Relatórios de auditoria do Exchange no Exchange 2013

Artigo
07/04/2024

Aplica-se a: Exchange Server 2013

Use o log de auditoria para solucionar problemas de configuração controlando alterações específicas feitas pelos administradores e para ajudar você a atender aos requisitos normativos, de conformidade e de litígio. O Microsoft Exchange fornece dois tipos de log de auditoria:

O log de auditoria de administrador grava qualquer ação baseada em um cmdlet do Shell de Gerenciamento do Exchange, executado por um administrador. Isso pode ajudá-lo a solucionar problemas de configuração ou identificar a causa de problemas relacionados a segurança ou conformidade.
O log de auditoria de caixas de correio grava quando uma caixa de correio é acessada por um administrador, um usuário delegado ou pelo proprietário da caixa de correio. Isso pode ajudá-lo a determinar quem acessou a caixa de correio e o que a pessoa fez.

Exportar logs de auditoria

Na páginaAuditoria de Gestão> de Conformidade no Centro de administração do Exchange (EAC), pode procurar e exportar entradas do registo de auditoria do administrador e do registo de auditoria da caixa de correio.

Exportar o registo de auditoria do administrador: qualquer ação efetuada por um administrador baseada num cmdlet da Shell e que não comece com os verbos Obter, Procurar ou Testar é registada no registo de auditoria do administrador. As entradas do log de auditoria incluem o cmdlet que foi executado, o parâmetro e os valores usados com o cmdlet e quando a operação foi bem-sucedida. Você pode procurar e exportar entradas do log de auditoria de administrador. Quando você exporta os resultados da pesquisa, o Microsoft Exchange os salva em um arquivo XML e os anexa a uma mensagem de email. Para obter mais informações, veja Pesquisar as alterações do grupo de funções ou os registos de auditoria do administrador.

Observação

Por padrão, as entradas do log de auditoria são mantidas por 90 dias. Quando uma entrada ultrapassa esses 90 dias, ela é excluída. Essa configuração não pode ser alterada em uma organização baseada em nuvem. Entretanto, ela pode ser alterada em uma organização do Exchange local usando-se o cmdlet Set-AdminAuditLog.
Exportar registos de auditoria da caixa de correio: quando o registo de auditoria da caixa de correio está ativado para uma caixa de correio, o Microsoft Exchange armazena um registo das ações realizadas nos dados da caixa de correio por não proprietários no registo de auditoria da caixa de correio, que é armazenado numa pasta oculta na caixa de correio que está a ser auditada. O log de auditoria de caixas de correio também pode ser configurado para registrar ações do proprietário. As entradas desse log indicam quem acessou a caixa de correio e quando, as ações executadas e se a ação foi bem-sucedida. Quando você procura entradas no log de auditoria de caixas de correio e as exporta, o Microsoft Exchange salva os resultados da pesquisa em um arquivo XML e o anexa a uma mensagem de email. Para saber mais, configura Export mailbox audit logs.

Executar relatórios de auditoria

Quando você executa qualquer um dos relatórios a seguir na página Auditoria, no EAC, os resultados são exibidos no painel de detalhes do relatório.

Executar um relatório de acesso à caixa de correio não proprietário: utilize este relatório para localizar caixas de correio que tenham sido acedidas por outra pessoa que não seja a pessoa proprietária da caixa de correio. Para saber mais, confira Executar um relatório de acesso não proprietário da caixa de correio.
Executar um relatório de grupo de funções de administrador: utilize este relatório para procurar alterações efetuadas aos grupos de funções de administrador. Para obter mais informações, veja Pesquisar as alterações do grupo de funções ou os registos de auditoria do administrador.
Executar um relatório de deteção e suspensão no local: utilize este relatório para localizar caixas de correio que tenham sido colocadas ou removidas de In-Place Suspensão. Para saber mais, confira:
- Bloqueio In-loco e Retenção de Litígio
- Descoberta Eletrônica In-loco
Executar um relatório de suspensão de litígios por caixa de correio: utilize este relatório para localizar caixas de correio que foram colocadas ou removidas da suspensão de litígios. Para saber mais, confira.
- Executar um relatório de suspensão de litígio por caixa de correio
- Colocar uma caixa de correio em Retenção de Litígio
Execute o relatório de registo de auditoria do administrador: utilize este relatório para ver as entradas do registo de auditoria do administrador. Em vez de exportar o log de auditoria do administrador, cujo recebimento via mensagem de email pode demorar até 24 horas, você pode executar este relatório no EAC. Este relatório registra as alterações de configuração feitas por administradores em sua organização. Serão exibidas até 5 mil entradas em várias páginas. Para restringir a pesquisa, especifique um intervalo de datas. Para saber mais, confira:
- Exibir o log de auditoria do administrador
- Log de auditoria de administrador

Configurar o log de auditoria

Para poder executar relatórios de auditoria e exportar logs de auditoria, você precisa configurar o log de auditoria para sua organização.

Habilitar log de auditoria de caixas de correio

Você precisa habilitar o log de auditoria de caixas de correio em cada caixa de correio para a qual desejar executar um relatório de acesso não proprietário. Se o log de auditoria de caixas de correio não for habilitado para uma caixa de correio, você não obterá nenhum resultado ao executar um relatório ou ao exportar o log de auditoria de caixas de correio.

Para habilitar o log de auditoria de caixas de correio para uma única caixa de correio, execute o seguinte comando do Shell.

Set-Mailbox <Identity> -AuditEnabled $true

Para habilitar a auditoria de caixas de correio para todas as caixas de correio de usuário da sua organização, execute os seguintes comandos:

$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Para obter mais informações sobre como configurar as ações registadas, consulte Ativar ou desativar o registo de auditoria da caixa de correio para uma caixa de correio.

Fornecer, aos usuários, acesso aos Relatórios de Auditoria

Por padrão, os administradores podem acessar e executar todos os relatórios da página Auditoria do EAC. No entanto, outros usuários, como o gerente de documentação administrativa ou a equipe jurídica, precisam receber as permissões necessárias.

A maneira mais fácil de fornecer acesso aos usuários é adicioná-los ao grupo de funções Gerenciamento de Registros. Também é possível usar o Shell para fornecer ao usuário o acesso à página Auditoria no EAC, atribuindo-lhe a função Logs de Auditoria.

Adicionar um usuário ao grupo de funções Gerenciamento de Registros

Aceda aFunções de Administradorde Permissões>.
Na lista de grupos de funções, clique em Gestão de Registos e, em seguida, clique em Editar.
Em Membros, clique em .
Na caixa de diálogo Selecionar Membros, selecione o usuário. Pode procurar um utilizador escrevendo todo ou parte de um nome a apresentar e, em seguida, clicando no . Você também pode classificar a lista clicando nos títulos de coluna Nome ou Nome de Exibição.
Clique em Em seguida, clique em OK para regressar à página do grupo de funções.
Clique em Salvar para salvar as alterações feitas no grupo de funções.

No painel Detalhes, o usuário é listado em Membros e pode acessar a página Auditoria no EAC, executar relatórios de auditoria e exportar logs de auditoria.

Atribuir a função Logs de Auditoria a um usuário

Execute o comando a seguir para atribuir a função Logs de Auditoria a um usuário:

New-ManagementRoleAssignment -Role "Audit Logs" -User <Identity>

Isto permite que o utilizador selecioneAuditoria de Gestão> de Conformidade no EAC para executar qualquer um dos relatórios. O usuário também pode exportar o log de auditoria de caixa de correio e exportar e exibir o log de auditoria do administrador.

Observação

Para permitir que um usuário execute relatórios de auditoria, mas não exporte logs de auditoria, use o comando anterior para atribuir a função Logs de Auditoria Somente para Exibição.

Configurar o Outlook Web App para permitir anexos de XML

Quando você exporta o log de auditoria de caixas de correio ou o log de auditoria de administrador, o Microsoft Exchange anexa o log de auditoria, que é um arquivo XML, a um email. No entanto, o Outlook Web App bloqueia anexos XML por padrão. Se você quiser usar o Outlook Web App para acessar esses logs de auditoria, você terá que configurar o Outlook Web App para permitir anexos em XML.

Execute o comando a seguir para permitir anexos XML no Outlook Web App.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'

Compartilhar via