podem ser configuradas para ignorar o registro em log de auditoria de caixa de correio. Para detalhes, consulte Ignorar uma Conta de Usuário do Log de Auditoria de Caixa de Correio.
Caso não seja mais necessário fazer a auditoria de alguns tipos de ações da caixa de correio, modifique a configuração de registro em log de auditoria da caixa de correio para desabilitar essas ações. As entradas de log existentes não são limpas até que a idade configurada para o log de auditoria da caixa de correio seja atingida.
Logs de auditoria de caixa de correio
Pesquisando entradas de log de auditoria de caixa de correio
Você pode usar os seguintes métodos para pesquisar entradas de log de auditoria de caixa de correio:
Pesquisa síncrona de uma única caixa de correio Você pode usar o cmdlet Search-MailboxAuditLog para pesquisa síncrona de entradas de log de auditoria de caixa de correio de uma única caixa de correio. O cmdlet exibe os resultados da pesquisa na janela do Shell de Gerenciamento do Exchange. Para obter mais informações, consulte Search-MailboxAuditLog e Pesquisar o Log de Auditoria de Caixa de Correio para uma Caixa de Correio.
Pesquisa assíncrona de uma ou mais caixas de correio Você pode criar uma pesquisa de log de auditoria de caixa de correio para pesquisa assíncrona de logs de auditoria de caixa de correio para uma ou mais caixas de correio, e enviar os resultados da pesquisa para um email especificado. Os resultados da pesquisa são enviados como um anexo XML. Para criar a pesquisa, use o cmdlet New-MailboxAuditLogSearch. Para detalhes, consulte Criar uma Pesquisa de Log de Auditoria de Caixa de Correio.
Uso de relatórios de auditoria no Painel de Controle do Exchange Você pode usar a guia Auditoria no ECP (Painel de Controle do Exchange) para executar relatórios de auditoria ou exportar entradas do log de auditoria de caixa de correio e do log de auditoria de administrador. Para obter detalhes, consulte Guia Auditoria.
Entradas de log de auditoria de caixa de correio
A tabela a seguir descreve os campos registrados em uma entrada de log de auditoria de caixa de correio.
Campos de log de auditoria de caixa de correio
| Campo | Populado com |
|---|---|
Operation |
Uma destas ações:
|
OperationResult |
Um destes resultados:
|
LogonType |
Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:
|
DestFolderId |
GUID da pasta de destino para operações de movimentação. |
DestFolderPathName |
Caminho da pasta de destino para operações de movimentação. |
FolderId |
GUID da pasta. |
FolderPathName |
Caminho da pasta. |
ClientInfoString |
Detalhes que identificam qual cliente ou componente do Exchange realizou a operação. |
ClientIPAddress |
Endereço IP do computador cliente. |
ClientMachineName |
Nome do computador cliente. |
ClientProcessName |
O nome do processo do aplicativo cliente. |
ClientVersion |
Versão do aplicativo do cliente. |
InternalLogonType |
Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:
|
MailboxOwnerUPN |
Nome UPN do proprietário da caixa de correio. |
MailboxOwnerSid |
SID (identificador de segurança) do proprietário da caixa de correio. |
DestMailboxOwnerUPN |
Nome UPN do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio. |
DestMailboxOwnerSid |
SID do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio. |
DestMailboxOwnerGuid |
GUID do proprietário da caixa de correio de destino. |
CrossMailboxOperation |
Informações indicando se a operação registrada em log é uma operação entre caixas de correio (por exemplo, cópia ou movimentação de mensagens entre caixas de correio). |
LogonUserDisplayName |
Nome para exibição do usuário que está conectado. |
DelegateUserDisplayName |
Nome para exibição do usuário representado. |
LogonUserSid |
SID do usuário que está conectado. |
SourceItems |
ItemID dos itens de caixa de correio nos quais a ação registrada foi realizada (por exemplo, mover ou excluir). Para operações realizadas em diversos itens, o campo é retornado como uma coleção de itens. |
SourceFolders |
GUID da pasta de origem. |
ItemId |
ID do item. |
ItemSubject |
Assunto do item. |
MailboxGuid |
GUID da caixa de correio. |
MailboxResolvedOwnerName |
Nome do usuário da caixa de correio resolvido no formato DOMÍNIO\NomeDeContaSAM. |
LastAccessed |
A hora na qual a operação foi realizada. |
Identity |
ID da entrada do log de auditoria. |
Operation |
Uma destas ações:
|
OperationResult |
Um destes resultados:
|
LogonType |
Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:
|
DestFolderId |
GUID da pasta de destino para operações de movimentação. |
DestFolderPathName |
Caminho da pasta de destino para operações de movimentação. |
FolderId |
GUID da pasta. |
FolderPathName |
Caminho da pasta. |
ClientInfoString |
Detalhes que identificam qual cliente ou componente do Exchange realizou a operação. |
ClientIPAddress |
Endereço IP do computador cliente. |
ClientMachineName |
Nome do computador cliente. |
ClientProcessName |
O nome do processo do aplicativo cliente. |
ClientVersion |
Versão do aplicativo do cliente. |
InternalLogonType |
Tipo de logon do usuário que realizou a operação. Os tipos de logon incluem:
|
MailboxOwnerUPN |
Nome UPN do proprietário da caixa de correio. |
MailboxOwnerSid |
SID (identificador de segurança) do proprietário da caixa de correio. |
DestMailboxOwnerUPN |
Nome UPN do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio. |
DestMailboxOwnerSid |
SID do proprietário da caixa de correio de destino, registrado em log para operações entre caixas de correio. |
DestMailboxOwnerGuid |
GUID do proprietário da caixa de correio de destino. |
CrossMailboxOperation |
Informações indicando se a operação registrada em log é uma operação entre caixas de correio (por exemplo, cópia ou movimentação de mensagens entre caixas de correio). |
LogonUserDisplayName |
Nome para exibição do usuário que está conectado. |
DelegateUserDisplayName |
Nome para exibição do usuário representado. |
LogonUserSid |
SID do usuário que está conectado. |
SourceItems |
ItemID dos itens de caixa de correio nos quais a ação registrada foi realizada (por exemplo, mover ou excluir). Para operações realizadas em diversos itens, o campo é retornado como uma coleção de itens. |
SourceFolders |
GUID da pasta de origem. |
ItemId |
ID do item. |
ItemSubject |
Assunto do item. |
MailboxGuid |
GUID da caixa de correio. |
MailboxResolvedOwnerName |
Nome do usuário da caixa de correio resolvido no formato DOMÍNIO\NomeDeContaSAM. |
LastAccessed |
A hora na qual a operação foi realizada. |
Identity |
ID da entrada do log de auditoria. |
Logs de auditoria de caixa de correio
© 2010 Microsoft Corporation. Todos os direitos reservados.