Search-UnifiedAuditLog
Esse cmdlet só está disponível no serviço baseado em nuvem.
Use o cmdlet Search-UnifiedAuditLog para pesquisar o log de auditoria unificado. Este registo contém eventos de Exchange Online, SharePoint, OneDrive, Microsoft Entra ID, Microsoft Teams, Power BI e outros serviços do Microsoft 365. Pode procurar todos os eventos num intervalo de datas especificado ou pode filtrar os resultados com base em critérios específicos, como o utilizador que efetuou a ação, a ação ou o objeto de destino.
Nota: por predefinição, este cmdlet devolve um subconjunto de resultados que contém até 100 registos. Utilize o parâmetro SessionCommand com o valor ReturnLargeSet para procurar exaustivamente até 50 000 resultados. O parâmetro SessionCommand faz com que o cmdlet devolva dados não ordenados.
Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.
Sintaxe
Default (Padrão)
Search-UnifiedAuditLog
-EndDate <ExDateTime>
-StartDate <ExDateTime>
[-Formatted]
[-FreeText <String>]
[-HighCompleteness]
[-IPAddresses <String[]>]
[-LongerRetentionEnabled <String>]
[-ObjectIds <String[]>]
[-Operations <String[]>]
[-RecordType <AuditRecordType>]
[-ResultSize <Int32>]
[-SessionCommand <UnifiedAuditSessionCommand>]
[-SessionId <String>]
[-SiteIds <String[]>]
[-UserIds <String[]>]
[<CommonParameters>]
Description
O cmdlet Search-UnifiedAuditLog apresenta as páginas de dados com base em iterações repetidas do mesmo comando. Use o SessionId e o SessionCommand para executar o cmdlet repetidamente até que você obtenha zero retornos ou atinja o número máximo de resultados com base no comando da sessão. Para medir o progresso, observe as propriedades ResultIndex (resultados na iteração atual) e ResultCount (resultados para todas as iterações) dos dados devolvidos pelo cmdlet.
O cmdlet Search-UnifiedAuditLog está disponível no Exchange Online PowerShell. Também pode ver eventos do registo de auditoria unificado com o portal de conformidade do Microsoft Purview. Para obter mais informações, veja Atividades auditadas.
Se quiser transferir dados através de programação a partir do registo de auditoria do Microsoft 365, recomendamos que utilize a API de Atividade de Gestão do Microsoft 365 em vez de utilizar o cmdlet Search-UnifiedAuditLog num script do PowerShell. A API de Atividade de Gestão do Microsoft 365 é um serviço Web REST que pode utilizar para desenvolver soluções de monitorização de operações, segurança e conformidade para a sua organização. Para obter mais informações, veja Referência da API de Atividade de Gestão.
Este cmdlet está disponível no Office 365 operado pela 21Vianet, mas não devolve resultados.
O parâmetro OutVariable aceita objetos do tipo ArrayList. Eis um exemplo de como utilizá-lo:
$start = (Get-Date).AddDays(-1); $end = (Get-Date).AddDays(-0.5); $auditData = New-Object System.Collections.ArrayList; Search-UnifiedAuditLog -StartDate $start -EndDate $end -OutVariable +auditData | Out-Null
Para executar esse cmdlet, você precisa ter permissões. Embora este artigo liste todos os parâmetros do cmdlet, poderá não ter acesso a alguns parâmetros se não estiverem incluídos nas permissões que lhe foram atribuídas. Para localizar as permissões necessárias para executar qualquer cmdlet ou parâmetro em sua organização, confira Find the permissions required to run any Exchange cmdlet.
Exemplos
Exemplo 1
Search-UnifiedAuditLog -StartDate 5/1/2023 -EndDate 5/2/2023 -SessionCommand ReturnLargeSet
Este exemplo procura no registo de auditoria unificado todos os eventos de 1 de maio de 2023 das 00:00 às 2 de maio de 2023 às 00:00.
Nota: se não incluir um carimbo de data/hora no valor dos parâmetros StartDate ou EndDate, é utilizado o carimbo de data/hora predefinido 00:00 (meia-noite).
Exemplo 2
Search-UnifiedAuditLog -StartDate "6/1/2023 8:00 AM" -EndDate "6/1/2023 6:00 PM" -RecordType ExchangeAdmin -SessionCommand ReturnLargeSet
Este exemplo procura no registo de auditoria unificado todos os eventos de administração do Exchange das 8:00 às 18:00 de 18:00 de 1 de junho de 2023.
Nota Se utilizar a mesma data para os parâmetros StartDate e EndDate, tem de incluir um carimbo de data/hora; caso contrário, não são devolvidos resultados porque a data e hora das datas de início e de fim são as mesmas.
Exemplo 3
Search-UnifiedAuditLog -StartDate 5/1/2023 -EndDate 5/8/2023 -SessionId "UnifiedAuditLogSearch 05/08/17" -SessionCommand ReturnLargeSet
Este exemplo procura no registo de auditoria unificado todos os eventos de 1 de maio de 2023 a 8 de maio de 2023. Se não incluir um carimbo de data/hora nos parâmetros StartDate ou EndDate, os dados são devolvidos em páginas, uma vez que o comando é novamente executado sequencialmente ao utilizar o mesmo valor SessionId.
Observação: Use sempre o mesmo valor de SessionCommand para um determinado valor de SessionId. Não alterne entre ReturnLargeSet e ReturnNextPreviewPage para a mesma ID de sessão. Caso contrário, o resultado está limitado a 10 000 resultados.
Exemplo 4
Search-UnifiedAuditLog -StartDate 5/1/2023 -EndDate 5/8/2023 -RecordType SharePointFileOperation -Operations FileAccessed -SessionId "WordDocs_SharepointViews" -SessionCommand ReturnLargeSet
Este exemplo procura no registo de auditoria unificado quaisquer ficheiros acedidos no SharePoint de 1 de maio de 2023 a 8 de maio de 2023. O sistema retorna os dados em páginas conforme o comando é executado novamente de forma sequencial, usando o mesmo valor SessionId.
Exemplo 5
Search-UnifiedAuditLog -StartDate 5/1/2023 -EndDate 5/8/2023 -ObjectIDs "https://alpinehouse.sharepoint.com/sites/contoso/Departments/SM/International/Shared Documents/Sales Invoice - International.docx" -SessionCommand ReturnLargeSet
Este exemplo procura no registo de auditoria unificado de 1 de maio de 2023 a 8 de maio de 2023 todos os eventos relacionados com um documento de Word específico identificado pelo respetivo valor ObjectIDs.
Parâmetros
-EndDate
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro EndDate especifica a data de término do intervalo de datas. As entradas são armazenadas no registo de auditoria unificado na Hora Universal Coordenada (UTC). Se especificar um valor de data/hora sem um fuso horário, o valor estará em UTC.
Para especificar um valor de data/hora para este parâmetro, use uma das opções a seguir:
- Especifique o valor de data/hora em UTC: por exemplo,
"2018-05-06 14:30:00z". - Especifique o valor de data/hora como uma fórmula que converte a data/hora no fuso horário local para UTC: por exemplo,
(Get-Date "5/6/2018 9:30 AM").ToUniversalTime(). Para mais informações, consulte Get-Date.
Se não incluir um carimbo de data/hora no valor para este parâmetro, o carimbo de data/hora predefinido é 00:00 (meia-noite) na data especificada.
Propriedades do parâmetro
| Tipo: | ExDateTime |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | True |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-Formatted
Aplicável: Exchange Online, Proteção do Exchange Online
O comutador Formatado faz com que os atributos que normalmente são devolvidos como números inteiros (por exemplo, RecordType e Operation) sejam formatados como cadeias descritivas. Não é preciso especificar um valor com essa opção.
Além disso, este parâmetro torna AuditData mais legível.
Propriedades do parâmetro
| Tipo: | SwitchParameter |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-FreeText
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro FreeText filtra as entradas de registo pela cadeia de texto especificada. Se o valor contiver espaços, coloque-o entre aspas (").
Propriedades do parâmetro
| Tipo: | String |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-HighCompleteness
Aplicável: Exchange Online, Proteção do Exchange Online
Nota: este parâmetro está atualmente em Pré-visualização, não está disponível em todas as organizações e está sujeito a alterações.
O comutador HighCompleteness especifica, em vez disso, o desempenho nos resultados. Não é preciso especificar um valor com essa opção.
Quando utiliza este comutador, a consulta devolve resultados de pesquisa mais completos, mas pode demorar significativamente mais tempo a ser executada. Se não utilizar este comutador, a consulta é executada mais rapidamente, mas poderá ter resultados de pesquisa em falta.
Propriedades do parâmetro
| Tipo: | SwitchParameter |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-IPAddresses
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro IPAddresses filtra as entradas de registo pelos endereços IP especificados. Especifique vários endereços IP separados por vírgulas.
Propriedades do parâmetro
| Tipo: | String[] |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-LongerRetentionEnabled
Aplicável: Exchange Online, Proteção do Exchange Online
{{ Fill LongerRetentionEnabled Description }}
Propriedades do parâmetro
| Tipo: | String |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-ObjectIds
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro ObjectIds filtra as entradas do log pela ID do objeto. A ID do objeto é o objeto de destino que foi tratado e depende dos valores RecordType e Operations do evento.
Por exemplo, para operações do SharePoint, o ID do objeto é o caminho do URL para um ficheiro, pasta ou site. Para procurar registos num site, adicione um caráter universal (*) à frente do URL do site (por exemplo, "https://contoso.sharepoint.com/sites/test/*").
Para operações de Microsoft Entra, o ID do objeto é o nome da conta ou o valor GUID da conta.
O valor ObjectId é exibido na propriedade AuditData (também conhecida como Details) do evento.
Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".
Propriedades do parâmetro
| Tipo: | String[] |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-Operations
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro Operations filtra as entradas do log por operação. Os valores disponíveis para esse parâmetro dependem do valor RecordType. Para obter uma lista dos valores disponíveis para este parâmetro, veja Atividades auditadas.
Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".
Propriedades do parâmetro
| Tipo: | String[] |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-RecordType
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro RecordType filtra as entradas do log por tipo de registro. Para obter detalhes sobre os valores disponíveis, veja AuditLogRecordType.
Propriedades do parâmetro
| Tipo: | AuditRecordType |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-ResultSize
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro ResultSize especifica o número máximo de resultados a serem retornados. O valor padrão é de 100 e o máximo é de 5.000.
Propriedades do parâmetro
| Tipo: | Int32 |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-SessionCommand
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro SessionCommand especifica a quantidade de informações que são devolvidas e como estão organizadas. Este parâmetro é necessário se quiser obter mais do que o limite predefinido de 100 resultados. Os valores válidos são:
- ReturnLargeSet: este valor faz com que o cmdlet devolva dados não ordenados. Você pode ter acesso a no máximo 50.000 resultados usando a paginação. Este é o valor recomendado se não for necessário um resultado ordenado e estiver otimizado para latência de pesquisa.
- ReturnNextPreviewPage: este valor faz com que o cmdlet devolva os dados ordenados na data. O número máximo de registros retornados por meio do uso da paginação ou do parâmetro ResultSize é de 5.000.
Observação: Use sempre o mesmo valor de SessionCommand para um determinado valor de SessionId. Não alterne entre ReturnLargeSet e ReturnNextPreviewPage para a mesma ID de sessão. Caso contrário, o resultado está limitado a 10 000 resultados.
Propriedades do parâmetro
| Tipo: | UnifiedAuditSessionCommand |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-SessionId
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro SessionId especifica uma cadeia de ID para identificar um comando (o cmdlet e os respetivos parâmetros) que é executado várias vezes para devolver dados paginados. O parâmetro SessionId pode ser um valor de cadeia de caracteres à escolha.
Quando o cmdlet é executado sequencialmente com o mesmo ID de sessão, o cmdlet devolve os dados em blocos sequenciais do tamanho especificado por ResultSize.
Para uma determinada ID de sessão, se você usar o valor ReturnLargeSet do SessionCommand e, em seguida, usar o valor ReturnNextPreviewPage do SessionCommand, os resultados serão limitados a 10.000 registros. Para obter todos os 50.000 registros disponíveis, use sempre o valor ReturnLargeSet cada vez que executar o cmdlet para a mesma ID de sessão.
Propriedades do parâmetro
| Tipo: | String |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-SiteIds
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro SiteIds filtra as entradas de registo pelo SiteId (GUID) do SharePoint. Pode introduzir vários valores separados por vírgulas: Value1, Value2,...ValueN.
Para obter o SiteId de um site do SharePoint, acrescente /_api/site/id ao URL da coleção de sites que pretende especificar. Por exemplo, altere o URL https://contoso.sharepoint.com/sites/hr-project para https://contoso.sharepoint.com/sites/hr-project/_api/site/id. É devolvido um payload XML e o SiteId da coleção de sites é apresentado na propriedade Edm.Guid; por exemplo: <d:Id xmlns:d="http://schemas.microsoft.com/ado/2007/08/dataservices" xmlns:m="http://schemas.microsoft.com/ado/2007/08/dataservices/metadata" xmlns:georss="http://www.georss.org/georss" xmlns:gml="http://www.opengis.net/gml" m:type="Edm.Guid">14ab81b6-f23d-476a-8cac-ad5dbd2910f7</d:Id>.
Propriedades do parâmetro
| Tipo: | String[] |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-StartDate
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro StartDate especifica a data de início do intervalo de datas. As entradas são armazenadas no registo de auditoria unificado na Hora Universal Coordenada (UTC). Se especificar um valor de data/hora sem um fuso horário, o valor estará em UTC.
Para especificar um valor de data/hora para este parâmetro, use uma das opções a seguir:
- Especifique o valor de data/hora em UTC: por exemplo,
"2018-05-06 14:30:00z". - Especifique o valor de data/hora como uma fórmula que converte a data/hora no fuso horário local para UTC: por exemplo,
(Get-Date "5/6/2018 9:30 AM").ToUniversalTime(). Para mais informações, consulte Get-Date.
Se não incluir um carimbo de data/hora no valor para este parâmetro, o carimbo de data/hora predefinido é 00:00 (meia-noite) na data especificada.
Propriedades do parâmetro
| Tipo: | ExDateTime |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | True |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-UserIds
Aplicável: Exchange Online, Proteção do Exchange Online
O parâmetro UserIds filtra as entradas de registo pela conta (UserPrincipalName) do utilizador que efetuou a ação. Por exemplo, laura@contoso.onmicrosoft.com.
Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".
Propriedades do parâmetro
| Tipo: | String[] |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
CommonParameters
Este cmdlet suporta os parâmetros comuns: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction e -WarningVariable. Para obter mais informações, confira about_CommonParameters.