Search-AdminAuditLog
Cette cmdlet est disponible dans Exchange sur site et dans le service cloud. Certains paramètres peuvent être propres à un environnement ou à un autre.
Utilisez la cmdlet Search-AdminAuditLog pour rechercher le contenu du journal d’audit de l’administrateur. Les enregistrements de journalisation d’audit de l’administrateur lorsqu’un utilisateur ou un administrateur apporte une modification à votre organization (dans le Centre d’administration Exchange ou à l’aide d’applets de commande).
Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.
Syntax
Search-AdminAuditLog
[-Cmdlets <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-IsSuccess <Boolean>]
[-ObjectIds <MultiValuedProperty>]
[-Parameters <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[-StartIndex <Int32>]
[-UserIds <MultiValuedProperty>]
[<CommonParameters>] Description
Si vous exécutez la cmdlet Search-AdminAuditLog sans aucun paramètre, 1 000 entrées du journal peuvent être renvoyées par défaut.
Dans Exchange Online PowerShell, si vous n’utilisez pas les paramètres StartDate ou EndDate, seuls les résultats des 14 derniers jours sont retournés.
Dans Exchange Online PowerShell, les données sont disponibles pour les 90 derniers jours. Vous pouvez entrer des dates antérieures à 90 jours, mais seules les données des 90 derniers jours seront retournées.
Pour plus d’informations sur la structure et les propriétés du journal d’audit, consultez Structure du journal d’audit administrateur.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations requises pour exécuter une cmdlet ou un paramètre dans votre organisation, voir Find the permissions required to run any Exchange cmdlet.
Exemples
Exemple 1
Search-AdminAuditLog -Cmdlets New-RoleGroup,New-ManagementRoleAssignmentCet exemple recherche toutes les entrées dans le journal d’audit de l’administrateur qui contiennent la cmdlet New-RoleGroup ou la cmdlet New-ManagementRoleAssignment.
Exemple 2
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults,ProhibitSendReceiveQuota,ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -IsSuccess $trueCet exemple recherche toutes les entrées dans le journal d’audit de l’administrateur qui répondent aux critères suivants :
- Applets de commande : Set-Mailbox
- Paramètres : UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
- StartDate: 24/01/2018
- Date de fin : 12/02/2018
La commande a été exécutée comme il se doit
Exemple 3
$LogEntries = Search-AdminAuditLog -Cmdlets Write-AdminAuditLog
$LogEntries | ForEach { $_.CmdletParameters }Cet exemple affiche tous les commentaires inscrits dans le journal d’audit de l’administrateur par la cmdlet Write-AdminAuditLog.
Tout d’abord, stockez les entrées du journal d’audit dans une variable temporaire. Ensuite, effectuez une itération dans toutes les entrées du journal d’audit retournées et affichez la propriété Parameters.
Exemple 4
Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2018 -EndDate 10/02/2018Cet exemple retourne des entrées dans le journal d’audit administrateur d’un Exchange Online organization pour les applets de commande exécutées par les administrateurs de centre de données Microsoft entre le 17 septembre 2018 et le 2 octobre 2018.
Paramètres
-Cmdlets
Le paramètre Cmdlets filtre les résultats en fonction des applets de commande utilisées. Vous pouvez spécifier plusieurs applets de commande séparées par des virgules.
Dans les résultats de cette applet de commande, cette propriété est nommée CmdletName.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-DomainController
Ce paramètre est disponible uniquement dans Exchange sur site.
Le paramètre DomainController spécifie le contrôleur de domaine qui est utilisé par cette cmdlet pour lire ou écrire les données dans Active Directory. Vous identifiez le contrôleur de domaine par son nom de domaine complet (FQDN). Par exemple : « dc01.contoso.com ».
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
Le paramètre EndDate indique la fin de la plage de dates définies.
Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".
Dans le service cloud, si vous spécifiez une valeur de date/heure sans fuseau horaire, la valeur est en temps universel coordonné (UTC). Pour spécifier une valeur date/heure pour ce paramètre, utilisez l’une des options suivantes :
- Spécifiez la valeur de date/heure utc : par exemple, « 2021-05-06 14:30:00z ».
- Spécifiez la valeur de date/heure en tant que formule qui convertit la date/heure de votre fuseau horaire local au format UTC : par exemple,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Pour plus d’informations, consultez Get-Date.
Dans les résultats de cette applet de commande, la date/heure à laquelle la modification a été apportée (l’applet de commande a été exécutée) est retournée dans la propriété nommée RunDate.
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ExternalAccess
Le paramètre ExternalAccess filtre les résultats en fonction des modifications apportées (applets de commande exécutées) par des utilisateurs en dehors de votre organization. Les valeurs valides sont les suivantes :
- $true : retourne uniquement les entrées du journal d’audit pour lesquelles la modification a été effectuée par un utilisateur externe. Dans Exchange Online, utilisez la valeur pour retourner les entrées du journal d’audit pour les modifications apportées par les administrateurs du centre de données Microsoft.
- $false : retourne uniquement les entrées du journal d’audit pour lesquelles la modification a été apportée par un utilisateur interne.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-IsSuccess
Le paramètre IsSuccess filtre les résultats selon que les modifications ont réussi. Les valeurs valides sont les suivantes :
- $true : retourne uniquement les entrées du journal d’audit pour lesquelles la modification a réussi (en d’autres termes, l’applet de commande s’est exécutée avec succès).
- $false : retourne uniquement les entrées du journal d’audit pour lesquelles la modification n’a pas réussi (en d’autres termes, l’applet de commande n’a pas été exécutée correctement et a entraîné une erreur).
Dans les résultats de cette applet de commande, cette propriété est nommée Succeeded.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ObjectIds
Le paramètre ObjectIds filtre les résultats en fonction de l’objet modifié (la boîte aux lettres, le dossier public, le connecteur d’envoi, la règle de transport, le domaine accepté, etc. sur lequel l’applet de commande a fonctionné). Une valeur valide dépend de la façon dont l’objet est représenté dans le journal d’audit. Par exemple :
- Nom
- Nom unique canonique (par exemple, contoso.com/Users/Akia Al-Zuhairi)
- Identité de dossier public (par exemple, \Engineering\Customer Discussion)
Vous devrez probablement utiliser d’autres paramètres de filtrage sur cette applet de commande pour affiner les résultats et identifier les types d’objets qui vous intéressent. Dans les résultats de cette applet de commande, cette propriété est nommée ObjectModified.
Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-Parameters
Le paramètre Parameters filtre les résultats en fonction des paramètres utilisés. Vous ne pouvez utiliser ce paramètre qu’avec le paramètre Cmdlets (vous ne pouvez pas l’utiliser seul). Vous pouvez spécifier plusieurs paramètres séparés par des virgules.
Dans les résultats de cette applet de commande, cette propriété est nommée CmdletParameters
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ResultSize
Le paramètre ResultSize spécifie le nombre maximal de résultats à renvoyer. La valeur par défaut est 1000.
Le nombre maximal de résultats à retourner est de 250 000.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-StartDate
Le paramètre StartDate indique le début de la plage de dates définies.
Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".
Dans le service cloud, si vous spécifiez une valeur de date/heure sans fuseau horaire, la valeur est en temps universel coordonné (UTC). Pour spécifier une valeur date/heure pour ce paramètre, utilisez l’une des options suivantes :
- Spécifiez la valeur de date/heure utc : par exemple, « 2021-05-06 14:30:00z ».
- Spécifiez la valeur de date/heure en tant que formule qui convertit la date/heure de votre fuseau horaire local au format UTC : par exemple,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Pour plus d’informations, consultez Get-Date.
Dans les résultats de cette applet de commande, la date/heure à laquelle la modification a été apportée (l’applet de commande a été exécutée) est retournée dans la propriété nommée RunDate.
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-StartIndex
Le paramètre StartIndex permet de spécifier la position du jeu de résultats où l’affichage dans le jeu de résultats commence.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-UserIds
Le paramètre UserIds filtre les résultats par l’utilisateur qui a effectué la modification (qui a exécuté l’applet de commande).
Une valeur classique pour ce paramètre est le nom d’utilisateur principal (UPN, par exemple, helpdesk@contoso.com). Toutefois, les mises à jour effectuées par des comptes système sans adresse de messagerie peuvent utiliser la syntaxe Domaine\Nom d’utilisateur (par exemple, NT AUTHORITY\SYSTEM (MSExchangeHMHost)).
Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "User1","User2",..."UserN".
Dans les résultats de cette applet de commande, cette propriété est nommée Appelant
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
Entrées
Input types
Pour visualiser les types d'entrées acceptés par cette cmdlet, consultez la rubrique Types d'entrée et de sortie de la cmdlet d'Exchange Management Shell. Si le champ Type d'entrée pour une cmdlet est vide, la cmdlet n'accepte pas les données d'entrée.
Sorties
Output types
Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d'entrée et de sortie de la cmdlet d'Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour