New-MailboxAuditLogSearch
Примечание.
Этот командлет будет нерекомендуем в облачной службе. Чтобы получить доступ к данным журнала аудита, используйте командлет Search-UnifiedAuditLog. Дополнительные сведения см. в этой записи блога: https://aka.ms/AuditCmdletBlog.
Этот командлет доступен в локальной среде Exchange и в облачной службе. Некоторые параметры и параметры могут быть эксклюзивными для одной или другой среды.
Используйте командлет New-MailboxAuditLogSearch для поиска журналов аудита почтовых ящиков и отправки результатов поиска по электронной почте указанным получателям.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Default (по умолчанию)
New-MailboxAuditLogSearch
-EndDate <ExDateTime>
-StartDate <ExDateTime>
-StatusMailRecipients <MultiValuedProperty>
[-Confirm]
[-DomainController <Fqdn>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Mailboxes <MultiValuedProperty>]
[-Name <String>]
[-Operations <MultiValuedProperty>]
[-ShowDetails]
[-WhatIf]
[<CommonParameters>]
Описание
Командлет New-MailboxAuditLogSearch выполняет асинхронный поиск журналов аудита почтовых ящиков для указанных почтовых ящиков и отправляет результаты поиска по электронной почте указанным получателям. Текст сообщения электронной почты содержит метаданные поиска, такие как параметры поиска и время отправки поискового запроса. Результаты вложены в файл .xml.
Чтобы выполнить поиск в журналах аудита почтового ящика для одного почтового ящика и отображения результатов в окне командной консоли Exchange, используйте командлет Search-MailboxAuditLog. Дополнительные сведения о ведении журнала аудита почтовых ящиков см. в статье Ведение журнала аудита почтовых ящиков в Exchange Server.
Для его запуска необходимо получить соответствующие разрешения. Хотя в этой статье перечислены все параметры командлета, у вас может не быть доступа к некоторым параметрам, если они не включены в назначенные вам разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Примеры
Пример 1
New-MailboxAuditLogSearch "Admin and Delegate Access" -Mailboxes "Ken Kwok","April Stewart" -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -StatusMailRecipients auditors@contoso.com
В этом примере создается поиск по журналу аудита почтового ящика для поиска в почтовых ящиках Кена Квока и Эйприл Стюарта для входа администратора и делегата с 1/1/2018 по 31.12.2018. Результаты поиска отправляются auditors@contoso.com по электронной почте.
Пример 2
New-MailboxAuditLogSearch -ExternalAccess $true -StartDate 09/01/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.com
В этом примере возвращаются записи из журналов аудита почтовых ящиков всех пользователей в организации для доступа к почтовому ящику администраторами центра обработки данных Майкрософт в период с 1 сентября 2018 г. по 24 октября 2018 г. Результаты поиска отправляются в admin@contoso.com.
Параметры
-Confirm
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, командлеты Remove-) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис:
-Confirm:$false. - Большинство других командлетов (например, командлеты New- и Set-) не имеют встроенной паузы. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
Свойства параметра
| Тип: | SwitchParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
| Aliases: | cf |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-DomainController
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г.
Этот параметр доступен только в локальной среде Exchange.
Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.
Свойства параметра
| Тип: | Fqdn |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-EndDate
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр EndDate указывает дату окончания из диапазона дат.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если на компьютере настроен короткий формат даты ММ/дд/гггг, введите 01.09.2018, чтобы указать 1 сентября 2018 г. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".
Свойства параметра
| Тип: | ExDateTime |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | True |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-ExternalAccess
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр ExternalAccess указывает, следует ли возвращать только записи журнала аудита для доступа к почтовым ящикам пользователями за пределами вашей организации. В Exchange Online этот параметр возвращает записи журнала аудита для доступа администраторов центра обработки данных Майкрософт к почтовым ящикам. Допустимые значения:
$true. Возвращаются записи журнала аудита для доступа к почтовым ящикам внешними пользователями или администраторами центра обработки данных Майкрософт.
$false. Записи журнала аудита для доступа к почтовым ящикам внешними пользователями или администраторами центра обработки данных Майкрософт игнорируются. Это значение является значением по умолчанию.
Свойства параметра
| Тип: | Boolean |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-GroupMailbox
Применимо: Exchange Online
Этот параметр доступен только в облачной службе.
Параметр GroupMailbox необходим для включения Группы Microsoft 365 в поиск. С этим параметром не нужно указывать значение.
Свойства параметра
| Тип: | SwitchParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-HasAttachments
Применимо: Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр HasAttachments фильтрует поиск по сообщениям с вложениями. Допустимые значения:
- $true. В поиск включаются только сообщения с вложениями.
- $false. В поиск включаются сообщения с вложениями и без них.
Свойства параметра
| Тип: | Boolean |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-LogonTypes
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр LogonTypes указывает тип входов. Допустимые значения:
- Администратор: возвращаются записи журнала аудита для доступа к почтовому ящику с помощью входов администратора.
- Admin. Возвращаются записи в журнале аудита об обращениях администраторов к почтовому ящику.
- Внешний. Для почтовых ящиков Exchange Online возвращаются записи журнала аудита для доступа к почтовым ящикам со стороны администраторов центра обработки данных Майкрософт.
- Владелец. Возвращаются записи журнала аудита для доступа к почтовому ящику со стороны основного владельца почтового ящика. Для этого значения требуется параметр ShowDetails.
Update
Свойства параметра
| Тип: | MultiValuedProperty |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Mailboxes
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр Mailboxes указывает почтовый ящик для получения записей журнала аудита почтовых ящиков.
Update Если значения содержат пробелы или по каким-либо другим причинам требуют применения кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Если не указать значение, возвращаются журналы аудита почтовых ящиков для всех почтовых ящиков в организации.
Свойства параметра
| Тип: | MultiValuedProperty |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Name
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр Name указывает имя операции поиска. Максимальная длина: 64 символа. Если значение содержит пробелы, его необходимо заключить в кавычки (").
Свойства параметра
| Тип: | String |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Operations
Применимо: Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр Operations фильтрует результаты поиска по операциям, которые записываются в журнал аудита почтового ящика. Допустимые значения:
- Копировать
- Create
- FolderBind
- HardDelete
- MailboxLogin
- MessageBind
- Move
- MoveToDeletedItems
- SendAs
- SendOnBehalf
- SoftDelete
- Обновление
Update
Свойства параметра
| Тип: | MultiValuedProperty |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-ShowDetails
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр ShowDetails указывает, что извлекаются сведения о каждой записи журнала. С этим параметром не нужно указывать значение.
Свойства параметра
| Тип: | SwitchParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-StartDate
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр StartDate указывает дату начала из диапазона дат.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если на компьютере настроен короткий формат даты ММ/дд/гггг, введите 01.09.2018, чтобы указать 1 сентября 2018 г. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".
Свойства параметра
| Тип: | ExDateTime |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | True |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-StatusMailRecipients
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр StatusMailRecipients указывает адрес электронной почты, на который отправляются результаты поиска. Вы можете указать несколько значений, разделив их запятыми.
Свойства параметра
| Тип: | MultiValuedProperty |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | True |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-WhatIf
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Переключатель WhatIf имитирует действия команды. Вы можете использовать его для просмотра результатов изменений без фактического внесения этих изменений. С этим параметром не нужно указывать значение.
Свойства параметра
| Тип: | SwitchParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
| Aliases: | wi |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье about_CommonParameters.
Входные данные
Input types
Чтобы просмотреть типы входных данных, которые принимает этот командлет, см. Типы входных и выходных данных командлета. Если поле "Типы входных данных" для командлета пусто, командлет не принимает входные данные.
Выходные данные
Output types
Чтобы просмотреть типы возвращаемых данных, также называемые типами вывода, которые принимает этот командлет, см. раздел Типы ввода и вывода командлета. Если поле "Типы выходных данных" пусто, командлет не возвращает данные.