Search-UnifiedAuditLog

Dieses Cmdlet ist nur im cloudbasierten Dienst verfügbar.

Verwenden Sie das Cmdlet Search-UnifiedAuditLog, um das einheitliche Überwachungsprotokoll zu suchen. Dieses Protokoll enthält Ereignisse von Exchange Online, SharePoint Online, OneDrive for Business, Azure Active Directory, Microsoft Teams, Power BI und anderen Microsoft 365-Diensten. Sie können nach allen Ereignissen in einem angegebenen Datumsbereich suchen oder die Ergebnisse basierend auf bestimmten Kriterien filtern, z. B. nach dem Benutzer, der die Aktion ausgeführt hat, der Aktion oder dem Zielobjekt.

Hinweis: Es empfiehlt sich, eine Verbindung mit Exchange Online PowerShell unter Verwendung des Exchange Online PowerShell V2-Moduls herzustellen. Anleitungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

Search-UnifiedAuditLog
      -EndDate <ExDateTime>
      -StartDate <ExDateTime>
      [-Formatted]
      [-FreeText <String>]
      [-IPAddresses <String[]>]
      [-ObjectIds <String[]>]
      [-Operations <String[]>]
      [-RecordType <AuditRecordType>]
      [-ResultSize <Int32>]
      [-SessionCommand <UnifiedAuditSessionCommand>]
      [-SessionId <String>]
      [-SiteIds <String[]>]
      [-UserIds <String[]>]
      [<CommonParameters>]

Beschreibung

Das Cmdlet Search-UnifiedAuditLog präsentiert Seiten von Daten basierend auf wiederholten Iterationen desselben Befehls. Verwenden Sie SessionId und SessionCommand, um das Cmdlet wiederholt auszuführen, bis Sie keine Ergebnisse erhalten oder die maximale Anzahl von Ergebnissen auf Grundlage des Sitzungsbefehls erreicht ist. Um den Fortschritt zu messen, sehen Sie sich die Eigenschaften ResultIndex (Treffer in der aktuellen Iteration) und ResultCount (Treffer für alle Iterationen) der vom Cmdlet zurückgegebenen Daten an.

Das Search-UnifiedAuditLog cmdlet ist in Exchange Online PowerShell verfügbar. Sie können Ereignisse auch im einheitlichen Überwachungsprotokoll anzeigen, indem Sie das Security & Compliance Center verwenden. Weitere Informationen finden Sie unter Überwachte Aktivitäten.

Wenn Sie Daten programmgesteuert aus dem Microsoft 365-Überwachungsprotokoll herunterladen möchten, wird empfohlen, die Microsoft 365-Verwaltungsaktivitäts-API anstelle des cmdlets Search-UnifiedAuditLog in einem PowerShell-Skript zu verwenden. Die Microsoft 365-Verwaltungsaktivitäts-API ist ein REST-Webdienst, den Sie zum Entwickeln von Betriebs-, Sicherheits- und Complianceüberwachungslösungen für Ihre Organisation verwenden können. Weitere Informationen finden Sie unter Management Activity API reference.

Dieses Cmdlet ist in Office 365 verfügbar, betrieben von 21Vianet, es gibt jedoch keine Ergebnisse zurück.

Der Parameter OutVariable akzeptiert Objekte vom Typ ArrayList. Hier ist ein Beispiel für die Verwendung:

$start = (Get-Date).AddDays(-1); $end = (Get-Date).AddDays(-0.5); $auditData = New-Object System.Collections.ArrayList; Search-UnifiedAuditLog -StartDate $start -EndDate $end -OutVariable +auditData | Out-Null

Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.

Beispiele

Beispiel 1

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/2/2018

In diesem Beispiel wird das einheitliche Überwachungsprotokoll nach allen Ereignissen vom 1. Mai 201812:00 Uhr bis zum 2. Mai 2018 12:00 Uhr durchsucht.

Hinweis: Wenn der Wert für die StartDate- oder EndDate-Parameter keinen Zeitstempel enthält, wird der standardmäßige Zeitstempel 00:00 Uhr (Mitternacht) verwendet.

Beispiel 2

Search-UnifiedAuditLog -StartDate "6/1/2018 8:00 AM" -EndDate "6/1/2018 6:00 PM" -RecordType ExchangeAdmin

In diesem Beispiel wird das einheitliche Überwachungsprotokoll nach allen Exchange-Administratorereignissen vom 1. Juni 2018 von 8:00 Uhr bis 18:00 Uhr durchsucht.

Hinweis Wenn Sie dasselbe Datum für die Parameter StartDate und EndDate verwenden, müssen Sie einen Zeitstempel angeben. Andernfalls werden keine Ergebnisse zurückgegeben, da Datum und Uhrzeit für das Start- und Enddatum identisch sind.

Beispiel 3

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/8/2018 -SessionId "UnifiedAuditLogSearch 05/08/17" -SessionCommand ReturnLargeSet

In diesem Beispiel wird das einheitliche Überwachungsprotokoll nach allen Ereignissen vom 1. Mai 2018 bis zum 8. Mai 2018 durchsucht. Wenn Sie keinen Zeitstempel in die Parameter StartDate oder EndDate angeben, werden die Daten in Seiten zurückgegeben, während der Befehl sequenziell erneut ausgeführt wird, während derselbe SessionId-Wert verwendet wird.

Hinweis: Verwenden Sie immer den gleichen SessionCommand-Wert für einen bestimmten SessionId-Wert. Wechseln Sie nicht zwischen ReturnLargeSet und ReturnNextPreviewPage für die gleiche Sitzungs-ID. Andernfalls ist die Ausgabe auf 10.000 Ergebnisse beschränkt.

Beispiel 4

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/8/2018 -RecordType SharePointFileOperation -Operations FileAccessed -SessionId "WordDocs_SharepointViews"-SessionCommand ReturnLargeSet

In diesem Beispiel wird das einheitliche Überwachungsprotokoll nach allen Dateien durchsucht, auf die in SharePoint Online vom 1. Mai 2018 bis zum 8. Mai 2018 zugegriffen wird. Die Daten werden auf Seiten zurückgegeben, wenn der Befehl sequenziell unter Verwendung desselben SessionId-Werts erneut ausgeführt wird.

Beispiel 5

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/8/2018 -ObjectIDs "https://alpinehouse.sharepoint.com/sites/contoso/Departments/SM/International/Shared Documents/Sales Invoice - International.docx"

In diesem Beispiel wird das einheitliche Überwachungsprotokoll vom 1. Mai 2018 bis zum 8. Mai 2018 nach allen Ereignissen im Zusammenhang mit einem bestimmten Word-Dokument durchsucht, das durch seinen ObjectIDs-Wert identifiziert wurde.

Parameter

-EndDate

Der EndDate-Parameter gibt das Enddatum des Datumsbereichs an. Einträge werden im einheitlichen Überwachungsprotokoll in koordinierter Weltzeit (Coordinated Universal Time, UTC) gespeichert. Wenn Sie einen Datums-/Uhrzeitwert ohne Zeitzone angeben, wird der Wert in UTC angegeben.

Verwenden Sie eine der folgenden Optionen, um einen Datum/Uhrzeit-Wert für diesen Parameter anzugeben:

  • Geben Sie den Wert für Datum/Uhrzeit in UTC an: Beispiel: "2018-05-06 14:30:00z" .
  • Geben Sie den Datums-/Uhrzeitwert als Formel an, mit der das Datum/die Uhrzeit in Ihrer lokalen Zeitzone in UTC konvertiert wird: Beispiel: (Get-Date "5/6/2018 9:30 AM").ToUniversalTime() . Weitere Informationen finden Sie unter Get-Date.

Wenn der Wert für diesen Parameter keinen Zeitstempel enthält, wird der standardmäßige Zeitstempel 00:00 Uhr (Mitternacht) für das angegebene Datum verwendet.

Type:ExDateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-Formatted

Die Formatted-Option bewirkt, dass die Attribute als ganze Zahlen zurückgegeben werden (z. B. RecordType und Operation), die als beschreibende Zeichenfolgen formatiert werden. Sie müssen keinen Wert für diese Option angeben.

Darüber hinaus macht diese Option AuditData lesbarer.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-FreeText

Der Parameter FreeText filtert die Protokolleinträge nach der angegebenen Textzeichenfolge. Wenn der Wert Leerzeichen enthält, müssen Sie ihn in Anführungszeichen (") setzen.

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-IPAddresses

Der IPAddresses-Parameter filtert die Protokolleinträge nach den angegebenen IP-Adressen. Mehrere IP-Adressen können durch Kommas getrennt angegeben werden.

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-ObjectIds

Der Parameter ObjectIds filtert die Protokolleinträge nach Objekt-ID. Die Objekt-ID ist das Zielobjekt, auf das reagiert wurde, und hängt von den RecordType- und Operations-Werten des Ereignisses ab. Bei SharePoint-Vorgängen ist die Objekt-ID beispielsweise der URL-Pfad zu einer Datei, einem Ordner oder einer Website. Bei Azure Active Directory-Vorgängen ist die Objekt-ID der Kontoname oder GUID-Wert des Kontos.

Der ObjectId-Wert wird in der AuditData-Eigenschaft (auch bekannt als Details) des Ereignisses angezeigt.

Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-Operations

Der Parameter Operations filtert die Protokolleinträge nach Vorgang. Die verfügbaren Werte für diesen Parameter sind vom Wert RecordType abhängig. Eine Liste der verfügbaren Werte für diesen Parameter finden Sie unter Audited activities.

Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-RecordType
            Der RecordType-Parameter filtert die Protokolleinträge nach Datensatztyp. Weitere Informationen zu den verfügbaren Werten finden Sie unter [AuditLogRecordType](https://docs.microsoft.com/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype).
Type:AuditRecordType
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-ResultSize

Der ResultSize-Parameter gibt die maximale Anzahl von zurückzugebenden Ergebnissen an. Der Standardwert ist 100, der Maximalwert ist 5.000.

Type:Int32
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-SessionCommand

Der SessionCommand-Parameter gibt an, wie viele Informationen zurückgegeben werden und wie sie organisiert sind. Gültige Werte sind:

  • ReturnLargeSet: Dieser Wert bewirkt, dass das Cmdlet unsortierte Daten zurück gibt. Durch Paging können Sie auf bis zu 50.000 Ergebnisse zugreifen. Dies ist der empfohlene Wert, wenn kein geordnetes Ergebnis erforderlich ist und für die Suchwartezeit optimiert wurde.
  • ReturnNextPreviewPage: Dieser Wert bewirkt, dass das Cmdlet daten sortiert nach Datum zurück gibt. Die maximale Anzahl von durch Paging oder den ResultSize-Parameter zurückgegebenen Datensätzen ist 5.000.

Hinweis: Verwenden Sie immer den gleichen SessionCommand-Wert für einen bestimmten SessionId-Wert. Wechseln Sie nicht zwischen ReturnLargeSet und ReturnNextPreviewPage für die gleiche Sitzungs-ID. Andernfalls ist die Ausgabe auf 10.000 Ergebnisse beschränkt.

Type:UnifiedAuditSessionCommand
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-SessionId

Der SessionId-Parameter gibt eine ID an, die Sie als Zeichenfolge bereitstellen, um einen Befehl (das Cmdlet und die zugehörigen Parameter) zu identifizieren, der mehrfach ausgeführt wird und seitennummerierte Daten zurückgibt. SessionId kann ein beliebiger von Ihnen ausgewählter Zeichenfolgenwert sein.

Wenn das Cmdlet sequenziell mit derselben Sitzungs-ID ausgeführt wird, gibt das Cmdlet die Daten in sequenziellen Blöcken der durch ResultSize angegebenen Größe zurück.

Wenn Sie für eine gegebene Sitzungs-ID den SessionCommand-Wert ReturnLargeSet und dann den SessionCommand-Wert ReturnNextPreviewPage verwenden, sind die Ergebnisse auf 10.000 Datensätze beschränkt. Damit alle 50.000 Datensätze zur Verfügung stehen, verwenden Sie immer den ReturnLargeSet-Wert, wenn Sie das Cmdlet für die gleiche Sitzungs-ID ausführen.

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-SiteIds

Der Parameter SiteIds filtert die Protokolleinträge nach der SharePoint-Website-URL.

Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".

Wenn die Website-URL einen Strich (-) enthält, entweichen Sie dem Strichzeichen mit einem anderen Strich. Verwenden Sie beispielsweise für die Website https://contoso.sharepoint.com/sites/hr-project den Wert "https://contoso.sharepoint.com/sites/hr--project" .

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-StartDate

Der StartDate-Parameter gibt das Startdatum und die Uhrzeit des Datumsbereichs an. Einträge werden im einheitlichen Überwachungsprotokoll in koordinierter Weltzeit (Coordinated Universal Time, UTC) gespeichert. Wenn Sie einen Datums-/Uhrzeitwert ohne Zeitzone angeben, wird der Wert in UTC angegeben.

Verwenden Sie eine der folgenden Optionen, um einen Datum/Uhrzeit-Wert für diesen Parameter anzugeben:

  • Geben Sie den Wert für Datum/Uhrzeit in UTC an: Beispiel: "2018-05-06 14:30:00z" .
  • Geben Sie den Datums-/Uhrzeitwert als Formel an, mit der das Datum/die Uhrzeit in Ihrer lokalen Zeitzone in UTC konvertiert wird: Beispiel: (Get-Date "5/6/2018 9:30 AM").ToUniversalTime() . Weitere Informationen finden Sie unter Get-Date.

Wenn der Wert für diesen Parameter keinen Zeitstempel enthält, wird der standardmäßige Zeitstempel 00:00 Uhr (Mitternacht) für das angegebene Datum verwendet.

Type:ExDateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-UserIds

Der UserIds-Parameter filtert die Protokolleinträge nach der ID des Benutzers, der die Aktion ausgeführt hat.

Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

Eingaben

Ausgaben