Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365

Aquí se muestra el proceso para buscar el registro de auditoría en Office 365.

Paso 1: Ejecutar una búsqueda de registros de auditoría

Paso 2: Ver los resultados de la búsqueda

Paso 3: Filtrar los resultados de la búsqueda

Paso 4: Exportar los resultados de búsqueda a un archivo

Vea la sección Antes de empezar para conocer los requisitos previos necesarios para buscar el registro de auditoría de Office 365.

Paso 1: Ejecutar una búsqueda de registros de auditoría

  1. Vaya a https://protection.office.com.

  2. Inicie sesión en Office 365 con su cuenta profesional o educativa.

  3. En el panel izquierdo, haga clic en Búsqueda e investigación y, después, haga clic en Búsqueda de registros de auditoría.

    Se muestra la página Búsqueda de registros de auditoría.

    Configure los criterios y, a continuación, haga clic en Buscar para ejecutar el informe.

    Nota: Primero tiene que activar el registro de auditoría antes de que pueda ejecutar una búsqueda de registros de auditoría. Si se muestra el vínculo Iniciar la grabación de la actividad administrativa y de usuario, haga clic en él para activar la auditoría. Si no ve este vínculo, la auditoría ya se ha activado para la organización.

  4. Configurar los siguientes criterios de búsqueda:

    1. Actividades Haga clic en la lista desplegable para mostrar las actividades que puede buscar. Las actividades administrativas y de usuario se organizan en grupos de actividades relacionadas. Puede seleccionar actividades específicas o puede hacer clic en el nombre del grupo de actividades para seleccionar todas las actividades del grupo. También puede hacer clic en una actividad seleccionada para borrar la selección. Después de que ejecute la búsqueda, solo se muestran las entradas del registro de auditoría de las actividades seleccionadas. Al seleccionar Mostrar los resultados de todas las actividades, se mostrarán los resultados de todas las actividades que el usuario o el grupo de usuarios seleccionado ha realizado.

      Se registran más de 100 actividades administrativas y de usuario en el registro de auditoría de Office 365. Haga clic en la ficha Actividades auditadas en el tema de este artículo para ver las descripciones de todas las actividades en cada uno de los diferentes servicios de Office 365.

    2. Fecha de inicio y Fecha de finalización Los últimos siete días se seleccionan de manera predeterminada. Seleccione un intervalo de fecha y hora para mostrar los eventos que han sucedido en ese período. La fecha y la hora se presentan en formato de Hora universal coordinada (UTC). El intervalo máximo de fecha que puede especificar es 90 días. Se muestra un error si el intervalo de fecha seleccionado es superior a 90 días.

      Sugerencia: Si está usando el intervalo de fecha máximo de 90 días, seleccione la hora actual para la Fecha de inicio. De otro modo, recibirá un error que dice que la fecha de inicio es anterior a la fecha de finalización. Si ha activado la auditoría en los últimos 90 días, el intervalo máximo de fecha no puede comenzar antes de la fecha en la que se ha activado la auditoría.

    3. Usuarios Haga clic en este cuadro y, después, seleccione uno o más usuarios para mostrarles los resultados de búsqueda. Las entradas del registro de auditoría de la actividad seleccionada que han realizado los usuarios que selecciona en este cuadro se muestran en la lista de resultados. Deje este cuadro en blanco para devolver las entradas de todos los usuarios (y cuentas de servicio) de su organización.

    4. Archivo, carpeta o sitio Escriba algunos o todos los nombres de carpeta o archivo para buscar actividades en el archivo de la carpeta que contengan la palabra clave especificada. También puede especificar una dirección URL del sitio o parte de ella para mostrar las entradas para las actividades de cualquier objeto en la ruta de acceso de la dirección URL especificada. Tenga en cuenta que los caracteres especiales como barras (/), barras inversas (\), guión (-) y guión bajo (_) no se admiten en la consulta de búsqueda. Asegúrese de reemplazar los caracteres especiales por un espacio en blanco. Por ejemplo, para buscar actividad en un sitio de OneDrive para la Empresa, como https://contoso-mysharepoint.com/personal/sarad_contoso_onmicrosoft_com, puede escribir lo siguiente en este campo de búsqueda: personal sarad contoso.

      Deje este cuadro en blanco para devolver las entradas de todos los archivos, carpetas y direcciones URL de su organización.

  5. Haga clic en Búsqueda para ejecutar la búsqueda mediante sus criterios de búsqueda.

    Los resultados de búsqueda se cargan y, después de unos minutos, se muestran en Resultados. Cuando finaliza la búsqueda, se muestra el número de resultados que se ha encontrado. Tenga en cuenta que se mostrarán un máximo de 5000 eventos en la pestaña Resultados en incrementos de 150 eventos. Si más de 5000 eventos cumplen los criterios de búsqueda se mostrarán los 5000 más recientes.

    El número de resultados se muestra cuando haya terminado la búsqueda

Volver al principio

Sugerencias para buscar el registro de auditoría

  • Puede seleccionar actividades específicas para buscar al hacer clic en el nombre de la actividad. O puede buscar todas las actividades de un grupo (como Actividades de archivos y carpetas) al hacer clic en el nombre de grupo. Si se selecciona una actividad, puede hacer clic en ella para cancelar la selección. También puede usar el cuadro de búsqueda para mostrar las actividades que contengan la palabra clave que escriba.

    Haga clic en el nombre de grupo de actividades para seleccionar todas las actividades
  • Tiene que seleccionar Mostrar resultados para todas las actividades en la lista Actividades para mostrar los eventos del registro de auditoría de administración de Exchange. Los eventos de este registro de auditoría muestran un nombre de cmdlet (por ejemplo, Set-Mailbox) en la columna Actividad de los resultados. Para obtener más información, haga clic en la ficha Actividades auditadas de este tema y después en Actividades de administración de Exchange.

    De forma similar, hay algunas actividades de auditoría que no tienen un elemento correspondiente en la lista Actividades. Si sabe el nombre de la operación para estas actividades, puede buscarlas todas y luego filtrar los resultados escribiendo el nombre de la operación en el cuadro de la columna Actividad. Vea Paso 3 para obtener más información sobre cómo filtrar los resultados.

  • Haga clic en Borrar para borrar los criterios actuales de búsqueda. El intervalo de fecha vuelve al predeterminado de los últimos siete días. También puede hacer clic en Borrar todo para mostrar los resultados de todas las actividades para cancelar todas las actividades seleccionadas.

  • Si se encuentran 5000 resultados, probablemente puede suponer que existen más de 5000 eventos que cumplen los criterios de búsqueda. Puede restringir los criterios de búsqueda y volver a ejecutar la búsqueda para devolver menos resultados o puede exportar todos los resultados de búsqueda al seleccionar Exportar resultados > Descargar todos los resultados.

Volver al principio

Paso 2: Ver los resultados de la búsqueda

Los resultados de una búsqueda de registro de auditoría se muestran en Resultados en la página Búsqueda de registros de auditoría. Como se mencionó anteriormente se muestran un máximo de 5000 eventos (más recientes) en incrementos de 150 eventos. Para mostrar más eventos puede usar la barra de desplazamiento en el panel Resultados o también puede presionar Mayús+Fin para mostrar los siguientes 150 eventos.

Los resultados contienen la siguiente información sobre cada evento que la búsqueda ha devuelto.

  • Fecha La fecha y la hora (en formato UTC) cuando se ha producido el evento.

  • Dirección IP La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en formato de dirección IPv4 o IPv6.

  • Usuario El usuario (o cuenta de servicio) que ha realizado la acción que ha desencadenado el evento.

  • Actividad La actividad que ha realizado el usuario. Este valor corresponde a las actividades que ha seleccionado en la lista desplegable Actividades. Para un evento del registro de auditoría de administración de Exchange, el valor de esta columna es un cmdlet de Exchange.

  • Elemento El objeto que se ha creado o modificado como resultado de la actividad correspondiente. Por ejemplo, el archivo que se ha visto o modificado o la cuenta de usuario que se ha actualizado. No todas las actividades tienen un valor en esta columna.

  • Detalle Detalles adicionales sobre una actividad. De nuevo, no todas las actividades tendrán un valor.

Sugerencia: Haga clic en un encabezado de columna en Resultados para ordenarlos. Puede ordenar los resultados de A a Z o de Z a A. Haga clic en el encabezado Fecha para ordenar los resultados del más antiguo al más nuevo o al revés.

Ver los detalles de un evento específico

Puede ver más detalles sobre un evento al hacer clic en el registro de eventos de la lista de resultados de búsqueda. Se muestra una página Detalles que contiene las propiedades detalladas del registro de eventos. Las propiedades que se muestran dependen del servicio de Office 365 en el que se produce el evento. Para mostrar estos detalles, haga clic en Más información. Para obtener descripciones, consulte Propiedades detalladas del registro de auditoría de Office 365.

Haga clic en Obtener más información para ver las propiedades detalladas del registro de eventos de auditoría.

Volver al principio

Paso 3: Filtrar los resultados de la búsqueda

Además de la ordenación, también puede filtrar los resultados de una búsqueda de registro de auditoría. Esta es una característica excelente que puede ayudarle a filtrar rápidamente los resultados de un usuario o actividad determinada. Puede crear inicialmente una amplia búsqueda y, después, filtrar rápidamente los resultados para ver los eventos específicos. Después, puede restringir los criterios de búsqueda y volver a ejecutar la búsqueda para devolver un conjunto de resultados más pequeño y conciso.

Para filtrar los resultados:

  1. Ejecute una búsqueda de registros de auditoría.

  2. Cuando se muestren los resultados, haga clic en Filtrar resultados.

    Los cuadros de palabra clave se muestran en cada encabezado de columna.

  3. Haga clic en uno de los cuadros de un encabezado de columna y escriba una palabra o frase, dependiendo de la columna que esté filtrando. Los resultados se volverán a ajustar de manera dinámica para mostrar los eventos que coincidan con su filtro.

    Escriba una palabra en el filtro para mostrar los eventos que coincidan con el filtro
  4. Para borrar un filtro, haga clic en el cuadro de filtro X o haga clic en Ocultar filtrado.

Sugerencia: Para mostrar los eventos del registro de auditoría de administración de Exchange, escriba un (guion) en el cuadro de filtro Actividad. Esto mostrará los nombres de los cmdlet, que se muestran en la columna Actividad de los eventos de administración de Exchange. Después, puede ordenar los nombres de cmdlet en orden alfabético.

Volver al principio

Paso 4: Exportar los resultados de búsqueda a un archivo

Puede exportar los resultados de una búsqueda de registro de auditoría a un archivo de valores separados por comas (CSV) en su equipo local. Puede abrir este archivo en Microsoft Excel y usar características como buscar, ordenar, filtrar y dividir una sola columna (que contiene celdas con varios valores) en columnas múltiples.

  1. Ejecute una búsqueda de registro de auditoría y, después, revise los criterios de búsqueda hasta que tenga los resultados deseados.

  2. Haga clic en Exportar resultados y seleccione una de las siguientes opciones:

    • Guardar los resultados cargados Elija esta opción para exportar solo las entradas que se muestran en Resultados en la página Búsqueda de registros de auditoría. El archivo CSV que se descarga contiene las mismas columnas (y datos) que se muestran en la página (Fecha, Usuario, Actividad, Elemento y Detalles). Se incluye una columna adicional (denominada Más) en el archivo CSV que contiene más información de la entrada del registro de auditoría. Como está exportando los mismos resultados que se han cargado (y visualizado) en la página Búsqueda de registros de auditoría, se exportan un máximo de 5000 entradas.

    • Descargar todos los resultados Elija esta opción para exportar todas las entradas del registro de auditoría de Office 365 que cumplen los criterios de búsqueda. Para obtener un conjunto amplio de resultados de búsqueda, elija esta opción para descargar todas las entradas del registro de auditoría además de los 5000 resultados que se pueden mostrar en la página Búsqueda de registros de auditoría. Esta opción descargará los datos sin procesar del registro de auditoría a un archivo CSV y contiene información adicional de la entrada del registro de auditoría en una columna denominada Detalle. Puede tardar más en descargar el archivo si elige esta opción de exportación ya que el archivo puede ser mucho más grande que el que se descarga si eligiera otra opción.

      Importante: Puede descargar un máximo de 50 000 entradas en un archivo CSV desde una única búsqueda de registros de auditoría. Si se descargan 50 000 entradas en el archivo CSV, probablemente puede suponer que existen más de 50 000 eventos que cumplen los criterios de búsqueda. Para exportar más de este límite, pruebe a usar un intervalo de fecha para reducir el número de entradas de registro de auditoría. Puede que tenga que ejecutar varias búsquedas con intervalos de fecha de menor tamaño para exportar más de 50 000 entradas.

  3. Después de que seleccione una opción de exportación, se muestra un mensaje en la parte inferior de la ventana que le solicita que abra el archivo CSV, lo guarde en la carpeta Descargas o que lo guarde en una carpeta específica.

Volver al principio

Obtener más información sobre cómo exportar resultados de búsqueda del registro de auditoría

  • La opción Descargar todos los resultados descarga los datos sin procesar del registro de auditoría de Office 365 en un archivo CSV. Este archivo contiene diferentes nombres de columna (Hora, Usuario, Acción, Detalle) que los del archivo que se descarga si selecciona la opción Guardar resultados cargados. Los valores de los dos archivos CSV diferentes para la misma actividad también pueden ser distintos. Por ejemplo, la actividad de la columna Acción en el archivo CSV y puede tener un valor diferente que la versión "descriptiva" que se muestra en la columna Actividad de la página Búsqueda de registros de auditoría; por ejemplo, MailboxLogin frente a Usuario que ha iniciado sesión en un buzón.

  • Si descarga todos los resultados, el archivo CSV contiene una columna denominada Detalle, que contiene información adicional sobre cada evento. Como se ha mencionado anteriormente, esta columna contiene una propiedad de varios valores para varias propiedades del registro de auditoría. Cada uno de los pares de property:value de esta propiedad de varios valores se separan por una coma. Puede usar Power Query en Excel para dividir esta columna en varias columnas de forma que cada propiedad tenga su propia columna. Esto le permitirá ordenar y filtrar en una o más de estas propiedades. Para obtener información sobre cómo hacer esto, vea la sección "Dividir una columna por un delimitador" en Dividir una columna de texto (Power Query).

    Después de que divida la columna Detalles, puede filtrar en la columna Acción para mostrar las propiedades detalladas de un tipo de actividad específico.

  • Cuando descargue todos los resultados de una consulta de búsqueda que contenga eventos de diferentes servicios de Office 365, la columna Detalle del archivo CSV contiene diferentes propiedades dependiendo del servicio en que se ha realizado la acción. Por ejemplo, las entradas de los registros de auditoría Exchange y Azure AD incluyen una propiedad denominada ResultStatus que indica si la acción se ha realizado correctamente o no. Esta propiedad no se incluye para los eventos de SharePoint. De manera similar, los eventos de SharePoint tienen una propiedad que identifica la dirección URL del sitio para las actividades relacionadas con la carpeta y el archivo. Para mitigar este comportamiento, considere la posibilidad de usar diferentes búsquedas para exportar los resultados de las actividades de un único servicio.

    Para obtener una descripción de las propiedades que se enumeran en la columna Detalle del archivo CSV cuando descarga todos los resultados, y el servicio se aplica en cada uno, vea Propiedades detalladas del registro de auditoría de Office 365.

Volver al principio

Lea los elementos siguientes antes de iniciar la búsqueda del registro de auditoría de Office 365.

  • Usted (u otro administrador) debe activar primero el registro de auditoría para poder empezar a buscar el registro de auditoría de Office 365. Para activarlo, haga clic en Iniciar la grabación de la actividad administrativa y de usuario en la página Búsqueda de registros de auditoría del Centro de cumplimiento y seguridad. (Si no ve este vínculo, la auditoría ya se ha activado para la organización). Después de que lo active, se muestra un mensaje que dice que el registro de auditoría se está preparando y que puede ejecutar una búsqueda en un par de horas después de que se complete la preparación. Solo tiene que hacer esto una vez.

    Nota: Estamos en el proceso de activar la auditoría de forma predeterminada. Hasta entonces, puede activarla como se describió anteriormente.

  • Se le tiene que asignar el rol Registros de auditoría o Registros de auditoría de solo lectura en Exchange Online para buscar el registro de auditoría de Office 365. De manera predeterminada, estos roles se asignan a los grupos de roles Administración de la organización y Administración de cumplimiento en la página Permisos del Centro de administración de Exchange. Para proporcionar a un usuario la capacidad de buscar el registro de auditoría de Office 365 con el mínimo nivel de privilegios, puede crear un grupo de roles personalizado en Exchange Online, agregar el rol Registros de auditoría o Registros de auditoría de solo lectura y, después, agregar el usuario como miembro del nuevo grupo de roles. Para obtener más información, vea Administrar grupos de roles en Exchange Online.

    Importante: Si asigna a un usuario el rol Registros de auditoría o Registros de auditoría de solo lectura en la página Permisos del Centro de cumplimiento y seguridad, no podrán buscar el registro de auditoría de Office 365. Tiene que asignar los permisos en Exchange Online. Esto se debe a que el cmdlet subyacente que se ha usado para buscar el registro de auditoría es un cmdlet de Exchange Online.

  • Si quiere desactivar la búsqueda en el registro de auditoría de Office 365 de su organización, puede ejecutar el comando siguiente en el PowerShell remoto conectado a su organización de Exchange Online:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Para volver a activar la búsqueda de auditoría, puede ejecutar el comando siguiente en Exchange Online PowerShell:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Para obtener más información, vea Desactivar la búsqueda de registros de auditoría en Office 365.

  • Como se indicó anteriormente, el cmdlet subyacente que se ha usado para buscar en el registro de auditoría es un cmdlet de Exchange Online, que es Search-UnifiedAuditLog. Eso significa que puede usar este cmdlet para buscar en el registro de auditoría de Office 365 en lugar de usar la página Búsqueda en el registro de auditoría de Centro de cumplimiento y seguridad. Tiene que ejecutar este cmdlet en el PowerShell remoto conectado a su organización de Exchange Online. Para obtener más información, vea Search-UnifiedAuditLog.

  • Si desea descargar mediante programación los datos del registro de auditoría de Office 365, le recomendamos que use la API de actividad de administración de Office 365 en lugar de usar un script de PowerShell. La API de actividad de administración de Office 365 es un servicio web REST que puede usar para desarrollar soluciones de supervisión de operaciones, seguridad y cumplimiento para su organización. Para obtener más información, vea la referencia de la API de actividad de administración de Office 365.

  • Puede buscar el registro de auditoría de Office 365 para las actividades que se han realizado en los últimos 90 días.

  • La entrada del registro de auditoría correspondiente puede tardar en aparecer en los resultados de búsqueda un máximo de 30 minutos o 24 horas después de que se produzca el evento. En la siguiente tabla, se muestra el tiempo que tarda para los distintos servicios en Office 365.

    Servicio de Office 365

    30 minutos

    24 horas

    Azure Active Directory (eventos de administración)

    Marca de verificación

    Azure Active Directory (eventos de inicio de sesión del usuario)

    Marca de verificación

    Exchange Online

    Marca de verificación

    Equipos de Microsoft

    Marca de verificación

    Power BI

    Marca de verificación

    Centro de cumplimiento y seguridad

    Marca de verificación

    SharePoint Online y OneDrive para la Empresa

    Marca de verificación

    Sway

    Marca de verificación

    Yammer

    Marca de verificación

  • Azure Active Directory (Azure AD) es el servicio de directorio para Office 365. El registro de auditoría unificado contiene actividades de directorio, dominio, aplicación, grupo y usuario que se han realizado en el Centro de administración de Office 365 o en el Portal de administración de Azure. Para obtener una lista completa de los eventos de Azure AD, vea Eventos del informe de auditoría de Azure Active Directory.

Volver al principio

En las tablas de esta sección se describen las actividades que se auditan en Office 365. Puede buscar estos eventos al buscar el registro de auditoría en el Centro de cumplimiento y seguridad. Haga clic en la pestaña Buscar el registro de auditoría para obtener instrucciones paso a paso.

En estas tablas se agrupan actividades relacionadas o las actividades de un servicio específico de Office 365. En las tablas se incluye el nombre descriptivo que se muestra en la lista desplegable Actividades y el nombre de la operación correspondiente que se muestra en la información detallada de un registro de auditoría y en el archivo CSV cuando se exportan los resultados de la búsqueda. Haga clic en uno de los vínculos siguientes para ir a una tabla determinada.

Actividades de páginas y archivos

Actividades de carpetas

Actividades de solicitud de acceso y uso compartido

Actividades de sincronización

Actividades de administración del sitio

Actividades de buzón de Exchange

Actividades de Sway

Actividades de administración de usuarios

Actividades de administración de grupos de Azure AD

Actividades de administración de aplicaciones

Actividades de administración de roles

Actividades de administración de directorios

Actividades de exhibición de documentos electrónicos

Actividades de Power BI

Actividades de Microsoft Teams

Actividades de Yammer

Actividades de administración de Exchange

Actividades de páginas y archivos

En la siguiente tabla se describen las actividades de archivos y páginas en SharePoint Online y OneDrive para la Empresa.

Nombre descriptivo

Operación

Descripción

Archivo al que se tiene acceso

FileAccessed

Cuenta de sistema o usuario que tiene acceso al archivo.

(ninguno)

FileAccessedExtended

Esto está relacionado con la actividad "Archivo al que se tiene acceso" (FileAccessed). Se registra un evento FileAccessedExtended cuando la misma persona tiene acceso continuamente a un archivo durante un largo período de tiempo (hasta tres horas). El objetivo del registro de eventos FileAccessedExtended es reducir el número de eventos FileAccessed que se registran cuando se tiene acceso continuamente a un archivo. Esto ayuda a reducir el ruido de varios registros FileAccessed para lo que básicamente es la misma actividad de usuario y le permite centrarse en el evento FileAccessed inicial (el más importante).

Archivo insertado en el repositorio

FileCheckedIn

El usuario inserta en el repositorio un documento que se extrajo de una biblioteca de documentos.

Archivo extraído del repositorio

FileCheckedOut

El usuario extrae del repositorio un documento ubicado en una biblioteca de documentos. Los usuarios pueden extraer del repositorio y modificar documentos que se han compartido con ellos.

Archivo copiado

FileCopied

El usuario copia un documento de un sitio. El archivo copiado puede guardarse en otra carpeta del sitio.

Archivo eliminado

FileDeleted

El usuario elimina un documento de un sitio.

Archivo eliminado de la papelera de reciclaje

FileDeletedFirstStageRecycleBin

El usuario elimina un archivo de la papelera de reciclaje de un sitio.

Archivo eliminado de la papelera de reciclaje de segundo nivel

FileDeletedSecondStageRecycleBin

El usuario elimina un archivo de la papelera de reciclaje de segundo nivel de un sitio.

Malware detectado en archivo

FileMalwareDetected

El motor antivirus SharePoint detecta malware en un archivo.

Extracción del archivo del repositorio descartada

FileCheckOutDiscarded

El usuario descarta (o deshace) la extracción del repositorio de un archivo. Eso significa que cualquier cambio que haya realizado en el archivo cuando estaba extraído del repositorio se descarta y no se guarda en la versión del documento de la biblioteca de documentos.

Archivo descargado

FileDownloaded

El usuario descarga un documento de un sitio.

Archivo modificado

FileModified

La cuenta de sistema o usuario modifica el contenido o las propiedades de un documento ubicado en un sitio.

(ninguno)

FileModifiedExtended

Esto está relacionado con la actividad "Archivo modificado" (FileModified). Se registra un evento FileModifiedExtended cuando la misma persona modifica continuamente un archivo durante un largo período de tiempo (hasta tres horas). El objetivo del registro de eventos FileModifiedExtended es reducir el número de eventos FileModified que se registran cuando se modifica continuamente un archivo. Esto ayuda a reducir el ruido de varios registros de FileModified para lo que básicamente es la misma actividad de usuario y le permite centrarse en el evento FileModified inicial (el más importante).

Archivo movido

FileMoved

El usuario mueve un documento de su ubicación actual en un sitio a una nueva ubicación.

Todas las versiones secundarias del archivo recicladas

FileVersionsAllMinorsRecycled

El usuario elimina todas las versiones secundarias del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio.

Todas las versiones del archivo recicladas

FileVersionsAllRecycled

El usuario elimina todas las versiones del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio.

Versión del archivo reciclada

FileVersionRecycled

El usuario elimina una versión del historial de versiones de un archivo. La versión eliminada se mueve a la Papelera de reciclaje del sitio.

Archivo al que se le ha cambiado el nombre

FileRenamed

El usuario cambia el nombre de un documento en un sitio.

Archivo restaurado

FileRestored

El usuario restaura un documento de la papelera de reciclaje de un sitio.

Archivo cargado

FileUploaded

El usuario carga un documento a una carpeta de un sitio.

Página visualizada

PageViewed

El usuario visualiza una página en un sitio. No incluye el uso de un explorador web para ver los archivos ubicados en una biblioteca de documentos.

(ninguno)

PageViewedExtended

Esto está relacionado con la actividad "Página visualizada" (PageViewed). Se registra un evento PageViewedExtended cuando la misma persona visualiza continuamente una página web durante un largo período de tiempo (hasta tres horas). El objetivo del registro de eventos PageViewedExtended es reducir el número de eventos PageViewed que se registran cuando se visualiza una página continuamente. Esto ayuda a reducir el ruido de varios registros de PageViewed para lo que básicamente es la misma actividad de usuario y le permite centrarse en el evento PageViewed inicial (el más importante).

Volver al principio

Actividades de carpetas

En la siguiente tabla se describen las actividades de carpetas en SharePoint Online y OneDrive para la Empresa.

Nombre descriptivo

Operación

Descripción

Carpeta copiada

FolderCopied

El usuario copia una carpeta de un sitio a otra ubicación en SharePoint o OneDrive para la Empresa.

Carpeta creada

FolderCreated

El usuario crea una carpeta en un sitio.

Carpeta eliminada

FolderDeleted

El usuario elimina una carpeta de un sitio.

Carpeta eliminada de la papelera de reciclaje

FolderDeletedFirstStageRecycleBin

El usuario elimina una carpeta de la papelera de reciclaje de un sitio.

Carpeta eliminada de la papelera de reciclaje de segundo nivel

FolderDeletedSecondStageRecycleBin

El usuario elimina una carpeta de la papelera de reciclaje de segundo nivel de un sitio.

Carpeta modificada

FolderModified

El usuario modifica una carpeta en un sitio. Esto incluye la modificación de los metadatos de carpeta, como el cambio de etiquetas y propiedades.

Carpeta movida

FolderMoved

El usuario mueve una carpeta a una ubicación diferente del sitio.

Carpeta con el nombre cambiado

FolderRenamed

El usuario cambia el nombre de una carpeta en un sitio.

Carpeta restaurada

FolderRestored

El usuario restaura una carpeta eliminada de la papelera de reciclaje de un sitio.

Volver al principio

Actividades de solicitud de acceso y uso compartido

En la siguiente tabla se describen las actividades de solicitud de acceso y uso compartido en SharePoint Online y OneDrive para la Empresa. Para los eventos compartidos, la columna Detalle en Resultados identifica el nombre del usuario o grupo con el que se ha compartido el elemento y si el usuario o grupo es un miembro o un invitado de su organización. Para obtener más información, vea Usar la auditoría de uso compartido en el registro de auditoría de Office 365.

Nota: Los usuarios pueden ser miembros o invitados según la propiedad UserType del objeto de usuario. Un miembro es normalmente un empleado y un invitado es normalmente un colaborador externo de la organización. Cuando un usuario acepta una invitación de uso compartido (y todavía no forma parte de la organización), se crea una cuenta de invitado para él en el directorio de la organización. Una vez que el usuario invitado tenga una cuenta en su directorio, los recursos pueden compartirse directamente con él (sin requerir una invitación).

Nombre descriptivo

Operación

Descripción

Solicitud de acceso aceptada

AccessRequestAccepted

Una solicitud de acceso a un sitio, carpeta o documento que se ha aceptado y al usuario solicitante se le ha concedido el acceso.

Invitación de uso compartido aceptada

SharingInvitationAccepted

El usuario (miembro o invitado) ha aceptado una invitación de uso compartido y se le ha concedido acceso a un recurso. Este evento incluye información sobre el usuario al que se ha invitado y la dirección de correo electrónico que se ha usado para aceptar la invitación (podrían ser diferentes). Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario al recurso, por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso.

Nivel de permiso agregado a la colección de sitios

PermissionLevelAdded

Un nivel de permisos se agregó a una colección de sitios.

Invitación de uso compartido bloqueada

SharingInvitationBlocked

Una invitación para compartir enviada por un usuario de su organización está bloqueada por una directiva de uso compartido externa que permite o deniega el uso compartido externo basándose en el dominio del usuario de destino. En este caso, la invitación para compartir se bloqueó porque:

  • El dominio del usuario de destino no está incluido en la lista de dominios permitidos.

    O bien:

  • El dominio del usuario de destino está incluido en la lista de dominios bloqueados.

Para obtener más información acerca de cómo permitir o bloquear el uso compartido externo en función de los dominios, consulte Dominios restringidos para el uso compartido en SharePoint Online y OneDrive para la Empresa.

Herencia de nivel de permisos interrumpida

PermissionLevelsInheritanceBroken

Se cambió a un elemento de forma que ya no hereda niveles de permisos de su elemento primario.

Herencia de uso compartido interrumpida

SharingInheritanceBroken

Se cambió a un elemento de forma que ya no hereda permisos de uso compartido de su elemento primario.

Vínculo creado que se puede compartir de la empresa

CompanyLinkCreated

El usuario ha creado un vínculo para toda la empresa a un recurso. Los vínculos para toda la empresa solo pueden usarse por los miembros de su organización. No pueden usarse por invitados.

Solicitud de acceso creada

AccessRequestCreated

El usuario solicita acceso a un sitio, carpeta o documento al que no tiene permiso para acceder.

Vínculo anónimo creado

AnonymousLinkCreated

El usuario ha creado un vínculo anónimo a un recurso. Cualquier persona con este vínculo puede tener acceso al recurso sin tener que autenticarse.

Invitación de uso compartido creada

SharingInvitationCreated

El usuario ha compartido un recurso en SharePoint Online o OneDrive para la Empresa con un usuario que no está en el directorio de su organización.

Solicitud de acceso denegada

AccessRequestDenied

Una solicitud de acceso a un sitio, una carpeta o un documento se ha denegado.

Nivel de permiso modificado en la colección de sitios

PermissionLevelModified

Un nivel de permisos se modificó en una colección de sitios.

Vínculo quitado que se puede compartir de la empresa

CompanyLinkRemoved

El usuario ha quitado un vínculo de toda la empresa a un recurso. El vínculo ya no puede usarse para tener acceso al recurso.

Vínculo anónimo quitado

AnonymousLinkRemoved

El usuario ha quitado un vínculo anónimo a un recurso. El vínculo ya no puede usarse para tener acceso al recurso.

Nivel de permiso eliminado de la colección de sitios

PermissionLevelRemoved

Un nivel de permisos se eliminó de una colección de sitios.

Herencia de uso compartido restaurada

SharingInheritanceReset

Se realizó un cambio de forma que un elemento hereda permisos de uso compartido de su elemento primario.

Sitio, carpeta o archivo compartidos

SharingSet

El usuario (miembro o invitado) ha compartido un archivo, carpeta o sitio en SharePoint o OneDrive para la Empresa con un usuario en el directorio de la organización. El valor de la columna Detalle para esta actividad identifica el nombre del usuario que el recurso ha compartido y si este usuario es un miembro o un invitado. Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario al recurso, por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso.

Vínculo anónimo actualizado

AnonymousLinkUpdated

El usuario ha actualizado un vínculo anónimo a un recurso. El campo actualizado se incluye en la propiedad EventData cuando exporta los resultados de búsqueda.

Vínculo anónimo usado

AnonymousLinkUsed

Un usuario anónimo ha tenido acceso a un recurso mediante un vínculo anónimo. La identidad del usuario puede ser desconocida pero puede obtener otros detalles como la dirección IP del usuario.

Sitio, carpeta o archivo no compartido

SharingRevoked

El usuario (miembro o invitado) no ha compartido un archivo, carpeta o sitio que se había compartido previamente con otro usuario.

Vínculo usado que se puede compartir de la empresa

CompanyLinkUsed

El usuario ha tenido acceso a un recurso mediante un vínculo de toda la empresa.

Invitación de uso compartido retirada

SharingInvitationRevoked

El usuario ha retirado una invitación de uso compartido a un recurso.

Volver al principio

Actividades de sincronización

En la siguiente tabla se enumeran las actividades de sincronización de archivos en SharePoint Online y OneDrive para la Empresa.

Nombre descriptivo

Operación

Descripción

Equipo permitido para sincronizar archivos

ManagedSyncClientAllowed

El usuario establece correctamente una relación de sincronización con un sitio. La relación de sincronización es correcta porque el equipo del usuario es un miembro de un dominio que se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que puede tener acceso a las bibliotecas de documentos de su organización.

Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.

Equipo bloqueado de los archivos de sincronización

UnmanagedSyncClientBlocked

El usuario intenta establecer una relación de sincronización con un sitio desde un equipo que no es un miembro del dominio de la organización o es un miembro de un dominio que no se ha agregado a la lista de dominios (denominada la lista de destinatarios seguros) que puede tener acceso a las bibliotecas de documentos de su organización. La relación de sincronización no se permite y el equipo del usuario está bloqueado para sincronizar, descargar o cargar archivos en una biblioteca de documentos.

Para obtener información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.

Archivos descargados al equipo

FileSyncDownloadedFull

El usuario establece una relación de sincronización y descarga archivos correctamente la primera vez a su equipo desde la biblioteca de documentos.

Cambios de archivos descargados al equipo

FileSyncDownloadedPartial

El usuario descarga correctamente cualquier cambio a los archivos de una biblioteca de documentos. Esta actividad indica que cualquier cambio que se realice en los archivos de la biblioteca de documentos se descarga en el equipo del usuario. Solo se descargaron los cambios porque la biblioteca de documentos se había descargado anteriormente por el usuario (como se indica en la actividad Archivos descargados al equipo).

Archivos cargados a la biblioteca de documentos

FileSyncUploadedFull

El usuario establece una relación de sincronización y carga archivos correctamente la primera vez desde su equipo a la biblioteca de documentos.

Cambios de archivos cargados a la biblioteca de documentos

FileSyncUploadedPartial

El usuario carga correctamente los cambios a una biblioteca de documentos. Este evento indica que cualquier cambio realizado en la versión local de un archivo desde una biblioteca de documentos se carga correctamente a dicha biblioteca. Solo se cargaron los cambios porque esos archivos se habían cargado anteriormente por el usuario (como se indica en la actividad Archivos cargados a la biblioteca de documentos).

Volver al principio

Actividades de administración del sitio

En la tabla siguiente se enumeran los eventos que se producen de las tareas de administración del sitio en SharePoint Online.

Nombre descriptivo

Operación

Descripción

Agente de usuario exento agregado

ExemptUserAgentSet

Un SharePoint o administrador global agrega un agente de usuario a la lista de agentes de usuario exentos en el Centro de administración de SharePoint.

Administradores de la colección de sitios agregados

SiteCollectionAdminAdded

El administrador de la colección de sitios o el propietario agrega una persona como administrador de la colección de sitios a un sitio. Los administradores de la colección de sitios tienen permisos de control total para la colección de sitios y para todos los subsitios.

Usuario o grupo agregado al grupo de SharePoint

AddedToGroup

El usuario ha agregado a un miembro o un invitado a un grupo de SharePoint. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento de uso compartido.

Usuario permitido para crear grupos

AllowGroupCreationSet

El administrador de sitios o el propietario agrega un nivel de permisos a un sitio que permite que un usuario al que se le ha asignado ese permiso cree un grupo para ese sitio.

Desplazamiento geográfico de sitio cancelado

SiteGeoMoveCancelled

Un SharePoint o administrador global cancela correctamente el desplazamiento geográfico de un sitio de SharePoint o OneDrive. La funcionalidad multigeográfica permite que una organización de Office 365 disponga de varias geografías de centros de datos de Office 365, denominadas geos. Para obtener más información, consulte Funcionalidades multigeográficas en OneDrive y SharePoint Online en Office 365.

Directiva de uso compartido cambiada

SharingPolicyChanged

Un SharePoint o un administrador ha cambiado una directiva de uso compartido de SharePoint mediante el Portal de administración de Office 365, el Portal de administración de SharePoint o el Shell de administración de SharePoint Online. Se registrará cualquier cambio en la configuración de la directiva de uso compartido de su organización. La directiva que se ha cambiado se identifica en la propiedad del campo ModifiedProperties en las propiedades detalladas del registro del evento.

Directiva de acceso del dispositivo cambiada

DeviceAccessPolicyChanged

Un SharePoint o un administrador global cambió la directiva de dispositivos no administrados para su organización. Esta directiva controla el acceso a SharePoint, OneDrive y Office 365 desde dispositivos que no se ha unido a su organización. La configuración de esta directiva requiere una suscripción de Enterprise Mobility + Security. Para obtener más información, consulte Controlar el acceso desde dispositivos no administrados.

Agente de usuario exento cambiado

CustomizeExemptUsers

Un SharePoint o un administrador global ha personalizado la lista de agentes de usuario exentos en el Centro de administración de SharePoint. Puede especificar qué agentes de usuario están exentos de recibir una página web completa para indexar. Esto significa que cuando un agente de usuario que ha especificado como exento encuentra un formulario de InfoPath, el formulario se devolverá como un archivo XML, en lugar de una página web completa. Esto hace que la indexación de formularios de InfoPath sea más rápida.

Directiva de acceso de red cambiada

NetworkAccessPolicyChanged

Un SharePoint o un administrador global cambió la directiva de acceso basado en la ubicación (también denominada un límite de red de confianza) en el centro de administración de SharePoint o mediante el PowerShell de SharePoint Online. Este tipo de controles de directiva tienen acceso a recursos de SharePoint y OneDrive de la organización en función de los intervalos de direcciones IP que especifique. Para obtener más información, consulte Controlar el acceso a datos de SharePoint Online y OneDrive en función de las ubicaciones de red definidas.

Desplazamiento geográfico de sitio completado

SiteGeoMoveCompleted

El desplazamiento geográfico de un sitio que programó un administrador global de su organización se ha completado correctamente.La funcionalidad multigeográfica permite que una organización de Office 365 disponga de varias geografías de centros de datos de Office 365, denominadas geos. Para obtener más información, consulte Funcionalidades multigeográficas en OneDrive y SharePoint Online en Office 365.

Grupo creado

GroupAdded

El administrador o el propietario del sitio crea un grupo para un sitio o realiza una tarea que da como resultado un grupo que se está creando. Por ejemplo, la primera vez que un usuario crea un vínculo para compartir un archivo, se agrega un grupo de sistema al sitio de OneDrive para la Empresa del usuario. Este evento también puede ser el resultado de la creación de un vínculo del usuario con permisos de edición a un archivo compartido.

Conexión Enviar a creada

SendToConnectionAdded

Un SharePoint o un administrador global crea una nueva conexión Enviar a en la página Administración de registros en el Centro de administración de SharePoint. Una conexión Enviar a especifica la configuración de un repositorio de documentos o de un centro de registros. Cuando crea una conexión Enviar a, un Organizador de contenido puede enviar documentos a la ubicación especificada.

Colección de sitios creada

SiteCollectionCreated

Un SharePoint o un administrador crea una nueva colección de sitios en su organización de SharePoint Online o un usuario administra la provisión de su sitio de OneDrive para la Empresa.

Grupo eliminado

GroupRemoved

El usuario elimina un grupo de un sitio.

Conexión Enviar a eliminada

SendToConnectionRemoved

Un SharePoint o un administrador global elimina una conexión Enviar a en la página Administración de registros en el Centro de administración de SharePoint.

Sitio eliminado

SiteDeleted

El administrador del sitio elimina un sitio.

Vista previa del documento habilitada

PreviewModeEnabledSet

El administrador del sitio habilita la vista previa del documento para un sitio.

Flujo de trabajo heredado habilitado

LegacyWorkflowEnabledSet

El administrador o el propietario del sitio agrega la tarea de flujo de trabajo de SharePoint 2013 al tipo de contenido del sitio. Los administradores globales también pueden habilitar los flujos de trabajo para toda la organización en el Centro de administración de SharePoint.

Office a petición habilitado

OfficeOnDemandSet

El administrador del sitio habilita Office a petición, que permite a los usuarios tener acceso a la última versión de las aplicaciones de escritorio de Office. Office a petición está habilitado en el Centro de administración de SharePoint y requiere una suscripción de Office 365 que incluye aplicaciones de Office completas e instaladas.

Fuentes RSS habilitadas

NewsFeedEnabledSet

El administrador o el propietario del sitio habilita las fuentes RSS para un sitio. Los administradores globales pueden habilitar las fuentes RSS para toda la organización en el Centro de administración de SharePoint.

Permisos de sitio modificados

SitePermissionsModified

El administrador o el propietario del sitio (o la cuenta de sistema) cambia el nivel de permisos que se asignan a un grupo en un sitio. Esta actividad también se registra si todos los permisos se quitan de un grupo.

Nota: Esta operación está en desuso en SharePoint Online. Para buscar eventos relacionados, puede buscar otras actividades relacionadas con el permiso como Administradores de la colección de sitios agregados, Usuario o grupo agregado a un grupo de SharePoint, Usuario permitido para crear grupos, Grupo creado y Grupo eliminado.

Usuario o grupo quitado del grupo de SharePoint

RemovedFromGroup

El usuario ha quitado un miembro o invitado de un grupo de SharePoint. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento sin uso compartido.

Sitio al que se ha cambiado el nombre

SiteRenamed

El administrador o el propietario del sitio cambia el nombre de un sitio

Permisos de administrador del sitio solicitados

SiteAdminChangeRequest

Las solicitudes de usuario se agregan como un administrador de la colección de sitios para una colección de sitios. Los administradores de la colección de sitios tienen permisos de control total para la colección de sitios y para todos los subsitios.

Desplazamiento geográfico de sitio programado

SiteGeoMoveScheduled

Un SharePoint o administrador global programa correctamente el desplazamiento geográfico de un sitio de SharePoint o OneDrive. La funcionalidad multigeográfica permite que una organización de Office 365 disponga de varias geografías de centros de datos de Office 365, denominadas geos. Para obtener más información, consulte Funcionalidades multigeográficas en OneDrive y SharePoint Online en Office 365.

Establecer sitio del host

HostSiteSet

Un SharePoint o un administrador global cambia el sitio designado para hospedar sitios personales o de OneDrive para la Empresa.

Grupo actualizado

GroupUpdated

El administrador o el propietario del sitio cambia la configuración de un grupo para un sitio. Esto puede incluir cambiar el nombre del grupo, que puede ver o editar la pertenencia del grupo, y cómo se controlan las solicitudes de pertenencia.

Volver al principio

Actividades de buzón de Exchange

En la tabla siguiente se enumeran las actividades que pueden registrarse mediante el registro de auditoría del buzón de correo. Las actividades de buzón que se han realizado mediante el propietario del buzón, un usuario delegado o un administrador se registran. De manera predeterminada, la auditoría de buzón en Office 365 está activada. El registro de auditoría del buzón de correo debe estar activado para cada buzón antes de que la actividad de buzón se registre. Para obtener más información, vea Habilitar la auditoría de buzones de correo en Office 365.

Nombre descriptivo

Operación

Descripción

Permisos de buzón de delegado agregados

Add-MailboxPermission

Un administrador asignó el permiso de buzón FullAccess a un usuario (conocido como delegado) para el buzón de otra persona. El permiso FullAccess permite al delegado abrir el buzón de la otra persona, así como leer y administrar el contenido del buzón.

Mensajes copiados a otra carpeta

Copiar

Se ha copiado un mensaje a otra carpeta.

Elementos del buzón creado

Crear

Se ha creado un elemento en la carpeta Calendario, Contactos, Notas o Tareas del buzón; por ejemplo, se ha creado una nueva solicitud de reunión. Tenga en cuenta que no se audita la creación, el envío ni la recepción de un mensaje. Además, no se audita la creación de una carpeta del buzón.

Mensajes eliminados de la carpeta Elementos eliminados

SoftDelete

Un mensaje se ha eliminado de manera permanente o se ha eliminado de la carpeta Elementos eliminados. Estos elementos se mueven a la carpeta Elementos recuperables. Los mensajes también se mueven a la carpeta Elementos recuperables cuando un usuario lo selecciona y pulse Mayús+Supr.

Mensajes movidos a otra carpeta

Mover

Se ha movido un mensaje a otra carpeta.

Mensajes movidos a la carpeta Elementos eliminados

MoveToDeletedItems

Un mensaje se ha eliminado y movido a la carpeta Elementos eliminados.

Mensajes que se han purgado del buzón

HardDelete

Un mensaje se ha purgado de la carpeta Elementos recuperables (eliminado permanentemente del buzón).

Permisos de buzón de delegado quitados

Remove-MailboxPermission

Un administrador quitó el permiso FullAccess (que se asignó a un delegado) del buzón de una persona. Una vez que se haya quitado el permiso FullAccess, el delegado no podrá abrir el buzón de la otra persona ni acceder a ningún contenido.

Mensaje enviado mediante los permisos Enviar como

SendAs

Un mensaje se ha enviado con el permiso Enviar como. Esto significa que otro usuario ha enviado el mensaje como si proviniera del propietario del buzón.

Mensaje enviado mediante los permisos En nombre de

SendOnBehalf

Un mensaje se ha enviado con el permiso SendOnBehalf. Esto significa que otro usuario ha enviado el mensaje en nombre del propietario del buzón. El mensaje indica al destinatario a nombre de quién se ha enviado el mensaje y quién lo ha enviado realmente.

Mensaje actualizado

Actualizar

Un mensaje o sus propiedades han cambiado.

Usuario que ha iniciado sesión en un buzón

MailboxLogin

El usuario ha iniciado sesión en su buzón.

Volver al principio

Actividades de Sway

En la tabla siguiente se enumeran las actividades administrativas y de usuario en Sway. Sway es una aplicación de Office 365 que ayuda a los usuarios a recopilar, aplicar formato y compartir ideas, historias y presentaciones en un lienzo interactivo basado en la web. Para obtener más información, vea Preguntas más frecuentes sobre Sway: ayuda para el administrador.

Nombre descriptivo

Operación

Descripción

El nivel de uso compartido de Sway ha cambiado

SwayChangeShareLevel

El usuario cambia el nivel de uso compartido de un Sway. Este evento captura al usuario cambiando el ámbito del uso compartido asociado con un Sway; por ejemplo, público frente a dentro de la organización.

Sway creado

SwayCreate

El usuario crea un Sway.

Eliminado Sway

SwayDelete

El usuario elimina un Sway.

Duplicación de Sway deshabilitada

SwayDisableDuplication

El usuario deshabilita la duplicación de un Sway.

Sway duplicado

SwayDuplicate

El usuario duplica un Sway.

Sway editado

SwayEdit

El usuario edita un Sway.

Duplicación de Sway habilitada

EnableDuplication

El usuario habilita la duplicación de un Sway; la capacidad de un usuario para habilitar la duplicación de un sway está habilitada de manera predeterminada.

Uso compartido de Sway revocado

SwayRevokeShare

El usuario deja de compartir un Sway al revocar su acceso. Al revocar el acceso se cambian los vínculos asociados a un sway.

Compartido Sway

SwayShare

El usuario intenta compartir un Sway. Este evento captura la acción del usuario de hacer clic en un destino de uso compartido específico dentro del menú de uso compartido de Sway. El evento no indica si el usuario ha completado la acción de uso compartido.

Uso compartido externo de Sway desactivado

SwayExternalSharingOff

El administrador deshabilita el uso compartido externo de Sway para toda la organización mediante el Centro de administración de Office 365.

Uso compartido externo de Sway activado

SwayExternalSharingOn

El administrador habilita el uso compartido externo de Sway para toda la organización mediante el Centro de administración de Office 365.

Servicio de Sway desactivado

SwayServiceOff

El administrador deshabilita Sway para toda la organización mediante el Centro de administración de Office 365.

Servicio de Sway activado

SwayServiceOn

El administrador habilita Sway para toda la organización mediante el Centro de administración de Office 365 (El servicio de Sway está habilitado de manera predeterminada).

Sway visto

SwayView

El usuario ve un Sway.

Volver al principio

Actividades de administración de usuarios

En la tabla siguiente se enumeran las actividades de administración de usuarios que se registran cuando un administrador agrega o cambia una cuenta de usuario al usar Centro de administración de Office 365 o el Portal de administración de Azure.

Actividad

Operación

Descripción

Usuario agregado

Agregar usuario

Se ha creado una cuenta de usuario de Office 365.

Licencia de usuario cambiada

Cambiar licencia de usuario

La licencia que se ha asignado a un usuario ha cambiado. Para ver qué licencias han cambiado, vea la actividad correspondiente Usuario actualizado.

Contraseña de usuario cambiada

Cambiar contraseña de usuario

Un administrador cambió la contraseña de un usuario.

Usuario eliminado

Eliminar usuario

Se ha eliminado una cuenta de usuario de Office 365.

Restablecer contraseña de usuario

Restablecer contraseña de usuario

Un administrador restableció la contraseña de un usuario.

Establecer una propiedad que fuerce al usuario a cambiar la contraseña

Forzar el cambio de la contraseña de usuario

Un administrador estableció la propiedad que fuerza a un usuario a cambiar su contraseña la próxima vez que inicie sesión en Office 365.

Establecer propiedades de licencia

Establecer propiedades de licencia

Un administrador modificó las propiedades de una licencia asignada a un usuario.

Usuario actualizado

Actualizar usuario

Un administrador cambió una o más propiedades de una cuenta de usuario. Para obtener una lista de las propiedades de usuario que pueden actualizarse, consulte la sección "Actualizar atributos de usuario" en Eventos de informe de auditoría de Azure Active Directory.

Volver al principio

Actividades de administración de grupos de Azure AD

En la tabla siguiente se enumeran las actividades de administración de grupos que se registran cuando un administrador o un usuario crea o cambia un grupo de Office 365 o cuando un administrador crea un grupo de seguridad mediante el Centro de administración de Office 365 o el Portal de administración de Azure. Para obtener más información sobre los grupos de Office 365, vea Ver, crear y eliminar grupos en el Centro de administración de Office 365.

Nombre descriptivo

Operación

Descripción

Grupo agregado

Agregar grupo

Se ha creado un grupo.

Miembro agregado a un grupo

Agregar miembro a un grupo

Un miembro se ha agregado a un grupo.

Grupo eliminado

Eliminar grupo

Se ha eliminado un grupo.

Miembro quitado de un grupo

Quitar miembro de un grupo

Un miembro se ha quitado de un grupo.

Grupo actualizado

Actualizar grupo

Una propiedad de un grupo ha cambiado.

Volver al principio

Actividades de administración de aplicaciones

En la tabla siguiente se enumeran las actividades de administración de aplicaciones que se registran cuando un administrador agrega o cambia una aplicación que se ha registrado en Azure AD. Cualquier aplicación que se base en Azure AD para la autenticación debe registrarse en el directorio.

Nombre descriptivo

Operación

Descripción

Entrada de delegación agregada

Agregar entrada de delegación

Un permiso de autenticación se ha creado o concedido a una aplicación en Azure AD.

Entidad de servicio agregada

Agregar entidad de servicio

Una aplicación se ha registrado en Azure AD. Una aplicación se representa mediante una entidad de servicio en el directorio.

Credenciales agregadas a una entidad de servicio

Agregar credenciales de entidad de servicio

Las credenciales se han agregado a una entidad de servicio en Azure AD. Una entidad de servicio representa una aplicación del directorio.

Entrada de delegación quitada

Quitar entrada de delegación

Un permiso de autenticación se ha quitado de una aplicación en Azure AD.

Entidad de servicio quitada del directorio

Quitar entidad de servicio

Una aplicación se ha eliminado o se ha anulado su registro de Azure AD. Una aplicación se representa mediante una entidad de servicio en el directorio.

Credenciales quitadas de una entidad de servicio

Quitar credenciales de entidad de servicio

Las credenciales se han quitado de una entidad de servicio en Azure AD. Una entidad de servicio representa una aplicación del directorio.

Establecer entrada de delegación

Establecer entrada de delegación

Un permiso de autenticación se ha actualizado en una aplicación de Azure AD.

Volver al principio

Actividades de administración de roles

En la tabla siguiente se enumeran las actividades de administración de roles de Azure AD que se registran cuando un administrador controla los roles de administración en el Centro de administración de Office 365 o en el Portal de administración de Azure.

Nombre descriptivo

Operación

Descripción

Agregar miembro a un rol

Agregar miembro de rol a un rol

Se ha agregado un usuario a un rol de administrador en Office 365.

Se ha quitado un usuario de un rol de directorio

Quitar miembro de rol de un rol

Se ha quitado un usuario desde un rol de administrador en Office 365.

Establecer la información de contacto de la empresa

Establecer la información de contacto de la empresa

Se han actualizado las preferencias de contacto a nivel empresarial de su organización de Office 365. Esto incluye las direcciones de correo electrónico para el correo electrónico relacionado con las suscripciones enviadas mediante Office 365, así como las notificaciones técnicas sobre los servicios de Office 365.

Volver al principio

Actividades de administración de directorios

En la tabla siguiente se enumeran las actividades relacionadas con los dominios y los directorios de Azure AD que se registran cuando un administrador controla la organización de Office 365 en el Centro de administración de Office 365 o en el Portal de administración de Azure.

Nombre descriptivo

Operación

Descripción

Dominio agregado a la empresa

Agregar dominio a la empresa

Se ha agregado un dominio a la organización de Office 365.

Se ha agregado un partner al directorio

Agregar partner a la empresa

Se ha agregado un partner (administrador delegado) a la organización de Office 365.

Dominio quitado de la empresa

Quitar dominio de la empresa

Se ha quitado un dominio a la organización de Office 365.

Se ha quitado un partner del directorio

Quitar partner de la empresa

Se ha quitado un partner (administrador delegado) de la organización de Office 365.

Establecer información de la organización

Establecer información de la organización

Se ha actualizado la información de la empresa para la organización de Office 365. Esto incluye las direcciones de correo electrónico para el correo electrónico relacionado con las suscripciones enviadas mediante Office 365, así como las notificaciones técnicas sobre los servicios de Office 365.

Establecer autenticación de dominio

Establecer autenticación de dominio

Se ha cambiado la configuración de la autenticación de dominio para la organización de Office 365.

Se ha actualizado la configuración de federación para un dominio

Se ha establecido la configuración de federación en un dominio

Se ha cambiado la configuración de federación (uso compartido externo) para la organización de Office 365.

Establecer directiva de contraseña

Establecer directiva de contraseña

Se han cambiado las restricciones de caracteres y longitud para las contraseñas de usuario de su organización de Office 365.

Sincronización de Azure AD activada

Establecer la marca DirSyncEnabled en la empresa

Se ha establecido la propiedad que habilita un directorio para la sincronización de Azure AD.

Dominio actualizado

Actualizar dominio

Se ha actualizado la configuración de un dominio en su organización de Office 365.

Dominio comprobado

Comprobar dominio

Se ha comprobado que su organización es la propietaria de un dominio.

Se ha comprobado el dominio comprobado por correo electrónico

Comprobar el dominio comprobado por correo electrónico

Se ha usado la comprobación de correo electrónico para comprobar que su organización es la propietaria de un dominio.

Volver al principio

Actividades de exhibición de documentos electrónicos

Las actividades relacionadas con la exhibición de documentos electrónicos y con la búsqueda de contenido que se realizan en Centro de cumplimiento y seguridad de Office 365 o mediante la ejecución de los cmdlets de Windows PowerShell correspondientes se registran en el registro de auditoría de Office 365. Esto incluye las siguientes actividades:

  • Crear y administrar casos de exhibición de documentos electrónicos

  • Crear, iniciar y editar búsquedas de contenido

  • Realizar acciones de búsqueda de contenido, como la vista previa, la exportación y la eliminación de resultados de búsqueda

  • Configurar el filtrado de permisos para la búsqueda de contenido

  • Administrar el rol de administrador de la exhibición de documentos electrónicos

Para obtener una lista y una descripción detallada de las actividades de exhibición de documentos electrónicos que están registradas, vea Buscar actividades de exhibición de documentos electrónicos en el registro de auditoría de Office 365.

Nota: Lleva un máximo de 30 minutos para eventos que resultan de las actividades indicadas en Actividades de eDiscovery en la lista desplegable Actividades que se muestre en los resultados de búsqueda. Por el contrario, lleva hasta 24 horas para los eventos correspondientes de actividades cmdlet de eDiscovery que aparezcan en los resultados de búsqueda.

Volver al principio

Actividades de Power BI

En la tabla siguiente, se enumeran las actividades de usuario y de administrador de Power BI que se registran en el registro de auditoría de Office 365.

Nombre descriptivo

Operación

Descripción

Miembros agregados a un grupo de Power BI

AddGroupMembers

Se agregó un miembro al área de trabajo de un grupo de Power BI.

Conjunto de datos de Power BI analizado

AnalyzedByExternalApplication

Una aplicación externa analiza un conjunto de datos.

Panel de Power BI creado

CreateDashboard

Se creó un panel.

Grupo de Power BI creado

CreateGroup

Se creó un grupo.

Paquete de contenido de Power BI de la organización creado

CreateOrgApp

Se creó un paquete de contenido de la organización.

Panel de Power BI eliminado

DeleteDashboard

Se eliminó un panel.

Conjunto de datos de Power BI eliminado

DeleteDataset

Se eliminó un conjunto de datos.

Informe de Power BI eliminado

DeleteReport

Se eliminó un informe.

Informe de Power BI descargado

DownloadReport

Un usuario descarga un informe de Power BI desde el servicio en su equipo.

Panel de Power BI editado

EditDashboard

Se cambió el nombre de un panel.

Datos de informes visuales de Power BI exportados

ExportReport

Se exportaron los datos de un mosaico de informe

Datos de un mosaico de Power BI exportados

ExportTile

Se exportaron los datos de un mosaico del panel.

Panel de Power BI impreso

PrintDashboard

Se imprimió un panel.

Página de informes de Power BI impresa

PrintReport

Se imprimió un informe.

Informe de Power BI publicado en la web

PublishToWebReport

Un informe se publicó en la web.

Panel de Power BI compartido

ShareDashboard

Se compartió un panel.

Prueba de Power BI iniciada

OptInForProTrial

Un usuario inicia una suscripción de prueba de Power BI Pro.

Configuración actualizada de Power BI de la organización

UpdatedAdminFeatureSwitch

Un administrador cambió una configuración de la organización en el portal de administración de Power BI.

Panel de Power BI visualizado

ViewDashboard

Se visualizó un panel.

Informe de Power BI visualizado

ViewReport

Se visualizó un informe.

Volver al principio

Actividades de Microsoft Teams

En la tabla siguiente, se enumeran las actividades de usuario y de administrador de Equipos de Microsoft que se registran en el registro de auditoría de Office 365. Equipos de Microsoft es un espacio de trabajo centrado en el chat de Office 365. Reúne las conversaciones, las reuniones, los archivos y las notas de un equipo en un solo lugar. Para que obtener más información y vínculos a temas de ayuda, consulte:

Nombre descriptivo

Operación

Descripción

Bot agregado al equipo

BotAddedToTeam

Un usuario agrega un bot a un equipo.

Canal agregado

ChannelAdded

Un usuario agrega un canal a un equipo.

Conector agregado

ConnectorAdded

Un usuario agrega un conector a un canal.

Pestaña agregada

TabAdded

Un usuario agrega una pestaña a un canal.

Configuración cambiada (heredado)

SettingChanged

La operación SettingChanged estará en desuso en un futuro próximo. Esta operación se registraba al cambiar la configuración de un canal, una organización y un equipo.

Use las actividades Configuración de canal cambiada, Configuración de organización cambiada y Configuración de equipo cambiada para buscar eventos que se hubiesen registrado anterior mente al buscar el registro de auditoría de la operación SettingChanged.

Configuración de canal cambiada

ChannelSettingChanged

La operación ChannelSettingChanged se registra cuando un miembro del equipo realiza las actividades siguientes. Para cada una de estas actividades, se muestra una descripción del ajuste que se modificó (entre paréntesis a continuación) se muestra en la columna Elemento de los resultados de búsqueda del registro de auditoría.

  • Cambia el nombre de un canal de equipo (nombre del canal).

  • Cambia la descripción de un canal de equipo (descripción del canal).

Configuración de organización cambiada

OrganizationSettingChanged

La operación OrganizationSettingChanged se registra cuando un administrador global realiza las siguientes actividades (mediante el Centro de administración de Office 365). Tenga en cuenta que estas actividades afectarán a la configuración de Equipos de Microsoft de toda la organización. Para obtener más información, consulte Configuración de administrador de Microsoft Teams.

Para cada una de estas actividades, se muestra una descripción de la opción de configuración que se modificó (entre paréntesis a continuación) en la columna Elemento de los resultados de la búsqueda en el registro de auditoría.

  • Habilita o deshabilita Equipos de Microsoft para la organización (Equipos de Microsoft).

  • Habilita o deshabilita la interoperabilidad entre Equipos de Microsoft y Skype Empresarial para la organización (Skype Empresarialinteroperabilidad).

  • Habilita o deshabilita la vista de organigrama en los clientes de Equipos de Microsoft (vista de organigrama).

  • Habilita o deshabilita la posibilidad de que los miembros del equipo programen reuniones privadas (programación de reuniones privadas).

  • Habilita o deshabilita la posibilidad de que los miembros del equipo programen reuniones para el canal (programación de reuniones para el canal).

  • Habilita o deshabilita la videollamada en las reuniones de Microsoft Teams (vídeo en las reuniones de Skype).

  • Habilita o deshabilita la pantalla compartida en las reuniones de Equipos de Microsoft para la organización (pantalla compartida en las reuniones de Skype).

  • Habilita o deshabilita la posibilidad de agregar imágenes animadas (denominadas imágenes Giphy) a las conversaciones de Microsoft Teams (imágenes animadas).

  • Cambia la configuración de la clasificación de contenido de la organización (clasificación de contenido).

    La clasificación de contenido restringe el tipo de imagen animada que se puede mostrar en las conversaciones.

  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen imágenes personalizables (denominadas memes personalizados) de Internet a las conversaciones del equipo (imágenes personalizables de Internet).

  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen imágenes editables (denominadas adhesivos) a las conversaciones del equipo (imágenes editables).

  • Habilita o deshabilita la posibilidad de que los miembros del equipo usen bots en los chats y en los canales de Equipos de Microsoft (bots en toda la organización).

  • Habilita bots específicos para Equipos de Microsoft; esto no incluye a T-Bot, que es el bot de ayuda de Microsoft Teams que está disponible cuando se habilitan los bots para la organización (bots individuales).

  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen extensiones o pestañas (extensiones o pestañas).

  • Habilita o deshabilita la instalación de prueba de los bots de propiedad para Equipos de Microsoft (instalación de prueba de bots).

  • Habilita o deshabilita la posibilidad de que los usuarios envíen mensajes de correo electrónico a un canal de Equipos de Microsoft (enviar correo electrónico a un canal).

Configuración de equipo cambiada

TeamSettingChanged

La operación TeamSettingChanged se registra cuando un administrador del equipo realiza las actividades siguientes. Para cada una de estas actividades, se muestra una descripción del ajuste que se modificó (entre paréntesis a continuación) se muestra en la columna Elemento de los resultados de búsqueda del registro de auditoría.

  • Cambiar el tipo de acceso para un equipo. Los equipos se pueden establecer como Privados o Públicos (Tipo de acceso de equipo).

    Si un equipo es privado (valor predeterminado), los usuarios pueden acceder al equipo solo por invitación. Cuando un equipo es público, puede verlo cualquier persona.

  • Cambia la clasificación de la información de un equipo (clasificación del equipo).

    Por ejemplo, los datos de equipo se pueden clasificar como impacto empresarial alto, impacto empresarial medio o impacto empresarial bajo.

  • Cambia el nombre de un equipo (nombre del equipo).

  • Cambia la descripción de un equipo (descripción del equipo).

Equipo creado

TeamCreated

Un usuario crea un equipo.

Canal eliminado

ChannelDeleted

Un usuario elimina un canal de un equipo.

Equipo eliminado

TeamDeleted 

Un administrador de equipo elimina un equipo.

Bot quitado del equipo

BotRemovedFromTeam

Un usuario quita un bot de un equipo.

Conector quitado

ConnectorRemoved

Un usuario quita un conector de un canal.

Pestaña quitada

TabRemoved

Un usuario quita una pestaña de un canal.

Usuario que ha iniciado sesión en Equipos

TeamsSessionStarted

Un usuario inicia sesión en un cliente de Equipos de Microsoft.

Volver al principio

Actividades de Yammer

En la tabla siguiente, se enumeran las actividades de usuario y de administrador de Yammer que se registran en el registro de auditoría de Office 365. Para devolver las actividades relacionadas con Yammer del registro de auditoría de Office 365, deberá seleccionar Mostrar resultados para todas las actividades en la lista Actividades. Use los cuadros de intervalo de fecha y la lista Usuarios para restringir los resultados de la búsqueda.

Nombre descriptivo

Operación

Descripción

Directiva de retención de datos cambiada

SoftDeleteSettingsUpdated

Un administrador superior actualizó la configuración de la directiva de retención de datos de la red a Eliminación permanente o Eliminación temporal. Solo los administradores superiores pueden realizar esta operación.

Configuración de red cambiada

NetworkConfigurationUpdated

Un administrador de red o superior cambió la configuración de la red de Yammer. Esto incluye establecer el intervalo de exportación de datos y habilitar el chat.

Configuración del perfil de red cambiada

ProcessProfileFields

Un administrador superior o de red cambia la información que aparece en los perfiles de usuario para los usuarios de su red.

Modo de contenido privado cambiado

SupervisorAdminToggled

Un administrador superior activa o desactiva el Modo de contenido privado. Este modo permite a un administrador ver publicaciones de grupos privados y mensajes privados entre los usuarios (o grupos de usuarios). Solo los administradores superiores pueden realizar esta operación.

Configuración de seguridad cambiada

NetworkSecurityConfigurationUpdated

Un administrador superior actualizó la configuración de seguridad de la red de Yammer. Esto incluye establecer las directivas de expiración de contraseña y las restricciones de las direcciones IP. Solo los administradores superiores pueden realizar esta operación.

Archivo creado

FileCreated

El usuario cargó un archivo.

Grupo creado

GroupCreation

El usuario creó un grupo.

Grupo eliminado

GroupDeletion

Se eliminó un grupo de Yammer.

Mensaje eliminado

MessageDeleted

El usuario eliminó un mensaje.

Archivo descargado

FileDownloaded

El usuario descargó un archivo.

Datos exportados

DataExport

Un administrador superior exportó datos de la red de Yammer. Solo los administradores superiores pueden realizar esta operación.

Archivo compartido

FileShared

Un usuario compartió un archivo con otro usuario.

Usuario de red suspendido

NetworkUserSuspended

Un administrador de red o superior suspendió (desactivó) un usuario de Yammer.

Usuario suspendido

UserSuspension

Se suspendió una cuenta de usuario (se desactivó).

Descripción del archivo actualizado

FileUpdateDescription

Un usuario cambió la descripción de un archivo.

Nombre de archivo actualizado

FileUpdateName

Un usuario cambió el nombre de un archivo.

Archivo visualizado

FileVisited

Un usuario visualizó un archivo.

Volver al principio

Registro de auditoría de administración de Exchange

El registro de auditoría de administrador de Exchange, que está habilitado de manera predeterminada en Office 365, registra un evento en el registro de auditoría de Office 365 cuando un administrador (o un usuario al que se le han asignado permisos administrativos) realiza un cambio en su organización de Exchange Online. Los cambios que se han realizado mediante el Centro de administración de Exchange o mediante la ejecución de un cmdlet en Windows PowerShell se registran en el registro de auditoría del administrador de Exchange. Para obtener más información sobre el registro de auditoría del administrador en Exchange, vea Registro de auditoría de administrador. Aquí se muestran algunas sugerencias para buscar actividades en el registro de auditoría de administración de Exchange:

  • Para devolver las entradas del registro de auditoría de administrador de Exchange, tiene que seleccionar Mostrar resultados para todas las actividades en la lista Actividades. Use los cuadros de intervalo de fecha y la lista Usuarios para restringir los resultados de búsqueda para los cmdlets que se ejecutan mediante un administrador de Exchange específico dentro de un intervalo de fecha específico.

  • Para mostrar los eventos del registro de auditoría de administración de Exchange, filtre los resultados de búsqueda y escriba un (guion) en el cuadro de filtro Actividad. Esto mostrará los nombres de los cmdlet, que se muestran en la columna Actividad de los eventos de administración de Exchange. Después, puede ordenar los nombres de cmdlet en orden alfabético.

    Escriba un guión en el cuadro de actividades para filtrar los eventos de administración de Exchange
  • Para obtener información sobre qué cmdlet se ha ejecutado, qué parámetros y valores de parámetro se han usado y qué objetos se han visto afectados, tendrá que exportar los resultados de búsqueda y seleccionar la opción Descargar todos los resultados.

Volver al principio

¿Necesita conocer si un usuario ha visto un documento determinado o si ha purgado un elemento de su buzón? Si es así, puede usar Centro de cumplimiento y seguridad de Office 365 para buscar el registro de auditoría unificado para ver la actividad administrativa y de usuario en su organización de Office 365. ¿Por qué un registro de auditoría unificado? Porque puede buscar los tipos siguientes de actividades administrativas y de usuario en Office 365:

  • Actividad del usuario en SharePoint Online y OneDrive para la Empresa

  • Actividad del usuario en Exchange Online (registro de auditoría del buzón de Exchange)

    Importante: El registro de auditoría del buzón de correo debe estar activado para cada buzón de usuario antes de que se registre actividad del usuario en Exchange Online. Para obtener más información, vea Habilitar la auditoría de buzones de correo en Office 365.

  • Actividad administrativa en SharePoint Online

  • Actividad administrativa en Azure Active Directory (servicio de directorio de Office 365)

  • Actividad de administración en Exchange Online (registro de auditoría de administración de Exchange)

  • Actividad administrativa y de usuario en Sway

  • Actividad de usuario y de administrador en Power BI para Office 365

  • Actividad de usuario y de administrador en Equipos de Microsoft

  • Actividad de usuario y de administrador en Yammer

Icono pequeño de LinkedIn Learning ¿Usa Office 365 por primera vez?
Descubra cursos en vídeo gratuitos para administradores de Office 365 y profesionales de TI, ofrecidos por LinkedIn Learning.

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×