Search-MailboxAuditLog
Примечание.
Этот командлет будет нерекомендуем в облачной службе. Чтобы получить доступ к данным журнала аудита, используйте командлет Search-UnifiedAuditLog. Дополнительные сведения см. в этой записи блога: https://aka.ms/AuditCmdletBlog.
Этот командлет доступен в локальной среде Exchange и в облачной службе. Некоторые параметры и параметры могут быть эксклюзивными для одной или другой среды.
Командлет Search-MailboxAuditLog используется для поиска записей в журнале аудита почтовых ящиков, соответствующих заданным условиям.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Identity
Search-MailboxAuditLog
[[-Identity] <MailboxIdParameter>]
[-ShowDetails]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-IncludeInactiveMailbox]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>]
MultipleMailboxesSearch
Search-MailboxAuditLog
[-Mailboxes <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-IncludeInactiveMailbox]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>]
Описание
Командлет Search-MailboxAuditLog выполняет синхронный поиск журналов аудита почтовых ящиков для одного или нескольких указанных почтовых ящиков и отображает результаты поиска в окне командной консоли Exchange. Для поиска в журналах аудита почтовых ящиков по нескольким почтовым ящикам с отправкой результатов указанным получателям по электронной почте используйте командлет New-MailboxAuditLogSearch. Дополнительные сведения о ведении журнала аудита почтовых ящиков см. в статье Ведение журнала аудита почтовых ящиков в Exchange Server.
В средах с несколькими регионами при выполнении этого командлета в другом регионе почтового ящика, в который вы пытаетесь выполнить поиск, может появиться сообщение об ошибке "Произошла ошибка при попытке доступа к журналу аудита". В этом сценарии необходимо привязать сеанс PowerShell к пользователю в том же регионе, что и почтовый ящик, как описано в разделе Подключение непосредственно к географическому расположению с помощью Exchange Online PowerShell.
Для его запуска необходимо получить соответствующие разрешения. Хотя в этой статье перечислены все параметры командлета, у вас может не быть доступа к некоторым параметрам, если они не включены в назначенные вам разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Примеры
Пример 1
Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000
В этом примере извлекаются записи журнала аудита почтового ящика для почтового ящика Ken Kwok для действий, выполненных типами Администратор и Делегирование входа в систему с 1.01.2018 по 31.12.2018. Возвращается не более 2000 записей.
Пример 2
Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000
В этом примере извлекаются записи журнала аудита почтовых ящиков для почтовых ящиков Кена Квока и Бена Смита для действий, выполненных типами Администратор и делегата входа в систему с 1/2018 по 31.12.2018. Возвращается не более 2000 записей.
Пример 3
Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}
В этом примере извлекаются записи журнала аудита почтового ящика для почтового ящика Кена Квока для действий, выполненных владельцем почтового ящика в период с 1/1/2017 по 01.03.2017. Результаты передаются в командлет Where-Object и фильтруются так, чтобы возвращались только записи с действием HardDelete.
Параметры
-DomainController
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г.
Этот параметр доступен только в локальной среде Exchange.
Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.
Свойства параметра
| Тип: | Fqdn |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-EndDate
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр EndDate указывает дату окончания из диапазона дат.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если на компьютере настроен короткий формат даты ММ/дд/гггг, введите 01.09.2018, чтобы указать 1 сентября 2018 г. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".
Свойства параметра
| Тип: | ExDateTime |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-ExternalAccess
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр ExternalAccess указывает, следует ли возвращать только записи журнала аудита для доступа к почтовым ящикам пользователями за пределами вашей организации. В Exchange Online этот параметр возвращает записи журнала аудита для доступа администраторов центра обработки данных Майкрософт к почтовым ящикам. Допустимые значения:
$true. Возвращаются записи журнала аудита для доступа к почтовым ящикам внешними пользователями или администраторами центра обработки данных Майкрософт.
$false. Записи журнала аудита для доступа к почтовым ящикам внешними пользователями или администраторами центра обработки данных Майкрософт игнорируются. Это значение является значением по умолчанию.
Свойства параметра
| Тип: | Boolean |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-GroupMailbox
Применимо: Exchange Online
Этот параметр доступен только в облачной службе.
Параметр GroupMailbox необходим для включения Группы Microsoft 365 в поиск. С этим параметром не нужно указывать значение.
Свойства параметра
| Тип: | SwitchParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-HasAttachments
Применимо: Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр HasAttachments фильтрует поиск по сообщениям с вложениями. Допустимые значения:
- $true. В поиск включаются только сообщения с вложениями.
- $false. В поиск включаются сообщения с вложениями и без них.
Свойства параметра
| Тип: | Boolean |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Identity
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр Identity указывает один почтовый ящик для получения записей журнала аудита почтовых ящиков. Вы можете использовать любое значение, которое однозначно определяет почтовый ящик. Пример.
- Имя
- Псевдоним
- различающееся имя (DN);
- различающееся имя (DN);
- Домен\Имя пользователя
- Адрес электронной почты
- GUID
- LegacyExchangeDN
- SamAccountName
- Идентификатор пользователя или имя участника-пользователя
Свойства параметра
| Тип: | MailboxIdParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
Identity
| Position: | 1 |
| Обязательно: | False |
| Значение из конвейера: | True |
| Значение из конвейера по имени свойства: | True |
| Значение из оставшихся аргументов: | False |
-IncludeInactiveMailbox
Применимо: Exchange Online
Этот параметр доступен только в облачной службе.
{{ Fill IncludeInactiveMailbox Description }}
Свойства параметра
| Тип: | SwitchParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-LogonTypes
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр LogonTypes указывает тип входов. Допустимые значения:
- Администратор: возвращаются записи журнала аудита для доступа к почтовому ящику с помощью входов администратора.
- Admin. Возвращаются записи в журнале аудита об обращениях администраторов к почтовому ящику.
- Владелец. Возвращаются записи журнала аудита для доступа к почтовому ящику со стороны основного владельца почтового ящика. Для этого значения требуется параметр ShowDetails.
Свойства параметра
| Тип: | MultiValuedProperty |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Mailboxes
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр Mailboxes указывает почтовые ящики для получения записей журнала аудита почтовых ящиков. Этот параметр можно использовать для поиска журналов аудита для нескольких почтовых ящиков.
Вы вводите несколько почтовых ящиков, разделенных запятыми. Если значения содержат пробелы или по каким-либо другим причинам требуют применения кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Этот параметр нельзя использовать с параметром ShowDetails.
Свойства параметра
| Тип: | MultiValuedProperty |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
MultipleMailboxesSearch
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Operations
Применимо: Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр Operations фильтрует результаты поиска по действиям почтового ящика, которые регистрируются в журнале аудита почтовых ящиков. Допустимые значения:
- AddFolderPermissions (только Exchange 2019 и Exchange Online. Хотя это значение принято, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно.)
- ApplyRecord (только Exchange Online)
- Копировать
- Создание
- По умолчанию (только Exchange Online)
- FolderBind
- HardDelete
- MailboxLogin
- MailItemsAccessed (только Exchange Online и только для пользователей подписки на надстройку соответствия E5 или E5.)
- MessageBind (хотя это значение принимается, эти действия больше не регистрируются.)
- ModifyFolderPermissions (только Exchange 2019 и Exchange Online. Хотя это значение принято, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно.)
- Move
- MoveToDeletedItems
- RecordDelete (только Exchange Online)
- RemoveFolderPermissions (только Exchange 2019 и Exchange Online. Хотя это значение принято, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно.)
- SendAs
- SendOnBehalf
- SoftDelete
- Обновление
- UpdateCalendarDelegation (только Exchange 2019 и Exchange Online)
- UpdateComplianceTag (только Exchange Online)
- UpdateFolderPermissions (только Exchange 2019 и Exchange Online)
- UpdateInboxRules (только Для Exchange 2019 и Exchange Online)
Update
Свойства параметра
| Тип: | MultiValuedProperty |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-ResultSize
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр ResultSize указывает максимальное число отображаемых записей журнала аудита почтовых ящиков. Допускаются целочисленные значения от 1 до 250000. По умолчанию возвращается 1000 записей.
Свойства параметра
| Тип: | Int32 |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-ShowDetails
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр ShowDetails извлекает сведения о каждой записи журнала из почтового ящика. С этим параметром не нужно указывать значение.
По умолчанию все поля каждой извлеченной записи журнала отображаются в представлении списка.
Этот параметр нельзя использовать с параметром Mailboxes.
Свойства параметра
| Тип: | SwitchParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
Identity
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-StartDate
Применимо: Exchange Server 2010 г., Exchange Server 2013 г., Exchange Server 2016 г., Exchange Server 2019 г., Exchange Online
Параметр StartDate указывает дату начала из диапазона дат.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если на компьютере настроен короткий формат даты ММ/дд/гггг, введите 01.09.2018, чтобы указать 1 сентября 2018 г. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".
Свойства параметра
| Тип: | ExDateTime |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье about_CommonParameters.
Входные данные
Input types
Чтобы просмотреть типы входных данных, которые принимает этот командлет, см. Типы входных и выходных данных командлета. Если поле "Типы входных данных" для командлета пусто, командлет не принимает входные данные.
Выходные данные
Output types
Чтобы просмотреть типы возвращаемых данных, также называемые типами вывода, которые принимает этот командлет, см. раздел Типы ввода и вывода командлета. Если поле "Типы выходных данных" пусто, командлет не возвращает данные.