Search-MailboxAuditLog
注:
このコマンドレットは、クラウドベースのサービスでは非推奨になります。 監査ログ データにアクセスするには、Search-UnifiedAuditLog コマンドレットを使用します。 詳細については、こちらのブログ投稿「 https://aka.ms/AuditCmdletBlog」を参照してください。
このコマンドレットは、オンプレミスの Exchange およびクラウド ベースのサービスで使用できます。 一部のパラメーターと設定は、1 つの環境または他の環境に限定される場合があります。
Search-MailboxAuditLog コマンドレットを使用して、指定の検索用語と一致するメールボックス監査ログ エントリを検索します。
以下の構文セクションのパラメーター セットの詳細については、「Exchangeのコマンドレット構文」を参照してください。
構文
Identity
Search-MailboxAuditLog
[[-Identity] <MailboxIdParameter>]
[-ShowDetails]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-IncludeInactiveMailbox]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>]
MultipleMailboxesSearch
Search-MailboxAuditLog
[-Mailboxes <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-IncludeInactiveMailbox]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>]
説明
Search-MailboxAuditLog コマンドレットは、指定された 1 つ以上のメールボックスのメールボックス監査ログの同期検索を実行し、Exchange 管理シェル ウィンドウに検索結果を表示します。 複数のメールボックスでメールボックス監査ログを検索し、指定された受信者に電子メールで結果を送信するには、代わりに New-MailboxAuditLogSearch コマンドレットを使用します。 メールボックス監査ログの詳細については、「Exchange Serverでのメールボックス監査ログ」を参照してください。
複数 geo 環境で、検索しようとしているメールボックスとは別のリージョンでこのコマンドレットを実行すると、"監査ログへのアクセス中にエラーが発生しました" というエラーが表示されることがあります。このシナリオでは、「PowerShell を使用して地理的な場所に直接接続する」の説明に従って、メールボックスと同じリージョンのユーザーに PowerShell セッションExchange Online固定する必要があります。
このコマンドレットを実行する際には、あらかじめアクセス許可を割り当てる必要があります。 この記事ではコマンドレットのすべてのパラメーターを一覧表示しますが、割り当てられたアクセス許可にパラメーターが含まれていない場合は、一部のパラメーターにアクセスできない可能性があります。 コマンドレットを組織内で実行するために必要になるアクセス許可とパラメーターを調べるには、「 Find the permissions required to run any Exchange cmdlet」を参照してください。
例
例 1
Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000
次の使用例は、2018 年 1 月 1 日から 2018 年 12 月 31 日の間に、管理とデリゲート ログオンの種類によって実行されるアクションに対して Ken Kwok のメールボックスのメールボックス監査ログ エントリを取得します。 返されるログ エントリの最大数は 2,000 です。
例 2
Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000
次の使用例は、2018 年 1 月 1 日から 2018 年 12 月 31 日の間に、管理と委任ログオンの種類によって実行されるアクションに対して Ken Kwok と Ben Smith のメールボックスのメールボックス監査ログ エントリを取得します。 返されるログ エントリの最大数は 2,000 です。
例 3
Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}
この例では、2017 年 1 月 1 日から 2017 年 3 月 1 日の間にメールボックス所有者が実行したアクションに対して Ken Kwok のメールボックスのメールボックス監査ログ エントリを取得します。 結果は Where-Object コマンドレットにパイプ処理され、HardDelete アクションを伴うエントリのみ返すようにフィルター処理されます。
パラメーター
-DomainController
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
このパラメーターは、オンプレミスの Exchange でのみ使用できます。
DomainController パラメーターは、このコマンドレットで Active Directory からのデータの読み取りまたは Active Directory へのデータの書き込みに使用されるドメイン コントローラーを指定します。 ドメイン コントローラーは、完全修飾ドメイン名 (FQDN) で識別します。 たとえば、dc01.contoso.com です。
パラメーターのプロパティ
| 型: | Fqdn |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-EndDate
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
EndDate パラメーターには、日付範囲の終了日を指定します。
コマンドを実行するコンピューターの [地域のオプション] 設定で定義されている短い日付形式を使用します。 たとえば、コンピューターが短い日付形式 MM/dd/yyyy を使用するように構成されている場合は、「2018 年 9 月 1 日」と入力して、2018 年 9 月 1 日を指定します。 日付のみを入力したり、日付と時刻を入力することもできます。 日付と時刻を入力する場合は、値を引用符 (”) で囲む必要があります (例: "09/01/2018 5:00 PM")。
パラメーターのプロパティ
| 型: | ExDateTime |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-ExternalAccess
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ExternalAccess パラメーターは、organizationの外部にあるユーザーによるメールボックス アクセスの監査ログ エントリのみを返すかどうかを指定します。 Exchange Onlineでは、このパラメーターは、Microsoft データセンター管理者によるメールボックス アクセスの監査ログ エントリを返します。 有効な値は次のとおりです。
$true: 外部ユーザーまたは Microsoft データセンター管理者によるメールボックス アクセスの監査ログ エントリが返されます。
$false: 外部ユーザーまたは Microsoft データセンター管理者によるメールボックス アクセスの監査ログ エントリは無視されます。 この値が既定値です。
パラメーターのプロパティ
| 型: | Boolean |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-GroupMailbox
適用対象: Exchange Online
このパラメーターは、クラウドベースのサービスでのみ使用できます。
GroupMailbox スイッチは、検索にMicrosoft 365 グループを含める必要があります。 このスイッチで値を指定する必要はありません。
パラメーターのプロパティ
| 型: | SwitchParameter |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-HasAttachments
適用対象: Exchange Server 2016 年、Exchange Server 2019、Exchange Online
HasAttachments パラメーターは、添付ファイルのあるメッセージで検索をフィルター処理します。 有効な値は次のとおりです。
- $true: 添付ファイルを含むメッセージのみが検索に含まれます。
- $false: 添付ファイルを含むメッセージと添付ファイルを含まないメッセージが検索に含まれます。
パラメーターのプロパティ
| 型: | Boolean |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-Identity
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Identity パラメーターは、メールボックス監査ログ エントリを取得する 1 つのメールボックスを指定します。 メールボックスを一意に識別する任意の値を使用できます。 次に例を示します。
- 名前
- Alias
- 識別名 (DN)
- 正規 DN
- ドメイン\ユーザー名
- 電子メール アドレス
- GUID
- LegacyExchangeDN
- SamAccountName
- ユーザー ID またはユーザー プリンシパル名 (UPN)
パラメーターのプロパティ
| 型: | MailboxIdParameter |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
Identity
| 配置: | 1 |
| 必須: | False |
| パイプラインからの値: | True |
| プロパティ名別のパイプラインからの値: | True |
| 残りの引数からの値: | False |
-IncludeInactiveMailbox
適用対象: Exchange Online
このパラメーターは、クラウドベースのサービスでのみ使用できます。
{{ Fill IncludeInactiveMailbox Description }}
パラメーターのプロパティ
| 型: | SwitchParameter |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-LogonTypes
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
LogonTypes パラメーターには、ログオンの種類を指定します。 有効な値は次のとおりです。
- 管理: 管理者ログオンによるメールボックス アクセスの監査ログ エントリが返されます。
- Admin: 管理者ログオンによるメールボックス アクセスの監査ログ エントリが返されます。
- 所有者: プライマリ メールボックス所有者によるメールボックス アクセスの監査ログ エントリが返されます。 この値には ShowDetails スイッチが必要です。
パラメーターのプロパティ
| 型: | MultiValuedProperty |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-Mailboxes
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Mailboxes パラメーターは、メールボックス監査ログ エントリを取得するメールボックスを指定します。 このパラメーターを使用して、監査ログを複数のメールボックスを検索することができます。
複数のメールボックスをコンマで区切って入力します。 値にスペースを含める、または引用符を必要とする場合は、次の構文を使用します: "Value1","Value2",..."ValueN"。
ShowDetails スイッチでは、このパラメーターを使用できません。
パラメーターのプロパティ
| 型: | MultiValuedProperty |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
MultipleMailboxesSearch
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-Operations
適用対象: Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Operations パラメーターは、メールボックス監査ログによってログに記録されるメールボックス アクションによって検索結果をフィルター処理します。 有効な値は次のとおりです。
- AddFolderPermissions (Exchange 2019 および Exchange Online のみ。この値は受け入れられますが、UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません)。
- ApplyRecord (Exchange Onlineのみ)
- コピー
- 作成
- 既定値 (Exchange Onlineのみ)
- FolderBind
- HardDelete
- MailboxLogin
- MailItemsAccessed (Exchange Onlineのみ、E5 または E5 コンプライアンス アドオン サブスクリプション ユーザーのみ)。
- MessageBind (この値は受け入れられますが、これらのアクションはログに記録されなくなります)。
- ModifyFolderPermissions (Exchange 2019 および Exchange Online のみ。この値は受け入れられますが、UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません)。
- Move
- MoveToDeletedItems
- RecordDelete (Exchange Onlineのみ)
- RemoveFolderPermissions (Exchange 2019 および Exchange Online のみ。この値は受け入れられますが、UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません)。
- SendAs
- SendOnBehalf
- SoftDelete
- 更新
- UpdateCalendarDelegation (Exchange 2019 および Exchange Online のみ)
- UpdateComplianceTag (Exchange Onlineのみ)
- UpdateFolderPermissions (Exchange 2019 および Exchange Online のみ)
- UpdateInboxRules (Exchange 2019 および Exchange Online のみ)
Update
パラメーターのプロパティ
| 型: | MultiValuedProperty |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-ResultSize
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ResultSize パラメーターには、返されるメールボックス監査ログ エントリの最大数を指定します。 有効な値は、1 ~ 250000 の範囲の整数です。 既定では、1000 のエントリが返されます。
パラメーターのプロパティ
| 型: | Int32 |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-ShowDetails
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ShowDetails スイッチは、メールボックスから各ログ エントリの詳細を取得します。 このスイッチで値を指定する必要はありません。
既定では、返される各ログ エントリのすべてのフィールドがリスト ビューに表示されます。
Mailboxes パラメーターでは、このスイッチを使用できません。
パラメーターのプロパティ
| 型: | SwitchParameter |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
Identity
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-StartDate
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
StartDate パラメーターは、日付範囲の開始日を指定します。
コマンドを実行するコンピューターの [地域のオプション] 設定で定義されている短い日付形式を使用します。 たとえば、コンピューターが短い日付形式 MM/dd/yyyy を使用するように構成されている場合は、「2018 年 9 月 1 日」と入力して、2018 年 9 月 1 日を指定します。 日付のみを入力したり、日付と時刻を入力することもできます。 日付と時刻を入力する場合は、値を引用符 (”) で囲む必要があります (例: "09/01/2018 5:00 PM")。
パラメーターのプロパティ
| 型: | ExDateTime |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
CommonParameters
このコマンドレットでは、一般的なパラメーター -Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction、-WarningVariable の各パラメーターがサポートされています。 詳細については、「about_CommonParameters」を参照してください。
入力
Input types
このコマンドレットに使用できる入力の種類を確認するには、「コマンドレットの入力および出力の種類」をご覧ください。 コマンドレットで入力の種類のフィールドが空白の場合、そのコマンドレットには入力データを指定できません。
出力
Output types
このコマンドレットに使用できる戻り値の型 (出力の種類) を確認するには、「コマンドレットの入力および出力の種類」をご覧ください。 出力の種類のフィールドが空白の場合、コマンドレットはデータを返しません。