Search-MailboxAuditLog

Dieses Cmdlet ist der lokalen Bereitstellung von Exchange und im cloudbasierten Dienst verfügbar. Einige Parameter und Einstellungen gelten exklusiv für die eine oder andere Umgebung.

Verwenden Sie das Cmdlet Search-MailboxAuditLog, um nach Postfach-Überwachungsprotokolleinträgen zu suchen, die den festgelegten Suchbegriffen entsprechen.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

Search-MailboxAuditLog
      [[-Identity] <MailboxIdParameter>]
      [-ShowDetails]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]
Search-MailboxAuditLog
      [-Mailboxes <MultiValuedProperty>]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]

Beschreibung

Das Cmdlet Search-MailboxAuditLog führt eine synchrone Suche nach Postfachüberwachungsprotokollen für ein oder mehrere angegebene Postfächer durch und zeigt Suchergebnisse im Fenster der Exchange-Verwaltungsshell an. Verwenden Sie stattdessen das Cmdlet New-MailboxAuditLogSearch, um Postfachüberwachungsprotokolle für mehrere Postfächer zu durchsuchen und die Ergebnisse per E-Mail an bestimmte Empfänger zu senden. Weitere Informationen zur Postfachüberwachungsprotokollierung finden Sie unter Überwachungsprotokollierung von Postfächern in Exchange Server.

Wenn Sie dieses Cmdlet in Multi-Geo-Umgebungen in einer anderen Region als dem Postfach ausführen, das Sie durchsuchen möchten, erhalten Sie möglicherweise die Fehlermeldung "Fehler beim Zugriff auf das Überwachungsprotokoll". In diesem Szenario müssen Sie die PowerShell-Sitzung mit einem Benutzer in derselben Region wie das Postfach verankern, wie unter Herstellen einer direkten Verbindung mit einem geografischen Standort mithilfe von Exchange Online PowerShell beschrieben.

Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.

Beispiele

Beispiel 1

Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

In diesem Beispiel werden Postfachüberwachungsprotokolleinträge für ken Kwoks Postfach für Aktionen abgerufen, die von Admin- und Delegaten-Anmeldetypen zwischen dem 1.1.2018 und dem 31.12.2018 ausgeführt werden. Maximal 2.000 Protokolleinträge werden zurückgegeben.

Beispiel 2

Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

In diesem Beispiel werden Postfachüberwachungsprotokolleinträge für die Postfächer von Ken Kwok und Ben Smith für Aktionen abgerufen, die von Admin- und Delegaten-Anmeldetypen zwischen dem 1.1.2018 und dem 31.12.2018 ausgeführt werden. Maximal 2.000 Protokolleinträge werden zurückgegeben.

Beispiel 3

Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}

In diesem Beispiel werden Postfachüberwachungsprotokolleinträge für das Postfach von Ken Kwok für Aktionen abgerufen, die vom Postfachbesitzer zwischen dem 1.1.2017 und dem 03.01.2017 ausgeführt wurden. Die Ergebnisse werden an das Cmdlet Where-Object weitergeleitet und gefiltert, um nur Einträge mit der HardDelete-Aktion zurückzugeben.

Parameter

-DomainController

Dieser Parameter ist im lokalen Exchange verfügbar.

Der Parameter "DomainController" gibt den Domänencontroller an, der von diesem Cmdlet verwendet wird, um aus Active Directory Daten zu lesen oder hineinzuschreiben. Der Domänencontroller kann anhand seines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) ermittelt werden. Beispiel: dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

Der EndDate-Parameter gibt das Enddatum des Datumsbereichs an.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ExternalAccess

Der Parameter ExternalAccess gibt an, ob nur Überwachungsprotokolleinträge für den Postfachzugriff von Benutzern zurückgegeben werden sollen, die sich außerhalb Ihrer organization befinden. In Exchange Online gibt dieser Parameter Überwachungsprotokolleinträge für den Postfachzugriff durch Microsoft-Rechenzentrumsadministratoren zurück. Gültige Werte sind:

$true: Überwachungsprotokolleinträge für den Postfachzugriff durch externe Benutzer oder Microsoft-Rechenzentrumsadministratoren werden zurückgegeben.

$false: Überwachungsprotokolleinträge für den Postfachzugriff durch externe Benutzer oder Microsoft-Rechenzentrumsadministratoren werden ignoriert. Dies ist der Standardwert.

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-GroupMailbox

Dieser Parameter ist nur im cloudbasierten Dienst verfügbar.

Der Schalter GroupMailbox ist erforderlich, um Microsoft 365-Gruppen in die Suche einzubeziehen. Sie müssen keinen Wert für diese Option angeben.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-HasAttachments

Der Parameter HasAttachments filtert die Suche nach Nachrichten, die Anlagen enthalten. Gültige Werte sind:

  • $true: Nur Nachrichten mit Anlagen werden in die Suche einbezogen.
  • $false: Nachrichten mit und ohne Anlagen werden in die Suche einbezogen.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2016, Exchange Server 2019, Exchange Online

-Identity

Der Parameter Identity gibt ein einzelnes Postfach an, aus dem Postfachüberwachungsprotokolleinträge abgerufen werden sollen. Sie können jeden beliebigen Wert verwenden, sofern er das Postfach eindeutig kennzeichnet. Beispiel:

  • Name
  • Alias
  • Distinguished Name (DN)
  • Distinguished Name (DN)
  • Domäne\benutzername
  • E-Mail-Adresse
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • Benutzer-ID oder User Principal Name (UPN)
Type:MailboxIdParameter
Position:1
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-LogonTypes

Der Parameter LogonTypes gibt den Anmeldetyp an. Gültige Werte sind:

  • Admin: Überwachungsprotokolleinträge für den Postfachzugriff durch Administratoranmeldungen werden zurückgegeben.
  • Admin: Zurückgegeben werden Überwachungsprotokolleinträge für den Postfachzugriff durch Administratoren.
  • Besitzer: Überwachungsprotokolleinträge für den Postfachzugriff durch den primären Postfachbesitzer werden zurückgegeben. Für diesen Wert ist der Schalter ShowDetails erforderlich.
Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Mailboxes

Der Parameter Mailboxes gibt die Postfächer an, aus der Postfachüberwachungsprotokolleinträge abgerufen werden sollen. Sie können diesen Parameter verwenden, um Überwachungsprotokolle für mehrere Postfächer zu durchsuchen.

Sie geben mehrere Postfächer durch Kommas getrennt ein. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".

Sie können diesen Parameter nicht mit dem Schalter ShowDetails verwenden.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Operations

Der Parameter Operations filtert die Suchergebnisse nach den Postfachaktionen, die von der Postfachüberwachungsprotokollierung protokolliert werden. Gültige Werte sind:

  • AddFolderPermissions (nur Exchange 2019 und Exchange Online. Obwohl dieser Wert akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht.)
  • ApplyRecord (nur Exchange Online)
  • Kopie
  • Erstellen
  • Standard (nur Exchange Online)
  • FolderBind
  • HardDelete
  • MailboxLogin
  • MailItemsAccessed (Exchange Online nur und nur für E5- oder E5 Compliance-Add-On-Abonnementbenutzer.)
  • MessageBind (Obwohl dieser Wert akzeptiert wird, werden diese Aktionen nicht mehr protokolliert.)
  • ModifyFolderPermissions (nur Exchange 2019 und Exchange Online. Obwohl dieser Wert akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht.)
  • Move
  • MoveToDeletedItems
  • RecordDelete (nur Exchange Online)
  • RemoveFolderPermissions (nur Exchange 2019 und Exchange Online. Obwohl dieser Wert akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht.)
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Update
  • UpdateCalendarDelegation (nur Exchange 2019 und Exchange Online)
  • UpdateComplianceTag (nur Exchange Online)
  • UpdateFolderPermissions (nur Exchange 2019 und Exchange Online)
  • UpdateInboxRules (nur Exchange 2019 und Exchange Online)

Mehrere Werte können durch Kommata getrennt eingegeben werden.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ResultSize

Der Parameter ResultSize gibt die maximale Anzahl von Postfachüberwachungsprotokolleinträgen an, die zurückgegeben werden sollen. Gültige Werte sind eine ganze Zahl von 1 bis 250000. Standardmäßig werden 1000 Einträge zurückgegeben.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ShowDetails

Der Schalter ShowDetails ruft die Details der einzelnen Protokolleinträge aus dem Postfach ab. Sie müssen keinen Wert für diese Option angeben.

Standardmäßig werden alle Felder für jeden zurückgegebenen Protokolleintrag in einer Listenansicht angezeigt.

Sie können diesen Schalter nicht mit dem Parameter Mailboxes verwenden.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-StartDate

Der StartDate-Parameter gibt das Startdatum und die Uhrzeit des Datumsbereichs an.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Eingaben

Input types

Eingabetypen, die dieses Cmdlet akzeptiert, finden Sie unter Eingabe- und Ausgabetypen für Cmdlets. Wenn das Feld mit dem Eingabetyp für ein Cmdlet leer ist, akzeptiert das Cmdlet diese Eingabedaten nicht.

Ausgaben

Output types

Informationen zu den Rückgabetypen, die auch als Ausgabetypen bezeichnet werden, die dieses Cmdlet akzeptiert, finden Sie unter Cmdlet Input and Output Types. Wenn das Feld Ausgabetyp leer ist, gibt das Cmdlet keine Daten zurück.