Search-MailboxAuditLog
Este cmdlet está disponible en Exchange local y en el servicio basado en la nube. Puede que algunos parámetros y opciones de configuración sean exclusivos de un entorno u otro.
Use el cmdlet Search-MailboxAuditLog para buscar las entradas de registro de auditoría de buzones que coincidan con los términos de búsqueda especificados.
Para obtener más información acerca de los conjuntos de parámetros de la sección Sintaxis a continuación, vea Sintaxis del cmdlet de Exchange.
Syntax
Search-MailboxAuditLog
[[-Identity] <MailboxIdParameter>]
[-ShowDetails]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] Search-MailboxAuditLog
[-Mailboxes <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] Description
El cmdlet Search-MailboxAuditLog realiza una búsqueda sincrónica de registros de auditoría de buzones para uno o varios buzones especificados y muestra los resultados de búsqueda en la ventana Del Shell de administración de Exchange. Para buscar los registros de auditoría de buzones para varios buzones y enviar los resultados por correo electrónico a los destinatarios especificados, use en su lugar el cmdlet New-MailboxAuditLogSearch. Para más información sobre el registro de auditoría de buzones de correo, consulte Registro de auditoría de buzones en Exchange Server.
En entornos multigeográficos, al ejecutar este cmdlet en una región diferente del buzón de correo en el que intenta buscar, es posible que reciba el error "Error al intentar acceder al registro de auditoría". En este escenario, debe delimitar la sesión de PowerShell a un usuario de la misma región que el buzón, tal como se describe en Conexión directa a una ubicación geográfica mediante Exchange Online PowerShell.
Deberá tener asignados permisos antes de poder ejecutar este cmdlet. Aunque en este tema se enumeran todos los parámetros correspondientes a este cmdlet, tal vez no tenga acceso a algunos parámetros si no están incluidos en los permisos que se le han asignado. Para obtener los permisos necesarios para ejecutar cualquier cmdlet o parámetro en su organización, consulte Find the permissions required to run any Exchange cmdlet.
Ejemplos
Ejemplo 1
Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000En este ejemplo se recuperan las entradas de registro de auditoría de buzón de correo del buzón de Ken Kwok para las acciones realizadas por los tipos de inicio de sesión Administración y Delegado entre el 1/1/2018 y el 12/31/2018. Se devuelven 2.000 entradas de registro como máximo.
Ejemplo 2
Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000En este ejemplo se recuperan entradas de registro de auditoría de buzones para los buzones de Ken Kwok y Ben Smith para las acciones realizadas por Administración y delegar tipos de inicio de sesión entre el 1/1/2018 y el 12/31/2018. Se devuelven 2.000 entradas de registro como máximo.
Ejemplo 3
Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}En este ejemplo se recuperan las entradas de registro de auditoría del buzón de correo del buzón de Ken Kwok para las acciones realizadas por el propietario del buzón entre el 1/1/2017 y el 3/1/2017. Los resultados se canalizan al cmdlet Where-Object y se filtran para que solo se devuelvan las entradas con la acción HardDelete.
Parámetros
-DomainController
Este parámetro solo está disponible en Exchange local.
El parámetro DomainController especifica el controlador de dominio que el cmdlet usa para leer datos de Active Directory o escribirlos. El controlador de dominio se identifica por su nombre de dominio completo (FQDN). Por ejemplo, dc01.contoso.com.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
El parámetro EndDate especifica la fecha de finalización del intervalo de fechas.
Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta mm/dd/yyyy, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ExternalAccess
El parámetro ExternalAccess especifica si se deben devolver solo entradas de registro de auditoría para el acceso al buzón por parte de los usuarios que están fuera de la organización. En Exchange Online, este parámetro devuelve entradas de registro de auditoría para el acceso de buzón por parte de los administradores del centro de datos de Microsoft. Los valores admitidos son:
$true: se devuelven las entradas de registro de auditoría para el acceso al buzón por parte de usuarios externos o administradores del centro de datos de Microsoft.
$false: se omiten las entradas de registro de auditoría para el acceso al buzón por parte de usuarios externos o administradores del centro de datos de Microsoft. Este es el valor predeterminado.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-GroupMailbox
Este parámetro solo está disponible en el servicio basado en la nube.
El modificador GroupMailbox es necesario para incluir Grupos de Microsoft 365 en la búsqueda. No es necesario especificar un valor con este modificador.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online |
-HasAttachments
El parámetro HasAttachments filtra la búsqueda por mensajes con datos adjuntos. Los valores admitidos son:
- $true: en la búsqueda solo se incluyen mensajes con datos adjuntos.
- $false: los mensajes con y sin datos adjuntos se incluyen en la búsqueda.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Identity
El parámetro Identity especifica un único buzón de correo desde el que recuperar entradas de registro de auditoría de buzones. Es posible usar cualquier valor que identifique exclusivamente el buzón. Por ejemplo:
- Nombre
- Alias
- Nombre distintivo (DN)
- Nombre completo (DN)
- Dominio\Nombre de usuario
- Dirección de correo electrónico
- GUID
- LegacyExchangeDN
- SamAccountName
- ID de usuario o nombre de la entidad de seguridad de usuario (UPN)
| Type: | MailboxIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-LogonTypes
El parámetro LogonTypes especifica el tipo de inicio de sesión. Los valores admitidos son:
- Administración: se devuelven las entradas de registro de auditoría para el acceso al buzón por parte de los inicios de sesión de administrador.
- Admin: se devuelven las entradas del registro de auditoría correspondientes a los accesos a buzones realizados con inicios de sesión de administradores.
- Propietario: se devuelven las entradas de registro de auditoría para el acceso al buzón por parte del propietario del buzón principal. Este valor requiere el modificador ShowDetails.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Mailboxes
El parámetro Mailboxes especifica los buzones de correo desde los que se recuperarán las entradas de registro de auditoría de buzones. Puede usar este parámetro para buscar registros de auditoría para varios buzones.
Escriba varios buzones separados por comas. Si los valores contienen espacios o necesitan comillas, use la siguiente sintaxis: "Value1","Value2",..."ValueN".
No se puede usar este parámetro con el modificador ShowDetails.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Operations
El parámetro Operations filtra los resultados de la búsqueda por las acciones de buzón que registra el registro de auditoría del buzón. Los valores admitidos son:
- AddFolderPermissions (Solo Exchange 2019 y Exchange Online. Aunque se acepta este valor, ya está incluido en la acción UpdateFolderPermissions y no se audita por separado).
- ApplyRecord (solo Exchange Online)
- Copiar
- Crear
- Valor predeterminado (solo Exchange Online)
- FolderBind
- HardDelete
- MailboxLogin
- MailItemsAccessed (solo Exchange Online y solo para los usuarios de la suscripción de complemento de cumplimiento E5 o E5).
- MessageBind (aunque se acepta este valor, estas acciones ya no se registran).
- ModifyFolderPermissions (Solo Exchange 2019 y Exchange Online. Aunque se acepta este valor, ya está incluido en la acción UpdateFolderPermissions y no se audita por separado).
- Mover
- MoveToDeletedItems
- RecordDelete (solo Exchange Online)
- RemoveFolderPermissions (Solo Exchange 2019 y Exchange Online. Aunque se acepta este valor, ya está incluido en la acción UpdateFolderPermissions y no se audita por separado).
- SendAs
- SendOnBehalf
- SoftDelete
- Actualizar
- UpdateCalendarDelegation (solo Exchange 2019 y Exchange Online)
- UpdateComplianceTag (solo Exchange Online)
- UpdateFolderPermissions (solo Exchange 2019 y Exchange Online)
- UpdateInboxRules (solo Exchange 2019 y Exchange Online)
Update
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ResultSize
El parámetro ResultSize especifica el número máximo de entradas de registro de auditoría de buzones que se devolverá. Los valores válidos incluyen un número entero comprendido entre 1 y 250.000. De forma predeterminada, se devolverán 1000 entradas.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ShowDetails
El modificador ShowDetails recupera los detalles de cada entrada de registro del buzón. No es necesario especificar un valor con este modificador.
De forma predeterminada, todos los campos de cada entrada de registro que se devuelve se muestran en una vista de lista.
No se puede usar este modificador con el parámetro Mailboxes.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-StartDate
El parámetro StartDate especifica la fecha de inicio del intervalo de fechas.
Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta mm/dd/yyyy, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
Entradas
Input types
Para ver los tipos de entrada que acepta este cmdlet, consulte Tipos de entrada y salida de cmdlet. Si el campo Tipo de entrada de un cmdlet está en blanco, el cmdlet no acepta datos de entrada.
Salidas
Output types
Para ver los tipos de valor devuelto (también conocidos como tipos de resultado) que acepta este cmdlet, consulte Tipos de entrada y salida de cmdlet. Si el campo Tipo de resultado está en blanco, el cmdlet no devuelve datos.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de