New-MailboxAuditLogSearch

Este cmdlet está disponible en Exchange local y en el servicio basado en la nube. Puede que algunos parámetros y opciones de configuración sean exclusivos de un entorno u otro.

Use el cmdlet New-MailboxAuditLogSearch para buscar registros de auditoría de buzones y para que se envíen los resultados de las búsquedas por correo electrónico a los destinatarios especificados.

Para obtener más información acerca de los conjuntos de parámetros de la sección Sintaxis a continuación, vea Sintaxis del cmdlet de Exchange.

Syntax

New-MailboxAuditLogSearch
   -EndDate <ExDateTime>
   -StartDate <ExDateTime>
   -StatusMailRecipients <MultiValuedProperty>
   [-Confirm]
   [-DomainController <Fqdn>]
   [-ExternalAccess <Boolean>]
   [-GroupMailbox]
   [-HasAttachments <Boolean>]
   [-LogonTypes <MultiValuedProperty>]
   [-Mailboxes <MultiValuedProperty>]
   [-Name <String>]
   [-Operations <MultiValuedProperty>]
   [-ShowDetails]
   [-WhatIf]
   [<CommonParameters>]

Description

El cmdlet New-MailboxAuditLogSearch realiza una búsqueda asincrónica de registros de auditoría de buzones en los buzones especificados y envía los resultados de la búsqueda por correo electrónico a los destinatarios especificados. El cuerpo del mensaje de correo electrónico contiene metadatos de la búsqueda, como los parámetros de búsqueda y el momento en el que se envió la solicitud de búsqueda. Los resultados se adjuntan en un archivo .xml.

Para buscar los registros de auditoría de buzones de correo de un único buzón y mostrar los resultados en la ventana shell de administración de Exchange, use el cmdlet Search-MailboxAuditLog en su lugar. Para obtener más información acerca del registro de auditoría de buzones de correo, consulte registro de auditoría de buzones en Exchange Server.

Deberá tener asignados permisos antes de poder ejecutar este cmdlet. Aunque en este tema se enumeran todos los parámetros correspondientes a este cmdlet, tal vez no tenga acceso a algunos parámetros si no están incluidos en los permisos que se le han asignado. Para obtener los permisos necesarios para ejecutar cualquier cmdlet o parámetro en su organización, consulte Find the permissions required to run any Exchange cmdlet.

Ejemplos

Ejemplo 1

New-MailboxAuditLogSearch "Admin and Delegate Access" -Mailboxes "Ken Kwok","April Stewart" -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -StatusMailRecipients auditors@contoso.com

En este ejemplo se crea una búsqueda de registro de auditoría de buzones para buscar Ken Kwok y los buzones de April Stewart para los inicios de sesión de administrador y delegado de 1/1/2018 a 12/31/2018. Los resultados de la búsqueda se envían por correo electrónico a auditors@contoso.com.

Ejemplo 2

New-MailboxAuditLogSearch -ExternalAccess $true -StartDate 09/01/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.com

En este ejemplo se devuelven las entradas de los registros de auditoría de buzones de todos los usuarios de la organización para el acceso a buzones por parte de los administradores del centro de usuarios de Microsoft entre el 1 y el 2018 de octubre de 2018. Los resultados de la búsqueda se envían a admin@contoso.com.

Parámetros

-Buzones de correo

El parámetro mailboxes especifica el buzón desde el que se recuperan las entradas del registro de auditoría de buzones.

Update Si los valores contienen espacios o requieren comillas, use la siguiente sintaxis: "Value1","Value2",..."ValueN" .

Si no especifica un valor, se devuelven los registros de auditoría de buzón de correo de todos los buzones de la organización.

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-Confirm

El modificador Confirm especifica si se debe mostrar u ocultar el mensaje de confirmación. Cómo afecta este modificador el cmdlet depende de si el cmdlet requiere confirmación antes de continuar.

  • Los cmdlets destructivos (por ejemplo, los cmdlets Remove-*) tienen una pausa integrada que obliga a confirmar el comando antes de continuar. Para estos cmdlets, puede omitir la solicitud de confirmación con esta sintaxis exacta: -Confirm:$false .
  • La mayoría de los otros cmdlets (por ejemplo, New-* y Set-*) no tienen una pausa integrada. En estos cmdlets, si se especifica el modificador Confirm sin ningún valor, se introduce una pausa que obliga a confirmar el comando antes de continuar.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-DomainController

Este parámetro solo está disponible en Exchange local.

El parámetro DomainController especifica el controlador de dominio que el cmdlet usa para leer datos de Active Directory o escribirlos. El controlador de dominio se identifica por su nombre de dominio completo (FQDN). Por ejemplo, dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019
-EndDate

El parámetro EndDate especifica la fecha de finalización del intervalo de fechas.

Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta mm/dd/yyyy, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".

Type:ExDateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-ExternalAccess

El parámetro ExternalAccess especifica si se devuelven solo las entradas del registro de auditoría para el acceso a buzones por parte de usuarios que están fuera de la organización. En Exchange Online, este parámetro devuelve entradas del registro de auditoría para el acceso al buzón por parte de los administradores del centro de administración de correo de Microsoft. Los valores válidos son:

$true: se devuelven las entradas del registro de auditoría para el acceso a buzones por parte de usuarios externos o administradores del centro de administración de Microsoft.

$false: se pasan por alto las entradas del registro de auditoría para el acceso al buzón de los usuarios externos o los administradores del centro de administración de Microsoft. Este es el valor predeterminado.

Type:Boolean
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-GroupMailbox

Este parámetro solo está disponible en el servicio basado en la nube.

El modificador GroupMailbox es necesario para incluir grupos de Microsoft 365 en la búsqueda. No es necesario especificar un valor con este modificador.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-HasAttachments

El parámetro HasAttachments filtra la búsqueda por mensajes con datos adjuntos. Los valores válidos son:

  • $true: solo se incluyen en la búsqueda los mensajes con datos adjuntos.
  • $false: en la búsqueda se incluyen mensajes con datos adjuntos y sin ellos.
Type:Boolean
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2016, Exchange Server 2019, Exchange Online
-LogonTypes

El parámetro LogonTypes especifica el tipo de inicio de sesión. Los valores válidos son:

  • Admin: se devuelven las entradas del registro de auditoría para el acceso de buzones por parte del administrador.
  • Admin: se devuelven las entradas del registro de auditoría correspondientes a los accesos a buzones realizados con inicios de sesión de administradores.
  • External: para buzones de Exchange Online, se devuelven las entradas del registro de auditoría para el acceso al buzón por parte de los administradores del centro de administración de correo de Microsoft.
  • Owner: se devuelven las entradas del registro de auditoría para el acceso al buzón por el propietario del buzón principal. Este valor requiere el modificador ShowDetails

Update

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-Name

El parámetro Name especifica un nombre para la búsqueda. La longitud máxima es de 64 caracteres. Si el valor contiene espacios, escríbalo entre comillas (").

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-Operaciones

Los filtros del parámetro Operations filtran los resultados de búsqueda por las operaciones que se registran en el registro de auditoría de buzones. Los valores válidos son:

  • Copiar
  • Crear
  • FolderBind
  • HardDelete
  • MailboxLogin
  • MessageBind
  • Mover
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Update

Update

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-ShowDetails

El modificador ShowDetails especifica que se recuperan los detalles de cada entrada de registro. No es necesario especificar un valor con este modificador.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-StartDate

El parámetro StartDate especifica la fecha de inicio del intervalo de fechas.

Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta mm/dd/yyyy, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".

Type:ExDateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-StatusMailRecipients

El parámetro StatusMailRecipients especifica la dirección de correo electrónico a la que se envían los resultados de la búsqueda. Puede especificar distintos valores separados por comas.

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-WhatIf

El modificador WhatIf simula las acciones del comando. Puede usar este modificador para ver los cambios que se producirían, pero sin aplicar los cambios. No es necesario especificar un valor con este modificador.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Entradas

Para ver los tipos de entrada que acepta este cmdlet, consulte Tipos de entrada y salida de cmdlet. Si el campo Tipo de entrada de un cmdlet está en blanco, el cmdlet no acepta datos de entrada.

Salidas

Para ver los tipos de valor devuelto (también conocidos como tipos de resultado) que acepta este cmdlet, consulte Tipos de entrada y salida de cmdlet. Si el campo Tipo de resultado está en blanco, el cmdlet no devuelve datos.