Cómo habilitar el registro de auditoría del buzón en Exchange y Microsoft 365

Configurar el registro de auditoría para buzones de Exchange (tanto online como local) es prácticamente imprescindible si quieres controlar quién hace qué. Sobre todo si tu equipo comparte buzones o si simplemente te preocupan los errores al eliminar correos electrónicos. Sinceramente, a veces parece que necesitas un detective para averiguar quién está eliminando o moviendo ese correo tan importante. Por suerte, tanto Exchange Online como los servidores Exchange locales cuentan con herramientas integradas para registrar estas actividades, pero la clave está en los detalles. Probablemente te topes con algunos problemas si no estás familiarizado con los comandos o las configuraciones, así que aquí tienes una guía práctica que podría ayudarte cuando necesites averiguar quién envió ese correo a la papelera.

Cómo habilitar y revisar el registro de auditoría del buzón en Exchange

Habilitar el registro de auditoría en Microsoft 365 (Office 365)

En primer lugar, si usas Microsoft 365, el registro de auditoría está prácticamente habilitado de forma predeterminada desde finales de 2018. Sin embargo, conviene comprobarlo, ya que en algunos inquilinos, especialmente si has experimentado con las configuraciones o si se trata de una configuración nueva, podría no estar activado. Comprobar esto ayuda a evitar la frustración de que «no se registre nada» más adelante.

  1. Conéctese mediante PowerShell con el módulo Exchange Online V3. Si no lo tiene instalado, descárguelo de la Galería de PowerShell. Luego, ejecute:
  2. Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true

Esto le llevará a la sesión de PowerShell de Exchange Online. Una vez conectado, compruebe si el registro de auditoría está habilitado a nivel de organización:

Get-OrganizationConfig | Format-List AuditDisabled

Si AuditDisabled indica False, el registro de auditoría está activado para el inquilino. Si no, puede habilitarlo, pero en la mayoría de los casos, ya está activo.

Para verificar qué buzones tienen la auditoría activada, ejecute:

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Select UserPrincipalName, AuditEnabled

En muchas configuraciones, verá que sí, pero conviene confirmarlo antes de analizar registros más detallados. Si desea deshabilitar o habilitar la auditoría para un buzón específico, utilice:

Set-Mailbox [email protected] -AuditEnabled $true

o para apagarlo:

Set-Mailbox [email protected] -AuditEnabled $false

Los niveles de auditoría se pueden personalizar para las acciones del propietario, administrador o delegado, por lo que no es una cuestión de todo o nada. Por ejemplo, para configurar las acciones que se registran en un buzón:

Set-Mailbox [email protected] -AuditOwner HardDelete, SoftDelete, MoveToDeletedItems

De esa manera, solo actividades específicas activan entradas de auditoría, lo que le evita ahogarse en registros.

¿Quieres comprobar la configuración de auditoría actual? Ejecuta:

Get-Mailbox [email protected] | Select-Object -ExpandProperty AuditOwner

Los registros se almacenan en la carpeta Auditorías dentro de cada buzón, pero no espere ver estas carpetas en Outlook ni en OWA. En su lugar, use comandos de PowerShell para obtener estadísticas o exportar registros.

También puedes comprobar el tamaño de tus registros de auditoría en un buzón con:

Get-MailboxFolderStatistics -Identity [email protected] | where {$_. FolderType -eq 'Audits'} | ft Identity, ItemsInFolder, FolderSize –auto

Habilitar el registro de auditoría del buzón en Exchange Server (local)

Si aún conserva la antigua configuración local de Exchange (por ejemplo, 2010 SP1+), deberá habilitarla manualmente, ya que está deshabilitada por defecto. El primer paso es conectarse a su servidor Exchange mediante PowerShell:

$Session = New-PSSession -ConfigurationName Microsoft. Exchange -ConnectionUri http://your-exchange-server/PowerShell/ -Authentication Kerberos -Credential (Get-Credential) Import-PSSession $Session

Una vez conectado, habilite el registro para buzones específicos. Para un buzón rápido:

Set-Mailbox [email protected] -AuditEnabled $true

O bien, para activarlo para todos los buzones de correo de su organización:

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Un pequeño consejo: no habilites todas las actividades para cada buzón; la actividad puede volverse extremadamente rápida y los registros masivos pueden ocupar espacio en disco. Es mejor supervisar acciones específicas, como la eliminación o el traslado de elementos:

Set-Mailbox [email protected] -AuditOwner SoftDelete, HardDelete, MoveToDeletedItems

De esta manera, no te ahogas en registros y obtienes la información que realmente necesitas.

Puede limitar el tiempo que permanecen los registros de auditoría con:

Set-Mailbox [email protected] -AuditLogAgeLimit 30

Mantener los registros manejables ayuda a prevenir problemas de almacenamiento, especialmente en entornos más grandes.

Cómo averiguar quién eliminó o movió un mensaje en un buzón compartido

Aquí es donde resulta útil: si alguien borra algo importante en un buzón compartido o de equipo. El Search-MailboxAuditLogcomando es tu aliado, pero no siempre es fácil usarlo ni saber qué filtros son los más adecuados.

Comando de ejemplo para encontrar quién eliminó o movió elementos desde el 1 de febrero:

Search-MailboxAuditLog -Identity [email protected] -StartDate 2/1/2022 -ShowDetails | ft MailboxOwnerUPN, LogonType, LogonUserDisplayName, Operation, OperationResult, FolderPathName

Sí, puede tardar un poco dependiendo del nivel de actividad, pero con el tiempo verás al culpable. Para búsquedas más específicas, filtra por tipo de operación, como HardDeleteo MoveToDeletedItems:

Search-MailboxAuditLog -Identity [email protected] -StartDate 2/2/2022 -EndDate 2/8/2022 –LogonTypes Delegate, Admin | Where-Object {$_. Operation -like "*Delete*"} | ft

Si necesita ejecutar búsquedas regulares en segundo plano sin ocupar su consola, el New-MailboxAuditLogSearchcomando le permite iniciar búsquedas que se ejecutan en segundo plano y le envían informes.

También puedes ver los registros de auditoría desde el Centro de cumplimiento de Microsoft 365. Es un poco más visual y fácil de navegar si no tienes conocimientos de CLI.

De cualquier manera, la auditoría requiere cierta configuración, pero vale la pena cuando se necesita rastrear quién hizo qué. A veces, ese correo electrónico eliminado o esa carpeta movida son la clave para comprender problemas de seguridad o cumplimiento más importantes.

Resumen

  • Compruebe si el registro de auditoría está habilitado para su inquilino/buzones de correo
  • Habilite el registro de auditoría en buzones individuales si es necesario
  • Personalice los niveles de auditoría para evitar registros masivos y centrarse en lo que importa
  • Utilice comandos como Search-MailboxAuditLogo el Centro de cumplimiento para investigaciones

Resumen

Hacer que los registros de auditoría funcionen puede parecer complicado al principio (comandos de PowerShell, configuración, filtros), pero es muy útil cuando necesitas averiguar quién eliminó un correo electrónico importante. Una vez configurado correctamente, se convierte en tu red de seguridad, asegurándote de saber qué sucede dentro de tus buzones, especialmente los compartidos. No sé por qué funciona, pero con una configuración, es como magia.¡Crucemos los dedos para que esto ayude a evitar largas horas de adivinación!