Search-MailboxAuditLog
cmdlet은 온-프레미스 Exchange 및 클라우드 기반 서비스에서 제공됩니다. 일부 매개 변수와 설정은 특정 환경에서만 사용할 수 있습니다.
Search-MailboxAuditLog cmdlet을 사용하여 지정된 검색 단어와 일치하는 사서함 감사 로그 항목을 검색할 수 있습니다.
아래 구문 섹션에 있는 매개 변수 집합에 대한 자세한 내용은 Exchange cmdlet 구문을 참조하십시오.
Syntax
Search-MailboxAuditLog
[[-Identity] <MailboxIdParameter>]
[-ShowDetails]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] Search-MailboxAuditLog
[-Mailboxes <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] Description
Search-MailboxAuditLog cmdlet은 하나 이상의 지정된 사서함에 대해 사서함 감사 로그를 동기적으로 검색하고 Exchange 관리 셸 창에 검색 결과를 표시합니다. 여러 개의 사서함에 대해 사서함 감사 로그를 검색하고 지정된 받는 사람에게 결과를 전자 메일로 보내려면 대신 New-MailboxAuditLogSearch cmdlet을 사용합니다. 사서함 감사 로깅에 대한 자세한 내용은 Exchange Server 사서함 감사 로깅을 참조하세요.
다중 지역 환경에서 검색하려는 사서함과 다른 지역에서 이 cmdlet을 실행하면 "감사 로그에 액세스하는 동안 오류가 발생했습니다."라는 오류가 표시될 수 있습니다. 이 시나리오에서는 powerShell을 사용하여 지리적 위치에 직접 연결에 설명된 대로 사서함과 동일한 지역의 사용자에게 PowerShell 세션을 고정해야 Exchange Online.
이 cmdlet을 실행하려면 먼저 사용 권한을 할당받아야 합니다. 이 항목에는 해당 cmdlet의 모든 매개 변수가 나열되지만 사용자에게 할당된 사용 권한에 포함되지 않은 일부 매개 변수에는 액세스할 수 없습니다. 조직에서 cmdlet 또는 매개 변수를 실행하는 데 필요한 사용 권한을 확인하려면 Find the permissions required to run any Exchange cmdlet를 참조하세요.
예제
예 1
Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000이 예제에서는 2018년 1월 1일부터 2018년 12월 31일 사이에 관리 및 대리자 로그온 유형에서 수행한 작업에 대해 Ken Kwok의 사서함에 대한 사서함 감사 로그 항목을 검색합니다. 최대 2,000개의 로그 항목이 반환됩니다.
예 2
Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000이 예제에서는 2018년 1월 1일부터 2018년 12월 31일 사이에 관리 및 대리자 로그온 유형에서 수행한 작업에 대해 Ken Kwok 및 Ben Smith의 사서함에 대한 사서함 감사 로그 항목을 검색합니다. 최대 2,000개의 로그 항목이 반환됩니다.
예 3
Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}다음은 2017년 1월 1일부터 2017년 3월 1일 사이에 사서함 소유자가 수행한 작업에 대한 Ken Kwok 사서함의 사서함 감사 로그 항목을 검색하는 예제입니다. 결과는 Where-Object cmdlet에 파이프되고 필터링되어 HardDelete 작업을 가진 항목만 반환됩니다.
매개 변수
-DomainController
이 매개 변수는 온프레미스 Exchange에서만 사용 가능합니다.
DomainController 매개 변수는 Active Directory에서 데이터를 읽거나 쓰기 위해 이 cmdlet이 사용하는 도메인 컨트롤러를 지정합니다. FQDN(정규화된 도메인 이름)으로 도메인 컨트롤러를 식별합니다. 예: dc01.contoso.com
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
EndDate 매개 변수는 날짜 범위의 종료 날짜를 지정합니다.
명령이 실행되는 컴퓨터 구성에 설정된 국가별 옵션에 정의되어 있는 간단한 날짜 형식을 사용합니다. 예를 들어 mm/dd/yyyy의 간단한 날짜 형식을 사용하도록 컴퓨터가 구성된 경우 09/01/2018를 입력하여 2018년 9월 1일을 지정할 수 있습니다. 날짜만 입력하거나 날짜와 시간을 입력할 수도 있습니다. 날짜와 시간을 입력하는 경우 큰따옴표(")로 값을 묶어야 합니다. 예: "09/01/2018 5:00 PM".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ExternalAccess
ExternalAccess 매개 변수는 organization 외부에 있는 사용자가 사서함 액세스에 대한 감사 로그 항목만 반환할지 여부를 지정합니다. Exchange Online 이 매개 변수는 Microsoft 데이터 센터 관리자의 사서함 액세스에 대한 감사 로그 항목을 반환합니다. 유효한 값은 다음과 같습니다.
$true: 외부 사용자 또는 Microsoft 데이터 센터 관리자의 사서함 액세스에 대한 감사 로그 항목이 반환됩니다.
$false: 외부 사용자 또는 Microsoft 데이터 센터 관리자의 사서함 액세스에 대한 감사 로그 항목은 무시됩니다. 이 값은 기본값입니다.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-GroupMailbox
이 매개 변수는 클라우드 기반 서비스에서만 사용할 수 있습니다.
검색에 Microsoft 365 그룹 포함하려면 GroupMailbox 스위치가 필요합니다. 이 스위치를 사용하면 값을 지정할 필요가 없습니다.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online |
-HasAttachments
HasAttachments 매개 변수는 첨부 파일이 있는 메시지별로 검색을 필터링합니다. 유효한 값은 다음과 같습니다.
- $true: 첨부 파일이 있는 메시지만 검색에 포함됩니다.
- $false: 첨부 파일이 있는 메시지와 첨부 파일이 없는 메시지가 검색에 포함됩니다.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Identity
Identity 매개 변수는 사서함 감사 로그 항목을 검색할 단일 사서함을 지정합니다. 사서함을 고유하게 식별하는 모든 값을 사용할 수 있습니다. 예:
- 이름
- 별칭
- DN(고유 이름)
- DN(고유 이름)
- Domain\Username
- 전자 메일 주소
- GUID
- LegacyExchangeDN
- SamAccountName
- 사용자 ID 또는 UPN(사용자 계정 이름)
| Type: | MailboxIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-LogonTypes
LogonTypes 매개 변수는 로그온 유형을 지정합니다. 유효한 값은 다음과 같습니다.
- 관리: 관리자 로그온에 의한 사서함 액세스에 대한 감사 로그 항목이 반환됩니다.
- Admin: 관리자 로그온의 사서함 액세스에 대한 감사 로그 항목이 반환됩니다.
- 소유자: 기본 사서함 소유자의 사서함 액세스에 대한 감사 로그 항목이 반환됩니다. 이 값에는 ShowDetails 스위치가 필요합니다.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Mailboxes
Mailboxes 매개 변수는 사서함 감사 로그 항목을 검색할 사서함을 지정합니다. 이 매개변수를 사용하여 여러 사서함의 감사 로그를 검색할 수 있습니다.
여러 사서함을 쉼표로 구분하여 입력합니다. 값에 공백이 포함되거나 따옴표가 필요한 경우 다음 구문을 "Value1","Value2",..."ValueN"사용합니다.
ShowDetails 스위치에는 이 매개 변수를 사용할 수 없습니다.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Operations
Operations 매개 변수는 사서함 감사 로깅에 의해 기록되는 사서함 작업으로 검색 결과를 필터링합니다. 유효한 값은 다음과 같습니다.
- AddFolderPermissions(Exchange 2019 및 Exchange Online만 해당합니다. 이 값은 수락되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다.)
- ApplyRecord(Exchange Online만 해당)
- 복사
- 만들기
- 기본값(Exchange Online만 해당)
- FolderBind
- HardDelete
- MailboxLogin
- MailItemsAccessed(E5 또는 E5 규정 준수 추가 기능 구독 사용자에 대해서만 Exchange Online.)
- MessageBind(이 값은 허용되지만 이러한 작업은 더 이상 기록되지 않습니다.)
- ModifyFolderPermissions(Exchange 2019 및 Exchange Online. 이 값은 수락되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다.)
- 이동
- MoveToDeletedItems
- RecordDelete(Exchange Online만 해당)
- RemoveFolderPermissions(Exchange 2019 및 Exchange Online. 이 값은 수락되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다.)
- SendAs
- SendOnBehalf
- SoftDelete
- 업데이트
- UpdateCalendarDelegation(Exchange 2019 및 Exchange Online만 해당)
- UpdateComplianceTag(Exchange Online만 해당)
- UpdateFolderPermissions(Exchange 2019 및 Exchange Online만 해당)
- UpdateInboxRules(Exchange 2019 및 Exchange Online만 해당)
Update
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ResultSize
ResultSize 매개 변수는 반환할 사서함 감사 로그 항목의 최대 수를 지정합니다. 1 ~ 250000 범위의 정수를 사용할 수 있습니다. 기본적으로 1000개의 항목이 반환됩니다.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ShowDetails
ShowDetails 스위치는 사서함에서 각 로그 항목의 세부 정보를 검색합니다. 이 스위치를 사용하면 값을 지정할 필요가 없습니다.
기본적으로 반환되는 각 로그 항목의 모든 필드는 목록 보기로 표시됩니다.
이 스위치는 Mailboxes 매개 변수와 함께 사용할 수 없습니다.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-StartDate
StartDate 매개 변수는 날짜 범위의 시작 날짜를 지정합니다.
명령이 실행되는 컴퓨터 구성에 설정된 국가별 옵션에 정의되어 있는 간단한 날짜 형식을 사용합니다. 예를 들어 mm/dd/yyyy의 간단한 날짜 형식을 사용하도록 컴퓨터가 구성된 경우 09/01/2018를 입력하여 2018년 9월 1일을 지정할 수 있습니다. 날짜만 입력하거나 날짜와 시간을 입력할 수도 있습니다. 날짜와 시간을 입력하는 경우 큰따옴표(")로 값을 묶어야 합니다. 예: "09/01/2018 5:00 PM".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
입력
Input types
이 cmdlet이 수락하는 입력 형식을 보려면 Cmdlet 입출력 형식을 참조하세요. cmdlet의 입력 형식 필드가 비어 있을 경우 cmdlet은 입력 데이터를 수락하지 않습니다.
출력
Output types
이 cmdlet이 수락하는 반환 형식(출력 형식이라고도 함)을 보려면 Cmdlet 입출력 형식을 참조하세요. 출력 형식 필드가 비어 있는 경우 cmdlet은 데이터를 반환하지 않습니다.