Поделиться через


Search-MailboxAuditLog

Этот командлет доступен в локальной среде Exchange и в облачной службе. Некоторые параметры и настройки могут отличаться в зависимости от среды.

Командлет Search-MailboxAuditLog используется для поиска записей в журнале аудита почтовых ящиков, соответствующих заданным условиям.

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

Search-MailboxAuditLog
      [[-Identity] <MailboxIdParameter>]
      [-ShowDetails]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]
Search-MailboxAuditLog
      [-Mailboxes <MultiValuedProperty>]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]

Описание

Командлет Search-MailboxAuditLog выполняет синхронный поиск журналов аудита почтовых ящиков для одного или нескольких указанных почтовых ящиков и отображает результаты поиска в окне командной консоли Exchange. Для поиска в журналах аудита почтовых ящиков по нескольким почтовым ящикам с отправкой результатов указанным получателям по электронной почте используйте командлет New-MailboxAuditLogSearch. Дополнительные сведения о ведении журнала аудита почтовых ящиков см. в статье Ведение журнала аудита почтовых ящиков в Exchange Server.

В средах с несколькими регионами при выполнении этого командлета в другом регионе почтового ящика, в который вы пытаетесь выполнить поиск, может появиться сообщение об ошибке "Произошла ошибка при попытке доступа к журналу аудита". В этом сценарии необходимо привязать сеанс PowerShell к пользователю в том же регионе, что и почтовый ящик, как описано в разделе Подключение непосредственно к географическому расположению с помощью Exchange Online PowerShell.

Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.

Примеры

Пример 1

Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

В этом примере извлекаются записи журнала аудита почтового ящика для почтового ящика Ken Kwok для действий, выполненных типами Администратор и Делегирование входа в систему с 1.01.2018 по 31.12.2018. Возвращается не более 2000 записей.

Пример 2

Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

В этом примере извлекаются записи журнала аудита почтовых ящиков для почтовых ящиков Кена Квока и Бена Смита для действий, выполненных типами Администратор и делегата входа в систему с 1/2018 по 31.12.2018. Возвращается не более 2000 записей.

Пример 3

Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}

В этом примере извлекаются записи журнала аудита почтового ящика для почтового ящика Кена Квока для действий, выполненных владельцем почтового ящика в период с 1/1/2017 по 01.03.2017. Результаты передаются в командлет Where-Object и фильтруются так, чтобы возвращались только записи с действием HardDelete.

Параметры

-DomainController

Этот параметр доступен только в локальной среде Exchange.

Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

Параметр EndDate указывает дату окончания из диапазона дат.

Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ExternalAccess

Параметр ExternalAccess указывает, следует ли возвращать только записи журнала аудита для доступа к почтовым ящикам пользователями за пределами вашей организации. В Exchange Online этот параметр возвращает записи журнала аудита для доступа администраторов центра обработки данных Майкрософт к почтовым ящикам. Допустимые значения:

$true. Возвращаются записи журнала аудита для доступа к почтовым ящикам внешними пользователями или администраторами центра обработки данных Майкрософт.

$false. Записи журнала аудита для доступа к почтовым ящикам внешними пользователями или администраторами центра обработки данных Майкрософт игнорируются. Это значение используется по умолчанию.

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-GroupMailbox

Этот параметр доступен только в облачной службе.

Параметр GroupMailbox необходим для включения Группы Microsoft 365 в поиск. Для этого переключателя не требуется указывать значение.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-HasAttachments

Параметр HasAttachments фильтрует поиск по сообщениям с вложениями. Допустимые значения:

  • $true. В поиск включаются только сообщения с вложениями.
  • $false. В поиск включаются сообщения с вложениями и без них.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2016, Exchange Server 2019, Exchange Online

-Identity

Параметр Identity указывает один почтовый ящик для получения записей журнала аудита почтовых ящиков. Вы можете использовать любое значение, которое однозначно определяет почтовый ящик. Пример.

  • Имя
  • Псевдоним
  • различающееся имя (DN);
  • различающееся имя (DN);
  • Домен\Имя пользователя
  • Адрес электронной почты
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • Идентификатор пользователя или имя участника-пользователя
Type:MailboxIdParameter
Position:1
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-LogonTypes

Параметр LogonTypes указывает тип входов. Допустимые значения:

  • Администратор: возвращаются записи журнала аудита для доступа к почтовому ящику с помощью входов администратора.
  • Admin. Возвращаются записи в журнале аудита об обращениях администраторов к почтовому ящику.
  • Владелец. Возвращаются записи журнала аудита для доступа к почтовому ящику со стороны основного владельца почтового ящика. Для этого значения требуется параметр ShowDetails.
Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Mailboxes

Параметр Mailboxes указывает почтовые ящики для получения записей журнала аудита почтовых ящиков. Этот параметр можно использовать для поиска журналов аудита для нескольких почтовых ящиков.

Вы вводите несколько почтовых ящиков, разделенных запятыми. Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".

Этот параметр нельзя использовать с параметром ShowDetails.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Operations

Параметр Operations фильтрует результаты поиска по действиям почтового ящика, которые регистрируются в журнале аудита почтовых ящиков. Допустимые значения:

  • AddFolderPermissions (только Exchange 2019 и Exchange Online. Хотя это значение принято, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно.)
  • ApplyRecord (только Exchange Online)
  • Копировать
  • Create
  • По умолчанию (только Exchange Online)
  • FolderBind
  • HardDelete
  • MailboxLogin
  • MailItemsAccessed (только Exchange Online и только для пользователей подписки на надстройку соответствия E5 или E5.)
  • MessageBind (хотя это значение принимается, эти действия больше не регистрируются.)
  • ModifyFolderPermissions (только Exchange 2019 и Exchange Online. Хотя это значение принято, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно.)
  • Move
  • MoveToDeletedItems
  • RecordDelete (только Exchange Online)
  • RemoveFolderPermissions (только Exchange 2019 и Exchange Online. Хотя это значение принято, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно.)
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Update
  • UpdateCalendarDelegation (только Exchange 2019 и Exchange Online)
  • UpdateComplianceTag (только Exchange Online)
  • UpdateFolderPermissions (только Exchange 2019 и Exchange Online)
  • UpdateInboxRules (только Для Exchange 2019 и Exchange Online)

Update

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ResultSize

Параметр ResultSize указывает максимальное число отображаемых записей журнала аудита почтовых ящиков. Допускаются целочисленные значения от 1 до 250000. По умолчанию возвращается 1000 записей.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ShowDetails

Параметр ShowDetails извлекает сведения о каждой записи журнала из почтового ящика. Для этого переключателя не требуется указывать значение.

По умолчанию все поля каждой извлеченной записи журнала отображаются в представлении списка.

Этот параметр нельзя использовать с параметром Mailboxes.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-StartDate

Параметр StartDate указывает дату начала из диапазона дат.

Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".

Type:ExDateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Входные данные

Input types

Сведения о типах входных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип ввода для командлета пустое, командлет не принимает входные данные.

Выходные данные

Output types

Сведения о типах возвращаемых данных, которые также называются типами выходных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип вывода пусто, командлет не возвращает данные.