다음을 통해 공유


Search-MailboxAuditLog

cmdlet은 온-프레미스 Exchange 및 클라우드 기반 서비스에서 제공됩니다. 일부 매개 변수와 설정은 특정 환경에서만 사용할 수 있습니다.

Search-MailboxAuditLog cmdlet을 사용하여 지정된 검색 단어와 일치하는 사서함 감사 로그 항목을 검색할 수 있습니다.

아래 구문 섹션에 있는 매개 변수 집합에 대한 자세한 내용은 Exchange cmdlet 구문을 참조하십시오.

Syntax

Search-MailboxAuditLog
      [[-Identity] <MailboxIdParameter>]
      [-ShowDetails]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]
Search-MailboxAuditLog
      [-Mailboxes <MultiValuedProperty>]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]

Description

Search-MailboxAuditLog cmdlet은 하나 이상의 지정된 사서함에 대해 사서함 감사 로그를 동기적으로 검색하고 Exchange 관리 셸 창에 검색 결과를 표시합니다. 여러 개의 사서함에 대해 사서함 감사 로그를 검색하고 지정된 받는 사람에게 결과를 전자 메일로 보내려면 대신 New-MailboxAuditLogSearch cmdlet을 사용합니다. 사서함 감사 로깅에 대한 자세한 내용은 Exchange Server 사서함 감사 로깅을 참조하세요.

다중 지역 환경에서 검색하려는 사서함과 다른 지역에서 이 cmdlet을 실행하면 "감사 로그에 액세스하는 동안 오류가 발생했습니다."라는 오류가 표시될 수 있습니다. 이 시나리오에서는 powerShell을 사용하여 지리적 위치에 직접 연결에 설명된 대로 사서함과 동일한 지역의 사용자에게 PowerShell 세션을 고정해야 Exchange Online.

이 cmdlet을 실행하려면 먼저 사용 권한을 할당받아야 합니다. 이 항목에는 해당 cmdlet의 모든 매개 변수가 나열되지만 사용자에게 할당된 사용 권한에 포함되지 않은 일부 매개 변수에는 액세스할 수 없습니다. 조직에서 cmdlet 또는 매개 변수를 실행하는 데 필요한 사용 권한을 확인하려면 Find the permissions required to run any Exchange cmdlet를 참조하세요.

예제

예 1

Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

이 예제에서는 2018년 1월 1일부터 2018년 12월 31일 사이에 관리 및 대리자 로그온 유형에서 수행한 작업에 대해 Ken Kwok의 사서함에 대한 사서함 감사 로그 항목을 검색합니다. 최대 2,000개의 로그 항목이 반환됩니다.

예 2

Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

이 예제에서는 2018년 1월 1일부터 2018년 12월 31일 사이에 관리 및 대리자 로그온 유형에서 수행한 작업에 대해 Ken Kwok 및 Ben Smith의 사서함에 대한 사서함 감사 로그 항목을 검색합니다. 최대 2,000개의 로그 항목이 반환됩니다.

예 3

Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}

다음은 2017년 1월 1일부터 2017년 3월 1일 사이에 사서함 소유자가 수행한 작업에 대한 Ken Kwok 사서함의 사서함 감사 로그 항목을 검색하는 예제입니다. 결과는 Where-Object cmdlet에 파이프되고 필터링되어 HardDelete 작업을 가진 항목만 반환됩니다.

매개 변수

-DomainController

이 매개 변수는 온프레미스 Exchange에서만 사용 가능합니다.

DomainController 매개 변수는 Active Directory에서 데이터를 읽거나 쓰기 위해 이 cmdlet이 사용하는 도메인 컨트롤러를 지정합니다. FQDN(정규화된 도메인 이름)으로 도메인 컨트롤러를 식별합니다. 예: dc01.contoso.com

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

EndDate 매개 변수는 날짜 범위의 종료 날짜를 지정합니다.

명령이 실행되는 컴퓨터 구성에 설정된 국가별 옵션에 정의되어 있는 간단한 날짜 형식을 사용합니다. 예를 들어 mm/dd/yyyy의 간단한 날짜 형식을 사용하도록 컴퓨터가 구성된 경우 09/01/2018를 입력하여 2018년 9월 1일을 지정할 수 있습니다. 날짜만 입력하거나 날짜와 시간을 입력할 수도 있습니다. 날짜와 시간을 입력하는 경우 큰따옴표(")로 값을 묶어야 합니다. 예: "09/01/2018 5:00 PM".

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ExternalAccess

ExternalAccess 매개 변수는 organization 외부에 있는 사용자가 사서함 액세스에 대한 감사 로그 항목만 반환할지 여부를 지정합니다. Exchange Online 이 매개 변수는 Microsoft 데이터 센터 관리자의 사서함 액세스에 대한 감사 로그 항목을 반환합니다. 유효한 값은 다음과 같습니다.

$true: 외부 사용자 또는 Microsoft 데이터 센터 관리자의 사서함 액세스에 대한 감사 로그 항목이 반환됩니다.

$false: 외부 사용자 또는 Microsoft 데이터 센터 관리자의 사서함 액세스에 대한 감사 로그 항목은 무시됩니다. 이 값은 기본값입니다.

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-GroupMailbox

이 매개 변수는 클라우드 기반 서비스에서만 사용할 수 있습니다.

검색에 Microsoft 365 그룹 포함하려면 GroupMailbox 스위치가 필요합니다. 이 스위치를 사용하면 값을 지정할 필요가 없습니다.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-HasAttachments

HasAttachments 매개 변수는 첨부 파일이 있는 메시지별로 검색을 필터링합니다. 유효한 값은 다음과 같습니다.

  • $true: 첨부 파일이 있는 메시지만 검색에 포함됩니다.
  • $false: 첨부 파일이 있는 메시지와 첨부 파일이 없는 메시지가 검색에 포함됩니다.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2016, Exchange Server 2019, Exchange Online

-Identity

Identity 매개 변수는 사서함 감사 로그 항목을 검색할 단일 사서함을 지정합니다. 사서함을 고유하게 식별하는 모든 값을 사용할 수 있습니다. 예:

  • 이름
  • 별칭
  • DN(고유 이름)
  • DN(고유 이름)
  • Domain\Username
  • 전자 메일 주소
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • 사용자 ID 또는 UPN(사용자 계정 이름)
Type:MailboxIdParameter
Position:1
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-LogonTypes

LogonTypes 매개 변수는 로그온 유형을 지정합니다. 유효한 값은 다음과 같습니다.

  • 관리: 관리자 로그온에 의한 사서함 액세스에 대한 감사 로그 항목이 반환됩니다.
  • Admin: 관리자 로그온의 사서함 액세스에 대한 감사 로그 항목이 반환됩니다.
  • 소유자: 기본 사서함 소유자의 사서함 액세스에 대한 감사 로그 항목이 반환됩니다. 이 값에는 ShowDetails 스위치가 필요합니다.
Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Mailboxes

Mailboxes 매개 변수는 사서함 감사 로그 항목을 검색할 사서함을 지정합니다. 이 매개변수를 사용하여 여러 사서함의 감사 로그를 검색할 수 있습니다.

여러 사서함을 쉼표로 구분하여 입력합니다. 값에 공백이 포함되거나 따옴표가 필요한 경우 다음 구문을 "Value1","Value2",..."ValueN"사용합니다.

ShowDetails 스위치에는 이 매개 변수를 사용할 수 없습니다.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Operations

Operations 매개 변수는 사서함 감사 로깅에 의해 기록되는 사서함 작업으로 검색 결과를 필터링합니다. 유효한 값은 다음과 같습니다.

  • AddFolderPermissions(Exchange 2019 및 Exchange Online만 해당합니다. 이 값은 수락되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다.)
  • ApplyRecord(Exchange Online만 해당)
  • 복사
  • 만들기
  • 기본값(Exchange Online만 해당)
  • FolderBind
  • HardDelete
  • MailboxLogin
  • MailItemsAccessed(E5 또는 E5 규정 준수 추가 기능 구독 사용자에 대해서만 Exchange Online.)
  • MessageBind(이 값은 허용되지만 이러한 작업은 더 이상 기록되지 않습니다.)
  • ModifyFolderPermissions(Exchange 2019 및 Exchange Online. 이 값은 수락되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다.)
  • 이동
  • MoveToDeletedItems
  • RecordDelete(Exchange Online만 해당)
  • RemoveFolderPermissions(Exchange 2019 및 Exchange Online. 이 값은 수락되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다.)
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • 업데이트
  • UpdateCalendarDelegation(Exchange 2019 및 Exchange Online만 해당)
  • UpdateComplianceTag(Exchange Online만 해당)
  • UpdateFolderPermissions(Exchange 2019 및 Exchange Online만 해당)
  • UpdateInboxRules(Exchange 2019 및 Exchange Online만 해당)

Update

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ResultSize

ResultSize 매개 변수는 반환할 사서함 감사 로그 항목의 최대 수를 지정합니다. 1 ~ 250000 범위의 정수를 사용할 수 있습니다. 기본적으로 1000개의 항목이 반환됩니다.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ShowDetails

ShowDetails 스위치는 사서함에서 각 로그 항목의 세부 정보를 검색합니다. 이 스위치를 사용하면 값을 지정할 필요가 없습니다.

기본적으로 반환되는 각 로그 항목의 모든 필드는 목록 보기로 표시됩니다.

이 스위치는 Mailboxes 매개 변수와 함께 사용할 수 없습니다.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-StartDate

StartDate 매개 변수는 날짜 범위의 시작 날짜를 지정합니다.

명령이 실행되는 컴퓨터 구성에 설정된 국가별 옵션에 정의되어 있는 간단한 날짜 형식을 사용합니다. 예를 들어 mm/dd/yyyy의 간단한 날짜 형식을 사용하도록 컴퓨터가 구성된 경우 09/01/2018를 입력하여 2018년 9월 1일을 지정할 수 있습니다. 날짜만 입력하거나 날짜와 시간을 입력할 수도 있습니다. 날짜와 시간을 입력하는 경우 큰따옴표(")로 값을 묶어야 합니다. 예: "09/01/2018 5:00 PM".

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

입력

Input types

이 cmdlet이 수락하는 입력 형식을 보려면 Cmdlet 입출력 형식을 참조하세요. cmdlet의 입력 형식 필드가 비어 있을 경우 cmdlet은 입력 데이터를 수락하지 않습니다.

출력

Output types

이 cmdlet이 수락하는 반환 형식(출력 형식이라고도 함)을 보려면 Cmdlet 입출력 형식을 참조하세요. 출력 형식 필드가 비어 있는 경우 cmdlet은 데이터를 반환하지 않습니다.