Auditoría administrativa en Exchange 2010 / 2013

Publicado el 07 diciembre 2014 por Aprendiendoexchange
Facebook0LinkedIn0Google+0Twitter01 of 2

En Exchange 2010 / 2013 tenemos 2 tipos de auditoría; una asociada a lo que sucede con los buzones de usuarios y otra en relación a las acciones que realiza un usuario administrativo sobre algún aspecto del sistema. En esta entrada nos vamos a enfocar en el segundo caso.

La auditoría sobre acciones administrativas en Exchange viene habilitada de forma predeterminada tanto en Exchange 2010 como en Exchange 2013. Lo importante en este caso es evitar cuentas genéricas para administrar el sistema, de lo contrario esta característica perdería mucho valor por decirlo de algún modo.

A tener en cuenta que cada acción que realizamos en Exchange 2010 / 2013 independientemente de la interfaz utilizada, por detrás termina siendo un comando del shell de Exchange (EMS), en definitiva, lo que vamos a encontrar en estos logs son los comandos que fueron ejecutados sobre un objeto del sistema. Este objeto puede ser un conector, un buzón, un grupo, una base, etc, básicamente todo lo que un usuario con permisos pueda afectar en la organización de Exchange.

En este artículo vamos a profundizar en los siguientes aspectos:

  • Revisar la configuración de auditoría
  • Cómo buscar dentro de los logs de auditoría
  • Casos de uso de ejemplo

Dentro de los casos de uso a ver se incluye:

  1. Quién eliminó un buzón?
  2. Quién eliminó una base de datos?
  3. Quién modificó un conector de envío?
  4. Quién modificó o eliminó un certificado de Exchange?

Cómo ver la configuración de auditoría administrativa?

Para ver la configuración actual de la auditoría ejecutamos el siguiente comando:

Get-AdminAuditLogConfig

Ahora vamos a ejecutar el mismo comando pero seleccionando los valores específicos que nos puedan interesar:

Get-AdminAuditLogConfig | FL *log*

Ahora si tenemos información interesante:

  • Vemos que la auditoría se encuentra habilitada
  • Los comandos de test no son registrados (por ejemplo test-servicehealth). Tener en cuenta que los comandos de Get o Search tampoco se registran
  • Se registran todos los comandos y todos los parámetros (salvo las excepciones mencionadas)
  • Se guarda el log por 90 días (esto lo hace en un buzón de sistema)

Información básica que vamos a encontrar dentro de los logs:

  • Quién hizo un cambio
  • Qué objeto fue modificado
  • La fecha del cambio
  • Que comando y parámetros fueron utilizados

Cómo buscamos dentro de los logs de auditoría de Exchange?

Para buscar dentro de los logs de auditoría de Exchange podemos utilizar el ECP en Exchange 2010, el EAC en Exchange 2013, pero ninguno de los 2 casos es tan flexible como a través del shell. Dado que este artículo aplica a ambas versiones de Exchange voy a utilizar el EMS, de cualquier modo les dejo una captura de pantalla indicando donde pueden encontrar estas opciones en cada versión:

Auditoría en el ECP de Exchange 2010:

Roles & Auditing –> Auditing –> Export the administrator audit log..

Auditoría en el EAC de Exchange 2013:

Administración de cumplimiento –> Auditoría –> …..registro de auditoría del administrador..

Volviendo al shell de Exchange, tenemos 2 comandos para realizar búsquedas dentro de los logs de auditoría:

Ambos utilizarían parámetros similares, la diferencia importante para un administrador es que el comando New-AdminAuditLogSearch lleva un parámetro adicional indicando una dirección de correo a donde enviar el reporte. Como esto demora un poco más, a lo largo del artículo vamos a usar el comando Search-AdminAuditLog ya que nos permite ver la salida de forma interactiva dentro del shell de Exchange.

Next1 of 2Facebook0LinkedIn0Google+0Twitter0