Search-AdminAuditLog
Этот командлет доступен в локальной среде Exchange и в облачной службе. Некоторые параметры и настройки могут отличаться в зависимости от среды.
Используйте командлет Search-AdminAuditLog для поиска содержимого журнала аудита администратора. Записи журнала аудита администратора, когда пользователь или администратор вносит изменения в организацию (в Центре администрирования Exchange или с помощью командлетов).
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Search-AdminAuditLog
[-Cmdlets <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-IsSuccess <Boolean>]
[-ObjectIds <MultiValuedProperty>]
[-Parameters <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[-StartIndex <Int32>]
[-UserIds <MultiValuedProperty>]
[<CommonParameters>] Описание
При выполнении командлета Search-AdminAuditLog без параметров по умолчанию возвращается до 1000 записей журнала.
Если Exchange Online PowerShell не используются параметры StartDate или EndDate, возвращаются только результаты за последние 14 дней.
В Exchange Online PowerShell доступны данные за последние 90 дней. Можно ввести даты старше 90 дней, но будут возвращены только данные за последние 90 дней.
Дополнительные сведения о структуре и свойствах журнала аудита см. в разделе Структура журнала аудита администратора.
Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Примеры
Пример 1
Search-AdminAuditLog -Cmdlets New-RoleGroup,New-ManagementRoleAssignmentВ этом примере находятся все записи журнала аудита администратора, содержащие New-RoleGroup или командлет New-ManagementRoleAssignment.
Пример 2
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults,ProhibitSendReceiveQuota,ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -IsSuccess $trueВ этом примере обнаруживаются все записи журнала аудита администратора, которые соответствуют следующим критериям:
- Командлеты: Set-Mailbox
- Параметры: UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
- Дата начала: 24.01.2018
- Дата окончания: 12.02.2018
Команда успешно завершена
Пример 3
$LogEntries = Search-AdminAuditLog -Cmdlets Write-AdminAuditLog
$LogEntries | ForEach { $_.CmdletParameters }В этом примере отображаются все комментарии, записанные в журнал аудита администратора командлетом Write-AdminAuditLog.
Сначала сохраните записи журнала аудита во временной переменной. Затем выполните итерацию по всем возвращенным записям журнала аудита и отобразите свойство Parameters.
Пример 4
Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2018 -EndDate 10/02/2018В этом примере возвращаются записи в журнале аудита администратора Exchange Online организации для командлетов, выполняемых администраторами центра обработки данных Майкрософт в период с 17 сентября 2018 г. по 2 октября 2018 г.
Параметры
-Cmdlets
Параметр Командлетов фильтрует результаты по использованным командлетам. Можно указать несколько командлетов, разделенных запятыми.
В результатах этого командлета это свойство называется Командлетимя.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-DomainController
Этот параметр доступен только в локальной среде Exchange.
Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
Параметр EndDate указывает дату окончания из диапазона дат.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".
Если в облачной службе указать значение даты и времени без часового пояса, значение будет указано в формате UTC. Чтобы указать значение даты или времени для этого параметра, воспользуйтесь одним из следующих вариантов:
- Укажите значение даты и времени в формате UTC. Например, "2021-05-06 14:30:00z".
- Укажите значение даты и времени в виде формулы, которая преобразует дату и время в местном часовом поясе в utc: например,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Для получения дополнительной информации см. Get-Date.
В результатах этого командлета дата и время внесения изменений (командлет был выполнен) возвращаются в свойстве RunDate.
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ExternalAccess
Параметр ExternalAccess фильтрует результаты по изменениям, которые были внесены (командлеты, которые были запущены) пользователями за пределами вашей организации. Допустимые значения:
- $true: возвращаются только записи журнала аудита, в которых изменения были внесены внешним пользователем. В Exchange Online используйте значение для возврата записей журнала аудита для изменений, внесенных администраторами центра обработки данных Майкрософт.
- $false: возвращаются только записи журнала аудита, в которых изменения были внесены внутренним пользователем.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-IsSuccess
Параметр IsSuccess фильтрует результаты по тому, были ли изменения успешными. Допустимые значения:
- $true: возвращаются только записи журнала аудита, в которых изменение прошло успешно (другими словами, командлет успешно выполнен).
- $false: возвращаются только записи журнала аудита, если изменение не было успешным (другими словами, командлет не был успешно запущен и привел к ошибке).
В результатах этого командлета это свойство называется Succeeded.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ObjectIds
Параметр ObjectIds фильтрует результаты по объекту, который был изменен (почтовый ящик, общедоступная папка, соединитель отправки, правило транспорта, обслуживаемый домен и т. д., с которым работал командлет). Допустимое значение зависит от того, как объект представлен в журнале аудита. Например:
- Имя
- Каноническое различающееся имя (например, contoso.com/Users/Akia Аль-Зухаири)
- Удостоверение общедоступной папки (например, \Engineering\Customer Discussion)
Скорее всего, вам потребуется использовать другие параметры фильтрации в этом командлете, чтобы сузить результаты и определить интересующие вас типы объектов. В результатах этого командлета это свойство называется ObjectModified.
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-Parameters
Параметр Parameters фильтрует результаты по использованным параметрам. Этот параметр можно использовать только с параметром Командлеты (его нельзя использовать сам по себе). Можно указать несколько параметров, разделенных запятыми.
В результатах этого командлета это свойство называется КомандлетParameters.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ResultSize
Параметр ResultSize указывает максимальное число возвращаемых результатов. Значение по умолчанию — 1000.
Максимальное количество возвращаемых результатов — 250 000.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-StartDate
Параметр StartDate указывает дату начала из диапазона дат.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".
Если в облачной службе указать значение даты и времени без часового пояса, значение будет указано в формате UTC. Чтобы указать значение даты или времени для этого параметра, воспользуйтесь одним из следующих вариантов:
- Укажите значение даты и времени в формате UTC. Например, "2021-05-06 14:30:00z".
- Укажите значение даты и времени в виде формулы, которая преобразует дату и время в местном часовом поясе в utc: например,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Для получения дополнительной информации см. Get-Date.
В результатах этого командлета дата и время внесения изменений (командлет был выполнен) возвращаются в свойстве RunDate.
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-StartIndex
Параметр StartIndex указывает позицию в результирующем наборе, с которой начинаются отображаемые результаты.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-UserIds
Параметр UserIds фильтрует результаты по пользователю, который внес изменение (который выполнил командлет).
Типичным значением для этого параметра является имя участника-пользователя (имя участника-пользователя; например, helpdesk@contoso.com). Но обновления, внесенные системными учетными записями без адресов электронной почты, могут использовать синтаксис Domain\Username (например, NT AUTHORITY\SYSTEM (MSExchangeHMHost)).
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "User1","User2",..."UserN".
В результатах этого командлета это свойство называется Caller
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
Входные данные
Input types
Сведения о типах входных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип ввода для командлета пустое, командлет не принимает входные данные.
Выходные данные
Output types
Сведения о типах возвращаемых данных, которые также называются типами выходных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип вывода пусто, командлет не возвращает данные.