Search-AdminAuditLog
Questo cmdlet è disponibile in Exchange locale e nel servizio basato su cloud. Alcuni parametri e impostazioni possono essere esclusivi di singoli ambienti.
Utilizzare il cmdlet Search-AdminAuditLog per ricercare contenuto nel log di controllo dell'amministratore. Record di registrazione di controllo dell'amministratore quando un utente o un amministratore apporta una modifica all'interno dell'organizzazione (nell'interfaccia di amministrazione di Exchange o usando i cmdlet).
Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.
Sintassi
Search-AdminAuditLog
[-Cmdlets <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-IsSuccess <Boolean>]
[-ObjectIds <MultiValuedProperty>]
[-Parameters <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[-StartIndex <Int32>]
[-UserIds <MultiValuedProperty>]
[<CommonParameters>] Descrizione
Eseguendo il cmdlet Search-AdminAuditLog senza l'uso di parametri, per impostazione predefinita vengono restituite fino a 1.000 voci di registro.
In Exchange Online PowerShell, se non si usano i parametri StartDate o EndDate, vengono restituiti solo i risultati degli ultimi 14 giorni.
In Exchange Online PowerShell, i dati sono disponibili per gli ultimi 90 giorni. È possibile immettere date precedenti a 90 giorni, ma verranno restituiti solo i dati degli ultimi 90 giorni.
Per altre informazioni sulla struttura e sulle proprietà del log di controllo, vedere Struttura del log di controllo dell'amministratore.
È necessario disporre delle autorizzazioni prima di poter eseguire questo cmdlet. Sebbene in questo argomento vengano elencati tutti i parametri relativi al cmdlet, si potrebbe non avere accesso ad alcuni di essi qualora non siano inclusi nelle autorizzazioni assegnate. Per individuare le autorizzazioni necessarie per eseguire cmdlet o parametri nell'organizzazione, vedere Trovare le autorizzazioni necessarie per eseguire i cmdlet di Exchange.
Esempio
Esempio 1
Search-AdminAuditLog -Cmdlets New-RoleGroup,New-ManagementRoleAssignmentCon questo esempio vengono individuate tutte le voci del registro di controllo dell'amministratore contenenti il cmdlet New-RoleGroup o New-ManagementRoleAssignment.
Esempio 2
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults,ProhibitSendReceiveQuota,ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -IsSuccess $trueCon questo esempio vengono individuate tutte le voci del registro di controllo dell'amministratore che corrispondono ai criteri riportati di seguito:
- Cmdlet: Set-Mailbox
- Parametri: UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
- StartDate: 24/01/2018
- EndDate: 12/02/2018
Comando completato correttamente
Esempio 3
$LogEntries = Search-AdminAuditLog -Cmdlets Write-AdminAuditLog
$LogEntries | ForEach { $_.CmdletParameters }Con questo esempio vengono visualizzati tutti i commenti scritti nel registro di controllo dell'amministratore dal cmdlet Write-AdminAuditLog.
Prima di tutto, archiviare le voci del log di controllo in una variabile temporanea. Scorrere quindi tutte le voci del log di controllo restituite e visualizzare la proprietà Parameters.
Esempio 4
Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2018 -EndDate 10/02/2018In questo esempio vengono restituite voci nel log di controllo dell'amministratore di un'organizzazione Exchange Online per i cmdlet eseguiti dagli amministratori dei data center Microsoft tra il 17 settembre 2018 e il 2 ottobre 2018.
Parametri
-Cmdlets
Il parametro Cmdlets filtra i risultati in base ai cmdlet usati. È possibile specificare più cmdlet separati da virgole.
Nei risultati di questo cmdlet, questa proprietà è denominata CmdletName.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-DomainController
Questo parametro è disponibile solo in Exchange locale.
Il parametro DomainController consente di specificare il controller di dominio utilizzato da questo cmdlet per la lettura o la scrittura dei dati in Active Directory. Identificare il controller di dominio mediante il relativo nome di dominio completo (FQDN). Ad esempio, dc01.contoso.com.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
Il parametro EndDate consente di specificare la data di fine dell'intervallo di date.
Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".
Nel servizio basato sul cloud, se si specifica un valore di data/ora senza un fuso orario, il valore è in utc (Coordinated Universal Time). Per specificare un valore data/ora per questo parametro, utilizzare una delle opzioni seguenti:
- Specificare il valore di data/ora in formato UTC: ad esempio, "2021-05-06 14:30:00z".
- Specificare il valore di data/ora come formula che converte la data/ora nel fuso orario locale in formato UTC: ad esempio,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Per altre informazioni, vedere Get-Date.
Nei risultati di questo cmdlet, la data/ora in cui è stata apportata la modifica (il cmdlet è stato eseguito) viene restituita nella proprietà denominata RunDate.
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ExternalAccess
Il parametro ExternalAccess filtra i risultati in base alle modifiche apportate (cmdlet eseguiti) da utenti esterni all'organizzazione. I valori validi sono:
- $true: restituisce solo le voci del log di controllo in cui la modifica è stata apportata da un utente esterno. In Exchange Online usare il valore per restituire le voci del log di controllo per le modifiche apportate dagli amministratori del data center Microsoft.
- $false: restituisce solo le voci del log di controllo in cui la modifica è stata apportata da un utente interno.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-IsSuccess
Il parametro IsSuccess filtra i risultati in base all'esito positivo delle modifiche. I valori validi sono:
- $true: restituisce solo le voci del log di controllo in cui la modifica ha avuto esito positivo( in altre parole, il cmdlet è stato eseguito correttamente).
- $false: restituisce solo voci del log di controllo in cui la modifica non ha avuto esito positivo( in altre parole, il cmdlet non è stato eseguito correttamente e ha generato un errore).
Nei risultati di questo cmdlet, questa proprietà è denominata Succeeded.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ObjectIds
Il parametro ObjectIds filtra i risultati in base all'oggetto modificato (cassetta postale, cartella pubblica, connettore di invio, regola di trasporto, dominio accettato e così via). Un valore valido dipende dal modo in cui l'oggetto viene rappresentato nel log di controllo. Ad esempio:
- Nome
- Nome distinto canonico (ad esempio, contoso.com/Users/Akia Al-Zuhairi)
- Identità della cartella pubblica (ad esempio, \Engineering\Customer Discussion)
È probabile che sia necessario usare altri parametri di filtro in questo cmdlet per restringere i risultati e identificare i tipi di oggetti a cui si è interessati. Nei risultati di questo cmdlet, questa proprietà è denominata ObjectModified.
È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-Parameters
Il parametro Parameters filtra i risultati in base ai parametri usati. È possibile usare questo parametro solo con il parametro Cmdlets (non è possibile usarlo da solo). È possibile specificare più parametri separati da virgole.
Nei risultati di questo cmdlet, questa proprietà è denominata CmdletParameters
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ResultSize
Il parametro ResultSize consente di specificare il numero massimo di risultati da restituire. Il valore predefinito è 1000.
I risultati massimi da restituire sono 250.000.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-StartDate
Il parametro StartDate consente di specificare la data di inizio dell'intervallo di date.
Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".
Nel servizio basato sul cloud, se si specifica un valore di data/ora senza un fuso orario, il valore è in utc (Coordinated Universal Time). Per specificare un valore data/ora per questo parametro, utilizzare una delle opzioni seguenti:
- Specificare il valore di data/ora in formato UTC: ad esempio, "2021-05-06 14:30:00z".
- Specificare il valore di data/ora come formula che converte la data/ora nel fuso orario locale in formato UTC: ad esempio,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Per altre informazioni, vedere Get-Date.
Nei risultati di questo cmdlet, la data/ora in cui è stata apportata la modifica (il cmdlet è stato eseguito) viene restituita nella proprietà denominata RunDate.
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-StartIndex
Il parametro StartIndex consente di specificare la posizione nel set di risultati da cui iniziano i risultati visualizzati.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-UserIds
Il parametro UserIds filtra i risultati dall'utente che ha apportato la modifica (che ha eseguito il cmdlet).
Un valore tipico per questo parametro è il nome dell'entità utente (UPN, ad esempio). helpdesk@contoso.com Tuttavia, gli aggiornamenti eseguiti da account di sistema senza indirizzi di posta elettronica potrebbero usare la sintassi Dominio\Nome utente, ad esempio NT AUTHORITY\SYSTEM (MSExchangeHMHost).But, updates that were made by system accounts without email addresses might use the Domain\Username syntax (ad esempio, NT AUTHORITY\SYSTEM (MSExchangeHMHost)).
È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "User1","User2",..."UserN".
Nei risultati di questo cmdlet, questa proprietà è denominata Caller
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
Input
Input types
Per verificare i tipi di input accettati da questo cmdlet, vedere Tipi di input e output dei cmdlet. Se il campo relativo al tipo di input di un cmdlet è vuoto, il cmdlet non accetta dati di input.
Output
Output types
Per verificare i tipi restituiti, detti anche tipi di output, accettati da questo cmdlet, vedere Tipi di input e output dei cmdlet. Se il campo relativo al tipo di output è vuoto, il cmdlet non restituisce dati.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per