Search-MailboxAuditLog
Este cmdlet está disponível no Exchange local e no serviço baseado na nuvem. Alguns parâmetros e configurações podem ser exclusivos de um ou outro ambiente.
Use o cmdlet Search-MailboxAuditLog para pesquisar entradas de log de auditoria de caixa de correio correspondentes aos termos de pesquisa especificados.
Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.
Syntax
Search-MailboxAuditLog
[[-Identity] <MailboxIdParameter>]
[-ShowDetails]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] Search-MailboxAuditLog
[-Mailboxes <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] Description
O cmdlet Search-MailboxAuditLog executa uma pesquisa síncrona de logs de auditoria de caixa de correio para uma ou mais caixas de correio especificadas e exibe os resultados da pesquisa na janela Shell do Exchange Management. Para pesquisar logs de auditoria de caixa de correio para várias caixas de correio e enviar os resultados por email para destinatários especificados, use o cmdlet New-MailboxAuditLogSearch, em vez disso. Para saber mais sobre o log de auditoria da caixa de correio, confira Log de auditoria da caixa de correio no Exchange Server.
Em ambientes multi-geográficos, ao executar esse cmdlet em uma região diferente da caixa de correio que você está tentando pesquisar, você pode receber o erro: "Ocorreu um erro ao tentar acessar o log de auditoria". Nesse cenário, você precisa ancorar a sessão do PowerShell para um usuário na mesma região que a caixa de correio descrita em Conectar-se diretamente a um local geográfico usando Exchange Online PowerShell.
Para executar esse cmdlet, você precisa ter permissões. Embora este tópico liste todos os parâmetros do cmdlet, talvez você não tenha acesso a alguns parâmetros se eles não estiverem incluídos nas permissões atribuídas a você. Para localizar as permissões necessárias para executar qualquer cmdlet ou parâmetro em sua organização, confira Find the permissions required to run any Exchange cmdlet.
Exemplos
Exemplo 1
Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000Este exemplo recupera entradas de log de auditoria de caixa de correio para a caixa de correio de Ken Kwok para ações executadas por tipos de logon de Administração e Delegado entre 1/1/2018 e 31/12/2018. No máximo, 2.000 entradas de log são retornadas.
Exemplo 2
Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000Este exemplo recupera entradas de log de auditoria de caixa de correio para caixas de correio de Ken Kwok e Ben Smith para ações executadas por tipos de logon de Administração e Delegado entre 1/1/2018 e 31/12/2018. No máximo, 2.000 entradas de log são retornadas.
Exemplo 3
Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}Este exemplo recupera entradas de log de auditoria de caixa de correio para a caixa de correio de Ken Kwok para ações executadas pelo proprietário da caixa de correio entre 1/1/2017 e 3/1/2017. Os resultados são redirecionados para o cmdlet Where-Object e filtrados para retornar apenas entradas com a ação HardDelete.
Parâmetros
-DomainController
Este parâmetro está disponível somente no Exchange local.
O parâmetro DomainController especifica o controlador de domínio que é usado por esse cmdlet para ler dados ou gravar dados no Active Directory. Você identifica o controlador de domínio por seu FQDN (nome de domínio totalmente qualificado). Por exemplo, dc01.contoso.com.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
O parâmetro EndDate especifica a data de término do intervalo de datas.
Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para usar o formato de data abreviada mm/dd/yyyy, insira 01/09/2018 para especificar 1º de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ExternalAccess
O parâmetro ExternalAccess especifica se deve retornar somente entradas de log de auditoria para acesso à caixa de correio por usuários que estão fora da sua organização. Em Exchange Online, esse parâmetro retorna entradas de log de auditoria para acesso à caixa de correio pelos administradores do datacenter da Microsoft. Os valores válidos são:
$true: As entradas de log de auditoria para acesso à caixa de correio por usuários externos ou administradores do datacenter da Microsoft são retornadas.
$false: As entradas de log de auditoria para acesso à caixa de correio por usuários externos ou administradores do datacenter da Microsoft são ignoradas. Esse é o valor padrão.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-GroupMailbox
Esse parâmetro só está disponível no serviço baseado em nuvem.
A opção GroupMailbox é necessária para incluir Grupos do Microsoft 365 na pesquisa. Não é preciso especificar um valor com essa opção.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online |
-HasAttachments
O parâmetro HasAttachments filtra a pesquisa por mensagens com anexos. Os valores válidos são:
- $true: somente mensagens com anexos são incluídas na pesquisa.
- $false: mensagens com e sem anexos são incluídas na pesquisa.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Identity
O parâmetro Identity especifica uma única caixa de correio para recuperar entradas de log de auditoria de caixa de correio. É possível usar qualquer valor que identifique a caixa de correio exclusivamente. Por exemplo:
- Nome
- Alias
- Nome diferenciado (DN)
- Nome diferenciado (DN)
- Domain\username
- Endereço de email
- GUID
- LegacyExchangeDN
- SamAccountName
- ID de usuário ou nome UPN
| Type: | MailboxIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-LogonTypes
O parâmetro LogonTypes especifica o tipo de logons. Os valores válidos são:
- Administração: As entradas de log de auditoria para acesso à caixa de correio por logons de administrador são retornadas.
- Admin: as entradas de log de auditoria para acesso à caixa de correio pelos logons de administrador são retornadas.
- Proprietário: As entradas de log de auditoria para acesso à caixa de correio pelo proprietário da caixa de correio primária são retornadas. Esse valor requer a opção ShowDetails.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Mailboxes
O parâmetro Caixas de correio especifica as caixas de correio para recuperar entradas de log de auditoria de caixa de correio. Você pode usar esse parâmetro para pesquisar os logs de auditoria para várias caixas de correio.
Insira várias caixas de correio separadas por vírgulas. Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".
Você não pode usar esse parâmetro com a opção ShowDetails.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Operations
O parâmetro Operações filtra os resultados da pesquisa pelas ações da caixa de correio registradas pelo log de auditoria da caixa de correio. Os valores válidos são:
- AddFolderPermissions (Exchange 2019 e somente Exchange Online. Embora esse valor seja aceito, ele já está incluído na ação UpdateFolderPermissions e não é auditado separadamente.)
- ApplyRecord (somente Exchange Online)
- Copiar
- Criar
- Padrão (somente Exchange Online)
- FolderBind
- HardDelete
- MailboxLogin
- MailItemsAccessed (somente Exchange Online e somente para usuários de assinatura de complemento de conformidade E5 ou E5.)
- MessageBind (embora esse valor seja aceito, essas ações não são mais registradas.)
- ModifiFolderPermissions (Exchange 2019 e somente Exchange Online. Embora esse valor seja aceito, ele já está incluído na ação UpdateFolderPermissions e não é auditado separadamente.)
- Mover
- MoveToDeletedItems
- RecordDelete (somente Exchange Online)
- RemoveFolderPermissions (Exchange 2019 e somente Exchange Online. Embora esse valor seja aceito, ele já está incluído na ação UpdateFolderPermissions e não é auditado separadamente.)
- SendAs
- SendOnBehalf
- SoftDelete
- Atualizar
- UpdateCalendarDelegation (Somente Exchange 2019 e Exchange Online)
- UpdateComplianceTag (somente Exchange Online)
- UpdateFolderPermissions (somente exchange 2019 e Exchange Online)
- UpdateInboxRules (somente exchange 2019 e Exchange Online)
Update
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ResultSize
O parâmetro ResultSize especifica o número máximo de entradas do log de auditoria de caixa de correio a serem retornadas. Valores válidos incluem um inteiro de 1 a 250000. Por padrão, 1000 entradas são retornadas.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ShowDetails
A opção ShowDetails recupera os detalhes de cada entrada de log da caixa de correio. Não é preciso especificar um valor com essa opção.
Por padrão, todos os campos de cada entrada de log retornada são exibidos em uma lista.
Você não pode usar essa opção com o parâmetro Caixas de Correio.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-StartDate
O parâmetro StartDate especifica a data de início do intervalo de datas.
Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para usar o formato de data abreviada mm/dd/yyyy, insira 01/09/2018 para especificar 1º de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
Entradas
Input types
Para ver os tipos de entrada que este cmdlet aceita, confira Tipos de entrada e saída de cmdlet. Se o campo Tipo de Entrada de um cmdlet estiver em branco, isso significa que o cmdlet não aceita dados de entrada.
Saídas
Output types
Para ver os tipos de retorno, também conhecidos como tipos de saída, que este cmdlet aceita, consulte Tipos de entrada e saída de cmdlet. Se o campo Tipo de Saída estiver em branco, o cmdlet não retorna dados.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de