Búsquedas en el registro de auditoría

La búsqueda en Auditoría de Microsoft Purview (Estándar) y Auditoría (Premium) proporciona a su organización acceso a los datos críticos de eventos de registro de auditoría para obtener información e investigar aún más las actividades del usuario.

  • Los trabajos de búsqueda iniciados a través del portal de cumplimiento ya no requieren que la ventana del explorador web permanezca abierta para completarse. Estos trabajos seguirán ejecutándose incluso después de que se cierre la ventana del explorador.
  • Los trabajos de búsqueda completados ahora se almacenan durante 30 días, lo que le permite hacer referencia a las búsquedas de auditoría históricas.
  • Cada usuario de la cuenta de auditoría de administrador puede tener un máximo de 10 trabajos de búsqueda simultáneos en curso con un máximo de un trabajo de búsqueda sin filtrar.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Antes de realizar búsquedas en el registro de auditoría

Asegúrese de revisar los siguientes elementos antes de empezar a buscar en el registro de auditoría.

  • La búsqueda en el registro de auditoría está activada de forma predeterminada para organizaciones de Microsoft 365 y Office 365 Enterprise. Para comprobar que la búsqueda de registros de auditoría está activada, puede ejecutar el siguiente comando en Exchange Online PowerShell:

    Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
    

    El valor de True para la propiedad UnifiedAuditLogIngestionEnabled indica que la búsqueda de registros de auditoría está activada. Para obtener más información, consulte Desactivar o activar la búsqueda de registros de auditoría.

    Importante

    Asegúrese de ejecutar el comando anterior en Exchange Online PowerShell. Aunque el cmdlet Get-AdminAuditLogConfig también está disponible en PowerShell de cumplimiento de seguridad &, la propiedad UnifiedAuditLogIngestionEnabled siempre Falsees , incluso cuando la búsqueda de registros de auditoría está activada.

  • Debe tener asignados los roles Registros de auditoría o Registros de auditoría de solo vista en el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview para buscar en el registro de auditoría. De forma predeterminada, estos roles se asignan a los grupos de roles Administrador de auditoría y Lector de auditoría en la página Permisos del portal de cumplimiento. Para obtener más información, consulte Introducción a las soluciones de auditoría. Para acceder a los cmdlets de auditoría, debe tener asignados los roles Registros de auditoría o Registros de auditoría de solo vista en el Centro de administración de Exchange. También puede crear grupos de roles personalizados con la capacidad de buscar en el registro de auditoría agregando los roles Registros de auditoría de solo vista o Registros de auditoría a un grupo de roles personalizado.

    Para más información, vea:

  • Cuando un usuario o administrador realiza una actividad auditada, se genera un registro de auditoría y se almacena en el registro de auditoría de la organización. La cantidad de tiempo que se retiene un registro de auditoría (y que se puede buscar en el registro de auditoría) depende de la suscripción a Office 365 o Microsoft 365 Enterprise y, específicamente, del tipo de licencia que se ha asignado a usuarios específicos.

    • Para los usuarios asignados a una licencia de Office 365 E5 o Microsoft 365 E5 (o a los usuarios con una licencia de complemento Cumplimiento de Microsoft 365 E5 o Microsoft 365 E5 eDiscovery y Audit), registros de auditoría de Microsoft Entra ID, Exchange y la actividad de SharePoint se conservan durante un año de forma predeterminada. Las organizaciones también pueden crear directivas de retención de registros de auditoría para conservar registros de auditoría de actividades en otros servicios durante un año. Para obtener más información, vea administrar directivas de retención de los registros de auditoría.

      Nota:

      Si su organización ha participado en el programa de vista previa privado para la retención de registros de auditoría de un año, la duración de la retención de los registros de auditoría que se generaron antes de la fecha de lanzamiento de disponibilidad general no se restablecerá.

    • Para los usuarios asignados a cualquier otra licencia (que no sea E5) Office 365 o Microsoft 365, los registros de auditoría se conservan durante 180 días. Para obtener una lista de las suscripciones de Office 365 y Microsoft 365 que admiten el registro de auditoría unificado, consulte los requisitos de suscripción de Auditoría (Estándar) y Auditoría (Premium).

      Importante

      El período de retención predeterminado de Auditoría (estándar) ha cambiado de 90 días a 180 días. Los registros de auditoría (estándar) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (estándar) generados el 17 de octubre de 2023 o después siguen la nueva retención predeterminada de 180 días.

      Nota:

      Incluso cuando la auditoría de buzones está activada de forma predeterminada, es posible que observe que los eventos de auditoría de buzones de correo de algunos usuarios no se encuentran en las búsquedas de registros de auditoría en el portal de cumplimiento o a través de la API de actividad de administración de Office 365. Para obtener más información, vea Más información sobre el registro de auditoría del buzón de correo.

  • Si desea desactivar la búsqueda de registros de auditoría de su organización, puede ejecutar el siguiente comando en el PowerShell de Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    

    Para volver a activar la búsqueda de auditoría, puede ejecutar el comando siguiente en PowerShell de Exchange en línea :

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Para obtener más información, consulteDesactivar la búsqueda de registros de auditoría.

  • El cmdlet subyacente que se usa para buscar en el registro de auditoría es un cmdlet de Exchange Online, que es Search-UnifiedAuditLog. Esto significa que puede usar este cmdlet para buscar en el registro de auditoría en lugar de usar la herramienta de búsqueda en la página Auditoría del portal de cumplimiento. Tiene que ejecutar este cmdlet en Exchange Online PowerShell. Para obtener más información, consulte Search-UnifiedAuditLog.

    Para obtener información sobre cómo exportar los resultados de búsqueda devueltos por el cmdlet Search-UnifiedAuditLoga un archivo CSV, consulte la sección "sugerencias para exportar y ver el registro de auditoría" exportar, configurar y ver el registro de auditoría registros.

  • Si desea descargar mediante programación los datos del registro de auditoría, le recomendamos que use la API de Actividad de administración de Office 365 en lugar de usar un script de PowerShell. La API de Actividad de administración de Office 365 es un servicio REST de la web que puede usar para desarrollar operaciones, soluciones de supervisión de seguridad y cumplimiento para su organización. Para obtener más información, consultela referencia de la API de Actividad de administración de Office 365.

  • Microsoft Entra ID es el servicio de directorio de Microsoft 365. El registro de auditoría unificado contiene las actividades del usuario, dominio, aplicación, grupo y directorio que se realizaron en el Centro de administración de Microsoft 365 o en el portal de administración de Azure. Para obtener una lista completa de eventos de Microsoft Entra, consulte Microsoft Entra auditar eventos de informe.

  • Microsoft no garantiza una hora específica después de que se produzca un evento para que el registro de auditoría correspondiente se devuelva en los resultados de una búsqueda de registros de auditoría. Para los servicios principales (como Exchange, SharePoint, OneDrive y Teams), la disponibilidad de registros de auditoría suele ser de 60 a 90 minutos después de que se produzca un evento. Para otros servicios, la disponibilidad de los registros de auditoría puede ser más larga. Sin embargo, algunos problemas que son inevitables (como una interrupción del servidor) pueden producirse fuera del servicio de auditoría que retrasa la disponibilidad de los registros de auditoría. Por estas razones, Microsoft no se compromete a un tiempo de entrega específico.

  • Para buscar actividades de Power BI en el registro de auditoría, debe habilitar la auditoría en el portal de administración de Power BI. Para obtener instrucciones, consulte la sección "registros de auditoría"en el portal de administración de Power BI.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Complete los pasos siguientes para empezar a buscar:

  1. Inicie sesión en el portal de Microsoft Purview.

  2. Seleccione la tarjeta Auditar solución. Si no se muestra la tarjeta Auditar solución, seleccione Ver todas las soluciones y, a continuación, seleccione Auditar en la sección Núcleo .

  3. En la página Buscar , configure los siguientes criterios de búsqueda según corresponda:

    1. Intervalo de fecha y hora (UTC): los últimos siete días se seleccionan de forma predeterminada. Seleccione un intervalo de fecha y hora para mostrar los eventos que han sucedido en ese período. La fecha y hora se presentan en hora universal coordinada (UTC). El intervalo de fechas máximo que puede especificar es de 180 días. Se muestra un error si el intervalo de fechas seleccionado es mayor que 180 días.

      Sugerencia

      Si usa el intervalo de fechas máximo de 180 días, seleccione la hora actual para la fecha de inicio. De otro modo, recibirá un error que dice que la fecha de inicio es anterior a la fecha de finalización. Si ha activado la auditoría en los últimos 180 días, el intervalo de fechas máximo no puede comenzar antes de la fecha en que se ha activado la auditoría.

    2. Búsqueda de palabras clave: escriba una palabra clave o frase para buscar en el registro de auditoría. La palabra clave o frase se busca en el registro de auditoría o en el archivo, carpeta o sitios (si se especifica) para la búsqueda. Para buscar texto que contenga caracteres especiales, reemplace los caracteres especiales por un asterisco (*) en la búsqueda de palabras clave. Por ejemplo, para buscar test_search_document, use test*search*document.

      Importante

      Los términos especificados en el campo Búsqueda de palabras clave solo se buscan en contenido indexado (contenido dentro del esquema común auditar). No se busca el contenido de datos de auditoría en el registro de auditoría para estas palabras clave.

    3. Administración Unidades: seleccione la lista desplegable para mostrar las unidades administrativas a las que desea que se atencien las actividades auditadas para la búsqueda. Puede seleccionar una o varias unidades administrativas para establecer el ámbito de la búsqueda. Deje este cuadro en blanco para devolver las entradas de todas las unidades administrativas de la organización.

    4. Actividades: nombres descriptivos: seleccione la lista desplegable para mostrar los nombres descriptivos de las actividades auditadas que puede buscar. Los nombres descriptivos de las actividades de usuario y administrador se organizan en grupos de actividades relacionadas. Con nombres descriptivos, puede seleccionar actividades auditadas específicas o seleccionar el nombre del grupo de actividades para seleccionar todas las actividades del grupo. También puede hacer clic en una actividad seleccionada para borrar la selección. Para buscar un nombre descriptivo para las actividades de la lista, use el cuadro de búsqueda situado encima de la lista.

    5. Actividades: nombres de operaciones: escriba los nombres de operación exactos para buscar actividades auditadas que se incluirán en los resultados de la búsqueda. Puede escribir uno o varios nombres de operación separados por comas. Este criterio de búsqueda es similar a las búsquedas anteriores solo disponible en PowerShell y proporciona una mayor flexibilidad que le ayuda a encontrar los datos que necesita.

      Importante

      Los nombres de las operaciones deben escribirse exactamente como se denominan. Si los nombres de operación se escriben incorrectamente, no se devuelve ningún resultado.

      Por ejemplo, para buscar todas las actividades relacionadas con la habilitación y deshabilitación de barreras de información para un sitio de SharePoint en su organización, haría lo siguiente:

      • Revise el artículo de actividades de auditoría para encontrar el nombre exacto de la operación para las actividades de barreras de información que desea buscar. En este ejemplo, los nombres de la operación son SPOIBIsEnabled y SPOIBIsDisabled.
      • Escriba SPOIBIsEnabled,SPOIBIsDisabled en el campo de búsqueda de operaciones. Se recomienda copiar y pegar los nombres de la operación directamente desde el artículo en el campo de búsqueda de operaciones para asegurarse de que se escriben correctamente y sin errores tipográficos.
    6. Tipos de registros: seleccione la lista desplegable para mostrar los tipos de registro de las actividades auditadas que puede buscar. Puede seleccionar uno o varios tipos de registros para buscar. Para buscar un tipo de registro en la lista, use el cuadro de búsqueda situado encima de la lista.

      Los tipos de registro específicos están asociados a aplicaciones y servicios específicos de Microsoft. Por ejemplo, si desea limitar la búsqueda de tipos de registro específicos asociados a etiquetas de confidencialidad en Microsoft Purview Information Protection (MIP), puede seleccionar los tipos de registro MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem y MipAutoLabelSharePointPolicyLocation de la lista.

    7. Nombre de búsqueda: escriba un nombre personalizado para el trabajo de búsqueda. Este nombre se usa para identificar el trabajo de búsqueda en el historial de trabajos de búsqueda. Si no escribe un nombre, el trabajo de búsqueda se denomina automáticamente mediante una combinación de la fecha y hora definidas para la búsqueda y otros valores de criterios de búsqueda definidos.

    8. Usuarios: seleccione este campo y elija los nombres de uno o varios usuarios para mostrar los resultados de la búsqueda. Las entradas del registro de auditoría de la actividad seleccionada realizada por los usuarios que selecciona en este cuadro, se muestran en la lista de resultados. Deje este cuadro en blanco para devolver las entradas de todos los usuarios (y cuentas de servicio) de su organización.

    9. Archivo, carpeta o sitio: escriba algunos o todos los nombres de archivo o carpeta para buscar la actividad relacionada con el archivo de carpeta que contiene la palabra clave especificada. Este criterio de búsqueda devuelve todos los resultados relacionados con el archivo, las carpetas y los sitios correspondientes. También puede especificar una dirección URL de un archivo o carpeta. Si usa una dirección URL, asegúrese de que escriba la ruta de acceso de dirección URL completa o que, si escribe una parte de la dirección URL, no incluya caracteres ni espacios especiales (sin embargo, se admite el uso del carácter comodín (*) . Deje este cuadro en blanco para devolver las entradas de todos los archivos y carpetas de la organización.

    10. Cargas de trabajo: escriba o busque servicios de carga de trabajo para buscar actividad relacionada con las cargas de trabajo seleccionadas. Escriba el nombre de una carga de trabajo para ir a la carga de trabajo en la lista o desplácese hasta las cargas de trabajo que desea seleccionar.

  4. Seleccione Buscar para iniciar el trabajo de búsqueda. Se puede ejecutar un máximo de 10 trabajos de búsqueda en paralelo para una cuenta de usuario. Si un usuario requiere más de 10 trabajos de búsqueda, debe esperar a que un trabajo en curso finalice o elimine un trabajo de búsqueda.

Panel del trabajo de búsqueda

Los trabajos de búsqueda activos y completados se muestran en el panel de trabajos de búsqueda. El panel muestra la siguiente información para cada trabajo de búsqueda:

  • Nombre de búsqueda: nombre del trabajo de búsqueda. Para ver el nombre de búsqueda completo de un trabajo, mantenga el cursor sobre el nombre del trabajo de búsqueda.
  • Estado del trabajo: estado del trabajo de búsqueda. El estado puede ser En cola, En curso o Completado.
  • Progreso (%): porcentaje del trabajo de búsqueda que se ha completado.
  • Tiempo de búsqueda: tiempo de ejecución total transcurrido para completar el trabajo de búsqueda.
  • Resultados totales: el número total de resultados devueltos por el trabajo de búsqueda.
  • Hora de creación: fecha y hora en que se creó el trabajo de búsqueda en UTC.
  • Búsqueda realizada por: la cuenta de usuario que creó el trabajo de búsqueda.

Resultados de una introducción a la búsqueda de auditoría en Microsoft Purview.

Para eliminar trabajos de búsqueda, seleccione el trabajo y, a continuación, seleccione Eliminar en la barra de comandos. La eliminación de un trabajo de búsqueda no elimina los datos de back-end asociados a la búsqueda. Solo elimina la definición del trabajo de búsqueda y el resultado de búsqueda asociado.

Para copiar los criterios de búsqueda de un trabajo de búsqueda existente, seleccione el trabajo y, a continuación, seleccione Copiar esta búsqueda en la barra de comandos. Los criterios de búsqueda se copian en la página de búsqueda y puede modificar los criterios de búsqueda según sea necesario para una nueva búsqueda.

Panel de detalles del trabajo de búsqueda

Para ver detalles sobre un trabajo de búsqueda, seleccione el trabajo de búsqueda. El número total de elementos del trabajo se incluye en la parte superior del panel. El número total de resultados deduce duplicados, por lo que podría ser menor que el número de elementos en el panel del trabajo de búsqueda.

Panel de detalles del elemento de trabajo de búsqueda.

El panel de detalles del trabajo de búsqueda muestra la siguiente información sobre los elementos individuales recopilados en los resultados del trabajo de búsqueda:

  • Fecha (UTC): fecha y hora en que se produjo la actividad.
  • Dirección IP: dirección IP del dispositivo que se usó para realizar la actividad.
  • Usuario: la cuenta de usuario que realizó la actividad.
  • Tipo de registro: tipo de registro asociado a la actividad.
  • Actividad: nombre descriptivo de la actividad que se realizó.
  • Elemento: nombre del archivo, carpeta o sitio en el que se actuó la actividad.
  • Administración Unidades: la unidad de administración a la que pertenece la cuenta de usuario que realizó la actividad.
  • Detalles: detalles adicionales sobre la actividad.

Puede ordenar los elementos del trabajo de búsqueda mediante los encabezados de columna o crear un filtro personalizado mediante el panel de filtros. Use el filtro para filtrar los elementos del trabajo de búsqueda por valores específicos para cualquiera de los criterios de columna del panel. Para exportar todos los elementos de trabajo de búsqueda a un archivo .csv, seleccione Exportar en la barra de comandos. Export admite resultados de hasta 50 KB para Auditoría (estándar) y hasta 500 KB (500 000 filas) para Audit (Premium).

Seleccione una actividad específica para ver más detalles sobre la actividad en una ventana flotante. La ventana flotante muestra la información adicional sobre la actividad.

Detalles del elemento de trabajo de búsqueda.

Ámbito del acceso a los registros de auditoría mediante unidades administrativas

El acceso para buscar el registro de auditoría se limita en función de las unidades administrativas asignadas al usuario que accede al registro de auditoría en el portal de cumplimiento. Un administrador restringido solo puede buscar y exportar registros de auditoría generados por el usuario dentro del ámbito de sus unidades administrativas. Un administrador sin restricciones tiene acceso a todos los registros de auditoría, incluidos los generados por cuentas que no son de usuario y del sistema. Para acceder a los registros de actividad con ámbito desde cualquier servicio de Microsoft, incluidos los registros de actividad del buzón de Exchange, use el cmdlet Search-UnifiedAuditLog .

Administración unidades asignadas a administradores Administración unidades disponibles para realizar búsquedas con ámbito en Acceso a registros de auditoría de búsqueda y exportación
Ninguno (valor predeterminado): administrador sin restricciones Todas las unidades administrativas están disponibles Acceso a todos los registros de actividad desde cualquier cuenta de usuario, no usuario o sistema.
Una o más unidades administrativas: administrador restringido Solo están disponibles las unidades administrativas asignadas al administrador. Acceso a los registros de actividad de los usuarios con una asignación de unidad administrativa coincidente.

Las siguientes actividades de auditoría solo son accesibles por las consultas de búsqueda realizadas por un administrador sin restricciones. Estamos trabajando para garantizar que estos registros sean accesibles cuando los consulta un administrador restringido. Para ver una lista completa de los registros de auditoría de estas actividades, envíe una solicitud de búsqueda mediante una cuenta de administrador sin restricciones.

Servicio Operación
Azure Information Protection Detectar
Dynamics 365 CrmDefaultActivity
Prevención de perdida de datos en el punto de conexión FileCreated
FileCreatedOnNetworkShare
FileCreatedOnRemovableMedia
FileDeleted
Exchange Set-Mailbox
Set-MailboxPlan
SupervisionBulkEmailExclusion
Microsoft Forms ViewRuntimeForm

Para obtener más información sobre las unidades administrativas, vea Permisos en el portal de cumplimiento Microsoft Purview.