Search-MailboxAuditLog
Cette cmdlet est disponible dans Exchange sur site et dans le service cloud. Certains paramètres peuvent être propres à un environnement ou à un autre.
Utilisez la cmdlet Search-MailboxAuditLog pour rechercher des entrées de journal d’audit de la boîte aux lettres qui correspondent aux critères de recherche spécifiés.
Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.
Syntax
Search-MailboxAuditLog
[[-Identity] <MailboxIdParameter>]
[-ShowDetails]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] Search-MailboxAuditLog
[-Mailboxes <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] Description
La cmdlet Search-MailboxAuditLog effectue une recherche synchrone des journaux d’audit de boîte aux lettres d’une ou de plusieurs boîtes aux lettres spécifiées et affiche les résultats de la recherche dans la fenêtre de l’ environnement de ligne de commande Exchange Management Shell. Pour effectuer ce type de recherche dans plusieurs boîtes aux lettres et transmettre les résultats par e-mail à des destinataires spécifiques, utilisez plutôt la cmdlet New-MailboxAuditLogSearch. Pour plus d’informations sur la journalisation d’audit de boîte aux lettres, consultez la rubrique Journalisation d’audit de boîte aux lettres dans Exchange Server.
Dans les environnements multigéographiques, lorsque vous exécutez cette applet de commande dans une région différente de la boîte aux lettres dans laquelle vous essayez de rechercher, vous pouvez recevoir l’erreur « Une erreur s’est produite lors de la tentative d’accès au journal d’audit ». Dans ce scénario, vous devez ancrer la session PowerShell à un utilisateur dans la même région que la boîte aux lettres, comme décrit dans Se connecter directement à un emplacement géographique à l’aide de Exchange Online PowerShell.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations requises pour exécuter une cmdlet ou un paramètre dans votre organisation, voir Find the permissions required to run any Exchange cmdlet.
Exemples
Exemple 1
Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000Cet exemple récupère les entrées du journal d’audit de la boîte aux lettres de l’utilisateur Ken Kwok pour des actions effectuées par les types de connexion des administrateurs et des délégués entre le 01/01/2018 et le 31/12/2018. 2 000 entrées du journal sont renvoyées au maximum.
Exemple 2
Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000Cet exemple récupère les entrées du journal d’audit de la boîte aux lettres des utilisateurs Ken Kwok et Ben Smith pour des actions effectuées par les types de connexion des administrateurs et des délégués entre le 01/01/2018 et le 31/12/2018. 2 000 entrées du journal sont renvoyées au maximum.
Exemple 3
Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}Cet exemple récupère les entrées du journal d’audit de boîte aux lettres pour la boîte aux lettres de Ken Kwok pour les actions effectuées par le propriétaire de la boîte aux lettres entre le 1/1/1/2017 et le 1/3/2017. Les résultats sont transmis à la cmdlet Where-Object et filtrés pour ne renvoyer que les entrées relatives à l’action HardDelete.
Paramètres
-DomainController
Ce paramètre est disponible uniquement dans Exchange sur site.
Le paramètre DomainController spécifie le contrôleur de domaine qui est utilisé par cette cmdlet pour lire ou écrire les données dans Active Directory. Vous identifiez le contrôleur de domaine par son nom de domaine complet (FQDN). Par exemple : « dc01.contoso.com ».
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
Le paramètre EndDate indique la fin de la plage de dates définies.
Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ExternalAccess
Le paramètre ExternalAccess spécifie s’il est important de renvoyer uniquement des entrées du journal d’audit pour l’accès aux boîtes aux lettres des utilisateurs extérieurs à votre organisation. Dans Exchange Online, ce paramètre renvoie des entrées du journal d’audit pour l’accès aux boîtes aux lettres des administrateurs du centre de données Microsoft. Les valeurs valides sont les suivantes :
$true : les entrées du journal d’audit pour l’accès aux boîtes aux lettres des utilisateurs ou des administrateurs du centre de données Microsoft sont renvoyées.
$false : les entrées du journal d’audit pour l’accès aux boîtes aux lettres des utilisateurs externes ou les administrateurs du centre de données Microsoft sont ignorées. Ceci est la valeur par défaut.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-GroupMailbox
Ce paramètre est disponible uniquement dans le service basé sur le cloud.
Le commutateur GroupMailbox est requis pour inclure les groupes Microsoft 365 dans la recherche. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online |
-HasAttachments
Le paramètre HasAttachments permet de filtrer la recherche par les messages contenant des pièces jointes. Les valeurs valides sont les suivantes :
- $true : seuls les messages contenant des pièces jointes sont inclus dans la recherche.
- $false : les messages avec ou sans pièces jointes sont inclus dans la recherche.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Identity
Le paramètre Identité spécifie une boîte aux lettres unique pour récupérer des entrées du journal d’audit de la boîte aux lettres. Vous pouvez utiliser n’importe quelle valeur qui identifie la boîte aux lettres de manière unique. Par exemple :
- Nom
- Alias
- Nom unique
- Nom unique
- Domaine\Nom d’utilisateur
- Adresse e-mail
- GUID
- LegacyExchangeDN
- SamAccountName
- Identifiant utilisateur ou nom d’utilisateur principal (UPN)
| Type: | MailboxIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-LogonTypes
Le paramètre LogonTypes spécifie le type de connexions. Les valeurs valides sont les suivantes :
- Administrateur : les entrées du journal d’audit pour l’accès aux boîtes aux lettres des connexions d’administrateur sont renvoyées.
- Délégué : les entrées du journal d’audit pour l’accès aux boîtes aux lettres des délégués sont renvoyées ainsi que l’accès des utilisateurs ayant des autorisations d’accès complètes aux boîte aux lettres.
- Propriétaire : les entrées du journal d’audit pour l’accès aux boîtes aux lettres du propriétaire de boîte aux lettres principal sont renvoyées. Cette valeur nécessite le commutateur ShowDetails.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Mailboxes
Le paramètre Mailboxes spécifie les boîtes aux lettres à partir desquelles des entrées du journal d’audit de la boîte aux lettres sont récupérées. Ce paramètre permet de rechercher des journaux d’audit concernant plusieurs boîtes aux lettres.
Entrez plusieurs boîtes aux lettres séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".
Vous ne pouvez pas utiliser ce paramètre avec le commutateur ShowDetails.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Operations
Le paramètre Opérations permet de filtrer les résultats de la recherche selon les actions de boîte aux lettres qui sont répertoriées par la journalisation d’audit de boîte aux lettres. Les valeurs valides sont les suivantes :
- AddFolderPermissions (Exchange 2019 et Exchange Online uniquement. Bien que cette valeur soit acceptée, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément.)
- ApplyRecord (Exchange Online uniquement)
- Copy
- Create
- Par défaut (Exchange Online uniquement)
- FolderBind
- HardDelete
- MailboxLogin
- MailItemsAccessed (Exchange Online uniquement et uniquement pour les utilisateurs d’un abonnement E5 ou un abonnement au complément de conformité E5.)
- MessageBind (Bien que cette valeur soit acceptée, ces actions ne sont plus enregistrées.)
- ModifyFolderPermissions (Exchange 2019 et Exchange Online uniquement). Bien que cette valeur soit acceptée, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément.)
- Move
- MoveToDeletedItems
- RecordDelete (Exchange Online uniquement)
- RemoveFolderPermissions (Exchange 2019 et Exchange Online uniquement). Bien que cette valeur soit acceptée, elle est déjà incluse dans l’action UpdateFolderPermissions et n’est pas auditée séparément.)
- SendAs
- SendOnBehalf
- SoftDelete
- Update
- UpdateCalendarDelegation (Exchange 2019 et Exchange Online uniquement)
- UpdateComplianceTag (Exchange Online uniquement)
- UpdateFolderPermissions (Exchange 2019 et Exchange Online uniquement)
- UpdateInboxRules (Exchange 2019 et Exchange Online uniquement)
Vous pouvez entrer plusieurs valeurs séparées par des virgules.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ResultSize
Le paramètre ResultSize spécifie le nombre maximal d’entrées du journal d’audit de la boîte aux lettres à renvoyer. Les valeurs valides incluent un entier de 1 à 250 000. Par défaut, 1000 entrées sont renvoyées.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ShowDetails
Le commutateur ShowDetails récupère les détails de chaque entrée de journal de la boîte aux lettres. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.
Par défaut, tous les champs de chaque entrée du journal retournée apparaissent sous forme de liste.
Vous ne pouvez pas utiliser ce commutateur avec le paramètre Mailboxes.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-StartDate
Le paramètre StartDate indique le début de la plage de dates définies.
Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
Entrées
Input types
Pour visualiser les types d'entrées acceptés par cette cmdlet, consultez la rubrique Types d'entrée et de sortie de la cmdlet d'Exchange Management Shell. Si le champ Type d'entrée pour une cmdlet est vide, la cmdlet n'accepte pas les données d'entrée.
Sorties
Output types
Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d'entrée et de sortie de la cmdlet d'Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour