New-MailboxAuditLogSearch

Модуль:

ExchangePowerShell

Применяется к:

Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Этот командлет доступен в локальной среде Exchange и в облачной службе. Некоторые параметры и настройки могут отличаться в зависимости от среды.

Используйте командлет New-MailboxAuditLogSearch для поиска журналов аудита почтовых ящиков и отправки результатов поиска по электронной почте указанным получателям.

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

New-MailboxAuditLogSearch
   -EndDate <ExDateTime>
   -StartDate <ExDateTime>
   -StatusMailRecipients <MultiValuedProperty>
   [-Confirm]
   [-DomainController <Fqdn>]
   [-ExternalAccess <Boolean>]
   [-GroupMailbox]
   [-HasAttachments <Boolean>]
   [-LogonTypes <MultiValuedProperty>]
   [-Mailboxes <MultiValuedProperty>]
   [-Name <String>]
   [-Operations <MultiValuedProperty>]
   [-ShowDetails]
   [-WhatIf]
   [<CommonParameters>]

Описание

Командлет New-MailboxAuditLogSearch выполняет асинхронный поиск журналов аудита почтовых ящиков для указанных почтовых ящиков и отправляет результаты поиска по электронной почте указанным получателям. Текст сообщения электронной почты содержит метаданные поиска, такие как параметры поиска и время отправки поискового запроса. Результаты вложены в файл .xml.

Чтобы выполнить поиск в журналах аудита почтового ящика для одного почтового ящика и отображения результатов в окне командной консоли Exchange, используйте командлет Search-MailboxAuditLog. Дополнительные сведения о ведении журнала аудита почтовых ящиков см. в статье Ведение журнала аудита почтовых ящиков в Exchange Server.

Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.

Примеры

Пример 1

New-MailboxAuditLogSearch "Admin and Delegate Access" -Mailboxes "Ken Kwok","April Stewart" -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -StatusMailRecipients auditors@contoso.com

В этом примере создается поиск по журналу аудита почтового ящика для поиска в почтовых ящиках Кена Квока и Эйприл Стюарта для входа администратора и делегата с 1/1/2018 по 31.12.2018. Результаты поиска отправляются auditors@contoso.com по электронной почте.

Пример 2

New-MailboxAuditLogSearch -ExternalAccess $true -StartDate 09/01/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.com

В этом примере возвращаются записи из журналов аудита почтовых ящиков всех пользователей в организации для доступа к почтовому ящику администраторов центра обработки данных Майкрософт в период с 1 сентября 2018 г. по 24 октября 2018 г. Результаты поиска отправляются в admin@contoso.com.

Параметры

-Confirm

Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.

• Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис: -Confirm:$false.
• Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.

Type:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-DomainController

Этот параметр доступен только в локальной среде Exchange.

Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.

Type:	Fqdn
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

Параметр EndDate указывает дату окончания из диапазона дат.

Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".

Type:	ExDateTime
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ExternalAccess

Параметр ExternalAccess указывает, следует ли возвращать только записи журнала аудита для доступа к почтовым ящикам пользователями за пределами вашей организации. В Exchange Online этот параметр возвращает записи журнала аудита для доступа к почтовым ящикам администраторов центра обработки данных Майкрософт. Допустимые значения:

$true. Возвращаются записи журнала аудита для доступа к почтовым ящикам внешними пользователями или администраторами центра обработки данных Майкрософт.

$false. Записи журнала аудита для доступа к почтовым ящикам внешними пользователями или администраторами центра обработки данных Майкрософт игнорируются. Это значение используется по умолчанию.

Type:	Boolean
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-GroupMailbox

Этот параметр доступен только в облачной службе.

Параметр GroupMailbox необходим для включения Группы Microsoft 365 в поиск. Указывать значение для этого параметра необязательно.

Type:	SwitchParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online

-HasAttachments

Параметр HasAttachments фильтрует поиск по сообщениям с вложениями. Допустимые значения:

• $true. В поиск включаются только сообщения с вложениями.
• $false. В поиск включаются сообщения с вложениями и без них.

Type:	Boolean
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2016, Exchange Server 2019, Exchange Online

-LogonTypes

Параметр LogonTypes указывает тип входов. Допустимые значения:

• Администратор: возвращаются записи журнала аудита для доступа к почтовому ящику с помощью входов администратора.
• Admin. Возвращаются записи в журнале аудита об обращениях администраторов к почтовому ящику.
• Внешний. Для почтовых ящиков Exchange Online возвращаются записи журнала аудита для доступа к почтовым ящикам Майкрософт администраторами центра обработки данных.
• Владелец. Возвращаются записи журнала аудита для доступа к почтовому ящику со стороны основного владельца почтового ящика. Для этого значения требуется параметр ShowDetails.

Update

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Mailboxes

Параметр Mailboxes указывает почтовый ящик для получения записей журнала аудита почтовых ящиков.

Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".

Если не указать значение, возвращаются журналы аудита почтовых ящиков для всех почтовых ящиков в организации.

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Name

Параметр Name указывает имя операции поиска. Максимальная длина: 64 символа. Если значение содержит пробелы, его необходимо заключить в кавычки (").

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Operations

Параметр Operations фильтрует результаты поиска по операциям, которые записываются в журнал аудита почтового ящика. Допустимые значения:

• Копировать
• Create
• FolderBind
• HardDelete
• MailboxLogin
• MessageBind
• Move
• MoveToDeletedItems
• SendAs
• SendOnBehalf
• SoftDelete
• Update

Update

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ShowDetails

Параметр ShowDetails указывает, что извлекаются сведения о каждой записи журнала. Для этого переключателя не требуется указывать значение.

Type:	SwitchParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-StartDate

Параметр StartDate указывает дату начала из диапазона дат.

Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".

Type:	ExDateTime
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-StatusMailRecipients

Параметр StatusMailRecipients указывает адрес электронной почты, на который отправляются результаты поиска. Вы можете указать несколько значений, разделив их запятыми.

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-WhatIf

Переключатель WhatIf имитирует действия команды. Вы можете использовать его для просмотра результатов изменений без фактического внесения этих изменений. С этим параметром не нужно указывать значение.

Type:	SwitchParameter
Aliases:	wi
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Входные данные

Input types

Сведения о типах входных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип ввода для командлета пустое, командлет не принимает входные данные.

Выходные данные

Output types

Сведения о типах возвращаемых данных, которые также называются типами выходных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип вывода пусто, командлет не возвращает данные.