Freigeben über


Search-AdminAuditLog

Dieses Cmdlet ist der lokalen Bereitstellung von Exchange und im cloudbasierten Dienst verfügbar. Einige Parameter und Einstellungen gelten exklusiv für die eine oder andere Umgebung.

Verwenden Sie das Cmdlet Search-AdminAuditLog, um den Inhalt des Administratorüberwachungsprotokolls zu durchsuchen. Die Administratorüberwachungsprotokollierung zeichnet auf, wenn ein Benutzer oder Administrator eine Änderung in Ihrem organization vornimmt (im Exchange Admin Center oder mithilfe von Cmdlets).

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

Search-AdminAuditLog
      [-Cmdlets <MultiValuedProperty>]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-IsSuccess <Boolean>]
      [-ObjectIds <MultiValuedProperty>]
      [-Parameters <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [-StartIndex <Int32>]
      [-UserIds <MultiValuedProperty>]
      [<CommonParameters>]

Beschreibung

Wenn Sie das Cmdlet Search-AdminAuditLog ohne Parameter ausführen, werden standardmäßig bis zu 1.000 Protokolleinträge zurückgegeben.

Wenn Sie in Exchange Online PowerShell nicht die Parameter StartDate oder EndDate verwenden, werden nur Ergebnisse der letzten 14 Tage zurückgegeben.

In Exchange Online PowerShell sind Daten für die letzten 90 Tage verfügbar. Sie können Daten eingeben, die älter als 90 Tage sind, aber es werden nur Daten aus den letzten 90 Tagen zurückgegeben.

Weitere Informationen zur Struktur und zu den Eigenschaften des Überwachungsprotokolls finden Sie unter Struktur des Administratorüberwachungsprotokolls.

Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.

Beispiele

Beispiel 1

Search-AdminAuditLog -Cmdlets New-RoleGroup,New-ManagementRoleAssignment

In diesem Beispiel werden alle Administratorüberwachungsprotokolleinträge gesucht, die entweder das New-RoleGroup- oder das New-ManagementRoleAssignment-Cmdlet enthalten.

Beispiel 2

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults,ProhibitSendReceiveQuota,ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -IsSuccess $true

In diesem Beispiel werden alle Administratorüberwachungsprotokolleinträge gesucht, die den folgenden Kriterien entsprechen:

  • Cmdlets: Set-Mailbox
  • Parameter: UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
  • StartDatum: 24.01.2018
  • EndDate: 12.02.2018

Der Befehl wurde erfolgreich abgeschlossen.

Beispiel 3

$LogEntries = Search-AdminAuditLog -Cmdlets Write-AdminAuditLog

$LogEntries | ForEach { $_.CmdletParameters }

In diesem Beispiel werden alle Kommentare angezeigt, die vom Cmdlet Write-AdminAuditLog in das Administratorüberwachungsprotokoll geschrieben wurden.

Speichern Sie zunächst die Überwachungsprotokolleinträge in einer temporären Variablen. Durchlaufen Sie dann alle zurückgegebenen Überwachungsprotokolleinträge, und zeigen Sie die Parameters-Eigenschaft an.

Beispiel 4

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2018 -EndDate 10/02/2018

In diesem Beispiel werden Einträge im Administratorüberwachungsprotokoll eines Exchange Online organization für Cmdlets zurückgegeben, die zwischen dem 17. September 2018 und dem 2. Oktober 2018 von Microsoft-Rechenzentrumsadministratoren ausgeführt werden.

Parameter

-Cmdlets

Der Cmdlets-Parameter filtert die Ergebnisse nach den verwendeten Cmdlets. Sie können mehrere Cmdlets angeben, die durch Kommas getrennt sind.

In den Ergebnissen dieses Cmdlets heißt diese Eigenschaft CmdletName.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-DomainController

Dieser Parameter ist im lokalen Exchange verfügbar.

Der Parameter "DomainController" gibt den Domänencontroller an, der von diesem Cmdlet verwendet wird, um aus Active Directory Daten zu lesen oder hineinzuschreiben. Der Domänencontroller kann anhand seines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) ermittelt werden. Beispiel: dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

Der EndDate-Parameter gibt das Enddatum des Datumsbereichs an.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Wenn Sie im cloudbasierten Dienst einen Datums-/Uhrzeitwert ohne Zeitzone angeben, liegt der Wert in koordinierter Weltzeit (UTC) vor. Verwenden Sie eine der folgenden Optionen, um einen Datum/Uhrzeit-Wert für diesen Parameter anzugeben:

  • Geben Sie den Datums-/Uhrzeitwert in UTC an: Beispiel: "2021-05-06 14:30:00z".
  • Geben Sie den Datums-/Uhrzeitwert als Formel an, (Get-Date "5/6/2021 9:30 AM").ToUniversalTime()die das Datum/die Uhrzeit in Ihrer lokalen Zeitzone in UTC konvertiert: Beispiel: . Weitere Informationen finden Sie unter Get-Date.

In den Ergebnissen dieses Cmdlets wird das Datum/die Uhrzeit der Änderung (das Cmdlet wurde ausgeführt) in der Eigenschaft runDate zurückgegeben.

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ExternalAccess

Der Parameter ExternalAccess filtert die Ergebnisse nach Änderungen, die von Benutzern außerhalb Ihres organization vorgenommen wurden (Cmdlets, die ausgeführt wurden). Gültige Werte sind:

  • $true: Gibt nur Überwachungsprotokolleinträge zurück, bei denen die Änderung von einem externen Benutzer vorgenommen wurde. Verwenden Sie in Exchange Online wert, um Überwachungsprotokolleinträge für Änderungen zurückzugeben, die von Microsoft-Rechenzentrumsadministratoren vorgenommen wurden.
  • $false: Gibt nur Überwachungsprotokolleinträge zurück, bei denen die Änderung von einem internen Benutzer vorgenommen wurde.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-IsSuccess

Der Parameter IsSuccess filtert die Ergebnisse danach, ob die Änderungen erfolgreich waren. Gültige Werte sind:

  • $true: Gibt nur Überwachungsprotokolleinträge zurück, bei denen die Änderung erfolgreich war (d. h. das Cmdlet wurde erfolgreich ausgeführt).
  • $false: Gibt nur Überwachungsprotokolleinträge zurück, bei denen die Änderung nicht erfolgreich war (d. h., das Cmdlet wurde nicht erfolgreich ausgeführt und hat zu einem Fehler geführt).

In den Ergebnissen dieses Cmdlets hat diese Eigenschaft den Namen Succeeded.

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ObjectIds

Der Parameter ObjectIds filtert die Ergebnisse nach dem objekt, das geändert wurde (Postfach, öffentlicher Ordner, Sendeconnector, Transportregel, akzeptierte Domäne usw.), für das das Cmdlet ausgeführt wurde. Ein gültiger Wert hängt davon ab, wie das Objekt im Überwachungsprotokoll dargestellt wird. Zum Beispiel:

  • Name
  • Kanonischer Distinguished Name (z. B. contoso.com/Users/Akia Al-Zuhairi)
  • Identität öffentlicher Ordner (z. B. \Engineering\Customer Discussion)

Sie müssen wahrscheinlich andere Filterparameter für dieses Cmdlet verwenden, um die Ergebnisse einzugrenzen und die Typen von Objekten zu identifizieren, an denen Sie interessiert sind. In den Ergebnissen dieses Cmdlets heißt diese Eigenschaft ObjectModified.

Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Parameters

Der Parameter Parameter filtert die Ergebnisse nach den verwendeten Parametern. Sie können diesen Parameter nur mit dem Cmdlets-Parameter verwenden (Sie können ihn nicht selbst verwenden). Sie können mehrere Parameter angeben, die durch Kommas getrennt sind.

In den Ergebnissen dieses Cmdlets heißt diese Eigenschaft CmdletParameters.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ResultSize

Der ResultSize-Parameter gibt die maximale Anzahl von zurückzugebenden Ergebnissen an. Der Standardwert ist 1000.

Die maximal zurückgegebenen Ergebnisse sind 250.000.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StartDate

Der StartDate-Parameter gibt das Startdatum und die Uhrzeit des Datumsbereichs an.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Wenn Sie im cloudbasierten Dienst einen Datums-/Uhrzeitwert ohne Zeitzone angeben, liegt der Wert in koordinierter Weltzeit (UTC) vor. Verwenden Sie eine der folgenden Optionen, um einen Datum/Uhrzeit-Wert für diesen Parameter anzugeben:

  • Geben Sie den Datums-/Uhrzeitwert in UTC an: Beispiel: "2021-05-06 14:30:00z".
  • Geben Sie den Datums-/Uhrzeitwert als Formel an, (Get-Date "5/6/2021 9:30 AM").ToUniversalTime()die das Datum/die Uhrzeit in Ihrer lokalen Zeitzone in UTC konvertiert: Beispiel: . Weitere Informationen finden Sie unter Get-Date.

In den Ergebnissen dieses Cmdlets wird das Datum/die Uhrzeit der Änderung (das Cmdlet wurde ausgeführt) in der Eigenschaft runDate zurückgegeben.

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StartIndex

Der StartIndex-Parameter gibt die Position im Resultset an, an der die angezeigten Ergebnisse beginnen.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-UserIds

Der Parameter UserIds filtert die Ergebnisse nach dem Benutzer, der die Änderung vorgenommen hat (der das Cmdlet ausgeführt hat).

Ein typischer Wert für diesen Parameter ist der Benutzerprinzipalname (User Principal Name, UPN, helpdesk@contoso.comz. B. ). Updates, die von Systemkonten ohne E-Mail-Adressen vorgenommen wurden, können jedoch die Syntax Domäne\Benutzername verwenden (z. B. NT AUTHORITY\SYSTEM (MSExchangeHMHost)).

Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "User1","User2",..."UserN".

In den Ergebnissen dieses Cmdlets heißt diese Eigenschaft Aufrufer.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

Eingaben

Input types

Eingabetypen, die dieses Cmdlet akzeptiert, finden Sie unter Eingabe- und Ausgabetypen für Cmdlets. Wenn das Feld mit dem Eingabetyp für ein Cmdlet leer ist, akzeptiert das Cmdlet diese Eingabedaten nicht.

Ausgaben

Output types

Informationen zu den Rückgabetypen, die auch als Ausgabetypen bezeichnet werden, die dieses Cmdlet akzeptiert, finden Sie unter Cmdlet Input and Output Types. Wenn das Feld Ausgabetyp leer ist, gibt das Cmdlet keine Daten zurück.