Search-UnifiedAuditLog

Cette cmdlet est disponible uniquement dans le service cloud.

Utilisez la cmdlet Search-UnifiedAuditLog pour rechercher le journal d’audit unifié. Ce journal contient des événements provenant de Exchange Online, SharePoint Online, OneDrive Entreprise, Azure Active Directory, Microsoft Teams, Power BI et d’autres services Microsoft 365 web. Vous pouvez rechercher tous les événements d’une plage de dates spécifiée ou filtrer les résultats en fonction de critères spécifiques, tels que l’utilisateur qui a effectué l’action, l’action ou l’objet cible.

Remarque : nous vous recommandons d’utiliser le module Exchange Online PowerShell v2 pour vous connecter à Exchange Online PowerShell. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Connexion à Exchange Online PowerShell.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntax

Search-UnifiedAuditLog
      -EndDate <ExDateTime>
      -StartDate <ExDateTime>
      [-Formatted]
      [-FreeText <String>]
      [-IPAddresses <String[]>]
      [-ObjectIds <String[]>]
      [-Operations <String[]>]
      [-RecordType <AuditRecordType>]
      [-ResultSize <Int32>]
      [-SessionCommand <UnifiedAuditSessionCommand>]
      [-SessionId <String>]
      [-SiteIds <String[]>]
      [-UserIds <String[]>]
      [<CommonParameters>]

Description

La cmdlet Search-UnifiedAuditLog présente des pages de données basées sur des itérations répétées de la même commande. Utilisez SessionId et SessionCommand pour exécuter à plusieurs reprises la cmdlet jusqu’à obtenir un résultat nul ou atteindre le nombre maximal de résultats en fonction de la commande de session. Pour évaluer la progression, regardez les propriétés ResultIndex (occurrences dans l’itération actuelle) et ResultCount (accès pour toutes les itérations) des données renvoyées par l’cmdlet.

LSearch-UnifiedAuditLog cmdlet est disponible dans Exchange Online PowerShell. Vous pouvez également afficher les événements à partir du journal d’audit unifié à l’aide du centre Microsoft 365 conformité. Pour plus d’informations, voir Activités auditées.

Si vous souhaitez télécharger par programme des données à partir du journal d’audit Microsoft 365, nous vous recommandons d’utiliser l’API activité de gestion Microsoft 365 au lieu d’utiliser l’cmdlet Search-UnifiedAuditLog dans un script PowerShell. L Microsoft 365 API Activité de gestion des applications est un service web REST que vous pouvez utiliser pour développer des solutions d’analyse des opérations, de la sécurité et de la conformité pour votre organisation. Pour plus d’informations, consultez la référence de l’API Activité de gestion.

Cette cmdlet est disponible dans Office 365 géré par 21Vianet, mais elle ne retourne aucun résultat.

Le paramètre OutVariable accepte les objets de type ArrayList. Voici un exemple d’utilisation :

$start = (Get-Date).AddDays(-1); $end = (Get-Date).AddDays(-0.5); $auditData = New-Object System.Collections.ArrayList; Search-UnifiedAuditLog -StartDate $start -EndDate $end -OutVariable +auditData | Out-Null

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations requises pour exécuter une cmdlet ou un paramètre dans votre organisation, voir Find the permissions required to run any Exchange cmdlet.

Exemples

Exemple 1

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/2/2018

Cet exemple recherche dans le journal d’audit unifié tous les événements du 1er mai 201812:00 au 2 mai 2018 12:00.

Remarque : si vous n’incluez pas d’horodatage dans la valeur pour les paramètres StartDate ou EndDate, l’horodatage par défaut 00:00 (minuit) est utilisé.

Exemple 2

Search-UnifiedAuditLog -StartDate "6/1/2018 8:00 AM" -EndDate "6/1/2018 6:00 PM" -RecordType ExchangeAdmin

Cet exemple recherche dans le journal d’audit unifié tous les événements d’administrateur Exchange de 8 h 00 à 18 h 00 le 1er juin 2018.

Remarque Si vous utilisez la même date pour les paramètres StartDate et EndDate, vous devez inclure un timestamp ; Sinon, aucun résultat n’est renvoyé, car la date et l’heure de début et de fin seront identiques.

Exemple 3

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/8/2018 -SessionId "UnifiedAuditLogSearch 05/08/17" -SessionCommand ReturnLargeSet

Cet exemple recherche dans le journal d’audit unifié tous les événements du 1er mai 2018 au 8 mai 2018. Si vous n’incluez pas d’horodatage dans les paramètres EndDate et SessionId, les données sont renvoyées dans les pages lorsque la commande est réexécutée de manière séquentielle en utilisant la même valeur StartDate.

Remarque: utilisez toujours la même valeur SessionCommand pour une valeur SessionId donnée. Ne basculez pas entre ReturnLargeSet et ReturnNextPreviewPage pour le même ID de session. Sinon, la sortie est limitée à 10 000 résultats.

Exemple 4

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/8/2018 -RecordType SharePointFileOperation -Operations FileAccessed -SessionId "WordDocs_SharepointViews"-SessionCommand ReturnLargeSet

Cet exemple recherche dans le journal d’audit unifié tous les fichiers accessibles dans SharePoint Online du 1er mai 2018 au 8 mai 2018. Les données sont renvoyées dans les pages alors que la commande est réexécutée de manière séquentielle en utilisant la même valeur SessionId.

Exemple 5

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/8/2018 -ObjectIDs "https://alpinehouse.sharepoint.com/sites/contoso/Departments/SM/International/Shared Documents/Sales Invoice - International.docx"

Cet exemple recherche dans le journal d’audit unifié du 1er mai 2018 au 8 mai 2018 tous les événements relatifs à un document Word spécifique identifié par sa valeur ObjectIDs.

Paramètres

-EndDate

Le paramètre EndDate indique la fin de la plage de dates définies. Les entrées sont stockées dans le journal d’audit unifié en temps universel coordonné (UTC). Si vous spécifiez une valeur de date/heure sans fuseau horaire, la valeur est au UTC.

Pour spécifier une valeur date/heure pour ce paramètre, utilisez l’une des options suivantes :

  • Spécifiez la valeur de date/heure au UTC : Par exemple, "2018-05-06 14:30:00z" .
  • Spécifiez la valeur date/heure en tant que formule qui convertit la date/l’heure dans votre fuseau horaire local en UTC : Par exemple, (Get-Date "5/6/2018 9:30 AM").ToUniversalTime() . Pour plus d’informations, consultez Get-Date.

si vous n’incluez pas d’horodatage dans la valeur pour ce paramètre, l’horodatage par défaut est 00:00 (minuit) pour la date spécifiée.

Type:ExDateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-Formatted

En raison du commutateur Formatted, les attributs normalement renvoyés sous forme d’entiers (par exemple, RecordType et Operation) sont sous forme de chaînes descriptives. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

En outre, ce commutateur rend AuditData plus lisible.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-FreeText

Le paramètre FreeText filtre les entrées du journal en suivant la chaîne de texte spécifiée. Si la valeur contient des espaces, placez-la entre guillemets (").

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-IPAddresses

Le paramètre IPAddresses filtre les entrées du journal en fonction des adresses IP spécifiées. Vous spécifiez plusieurs adresses IP séparées par des virgules.

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-ObjectIds

Le paramètre ObjectIds filtre les entrées du journal par ID d’objet. L’ID d’objet correspond à l’objet cible qui a été traité et dépend des valeurs RecordType et Operations de l’événement. Par exemple, pour les SharePoint, l’ID d’objet est le chemin d’URL d’un fichier, d’un dossier ou d’un site. Pour Azure Active Directory opérations, l’ID d’objet est le nom du compte ou la valeur GUID du compte.

La valeur ObjectId est affichée dans la propriété AuditData (également appelée Détails) de l’événement.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-Operations

Le paramètre Operations filtre les entrées du journal par opération. Les valeurs disponibles pour ce paramètre dépendent de la valeur de RecordType. Pour obtenir la liste des valeurs disponibles pour ce paramètre, voir Activités auditées.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-RecordType
            Le paramètre RecordType filtre les entrées du journal par type d’enregistrement. Pour plus d’informations sur les valeurs disponibles, voir [AuditLogRecordType](https://docs.microsoft.com/office/office-365-management-api/office-365-management-activity-api-schema#auditlogrecordtype).
Type:AuditRecordType
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-ResultSize

Le paramètre ResultSize spécifie le nombre maximal de résultats à renvoyer. La valeur par défaut est 100 et la valeur maximale est de 5 000.

Type:Int32
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-SessionCommand

Le paramètre SessionCommand spécifie la quantité d’informations à renvoyer et la manière dont elles sont organisées. Les valeurs valides sont les suivantes :

  • ReturnLargeSet : cette valeur entraîne le retour de données non triées par la cmdlet. En utilisant la pagination, vous pouvez accéder à un maximum de 50 000 résultats. Il s’agit de la valeur recommandée si un résultat ordonné n’est pas requis et a été optimisé pour la latence de recherche.
  • ReturnNextPreviewPage : cette valeur entraîne le retour par la cmdlet des données triées à la date. Le nombre maximal d’enregistrements renvoyés par le biais de la pagination ou du paramètre ResultSize est de 5 000.

Remarque: utilisez toujours la même valeur SessionCommand pour une valeur SessionId donnée. Ne basculez pas entre ReturnLargeSet et ReturnNextPreviewPage pour le même ID de session. Sinon, la sortie est limitée à 10 000 résultats.

Type:UnifiedAuditSessionCommand
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-SessionId

Le paramètre SessionId spécifie un ID que vous fournissez sous la forme d’une chaîne pour identifier une commande (la cmdlet et ses paramètres) qui sera exécutée plusieurs fois pour renvoyer des données paginées. Le paramètre SessionId peut correspondre à toute valeur de chaîne de votre choix.

Lorsque la cmdlet est exécuté séquentiellement avec le même ID de session, elle retourne les données dans des blocs séquentiels de la taille spécifiée par ResultSize.

Pour un ID de session donné, si vous utilisez la valeur SessionCommandReturnLargeSet, puis la valeur SessionCommandReturnNextPreviewPage, les résultats sont limités à 10 000 enregistrements. Pour disposer des 50 000 enregistrements, utilisez toujours la valeur ReturnLargeSet à chaque exécution de la cmdlet pour le même ID de session.

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-SiteIds

Le paramètre SiteIds filtre les entrées du journal en SharePoint’URL du site.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Si l’URL du site contient un tiret (-), échappez-y avec un autre tiret. Par exemple, pour le https://contoso.sharepoint.com/sites/hr-project site, utilisez la valeur "https://contoso.sharepoint.com/sites/hr--project" .

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-StartDate

Le paramètre StartDate indique le début de la plage de dates définies. Les entrées sont stockées dans le journal d’audit unifié en temps universel coordonné (UTC). Si vous spécifiez une valeur de date/heure sans fuseau horaire, la valeur est au UTC.

Pour spécifier une valeur date/heure pour ce paramètre, utilisez l’une des options suivantes :

  • Spécifiez la valeur de date/heure au UTC : Par exemple, "2018-05-06 14:30:00z" .
  • Spécifiez la valeur date/heure en tant que formule qui convertit la date/l’heure dans votre fuseau horaire local en UTC : Par exemple, (Get-Date "5/6/2018 9:30 AM").ToUniversalTime() . Pour plus d’informations, consultez Get-Date.

si vous n’incluez pas d’horodatage dans la valeur pour ce paramètre, l’horodatage par défaut est 00:00 (minuit) pour la date spécifiée.

Type:ExDateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-UserIds

Le paramètre UserIds filtre les entrées du journal selon l’ID de l’utilisateur ayant effectué l’action.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

Entrées

Sorties