Condividi tramite


Search-AdminAuditLog

Questo cmdlet è disponibile in Exchange locale e nel servizio basato su cloud. Alcuni parametri e impostazioni possono essere esclusivi di singoli ambienti.

Utilizzare il cmdlet Search-AdminAuditLog per ricercare contenuto nel log di controllo dell'amministratore. Record di registrazione di controllo dell'amministratore quando un utente o un amministratore apporta una modifica all'interno dell'organizzazione (nell'interfaccia di amministrazione di Exchange o usando i cmdlet).

Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.

Sintassi

Search-AdminAuditLog
      [-Cmdlets <MultiValuedProperty>]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-IsSuccess <Boolean>]
      [-ObjectIds <MultiValuedProperty>]
      [-Parameters <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [-StartIndex <Int32>]
      [-UserIds <MultiValuedProperty>]
      [<CommonParameters>]

Descrizione

Eseguendo il cmdlet Search-AdminAuditLog senza l'uso di parametri, per impostazione predefinita vengono restituite fino a 1.000 voci di registro.

In Exchange Online PowerShell, se non si usano i parametri StartDate o EndDate, vengono restituiti solo i risultati degli ultimi 14 giorni.

In Exchange Online PowerShell, i dati sono disponibili per gli ultimi 90 giorni. È possibile immettere date precedenti a 90 giorni, ma verranno restituiti solo i dati degli ultimi 90 giorni.

Per altre informazioni sulla struttura e sulle proprietà del log di controllo, vedere Struttura del log di controllo dell'amministratore.

È necessario disporre delle autorizzazioni prima di poter eseguire questo cmdlet. Sebbene in questo argomento vengano elencati tutti i parametri relativi al cmdlet, si potrebbe non avere accesso ad alcuni di essi qualora non siano inclusi nelle autorizzazioni assegnate. Per individuare le autorizzazioni necessarie per eseguire cmdlet o parametri nell'organizzazione, vedere Trovare le autorizzazioni necessarie per eseguire i cmdlet di Exchange.

Esempio

Esempio 1

Search-AdminAuditLog -Cmdlets New-RoleGroup,New-ManagementRoleAssignment

Con questo esempio vengono individuate tutte le voci del registro di controllo dell'amministratore contenenti il cmdlet New-RoleGroup o New-ManagementRoleAssignment.

Esempio 2

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults,ProhibitSendReceiveQuota,ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -IsSuccess $true

Con questo esempio vengono individuate tutte le voci del registro di controllo dell'amministratore che corrispondono ai criteri riportati di seguito:

  • Cmdlet: Set-Mailbox
  • Parametri: UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
  • StartDate: 24/01/2018
  • EndDate: 12/02/2018

Comando completato correttamente

Esempio 3

$LogEntries = Search-AdminAuditLog -Cmdlets Write-AdminAuditLog

$LogEntries | ForEach { $_.CmdletParameters }

Con questo esempio vengono visualizzati tutti i commenti scritti nel registro di controllo dell'amministratore dal cmdlet Write-AdminAuditLog.

Prima di tutto, archiviare le voci del log di controllo in una variabile temporanea. Scorrere quindi tutte le voci del log di controllo restituite e visualizzare la proprietà Parameters.

Esempio 4

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2018 -EndDate 10/02/2018

In questo esempio vengono restituite voci nel log di controllo dell'amministratore di un'organizzazione Exchange Online per i cmdlet eseguiti dagli amministratori dei data center Microsoft tra il 17 settembre 2018 e il 2 ottobre 2018.

Parametri

-Cmdlets

Il parametro Cmdlets filtra i risultati in base ai cmdlet usati. È possibile specificare più cmdlet separati da virgole.

Nei risultati di questo cmdlet, questa proprietà è denominata CmdletName.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-DomainController

Questo parametro è disponibile solo in Exchange locale.

Il parametro DomainController consente di specificare il controller di dominio utilizzato da questo cmdlet per la lettura o la scrittura dei dati in Active Directory. Identificare il controller di dominio mediante il relativo nome di dominio completo (FQDN). Ad esempio, dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

Il parametro EndDate consente di specificare la data di fine dell'intervallo di date.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".

Nel servizio basato sul cloud, se si specifica un valore di data/ora senza un fuso orario, il valore è in utc (Coordinated Universal Time). Per specificare un valore data/ora per questo parametro, utilizzare una delle opzioni seguenti:

  • Specificare il valore di data/ora in formato UTC: ad esempio, "2021-05-06 14:30:00z".
  • Specificare il valore di data/ora come formula che converte la data/ora nel fuso orario locale in formato UTC: ad esempio, (Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Per altre informazioni, vedere Get-Date.

Nei risultati di questo cmdlet, la data/ora in cui è stata apportata la modifica (il cmdlet è stato eseguito) viene restituita nella proprietà denominata RunDate.

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ExternalAccess

Il parametro ExternalAccess filtra i risultati in base alle modifiche apportate (cmdlet eseguiti) da utenti esterni all'organizzazione. I valori validi sono:

  • $true: restituisce solo le voci del log di controllo in cui la modifica è stata apportata da un utente esterno. In Exchange Online usare il valore per restituire le voci del log di controllo per le modifiche apportate dagli amministratori del data center Microsoft.
  • $false: restituisce solo le voci del log di controllo in cui la modifica è stata apportata da un utente interno.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-IsSuccess

Il parametro IsSuccess filtra i risultati in base all'esito positivo delle modifiche. I valori validi sono:

  • $true: restituisce solo le voci del log di controllo in cui la modifica ha avuto esito positivo( in altre parole, il cmdlet è stato eseguito correttamente).
  • $false: restituisce solo voci del log di controllo in cui la modifica non ha avuto esito positivo( in altre parole, il cmdlet non è stato eseguito correttamente e ha generato un errore).

Nei risultati di questo cmdlet, questa proprietà è denominata Succeeded.

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ObjectIds

Il parametro ObjectIds filtra i risultati in base all'oggetto modificato (cassetta postale, cartella pubblica, connettore di invio, regola di trasporto, dominio accettato e così via). Un valore valido dipende dal modo in cui l'oggetto viene rappresentato nel log di controllo. Ad esempio:

  • Nome
  • Nome distinto canonico (ad esempio, contoso.com/Users/Akia Al-Zuhairi)
  • Identità della cartella pubblica (ad esempio, \Engineering\Customer Discussion)

È probabile che sia necessario usare altri parametri di filtro in questo cmdlet per restringere i risultati e identificare i tipi di oggetti a cui si è interessati. Nei risultati di questo cmdlet, questa proprietà è denominata ObjectModified.

È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Parameters

Il parametro Parameters filtra i risultati in base ai parametri usati. È possibile usare questo parametro solo con il parametro Cmdlets (non è possibile usarlo da solo). È possibile specificare più parametri separati da virgole.

Nei risultati di questo cmdlet, questa proprietà è denominata CmdletParameters

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ResultSize

Il parametro ResultSize consente di specificare il numero massimo di risultati da restituire. Il valore predefinito è 1000.

I risultati massimi da restituire sono 250.000.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StartDate

Il parametro StartDate consente di specificare la data di inizio dell'intervallo di date.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".

Nel servizio basato sul cloud, se si specifica un valore di data/ora senza un fuso orario, il valore è in utc (Coordinated Universal Time). Per specificare un valore data/ora per questo parametro, utilizzare una delle opzioni seguenti:

  • Specificare il valore di data/ora in formato UTC: ad esempio, "2021-05-06 14:30:00z".
  • Specificare il valore di data/ora come formula che converte la data/ora nel fuso orario locale in formato UTC: ad esempio, (Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Per altre informazioni, vedere Get-Date.

Nei risultati di questo cmdlet, la data/ora in cui è stata apportata la modifica (il cmdlet è stato eseguito) viene restituita nella proprietà denominata RunDate.

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StartIndex

Il parametro StartIndex consente di specificare la posizione nel set di risultati da cui iniziano i risultati visualizzati.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-UserIds

Il parametro UserIds filtra i risultati dall'utente che ha apportato la modifica (che ha eseguito il cmdlet).

Un valore tipico per questo parametro è il nome dell'entità utente (UPN, ad esempio). helpdesk@contoso.com Tuttavia, gli aggiornamenti eseguiti da account di sistema senza indirizzi di posta elettronica potrebbero usare la sintassi Dominio\Nome utente, ad esempio NT AUTHORITY\SYSTEM (MSExchangeHMHost).But, updates that were made by system accounts without email addresses might use the Domain\Username syntax (ad esempio, NT AUTHORITY\SYSTEM (MSExchangeHMHost)).

È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "User1","User2",..."UserN".

Nei risultati di questo cmdlet, questa proprietà è denominata Caller

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

Input

Input types

Per verificare i tipi di input accettati da questo cmdlet, vedere Tipi di input e output dei cmdlet. Se il campo relativo al tipo di input di un cmdlet è vuoto, il cmdlet non accetta dati di input.

Output

Output types

Per verificare i tipi restituiti, detti anche tipi di output, accettati da questo cmdlet, vedere Tipi di input e output dei cmdlet. Se il campo relativo al tipo di output è vuoto, il cmdlet non restituisce dati.