Pesquisar log de atividades do administrador de auditoria usando o PowerShell

O cmdlet Search-AdminAuditLog é usado para recuperar logs de todas as atividades de administrador e usuário realizadas em uma caixa de correio específica em seu ambiente híbrido do Exchange.

Exemplos de cmdlets Search-Adminauditlog:

Esse cmdlet ajuda a encontrar as entradas de log do administrador onde o cmdlet Set-Mailbox foi acionado com UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota e ProhibitSendQuota. Assim, qualquer ação realizada relacionada à modificação ou definição de limites de cota será listada.

Esse cmdlet retorna entradas no log de auditoria do administrador do Exchange Online entre 1º de janeiro e 1º de dezembro.

Recuperar logs de auditoria é uma tarefa complicada. Quando você tem necessidades específicas, canalizar os cmdlets com vários parâmetros para personalizar sua pesquisa pode criar mais problemas e você ainda pode não obter o resultado desejado. O Exchange Reporter Plus, uma ferramenta de relatórios, auditoria de alterações e monitoramento do Exchange, oferece vários relatórios sobre atividades administrativas para plataformas Exchange Server e Exchange Online. Além disso, a ferramenta oferece a opção de adicionar novos parâmetros ao cmdlet e auditar todas as alterações necessárias.

Obter insights sobre atividades administrativas usando o Exchange Reporter Plus:

O Exchange Reporter Plus oferece vários relatórios de log de auditoria do administrador para ajudá-lo a acompanhar todas as atividades e alterações realizadas em seu ambiente híbrido do Exchange.

Para Exchange Server:

• Alterações nas permissões da caixa de correio
• Alterações na cota de armazenamento da caixa de correio
• Solicitação de movimentação de caixa de correio
• Criar e excluir caixa de correio
• Enviar e receber alterações no conector
• Alterações no log circular
• Alterações nas configurações de transporte de hub
• Resumo dos cmdlets

Para Exchange Server:

• Atividades por administradores do Exchange

Etapas para buscar relatórios de log de auditoria de administrador no Exchange Reporter Plus:

1. Vá para a guia Auditoria no painel superior.
2. Navegue até Exchange Server > Auditoria avançada > Log de auditoria do administrador. .

Observação: Ou navegue até Exchange Online > Atividade do Exchange > Atividades por administradores do Exchange.(para Exchange Online).

3. Selecione um relatório adequando da lista de relatórios disponíveis.
4. Insira o período para a geração de relatórios.
5. Selecione o tipo de exibição no qual deseja que o relatório seja apresentado. (Exibição resumida, padrão ou personalizada).
6. Para Exchange Online, selecione os domínios para os quais você deseja gerar o relatório e navegue até a guia Atividade do administrador no relatório gerado.

Por que o Exchange Reporter Plus?

• Agendamento de relatórios:  Gere relatórios automaticamente em horários agendados e envie-os ao pessoal envolvido, como administradores e gerentes de TI, por e-mail.
• Acesso rápido e opções de exportação: Adicione relatórios à sua lista de favoritos para acessá-los facilmente; Exporte também relatórios em diferentes formatos de arquivo, como PDF, HTML, XLS e CSV.
• Opções de filtro e alerta: Adicione ou remova colunas de relatórios para visualizar informações relevantes às suas necessidades. Use opções de filtros avançados para personalizar sua pesquisa e configurar alertas em tempo real para ações específicas de interesse.
• Delegação de técnico: Delegue diferentes relatórios a diferentes técnicos. Tenha controle sobre quem tem acesso a quê. Você também pode proteger seus relatórios com senhas.
• Relatórios fáceis de analisar: Gere relatórios periodicamente, por domínio, por locatário ou obtenha um resumo geral conforme desejar. Obtenha representação gráfica e em painel de dados analíticos complexos.
• Encaminhamento de log para soluções SIEM: Faça a integração com outras soluções SIEM, como o Splunk, e encaminhe logs para elas para fins analíticos.