Freigeben über


New-AdminAuditLogSearch

Dieses Cmdlet ist der lokalen Bereitstellung von Exchange und im cloudbasierten Dienst verfügbar. Einige Parameter und Einstellungen gelten exklusiv für die eine oder andere Umgebung.

Verwenden Sie das Cmdlet New-AdminAuditLogSearch, um die Inhalte des Administrator-Überwachungsprotokolls zu durchsuchen und die Ergebnisse an ein oder mehrere angegebene Postfächer zu senden.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

New-AdminAuditLogSearch
   -EndDate <ExDateTime>
   -StartDate <ExDateTime>
   -StatusMailRecipients <MultiValuedProperty>
   [-Cmdlets <MultiValuedProperty>]
   [-Confirm]
   [-DomainController <Fqdn>]
   [-ExternalAccess <Boolean>]
   [-Name <String>]
   [-ObjectIds <MultiValuedProperty>]
   [-Parameters <MultiValuedProperty>]
   [-UserIds <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Beschreibung

Nach der Ausführung des Cmdlets New-AdminAuditLogSearch wird der Bericht innerhalb von 15 Minuten an die angegebenen Postfächer gesendet. Das Protokoll wird als XML-Anlage an die Bericht-E-Mail angehängt. Die Größe der generierten Protokolldatei darf maximal 10 MB betragen.

Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.

Beispiele

Beispiel 1

New-AdminAuditLogSearch -Name "Mailbox Quota Change Audit" -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -StatusMailRecipients david@contoso.com, chris@contoso.com

In diesem Beispiel werden alle Administratorüberwachungsprotokolleinträge gesucht, die den folgenden Kriterien entsprechen, und die Ergebnisse werden an die david@contoso.com SMTP-Adressen und chris@contoso.com gesendet:

  • Cmdlets:Set-Mailbox
  • Parameters:UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
  • StartDatum: 24.01.2018
  • EndDate: 12.02.2018

Beispiel 2

New-AdminAuditLogSearch -ExternalAccess $true -StartDate 07/25/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "Datacenter admin audit log"

In diesem Beispiel werden Einträge im Administratorüberwachungsprotokoll einer Exchange Online Organisation für Cmdlets zurückgegeben, die von Microsoft Rechenzentrumsadministratoren zwischen dem 25. September 2018 und dem 24. Oktober 2018 ausgeführt werden. Die Suchergebnisse werden an die admin@contoso.com SMTP-Adressen und pilarp@contoso.com gesendet, und der Text "Überwachungsprotokoll des Rechenzentrumsadministrators" wird der Betreffzeile der Nachricht hinzugefügt.

Parameter

-Cmdlets

Der Parameter Cmdlets gibt die Cmdlets an, nach denen im Administrator-Überwachungsprotokoll gesucht werden soll. Es werden nur die Protokolleinträge zurückgegeben, die die angegebenen Cmdlets enthalten.

Wenn Sie mehrere Cmdlets angeben möchten, trennen Sie diese durch Kommata.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Confirm

Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.

  • Destruktive Cmdlets (z. B. Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl zu bestätigen, bevor Sie fortfahren. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen: -Confirm:$false.
  • Die meisten anderen Cmdlets (z. B. New-* und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-DomainController

Dieser Parameter ist im lokalen Exchange verfügbar.

Der Parameter "DomainController" gibt den Domänencontroller an, der von diesem Cmdlet verwendet wird, um aus Active Directory Daten zu lesen oder hineinzuschreiben. Der Domänencontroller kann anhand seines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) ermittelt werden. Beispiel: dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

Der EndDate-Parameter gibt das Enddatum des Datumsbereichs an.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ExternalAccess

Der Parameter ExternalAccess gibt nur Überwachungsprotokolleinträge für Cmdlets zurück, die von einem Benutzer außerhalb Ihrer Organisation ausgeführt wurden. Verwenden Sie in Exchange Online diesen Parameter, um Überwachungsprotokolleinträge für Cmdlets zurückzugeben, die von Microsoft Rechenzentrumsadministratoren ausgeführt werden.

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Name

Der Parameter Name gibt den Namen der Administrator-Überwachungsprotokollsuche an. Der Name wird in der Betreffzeile der E-Mail mit dem Überwachungsprotokollbericht angezeigt.

Wenn der Name des Berichts Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ObjectIds

Der Parameter ObjectIds gibt an, dass nur Administrator-Überwachungsprotokolleinträge zurückgegeben werden, die die angegebenen geänderten Objekte enthalten. Dieser Parameter akzeptiert eine Vielzahl von Objekten, z. B. Postfächer, Aliase, Connectornamen senden usw.

Wenn Sie mehrere Objekt-IDs angeben möchten, trennen Sie diese durch Kommata.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Parameters

Der Parameter Parameters gibt die Parameter an, nach denen im Administrator-Überwachungsprotokoll gesucht werden soll. Es werden nur die Protokolleinträge zurückgegeben, die die angegebenen Parameter enthalten. Dieser Parameter kann nur zusammen mit dem Parameter Cmdlets verwendet werden.

Wenn Sie mehrere Parameter angeben möchten, trennen Sie diese durch Kommata.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StartDate

Der StartDate-Parameter gibt das Startdatum und die Uhrzeit des Datumsbereichs an.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StatusMailRecipients

Der Parameter StatusMailRecipients gibt die Empfänger an, die den Administrator-Überwachungsprotokollbericht erhalten sollen. Beim Empfänger muss es sich um eine gültige SMTP-Adresse handeln.

Wenn Sie mehrere Empfänger angeben möchten, trennen Sie die SMTP-Adressen durch Kommata.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-UserIds

Der Parameter UserIds gibt an, dass nur Administrator-Überwachungsprotokolleinträge zurückgegeben werden, die die angegebene ID des Benutzers enthalten, der das Cmdlet ausgeführt hat.

Wenn Sie mehrere Benutzer-IDs angeben möchten, trennen Sie diese durch Kommata.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-WhatIf

Der WhatIf-Schalter funktioniert in PowerShell für Sicherheitskonformität & nicht.

Die Option "WhatIf" simuliert die Aktionen des Befehls. Sie können diesen Switch verwenden, um die Änderungen anzuzeigen, die auftreten würden, ohne diese Änderungen tatsächlich anzuwenden. Sie müssen keinen Wert für diese Option angeben.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

Eingaben

Input types

Eingabetypen, die dieses Cmdlet akzeptiert, finden Sie unter Eingabe- und Ausgabetypen für Cmdlets. Wenn das Feld mit dem Eingabetyp für ein Cmdlet leer ist, akzeptiert das Cmdlet diese Eingabedaten nicht.

Ausgaben

Output types

Informationen zu den Rückgabetypen, die auch als Ausgabetypen bezeichnet werden, die dieses Cmdlet akzeptiert, finden Sie unter Cmdlet Input and Output Types. Wenn das Feld Ausgabetyp leer ist, gibt das Cmdlet keine Daten zurück.