Search-MailboxAuditLog

模組:

ExchangePowerShell

適用於:

Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

內部部署 Exchange 和雲端式服務有提供此 Cmdlet。 有些參數和設定可能是某一個環境所專屬。

使用 Search-MailboxAuditLog 指令程式搜尋與指定之搜尋字詞相符的信箱稽核記錄項目。

如需下方＜語法＞一節中參數集的詳細資訊，請參閱 Exchange Cmdlet 語法。

Syntax

Search-MailboxAuditLog
      [[-Identity] <MailboxIdParameter>]
      [-ShowDetails]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]

Search-MailboxAuditLog
      [-Mailboxes <MultiValuedProperty>]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]

Description

Search-MailboxAuditLog Cmdlet 會針對一或多個指定的信箱執行信箱稽核記錄的同步搜尋，並在 Exchange 管理命令介面視窗中顯示搜尋結果。 若要搜尋多個信箱的信箱稽核記錄，並讓電子郵件將結果傳送給指定的收件者，請改用 New-MailboxAuditLogSearch Cmdlet。 若要深入瞭解信箱稽核記錄，請參閱信箱稽核記錄Exchange Server。

在多地理位置環境中，當您在與您嘗試搜尋的信箱不同的區域中執行此 Cmdlet 時，可能會收到「嘗試存取稽核記錄時發生錯誤」錯誤。在此案例中，您需要將 PowerShell 會話錨定至與信箱位於相同區域中的使用者，如使用 Exchange Online PowerShell 直接連線到地理位置中所述。

您必須已獲指派權限，才能執行此指令程式。 雖然本主題已列出這個指令程式的所有參數，不過，如果某些參數並未包含在指派給您的權限中，您可能就無法存取這些參數。 若要尋找在組織中執行任何 Cmdlet 或參數所需的權限，請參閱 Find the permissions required to run any Exchange cmdlet。

範例

範例 1

Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

本範例會擷取 Ken Kwok 信箱的信箱稽核記錄專案，以取得 2018 年 1 月 1 日與 2018/12/31 之間的管理員和委派登入類型所執行的動作。 最多會傳回 2,000 個記錄項目。

範例 2

Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

本範例會擷取 Ken Kwok 和 Ben Smith 信箱的信箱稽核記錄專案，以取得 2018 年 1 月 1 日與 2018/12/31 之間的管理員和委派登入類型所執行的動作。 最多會傳回 2,000 個記錄項目。

範例 3

Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}

本範例會擷取 Ken Kwok 信箱的信箱稽核記錄專案，以取得信箱擁有者在 2017 年 1 月 1 日到 2017 年 3 月 1 日之間所執行的動作。 結果會傳送至 Where-Object 指令程式，並在篩選後只傳回具有 HardDelete 動作的項目。

參數

-DomainController

此參數僅適用於內部部署 Exchange。

DomainController 參數會指定此 Cmdlet 用來向 Active Directory 讀取或寫入資料的網域控制站。 您可以透過網域控制站的完整網域名稱 (FQDN) 來識別網域控制站。 例如，dc01.contoso.com。

Type:	Fqdn
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

EndDate 參數會指定日期範圍的結束日期。

在您要執行命令的電腦上，使用該電腦的 [地區選項] 設定中定義的簡短日期格式。 例如，如果電腦設定成使用簡短日期格式 mm/dd/yyyy，請輸入 09/01/2018 以指定 2018 年 9 月 1 日。 您可以只輸入日期，或者也可以輸入日期和時間。 如果輸入日期和時間，請使用引號 (") 括住值，例如 "09/01/2018 5:00 PM"。

Type:	ExDateTime
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ExternalAccess

ExternalAccess 參數會指定是否只傳回組織外部使用者信箱存取的稽核記錄專案。 在Exchange Online中，此參數會傳回 Microsoft 資料中心系統管理員存取信箱的稽核記錄專案。 有效值為：

$true：會傳回外部使用者或 Microsoft 資料中心系統管理員存取信箱的稽核記錄專案。

$false：會忽略外部使用者或 Microsoft 資料中心系統管理員存取信箱的稽核記錄專案。 這是預設值。

Type:	Boolean
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-GroupMailbox

此參數只能在雲端式服務中使用。

需要 GroupMailbox 參數，才能在搜尋中包含Microsoft 365 群組。 您不需要使用此參數指定值。

Type:	SwitchParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online

-HasAttachments

HasAttachments 參數會依有附件的郵件篩選搜尋。 有效值為：

• $true：搜尋中只會包含附件的訊息。
• $false：具有和不含附件的訊息會包含在搜尋中。

Type:	Boolean
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2016, Exchange Server 2019, Exchange Online

-Identity

Identity 參數會指定要從中擷取信箱稽核記錄專案的單一信箱。 您可以使用可唯一識別信箱的任何值。 例如：

• 名稱
• 別名
• 辨別名稱 (DN)
• 辨別名稱 (DN)
• Domain\Username
• 電子郵件地址
• GUID
• LegacyExchangeDN
• SamAccountName
• 使用者識別碼或使用者主要名稱 (UPN)

Type:	MailboxIdParameter
Position:	1
Default value:	None
Required:	False
Accept pipeline input:	True
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-LogonTypes

LogonTypes 參數會指定登入的類型。 有效值為：

• 管理員：系統會傳回系統管理員登入的信箱存取稽核記錄專案。
• Admin：將系統管理員登入所進行之信箱存取活動的稽核記錄項目傳回。
• 擁有者：會傳回主要信箱擁有者存取信箱的稽核記錄專案。 此值需要 ShowDetails 參數。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Mailboxes

Mailboxes 參數會指定要從中擷取信箱稽核記錄專案的信箱。 若要搜尋多個信箱的稽核記錄檔，可以使用這個參數。

您輸入多個以逗號分隔的信箱。 如果值包含空格或需要引號，請使用下列語法： "Value1","Value2",..."ValueN" 。

您無法搭配 ShowDetails 參數使用此參數。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Operations

Operations 參數會依信箱稽核記錄所記錄的信箱動作來篩選搜尋結果。 有效值為：

• AddFolderPermissions 僅 (Exchange 2019 和 Exchange Online。雖然已接受此值，但它已包含在 UpdateFolderPermissions 動作中，而且不會個別稽核。)
• 僅限 ApplyRecord (Exchange Online)
• 複製
• 建立
• 僅限預設 (Exchange Online)
• FolderBind
• HardDelete
• MailboxLogin
• MailItemsAccessed 僅 (Exchange Online且僅適用于 E5 或 E5 合規性附加元件訂用帳戶使用者。)
• MessageBind (雖然已接受此值，但不再記錄這些動作。)
• ModifyFolderPermissions 僅 (Exchange 2019 和 Exchange Online。雖然已接受此值，但它已包含在 UpdateFolderPermissions 動作中，而且不會個別稽核。)
• Move
• MoveToDeletedItems
• RecordDelete (Exchange Online僅限)
• RemoveFolderPermissions 僅 (Exchange 2019 和 Exchange Online。雖然已接受此值，但它已包含在 UpdateFolderPermissions 動作中，而且不會個別稽核。)
• SendAs
• SendOnBehalf
• SoftDelete
• Update
• UpdateCalendarDelegation (Exchange 2019 和僅Exchange Online)
• UpdateComplianceTag (Exchange Online僅限)
• UpdateFolderPermissions (Exchange 2019 和僅Exchange Online)
• UpdateInboxRules (Exchange 2019 和僅Exchange Online)

您可以輸入多個以逗號分隔的值。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ResultSize

ResultSize 參數會指定要傳回的信箱稽核記錄項目數上限。 有效值包括 1 到 250000 的整數。 預設會傳回 1000 個項目。

Type:	Int32
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ShowDetails

ShowDetails 參數會從信箱擷取每個記錄專案的詳細資料。 您不需要使用此參數指定值。

預設會在清單檢視中顯示每個傳回之記錄項目的所有欄位。

您無法搭配 Mailboxes 參數使用此參數。

Type:	SwitchParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-StartDate

StartDate 參數會指定日期範圍的開始日期。

在您要執行命令的電腦上，使用該電腦的 [地區選項] 設定中定義的簡短日期格式。 例如，如果電腦設定成使用簡短日期格式 mm/dd/yyyy，請輸入 09/01/2018 以指定 2018 年 9 月 1 日。 您可以只輸入日期，或者也可以輸入日期和時間。 如果輸入日期和時間，請使用引號 (") 括住值，例如 "09/01/2018 5:00 PM"。

Type:	ExDateTime
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

輸入

Input types

若要查看此指令程式可接受的輸入類型，請參閱指令程式輸入和輸出類型。 如果指令程式的 [輸入類型] 欄位是空的，表示指令程式不接受輸入資料。

輸出

Output types

若要查看此指令程式可接受的傳回類型 (也就是所謂的輸出類型)，請參閱指令程式輸入和輸出類型。 如果 [輸出類型] 欄位是空的，表示指令程式不會傳回資料。