AprendiendoExchange.com

Un sitio sobre Microsoft Exchange y tecnologías afines en español

Operaciones en Exchange

Acceso no autorizado. Para acceder al contenido complete el registro haciendo clic aquí.

Mantenimiento de Exchange

Acceso no autorizado. Para acceder al contenido complete el registro haciendo clic aquí.

Sobre auditoría de buzones

En la lección vemos sobre auditoría administrativa, esta viene habilitada de forma predeterminada y registra todos los cambios que suceden a nivel administrativo.

Por otro lado tenemos la posibilidad de auditar lo que sucede a nivel de buzones como vimos en la lección 4 del módulo 5.

Por ejemplo, quién elimino un mensaje? qué usuarios abrieron un buzón compartido? quién envió como si fuera alguien más?

Como vimos, esto viene deshabilitado de forma predeterminada y lo podemos habilitar ejecutando Set-Mailbox con el parámetro AuditEnabled en $true. Por ejemplo para habilitar la auditoría sobre el buzón de Juan Perez:

Set-Mailbox «Juan Perez» -AuditEnabled $true

Una vez habilitada, por defecto se guardan los últimos 90 días en una parte oculta del buzón dentro de Recoverable Items – Audits.

A este nivel tenemos 3 categorías:

  • AuditAdmin. Esto auditaría el acceso por ejemplo cuando se exporta a PST o en búsquedas centralizadas (eDiscovery) entre otros.
  • AuditDelegate. Esto audita el acceso de delegados.
  • AuditOwner. Esto auditaría las acciones del propietario.

Las acciones que podemos auditar son las siguientes:

  • Update
  • Copy
  • Move
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete
  • FolderBind
  • SendAs
  • SendOnBehalf
  • MessageBind

De forma predeterminada una vez habilitada la auditoría se registran acciones a nivel administrativo y sobre delegados, es decir que no se audita al propietario y esto en caso de ser requerido debe ser configurado de forma explicita, para ver exactamente que se audita podemos ejecutar:

Get-Mailbox «Juan Perez» | Fl audit*

Cómo buscar en el log de auditoría?

Para acceder a la información registrada de forma interactiva desde el shell podemos utilizar Search-MailboxAuditLog, por ejemplo:

Search-MailboxAuditLog -Identity «Juan Perez»

Si por ejemplo quisieramos ver todos los accesos por parte de no propietarios podríamos utilizar el Exchange Admin Center:

Compliance Management – Auditing – Run a non-owner mailbox access report…

Resolución de problemas en Exchange

Acceso no autorizado. Para acceder al contenido complete el registro haciendo clic aquí.

Módulo Anterior

Curso Siguiente

Copyright 2025 AprendiendoExchange.com