Search-MailboxAuditLog

Modulo:
ExchangePowerShell
Si applica a:
Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Questo cmdlet è disponibile in Exchange locale e nel servizio basato su cloud. Alcuni parametri e impostazioni possono essere esclusivi di singoli ambienti.

Utilizzare il cmdlet Search-MailboxAuditLog per ricercare le voci del log di controllo delle cassette postali che corrispondono ai termini di ricerca specificati.

Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.

Sintassi

Search-MailboxAuditLog
      [[-Identity] <MailboxIdParameter>]
      [-ShowDetails]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-IncludeInactiveMailbox]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]
Search-MailboxAuditLog
      [-Mailboxes <MultiValuedProperty>]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-GroupMailbox]
      [-HasAttachments <Boolean>]
      [-IncludeInactiveMailbox]
      [-LogonTypes <MultiValuedProperty>]
      [-Operations <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [<CommonParameters>]

Descrizione

Il cmdlet Search-MailboxAuditLog esegue una ricerca sincrona dei registri di controllo delle cassette postali per una o più cassette postali specificate e Visualizza i risultati della ricerca nella finestra di Exchange Management Shell. Per ricercare più cassette postali nei log di controllo delle cassette postali e inviare i risultati per posta elettronica ai destinatari specificati, utilizzare il cmdlet New-MailboxAuditLogSearch. Per ulteriori informazioni sulla registrazione di controllo delle cassette postali, vedere registrazione di controllo delle cassette postali in Exchange Server.

Questo cmdlet è disponibile in Office 365 gestito da 21Vianet, ma non restituirà alcun risultato.

È necessario disporre delle autorizzazioni prima di poter eseguire questo cmdlet. Sebbene in questo argomento vengano elencati tutti i parametri relativi al cmdlet, si potrebbe non avere accesso ad alcuni di essi qualora non siano inclusi nelle autorizzazioni assegnate. Per individuare le autorizzazioni necessarie per eseguire cmdlet o parametri nell'organizzazione, vedere Trovare le autorizzazioni necessarie per eseguire i cmdlet di Exchange.

Esempio

Esempio 1

Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

In questo esempio vengono recuperate le voci del registro di controllo delle cassette postali per la cassetta postale di Ken, per le azioni eseguite dall'amministratore e i 12/31/2018 1/1/2018 tipi di accesso delegati Vengono restituite fino a 2.000 voci di registro.

Esempio 2

Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000

Questo esempio consente di recuperare le voci del registro di controllo delle cassette postali per le cassette postali di Ken e ben Smith per le azioni eseguite dall'amministratore e i tipi di accesso delegato tra 1/1/2018 e 12/31/2018 Vengono restituite fino a 2.000 voci di registro.

Esempio 3

Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2016 -EndDate 3/1/2016 | Where-Object {$_.Operation -eq "HardDelete"}

Con questo esempio vengono recuperate le voci del log di controllo delle cassette postali per la cassetta postale di Ken Kwok in relazione alle azioni eseguite dal proprietario della cassetta postale tra il 01.01.16 e il 01.03.16. I risultati vengono inviati tramite pipe al cmdlet Where-Object e filtrati per restituire solo le voci relative all'azione HardDelete.

Parametri

-Cassette postali

Il parametro Mailboxes consente di specificare le cassette postali per cui recuperare le voci del log di controllo. È possibile utilizzare questo parametro per la ricerca dei log di controllo per più cassette postali.

Si immettono più cassette postali separate da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, utilizzare la sintassi seguente: "Value1","Value2",..."ValueN" .

Non è possibile utilizzare questo parametro con l'opzione ShowDetails.

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-DomainController

Questo parametro è disponibile solo in Exchange locale.

Il parametro DomainController consente di specificare il controller di dominio utilizzato da questo cmdlet per la lettura o la scrittura dei dati in Active Directory. Identificare il controller di dominio mediante il relativo nome di dominio completo (FQDN). Ad esempio, dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019
-EndDate

Il parametro EndDate consente di specificare la data di fine dell'intervallo di date.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-ExternalAccess

Il parametro ExternalAccess consente di specificare se restituire solo le voci del registro di controllo per l'accesso alle cassette postali da parte di utenti esterni all'organizzazione. In Exchange Online questo parametro restituisce le voci del registro di controllo per l'accesso alle cassette postali da parte degli amministratori di Microsoft datacenter. I valori validi sono:

$true: vengono restituite le voci del registro di controllo per l'accesso alle cassette postali da parte di utenti esterni o amministratori del datacenter

$false: le voci del registro di controllo per l'accesso alle cassette postali da parte di utenti esterni o amministratori del datacenter Microsoft vengono ignora Questo è il valore predefinito.

Type:Boolean
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-GroupMailbox

Questo parametro è disponibile solamente nel servizio basato su cloud.

L'opzione GroupMailbox è necessaria per includere i gruppi di Microsoft 365 nella ricerca. Con questa opzione non è necessario specificare alcun valore.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-HasAttachments

Il parametro HasAttachments consente di filtrare la ricerca in base ai messaggi con allegati. I valori validi sono:

  • $true: nella ricerca vengono inclusi solo i messaggi con allegati.
  • $false: nella ricerca vengono inclusi i messaggi con e senza allegati.
Type:Boolean
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2016, Exchange Server 2019, Exchange Online
-Identity

Il parametro Identity consente di specificare una singola cassetta postale per il recupero delle voci del log di controllo della cassetta postale. È possibile utilizzare qualsiasi valore che identifichi la cassetta postale in modo univoco. Ad esempio:

  • Nome
  • Alias
  • Nome distinto (DN)
  • Nome distinto canonico
  • \Nome utente del dominio
  • Indirizzo di posta elettronica
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • ID utente o Nome entità utente (UPN)
Type:MailboxIdParameter
Position:1
Default value:None
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-IncludeInactiveMailbox

Questo parametro è disponibile solamente nel servizio basato su cloud.

L'opzione IncludeInactiveMailbox è obbligatoria per includere le cassette postali inattive nella ricerca. Con questa opzione non è necessario specificare alcun valore.

In una cassetta postale inattiva è stato abilitato il blocco per controversia legale o il blocco sul posto, prima che la cassetta postale venga eliminata in modo reversibile. I contenuti di una cassetta postale non attiva vengono conservati fino alla rimozione del blocco.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-Logontypesowner

Il parametro LogonTypes consente di specificare il tipo di accessi. I valori validi sono:

  • Amministratore: vengono restituite le voci del registro di controllo per l'accesso alle cassette postali da parte dell'amministratore.
  • Delegate: vengono restituite le voci del registro di controllo per l'accesso alle cassette postali da parte dei delegati, incluso l'accesso da parte degli utenti con
  • Proprietario: vengono restituite le voci del registro di controllo per l'accesso alla cassetta postale dal proprietario della cassetta postale principale. Questo valore richiede l'opzione ShowDetails.
Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-Operazioni

Il parametro Operations consente di filtrare i risultati della ricerca per le azioni della cassetta postale registrate dalla registrazione di controllo delle cassette postali. I valori validi sono:

  • AddFolderPermissions (solo Exchange 2019 e Exchange Online. Anche se questo valore viene accettato, è già incluso nell'azione UpdateFolderPermissions e non è controllato separatamente.
  • ApplyRecord (solo Exchange Online)
  • Copia
  • Creare
  • Valore predefinito (solo Exchange Online)
  • FolderBind
  • HardDelete
  • MailboxLogin
  • MailItemsAccessed (solo Exchange Online e solo per gli utenti di sottoscrizione per il componente aggiuntivo di conformità E5 o E5).
  • MessageBind (sebbene questo valore venga accettato, queste azioni non vengono più registrate).
  • ModifyFolderPermissions (solo Exchange 2019 e Exchange Online. Anche se questo valore viene accettato, è già incluso nell'azione UpdateFolderPermissions e non è controllato separatamente.
  • Move
  • MoveToDeletedItems
  • RecordDelete (solo Exchange Online)
  • RemoveFolderPermissions (solo Exchange 2019 e Exchange Online. Anche se questo valore viene accettato, è già incluso nell'azione UpdateFolderPermissions e non è controllato separatamente.
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Update
  • UpdateCalendarDelegation (solo Exchange 2019 e Exchange Online)
  • UpdateComplianceTag (solo Exchange Online)
  • UpdateFolderPermissions (solo Exchange 2019 e Exchange Online)
  • UpdateInboxRules (solo Exchange 2019 e Exchange Online)

È possibile immettere più valori separati da virgole.

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-ResultSize

Il parametro ResultSize consente di specificare il numero massimo di voci del log di controllo delle cassette postali da restituire. I valori validi sono i numeri interi compresi tra 1 e 250.000. Per impostazione predefinita vengono restituite 1000 voci.

Type:Int32
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-ShowDetails

L'opzione ShowDetails consente di recuperare i dettagli di ogni voce di registro dalla cassetta postale. Con questa opzione non è necessario specificare alcun valore.

Per impostazione predefinita, in una visualizzazione elenco sono mostrati tutti i campi per ciascuna voce di registro restituita.

Non è possibile utilizzare questa opzione con il parametro Mailboxes.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
-StartDate

Il parametro StartDate consente di specificare la data di inizio dell'intervallo di date.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Input

Per verificare i tipi di input accettati da questo cmdlet, vedere Tipi di input e output dei cmdlet. Se il campo relativo al tipo di input di un cmdlet è vuoto, il cmdlet non accetta dati di input.

Output

Per verificare i tipi restituiti, detti anche tipi di output, accettati da questo cmdlet, vedere Tipi di input e output dei cmdlet. Se il campo relativo al tipo di output è vuoto, il cmdlet non restituisce dati.