Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use este artículo para investigar los mensajes de correo electrónico que faltan en Exchange Online e identificar quién los eliminó. Guía a los administradores mediante el uso del registro de auditoría de Microsoft Purview y Exchange Online PowerShell para localizar eventos de eliminación, analizar configuraciones de buzones, comprobar la actividad de retención y migración y determinar si las reglas de buzón de correo o el acceso a buzones compartidos provocaron la pérdida.
Use estos métodos para investigar:
- Correos electrónicos eliminados por usuarios o administradores
- Faltan correos electrónicos después de problemas de migración o sincronización
- Correos electrónicos eliminados por reglas de buzón o directivas de retención
- Correos electrónicos eliminados de buzones compartidos
- Los correos electrónicos no aparecen en las carpetas esperadas
Antes de empezar
Para investigar los correos electrónicos eliminados y los mensajes que faltan, necesita:
- El rol Registros de auditoría asignado en Microsoft Purview
- Para conectarse a Exchange Online PowerShell mediante Connect-ExchangeOnline
Identificación de correos electrónicos eliminados
Use los métodos siguientes para investigar los correos electrónicos que faltan e identificar las actividades de eliminación. Elija el método en función del tipo de eliminación que esté investigando.
Búsqueda de correos electrónicos eliminados por tipo de operación
Use este método para buscar las siguientes operaciones:
- SoftDelete: elementos movidos a la carpeta Elementos eliminados.
- HardDelete: los elementos se quitan permanentemente del buzón.
- MoveToDeletedItems: elementos movidos a la carpeta Elementos eliminados por acción del usuario.
Para buscar registros de auditoría de eliminaciones de correo electrónico mediante operaciones de eliminación específicas, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Reemplace por <user1,user2> las direcciones de correo electrónico de usuario. Especifique varios usuarios separando los nombres de usuario con comas.
Búsqueda de eliminaciones de buzones compartidos
Para investigar las eliminaciones de buzones compartidos, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <sharedmailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Nota:
Es posible que la auditoría de buzones compartidos no esté habilitada de forma predeterminada. Si esta búsqueda no devuelve resultados, consulte Auditoría de buzones compartidos no configurada para habilitar la auditoría.
Búsqueda de correos electrónicos que faltan mediante palabras clave
Este método ayuda a identificar los registros de eliminación de correos electrónicos con temas o contenido específicos.
Para buscar registros de auditoría relacionados con correos electrónicos específicos que faltan, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText "<email subject or keyword>" -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Búsqueda de actividades completas de correo electrónico
Esta búsqueda más amplia incluye movimientos y actualizaciones que podrían explicar la falta de correos electrónicos.
Para buscar todas las actividades que afectan a la visibilidad del correo electrónico, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems,Move,Update,Create -ResultSize 1000
Descripción de los resultados de la búsqueda
No obtener resultados de las búsquedas de auditoría puede proporcionar información importante sobre lo que no ha hecho que falten correos electrónicos:
- Operaciones de eliminación no encontradas: descarta las eliminaciones iniciadas por el usuario durante el período de tiempo.
- Ninguna acción de directiva de retención: indica que las directivas automatizadas no eliminaron los correos electrónicos.
- Sin actividades de migración: muestra que los procesos de migración no quitaron los correos electrónicos.
- Sin acciones de administrador: confirma que los administradores no realizaron operaciones masivas.
Nota:
Documento en el que las búsquedas no devuelven resultados. Esta información ayuda a reducir la causa principal mediante la eliminación de posibles causas.
Faltan resultados de búsqueda
Si las búsquedas de registros de auditoría no encuentran registros de eliminación para los correos electrónicos que faltan, pruebe los pasos siguientes.
Faltan correos electrónicos sin registros de auditoría de eliminación
Siga estos pasos para investigar cuándo faltan correos electrónicos, pero no se encuentran registros de auditoría de eliminación.
Compruebe si se ha habilitado la auditoría cuando se produjo la eliminación.
Get-Mailbox <mailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,WhenCreatedHabilite una auditoría completa para la supervisión futura.
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems","Move","Create","Update"}Busque acciones de directiva de retención que puedan quitar correos electrónicos.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations TaggedAsRecord,ApplyRetentionTag -ResultSize 1000Si este comando no devuelve ningún resultado, indica que las directivas de retención no eliminaron automáticamente los correos electrónicos durante el período de tiempo especificado. Esta información le ayuda a descartar eliminaciones automatizadas basadas en directivas como causa de que falten correos electrónicos.
Auditoría de buzones compartidos no configurada
Siga estos pasos para habilitar la auditoría de buzones compartidos cuando no se encuentren registros de eliminación.
Compruebe la configuración de auditoría actual del buzón compartido.
Get-Mailbox <sharedmailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,AuditAdminHabilite la auditoría completa para el buzón compartido.
Set-Mailbox <sharedmailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems"} -AuditDelegate @{Add="SoftDelete","HardDelete","MoveToDeletedItems","SendAs","Move"}Busque actividades por parte de los usuarios con acceso al buzón compartido.
Get-MailboxPermission <sharedmailbox> | Where {$_.User -ne "NT AUTHORITY\SELF"} | ForEach { Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds $_.User -Operations SoftDelete,HardDelete -ResultSize 100 }
Investigación de pérdida de correo electrónico relacionada con la migración
En los pasos siguientes se muestra cómo investigar los correos electrónicos perdidos durante los procesos de migración.
Busque actividades relacionadas con la migración durante el período de tiempo de migración.
Search-UnifiedAuditLog -StartDate <migration_start_date> -EndDate <migration_end_date> -UserIds <user1,user2> -FreeText "<migration subject or keyword>" -ResultSize 1000
Procedimientos de investigación avanzados
Los procedimientos siguientes muestran cómo realizar análisis detallados cuando las búsquedas estándar no revelan la causa de que falten correos electrónicos.
Análisis de reglas de buzón de correo que podrían eliminar correos electrónicos
Si sospecha que las reglas de buzón hacen que los correos electrónicos se eliminen o muevan a carpetas inesperadas, use los siguientes procedimientos de investigación de reglas de buzón dedicados.
Sugerencia
Para obtener una investigación completa de reglas de buzón de correo, vea Identificar quién modificó las reglas de buzón para obtener instrucciones detalladas sobre cómo identificar quién creó, modificó o eliminó reglas de buzón que podrían afectar a la entrega de correo electrónico.
Investigación de directivas de retención y cumplimiento
Para comprobar si las directivas de cumplimiento provocan la eliminación de correo electrónico, ejecute los siguientes comandos:
Compruebe las directivas de retención aplicadas al buzón de correo.
Get-Mailbox <mailbox> | Select RetentionPolicy,LitigationHoldEnabled,RetainDeletedItemsForBusque eliminaciones relacionadas con el cumplimiento.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations ComplianceSettingChanged,RetentionPolicyApplied -ResultSize 1000
Comprobación de las acciones de administrador
Para comprobar si los administradores realizaron acciones que afectaron a los correos electrónicos, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations Remove-MailboxFolderPermission,Set-Mailbox,New-MailboxExportRequest,New-MailboxImportRequest -ResultSize 1000
Referencia rápida
Operaciones clave para investigar eliminaciones
| Operación | Descripción | Caso de uso |
|---|---|---|
| ApplyRetentionTag | Directiva de retención aplicada a elementos | Acciones de directiva automatizadas |
| HardDelete | Elementos eliminados permanentemente del buzón | Eliminaciones permanentes, investigación de segundo nivel |
| Mover | Elementos movidos entre carpetas | Investigar los cambios de carpeta |
| MoveToDeletedItems | Elementos movidos a elementos eliminados por acción del usuario | Movimientos iniciados por el usuario a elementos eliminados |
| SoftDelete | Elementos movidos a la carpeta Elementos eliminados | Eliminaciones de usuarios, investigación de primer nivel |
| TaggedAsRecord | Elementos marcados para la retención | Acciones relacionadas con el cumplimiento |
Parámetros de búsqueda para investigar eliminaciones
| Parámetro | Descripción | Ejemplo |
|---|---|---|
| -FreeText | Búsqueda de identificadores de correo electrónico específicos | <email subject or unique identifier> |
| -Operations | Filtrar por tipos de actividad de eliminación | SoftDelete,HardDelete,MoveToDeletedItems |
| -ResultSize | Número de resultados que se van a devolver | 1000 (estándar), 5 000 (completo) |
| -StartDate/-EndDate | Definición del período de tiempo de investigación | En función de cuándo faltaron los correos electrónicos |
| -UserIds | Filtrar por quién realizó la acción | <user1@domain.com,user2@domain.com> |
Pasos siguientes
- Use MailItemsAccessed para investigar cuentas en peligro: investigue si las eliminaciones forman parte de un riesgo de cuenta más amplio.
- Identificar quién modificó las reglas de buzón: compruebe si las reglas de buzón están eliminando o reenviando mensajes automáticamente.
- Exportar, configurar y ver registros de auditoría: exporte los resultados de la investigación para la conservación de informes o pruebas.