Configurar el registro de auditoría para buzones de Exchange (tanto online como local) es prácticamente imprescindible si quieres controlar quién hace qué. Sobre todo si tu equipo comparte buzones o si simplemente te preocupan los errores al eliminar correos electrónicos. Sinceramente, a veces parece que necesitas un detective para averiguar quién está eliminando o moviendo ese correo tan importante. Por suerte, tanto Exchange Online como los servidores Exchange locales cuentan con herramientas integradas para registrar estas actividades, pero la clave está en los detalles. Probablemente te topes con algunos problemas si no estás familiarizado con los comandos o las configuraciones, así que aquí tienes una guía práctica que podría ayudarte cuando necesites averiguar quién envió ese correo a la papelera.
Cómo habilitar y revisar el registro de auditoría del buzón en Exchange
Habilitar el registro de auditoría en Microsoft 365 (Office 365)
En primer lugar, si usas Microsoft 365, el registro de auditoría está prácticamente habilitado de forma predeterminada desde finales de 2018. Sin embargo, conviene comprobarlo, ya que en algunos inquilinos, especialmente si has experimentado con las configuraciones o si se trata de una configuración nueva, podría no estar activado. Comprobar esto ayuda a evitar la frustración de que «no se registre nada» más adelante.
- Conéctese mediante PowerShell con el módulo Exchange Online V3. Si no lo tiene instalado, descárguelo de la Galería de PowerShell. Luego, ejecute:
Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true
Esto le llevará a la sesión de PowerShell de Exchange Online. Una vez conectado, compruebe si el registro de auditoría está habilitado a nivel de organización:
Get-OrganizationConfig | Format-List AuditDisabled
Si AuditDisabled indica False, el registro de auditoría está activado para el inquilino. Si no, puede habilitarlo, pero en la mayoría de los casos, ya está activo.
Para verificar qué buzones tienen la auditoría activada, ejecute:
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Select UserPrincipalName, AuditEnabled
En muchas configuraciones, verá que sí, pero conviene confirmarlo antes de analizar registros más detallados. Si desea deshabilitar o habilitar la auditoría para un buzón específico, utilice:
Set-Mailbox [email protected] -AuditEnabled $true
o para apagarlo:
Set-Mailbox [email protected] -AuditEnabled $false
Los niveles de auditoría se pueden personalizar para las acciones del propietario, administrador o delegado, por lo que no es una cuestión de todo o nada. Por ejemplo, para configurar las acciones que se registran en un buzón:
Set-Mailbox [email protected] -AuditOwner HardDelete, SoftDelete, MoveToDeletedItems
De esa manera, solo actividades específicas activan entradas de auditoría, lo que le evita ahogarse en registros.
¿Quieres comprobar la configuración de auditoría actual? Ejecuta:
Get-Mailbox [email protected] | Select-Object -ExpandProperty AuditOwner
Los registros se almacenan en la carpeta Auditorías dentro de cada buzón, pero no espere ver estas carpetas en Outlook ni en OWA. En su lugar, use comandos de PowerShell para obtener estadísticas o exportar registros.
También puedes comprobar el tamaño de tus registros de auditoría en un buzón con:
Get-MailboxFolderStatistics -Identity [email protected] | where {$_. FolderType -eq 'Audits'} | ft Identity, ItemsInFolder, FolderSize –auto
Habilitar el registro de auditoría del buzón en Exchange Server (local)
Si aún conserva la antigua configuración local de Exchange (por ejemplo, 2010 SP1+), deberá habilitarla manualmente, ya que está deshabilitada por defecto. El primer paso es conectarse a su servidor Exchange mediante PowerShell:
$Session = New-PSSession -ConfigurationName Microsoft. Exchange -ConnectionUri http://your-exchange-server/PowerShell/ -Authentication Kerberos -Credential (Get-Credential) Import-PSSession $Session
Una vez conectado, habilite el registro para buzones específicos. Para un buzón rápido:
Set-Mailbox [email protected] -AuditEnabled $true
O bien, para activarlo para todos los buzones de correo de su organización:
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true
Un pequeño consejo: no habilites todas las actividades para cada buzón; la actividad puede volverse extremadamente rápida y los registros masivos pueden ocupar espacio en disco. Es mejor supervisar acciones específicas, como la eliminación o el traslado de elementos:
Set-Mailbox [email protected] -AuditOwner SoftDelete, HardDelete, MoveToDeletedItems
De esta manera, no te ahogas en registros y obtienes la información que realmente necesitas.
Puede limitar el tiempo que permanecen los registros de auditoría con:
Set-Mailbox [email protected] -AuditLogAgeLimit 30
Mantener los registros manejables ayuda a prevenir problemas de almacenamiento, especialmente en entornos más grandes.
Cómo averiguar quién eliminó o movió un mensaje en un buzón compartido
Aquí es donde resulta útil: si alguien borra algo importante en un buzón compartido o de equipo. El Search-MailboxAuditLogcomando es tu aliado, pero no siempre es fácil usarlo ni saber qué filtros son los más adecuados.
Comando de ejemplo para encontrar quién eliminó o movió elementos desde el 1 de febrero:
Search-MailboxAuditLog -Identity [email protected] -StartDate 2/1/2022 -ShowDetails | ft MailboxOwnerUPN, LogonType, LogonUserDisplayName, Operation, OperationResult, FolderPathName
Sí, puede tardar un poco dependiendo del nivel de actividad, pero con el tiempo verás al culpable. Para búsquedas más específicas, filtra por tipo de operación, como HardDeleteo MoveToDeletedItems:
Search-MailboxAuditLog -Identity [email protected] -StartDate 2/2/2022 -EndDate 2/8/2022 –LogonTypes Delegate, Admin | Where-Object {$_. Operation -like "*Delete*"} | ft
Si necesita ejecutar búsquedas regulares en segundo plano sin ocupar su consola, el New-MailboxAuditLogSearchcomando le permite iniciar búsquedas que se ejecutan en segundo plano y le envían informes.
También puedes ver los registros de auditoría desde el Centro de cumplimiento de Microsoft 365. Es un poco más visual y fácil de navegar si no tienes conocimientos de CLI.
De cualquier manera, la auditoría requiere cierta configuración, pero vale la pena cuando se necesita rastrear quién hizo qué. A veces, ese correo electrónico eliminado o esa carpeta movida son la clave para comprender problemas de seguridad o cumplimiento más importantes.
Resumen
- Compruebe si el registro de auditoría está habilitado para su inquilino/buzones de correo
- Habilite el registro de auditoría en buzones individuales si es necesario
- Personalice los niveles de auditoría para evitar registros masivos y centrarse en lo que importa
- Utilice comandos como
Search-MailboxAuditLogo el Centro de cumplimiento para investigaciones
Resumen
Hacer que los registros de auditoría funcionen puede parecer complicado al principio (comandos de PowerShell, configuración, filtros), pero es muy útil cuando necesitas averiguar quién eliminó un correo electrónico importante. Una vez configurado correctamente, se convierte en tu red de seguridad, asegurándote de saber qué sucede dentro de tus buzones, especialmente los compartidos. No sé por qué funciona, pero con una configuración, es como magia.¡Crucemos los dedos para que esto ayude a evitar largas horas de adivinación!