New-MailboxAuditLogSearch

Este cmdlet está disponible en Exchange local y en el servicio basado en la nube. Puede que algunos parámetros y opciones de configuración sean exclusivos de un entorno u otro.

Use el cmdlet New-MailboxAuditLogSearch para buscar registros de auditoría de buzones y para que se envíen los resultados de las búsquedas por correo electrónico a los destinatarios especificados.

Para obtener más información acerca de los conjuntos de parámetros de la sección Sintaxis a continuación, vea Sintaxis del cmdlet de Exchange.

Syntax

New-MailboxAuditLogSearch
   -EndDate <ExDateTime>
   -StartDate <ExDateTime>
   -StatusMailRecipients <MultiValuedProperty>
   [-Confirm]
   [-DomainController <Fqdn>]
   [-ExternalAccess <Boolean>]
   [-GroupMailbox]
   [-HasAttachments <Boolean>]
   [-LogonTypes <MultiValuedProperty>]
   [-Mailboxes <MultiValuedProperty>]
   [-Name <String>]
   [-Operations <MultiValuedProperty>]
   [-ShowDetails]
   [-WhatIf]
   [<CommonParameters>]

Description

El cmdlet New-MailboxAuditLogSearch realiza una búsqueda asincrónica de registros de auditoría de buzones en los buzones especificados y envía los resultados de la búsqueda por correo electrónico a los destinatarios especificados. El cuerpo del mensaje de correo electrónico contiene metadatos de la búsqueda, como los parámetros de búsqueda y el momento en el que se envió la solicitud de búsqueda. Los resultados se adjuntan en un archivo .xml.

Para buscar registros de auditoría de buzones de correo para un único buzón y mostrar los resultados en la ventana Shell de administración de Exchange, use el cmdlet Search-MailboxAuditLog en su lugar. Para más información sobre el registro de auditoría de buzones de correo, consulte Registro de auditoría de buzones en Exchange Server.

Deberá tener asignados permisos antes de poder ejecutar este cmdlet. Aunque en este tema se enumeran todos los parámetros correspondientes a este cmdlet, tal vez no tenga acceso a algunos parámetros si no están incluidos en los permisos que se le han asignado. Para obtener los permisos necesarios para ejecutar cualquier cmdlet o parámetro en su organización, consulte Find the permissions required to run any Exchange cmdlet.

Ejemplos

Ejemplo 1

New-MailboxAuditLogSearch "Admin and Delegate Access" -Mailboxes "Ken Kwok","April Stewart" -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -StatusMailRecipients auditors@contoso.com

En este ejemplo se crea una búsqueda de registros de auditoría de buzones para buscar en los buzones de Ken Kwok y April Stewart inicios de sesión de administrador y delegado del 1/1/2018 al 12/31/2018. Los resultados de la búsqueda se envían por auditors@contoso.com correo electrónico.

Ejemplo 2

New-MailboxAuditLogSearch -ExternalAccess $true -StartDate 09/01/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.com

En este ejemplo se devuelven entradas de los registros de auditoría de buzón de todos los usuarios de la organización para cualquier acceso de buzón por parte de Microsoft administradores del centro de datos entre el 1 de septiembre de 2018 y el 24 de octubre de 2018. Los resultados de la búsqueda se envían a admin@contoso.com.

Parámetros

-Confirm

El modificador Confirm especifica si se debe mostrar u ocultar el mensaje de confirmación. Cómo afecta este modificador el cmdlet depende de si el cmdlet requiere confirmación antes de continuar.

  • Los cmdlets destructivos (por ejemplo, cmdlets Remove-*) tienen una pausa integrada que obliga a confirmar el comando antes de continuar. Para estos cmdlets, puede omitir el mensaje de confirmación mediante esta sintaxis exacta: -Confirm:$false.
  • La mayoría de los demás cmdlets (por ejemplo, los cmdlets New-* y Set-*) no tienen una pausa integrada. En estos cmdlets, si se especifica el modificador Confirm sin ningún valor, se introduce una pausa que obliga a confirmar el comando antes de continuar.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-DomainController

Este parámetro solo está disponible en Exchange local.

El parámetro DomainController especifica el controlador de dominio que el cmdlet usa para leer datos de Active Directory o escribirlos. El controlador de dominio se identifica por su nombre de dominio completo (FQDN). Por ejemplo, dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

El parámetro EndDate especifica la fecha de finalización del intervalo de fechas.

Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta mm/dd/yyyy, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ExternalAccess

El parámetro ExternalAccess especifica si se deben devolver solo entradas de registro de auditoría para el acceso al buzón por parte de los usuarios que están fuera de la organización. En Exchange Online, este parámetro devuelve entradas de registro de auditoría para el acceso al buzón por parte de Microsoft administradores del centro de datos. Los valores admitidos son:

$true: se devuelven las entradas de registro de auditoría para el acceso al buzón por parte de usuarios externos o administradores de Microsoft centro de datos.

$false: se omiten las entradas de registro de auditoría para el acceso al buzón por parte de usuarios externos o administradores de Microsoft centro de datos. Este es el valor predeterminado.

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-GroupMailbox

Este parámetro solo está disponible en el servicio basado en la nube.

El modificador GroupMailbox es necesario para incluir Grupos de Microsoft 365 en la búsqueda. No es necesario especificar un valor con este modificador.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-HasAttachments

El parámetro HasAttachments filtra la búsqueda por mensajes con datos adjuntos. Los valores admitidos son:

  • $true: en la búsqueda solo se incluyen mensajes con datos adjuntos.
  • $false: los mensajes con y sin datos adjuntos se incluyen en la búsqueda.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2016, Exchange Server 2019, Exchange Online

-LogonTypes

El parámetro LogonTypes especifica el tipo de inicio de sesión. Los valores admitidos son:

  • Administración: se devuelven las entradas de registro de auditoría para el acceso al buzón por parte de los inicios de sesión de administrador.
  • Admin: se devuelven las entradas del registro de auditoría correspondientes a los accesos a buzones realizados con inicios de sesión de administradores.
  • Externo: para los buzones de Exchange Online, se devuelven las entradas de registro de auditoría para el acceso al buzón por parte de Microsoft administradores del centro de datos.
  • Propietario: se devuelven las entradas de registro de auditoría para el acceso al buzón por parte del propietario del buzón principal. Este valor requiere el modificador ShowDetails.

Update

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Mailboxes

El parámetro Mailboxes especifica el buzón del que se van a recuperar las entradas del registro de auditoría de buzones.

Update Si los valores contienen espacios o necesitan comillas, use la siguiente sintaxis: "Value1","Value2",..."ValueN".

Si no especifica un valor, se devuelven los registros de auditoría de buzón para todos los buzones de la organización.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Name

El parámetro Name especifica un nombre para la búsqueda. La longitud máxima es de 64 caracteres. Si el valor contiene espacios, escríbalo entre comillas (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Operations

Los filtros del parámetro Operations filtran los resultados de búsqueda por las operaciones que se registran en el registro de auditoría de buzones. Los valores admitidos son:

  • Copiar
  • Crear
  • FolderBind
  • HardDelete
  • MailboxLogin
  • MessageBind
  • Mover
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Actualizar

Update

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ShowDetails

El modificador ShowDetails especifica que se recuperan los detalles de cada entrada de registro. No es necesario especificar un valor con este modificador.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-StartDate

El parámetro StartDate especifica la fecha de inicio del intervalo de fechas.

Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta mm/dd/yyyy, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-StatusMailRecipients

El parámetro StatusMailRecipients especifica la dirección de correo electrónico donde se envían los resultados de la búsqueda. Puede especificar distintos valores separados por comas.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-WhatIf

El modificador WhatIf simula las acciones del comando. Puede usar este modificador para ver los cambios que se producirían, pero sin aplicar los cambios. No es necesario especificar un valor con este modificador.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Entradas

Input types

Para ver los tipos de entrada que acepta este cmdlet, consulte Tipos de entrada y salida de cmdlet. Si el campo Tipo de entrada de un cmdlet está en blanco, el cmdlet no acepta datos de entrada.

Salidas

Output types

Para ver los tipos de valor devuelto (también conocidos como tipos de resultado) que acepta este cmdlet, consulte Tipos de entrada y salida de cmdlet. Si el campo Tipo de resultado está en blanco, el cmdlet no devuelve datos.