Condividi tramite


Search-MailboxAuditLog

Questo cmdlet è disponibile in Exchange locale e nel servizio basato su cloud. Alcuni parametri e impostazioni possono essere esclusivi di singoli ambienti.

Utilizzare il cmdlet Search-MailboxAuditLog per ricercare le voci del log di controllo delle cassette postali che corrispondono ai termini di ricerca specificati.

Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.

Sintassi

Search-MailboxAuditLog
      [[-Identity] <MailboxIdParameter>]
      [-ShowDetails]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]
Search-MailboxAuditLog
      [-Mailboxes <MultiValuedProperty>]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]

Descrizione

Il cmdlet Search-MailboxAuditLog esegue una ricerca sincrona dei log di controllo delle cassette postali per una o più cassette postali specificate e visualizza i risultati della ricerca nella finestra di Exchange Management Shell. Per ricercare più cassette postali nei log di controllo delle cassette postali e inviare i risultati per posta elettronica ai destinatari specificati, utilizzare il cmdlet New-MailboxAuditLogSearch. Per altre informazioni sulla registrazione di controllo delle cassette postali, vedere Registrazione di controllo delle cassette postali in Exchange Server.

Negli ambienti multi-geografico, quando si esegue questo cmdlet in un'area diversa dalla cassetta postale in cui si sta tentando di eseguire la ricerca, è possibile che venga visualizzato l'errore "Si è verificato un errore durante il tentativo di accesso al log di controllo". In questo scenario è necessario ancorare la sessione di PowerShell a un utente nella stessa area della cassetta postale, come descritto in Connettersi direttamente a una posizione geografica usando Exchange Online PowerShell.

È necessario disporre delle autorizzazioni prima di poter eseguire questo cmdlet. Sebbene in questo argomento vengano elencati tutti i parametri relativi al cmdlet, si potrebbe non avere accesso ad alcuni di essi qualora non siano inclusi nelle autorizzazioni assegnate. Per individuare le autorizzazioni necessarie per eseguire cmdlet o parametri nell'organizzazione, vedere Trovare le autorizzazioni necessarie per eseguire i cmdlet di Exchange.

Esempio

Esempio 1

Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

In questo esempio vengono recuperate le voci del log di controllo delle cassette postali per la cassetta postale di Ken Kwok per le azioni eseguite dai tipi di accesso Amministrazione e Delegate tra il 1/1/2018 e il 31/12/2018. Vengono restituite fino a 2.000 voci di registro.

Esempio 2

Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

Questo esempio recupera le voci del log di controllo delle cassette postali per le cassette postali di Ken Kwok e Ben Smith per le azioni eseguite dai tipi di accesso Amministrazione e Delegato tra il 1/1/2018 e il 31/12/2018. Vengono restituite fino a 2.000 voci di registro.

Esempio 3

Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}

In questo esempio vengono recuperate le voci del log di controllo delle cassette postali per la cassetta postale di Ken Kwok per le azioni eseguite dal proprietario della cassetta postale tra il 1/1/2017 e il 3/1/2017. I risultati vengono inviati tramite pipe al cmdlet Where-Object e filtrati per restituire solo le voci relative all'azione HardDelete.

Parametri

-DomainController

Questo parametro è disponibile solo in Exchange locale.

Il parametro DomainController consente di specificare il controller di dominio utilizzato da questo cmdlet per la lettura o la scrittura dei dati in Active Directory. Identificare il controller di dominio mediante il relativo nome di dominio completo (FQDN). Ad esempio, dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

Il parametro EndDate consente di specificare la data di fine dell'intervallo di date.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ExternalAccess

Il parametro ExternalAccess specifica se restituire solo le voci del log di controllo per l'accesso alle cassette postali da parte degli utenti esterni all'organizzazione. In Exchange Online questo parametro restituisce le voci del log di controllo per l'accesso alle cassette postali da parte degli amministratori del data center Microsoft. I valori validi sono:

$true: vengono restituite voci del log di controllo per l'accesso alle cassette postali da parte di utenti esterni o amministratori del data center Microsoft.

$false: le voci del log di controllo per l'accesso alle cassette postali da parte di utenti esterni o amministratori del data center Microsoft vengono ignorate. Questo è il valore predefinito.

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-GroupMailbox

Questo parametro è disponibile solamente nel servizio basato su cloud.

L'opzione GroupMailbox è necessaria per includere Gruppi di Microsoft 365 nella ricerca. Con questa opzione non è necessario specificare alcun valore.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-HasAttachments

Il parametro HasAttachments consente di filtrare la ricerca in base ai messaggi con allegati. I valori validi sono:

  • $true: nella ricerca sono inclusi solo i messaggi con allegati.
  • $false: i messaggi con e senza allegati sono inclusi nella ricerca.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2016, Exchange Server 2019, Exchange Online

-Identity

Il parametro Identity consente di specificare una singola cassetta postale da cui recuperare le voci del log di controllo della cassetta postale. È possibile utilizzare qualsiasi valore che identifichi la cassetta postale in modo univoco. Ad esempio:

  • Nome
  • Alias
  • Nome distinto (DN)
  • Nome distinto (DN)
  • Dominio\nomeutente
  • Indirizzo di posta elettronica
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • ID utente o Nome entità utente (UPN)
Type:MailboxIdParameter
Position:1
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-LogonTypes

Il parametro LogonTypes consente di specificare il tipo di accessi. I valori validi sono:

  • Amministrazione: vengono restituite le voci del log di controllo per l'accesso alle cassette postali da parte degli accessi dell'amministratore.
  • Delegato: vengono restituite voci di log di controllo per l'accesso alle cassette postali da parte dei delegati, incluso l'accesso da parte degli utenti con autorizzazione Accesso completo alle cassette postali.
  • Proprietario: vengono restituite le voci di log di controllo per l'accesso alle cassette postali da parte del proprietario della cassetta postale primaria. Questo valore richiede l'opzione ShowDetails.
Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Mailboxes

Il parametro Cassette postali consente di specificare le cassette postali da cui recuperare le voci del log di controllo delle cassette postali. È possibile utilizzare questo parametro per la ricerca dei log di controllo per più cassette postali.

Immettere più cassette postali separate da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN".

Non è possibile usare questo parametro con l'opzione ShowDetails.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Operations

Il parametro Operations filtra i risultati della ricerca in base alle azioni della cassetta postale registrate dalla registrazione di controllo delle cassette postali. I valori validi sono:

  • AddFolderPermissions (solo Exchange 2019 e Exchange Online. Anche se questo valore è accettato, è già incluso nell'azione UpdateFolderPermissions e non viene controllato separatamente.
  • ApplyRecord (solo Exchange Online)
  • Copia
  • Creare
  • Impostazione predefinita (solo Exchange Online)
  • FolderBind
  • HardDelete
  • MailboxLogin
  • MailItemsAccessed (Exchange Online solo e solo per gli utenti della sottoscrizione del componente aggiuntivo Conformità E5 o E5.
  • MessageBind (anche se questo valore è accettato, queste azioni non vengono più registrate).
  • ModifyFolderPermissions (solo Exchange 2019 e Exchange Online. Anche se questo valore è accettato, è già incluso nell'azione UpdateFolderPermissions e non viene controllato separatamente.
  • Move
  • MoveToDeletedItems
  • RecordDelete (solo Exchange Online)
  • RemoveFolderPermissions (Solo Exchange 2019 e Exchange Online. Anche se questo valore è accettato, è già incluso nell'azione UpdateFolderPermissions e non viene controllato separatamente.
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Update
  • UpdateCalendarDelegation (solo Exchange 2019 e Exchange Online)
  • UpdateComplianceTag (solo Exchange Online)
  • UpdateFolderPermissions (solo Exchange 2019 e Exchange Online)
  • UpdateInboxRules (solo Exchange 2019 e Exchange Online)

È possibile immettere più valori separati da virgole.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ResultSize

Il parametro ResultSize consente di specificare il numero massimo di voci del log di controllo delle cassette postali da restituire. I valori validi sono i numeri interi compresi tra 1 e 250.000. Per impostazione predefinita vengono restituite 1000 voci.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ShowDetails

L'opzione ShowDetails recupera i dettagli di ogni voce di log dalla cassetta postale. Con questa opzione non è necessario specificare alcun valore.

Per impostazione predefinita, in una visualizzazione elenco sono mostrati tutti i campi per ciascuna voce di registro restituita.

Non è possibile usare questa opzione con il parametro Cassette postali.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-StartDate

Il parametro StartDate consente di specificare la data di inizio dell'intervallo di date.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Input

Input types

Per verificare i tipi di input accettati da questo cmdlet, vedere Tipi di input e output dei cmdlet. Se il campo relativo al tipo di input di un cmdlet è vuoto, il cmdlet non accetta dati di input.

Output

Output types

Per verificare i tipi restituiti, detti anche tipi di output, accettati da questo cmdlet, vedere Tipi di input e output dei cmdlet. Se il campo relativo al tipo di output è vuoto, il cmdlet non restituisce dati.