Search-UnifiedAuditLog

Синтаксис

Search-UnifiedAuditLog
      -EndDate <ExDateTime>
      -StartDate <ExDateTime>
      [-Formatted]
      [-FreeText <String>]
      [-IPAddresses <String[]>]
      [-ObjectIds <String[]>]
      [-Operations <String[]>]
      [-RecordType <AuditRecordType>]
      [-ResultSize <Int32>]
      [-SessionCommand <UnifiedAuditSessionCommand>]
      [-SessionId <String>]
      [-SiteIds <String[]>]
      [-UserIds <String[]>]
      [<CommonParameters>]

Описание

Командлет Search-UnifiedAuditLog представляет страницы данных на основе повторных итераций одной команды. Используйте SessionId и SessionCommand для многократного запуска командлета до получения нулевой отдачи или получения максимального количества результатов в зависимости от команды сеанса. Чтобы оценить ход выполнения, посмотрите на свойства ResultIndex (хиты в текущей итерации) и ResultCount (хиты для всех итераций) данных, возвращаемых в cmdlet.

Этот Search-UnifiedAuditLog доступен в Exchange Online PowerShell. Вы также можете просматривать события из единого журнала аудита с помощью центра & соответствия требованиям. Дополнительные сведения см. в отчете Об аудите действий.

Если вы хотите программным образом загрузить данные из журнала аудита Microsoft 365, рекомендуется использовать API управления Microsoft 365 вместо использования Search-UnifiedAuditLog в скрипте PowerShell. API управления Microsoft 365 — это веб-служба REST, которую можно использовать для разработки решений по мониторингу операций, безопасности и соответствия требованиям для вашей организации. Дополнительные сведения см. в справке об API управления деятельностью.

Этот комлет доступен в Office 365, который управляется 21Vianet, но не возвращает результатов.

Параметр OutVariable принимает объекты типа ArrayList. Вот пример того, как его использовать:

$start = (Get-Date).AddDays(-1); $end = (Get-Date).AddDays(-0.5); $auditData = New-Object System.Collections.ArrayList; Search-UnifiedAuditLog -StartDate $start -EndDate $end -OutVariable +auditData | Out-Null

Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.

Примеры

Пример 1

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/2/2018

В этом примере выполняется поиск в едином журнале аудита для всех событий с 1 мая 2018 г. по 2 мая 2018 г. с 12:00 до 12:00.

Примечание. Если в значение для параметров StartDate или EndDate не включено значение timestamp 12:00 (полночь), используется время по умолчанию.

Пример 2

Search-UnifiedAuditLog -StartDate "6/1/2018 8:00 AM" -EndDate "6/1/2018 6:00 PM" -RecordType ExchangeAdmin

В этом примере выполняется поиск единого журнала аудита для всех событий администрирования Exchange с 8:00 до 18:00 1 июня 2018 г.

Примечание Если для параметров StartDate и EndDate используется та же дата, необходимо включить параметры timestamp; в противном случае результаты не будут возвращены, так как дата и время начала и окончания будут одинаковыми.

Пример 3

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/8/2018 -SessionId "UnifiedAuditLogSearch 05/08/17" -SessionCommand ReturnLargeSet

В этом примере выполняется поиск единого журнала аудита для всех событий с 1 мая 2018 г. по 8 мая 2018 г. Если в параметры StartDate или EndDate не включена отметка времени, данные возвращаются на страницах, так как команда повторно повторно передается последовательно при использовании того же значения SessionId.

Примечание. Всегда используйте одно и то же значение SessionCommand для данного значения SessionId. Не переключайтесь между ReturnLargeSet и ReturnNextPreviewPage для того же ИД сеанса. В противном случае результат ограничен 10 000 результатов.

Пример 4

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/8/2018 -RecordType SharePointFileOperation -Operations FileAccessed -SessionId "WordDocs_SharepointViews"-SessionCommand ReturnLargeSet

В этом примере выполняется поиск в едином журнале аудита для всех файлов, доступных в SharePoint Online с 1 мая 2018 г. по 8 мая 2018 г. Данные возвращаются на страницах по мере последовательного повторного повтора команды при использовании того же значения SessionId.

Пример 5

Search-UnifiedAuditLog -StartDate 5/1/2018 -EndDate 5/8/2018 -ObjectIDs "https://alpinehouse.sharepoint.com/sites/contoso/Departments/SM/International/Shared Documents/Sales Invoice - International.docx"

В этом примере выполняется поиск в едином журнале аудита с 1 мая 2018 г. по 8 мая 2018 г. для всех событий, связанных с определенным документом Word, определенным значением objectIDs.

Параметры

-EndDate

Параметр EndDate указывает дату окончания из диапазона дат. Записи хранятся в едином журнале аудита в едином универсальном времени (UTC). Если указать значение даты и времени без часовой пояс, значение находится в UTC.

Чтобы указать значение даты или времени для этого параметра, воспользуйтесь одним из следующих вариантов:

  • Укажите значение даты и времени в UTC: Например, "2018-05-06 14:30:00z" .
  • Укажите значение даты и времени в качестве формулы, которая преобразует дату и время в локальном часовом поясе в UTC: Например, (Get-Date "5/6/2018 9:30 AM").ToUniversalTime() . Для получения дополнительной информации см. Get-Date.

Если в значение для этого параметра не включена точка времени, по умолчанию время 12:00 (полночь) в указанную дату.

Type:ExDateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-Formatted

Отформатированный переключатель вызывает отформатирование атрибутов, которые обычно возвращаются в виде integers (например, RecordType и Operation) в виде описательных строк. С этим параметром не нужно указывать значение.

Кроме того, этот переключатель делает AuditData более читаемой.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-FreeText

Параметр FreeText фильтрует записи журнала по указанной строке текста. Если значение содержит пробелы, его необходимо заключить в кавычки (").

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-IPAddresses

Параметр IPAddresses фильтрует записи журнала по указанным IP-адресам. Вы указываете несколько IP-адресов, разделенных запятой.

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-ObjectIds

Параметр ObjectIds фильтрует записи журнала по объекту ID. Объект ID — это целевой объект, на который был на него направлена работа, и зависит от значений RecordType и Operations события. Например, для операций SharePoint ID объекта — это ПУТЬ URL-адреса к файлу, папке или сайту. Для операций Azure Active Directory ID объекта — это имя учетной записи или значение GUID учетной записи.

Значение ObjectId отображается в свойстве AuditData (также известном как Details) события.

Update Если значения содержат пробелы или иным образом требуют кавычка, используйте следующий синтаксис: "Value1","Value2",..."ValueN" .

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-Operations

Параметр Operations фильтрует записи журнала с помощью операции. Доступные значения для этого параметра зависят от значения RecordType. Список доступных значений для этого параметра см. в списке проверенных действий.

Update Если значения содержат пробелы или иным образом требуют кавычка, используйте следующий синтаксис: "Value1","Value2",..."ValueN" .

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-RecordType

Параметр RecordType фильтрует записи журнала по типу записи. Сведения о доступных значениях см. в материале AuditLogRecordType.

Type:AuditRecordType
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-ResultSize

Параметр ResultSize указывает максимальное число возвращаемых результатов. По умолчанию значение 100, максимум 5000.

Type:Int32
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-SessionCommand

Параметр SessionCommand указывает, сколько информации возвращается и как она организована. Допустимые значения:

  • ReturnLargeSet. Это значение приводит к возвращению несортантных данных. С помощью paging можно получить доступ к не более чем 50 000 результатов. Это рекомендуемое значение, если упорядоченный результат не требуется и оптимизирован для задержки поиска.
  • ReturnNextPreviewPage. Это значение приводит к возвращению данных, отсортированных на дату. Максимальное количество записей, возвращающихся с помощью paging или параметра ResultSize, составляет 5000 записей.

Примечание. Всегда используйте одно и то же значение SessionCommand для данного значения SessionId. Не переключайтесь между ReturnLargeSet и ReturnNextPreviewPage для того же ИД сеанса. В противном случае результат ограничен 10 000 результатов.

Type:UnifiedAuditSessionCommand
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-SessionId

Параметр SessionId указывает ID, который вы предоставляете в виде строки для определения команды (командлета и его параметров), которая будет запускаться несколько раз для возврата данных страниц. SessionId может быть любым значением строки, которые вы выбираете.

При последовательном запуске cmdlet с одним и тем же кодом сеанса, он возвращает данные в последовательном блоке размера, указанного ResultSize.

Для данного ИД сеанса, если вы используете значение SessionCommand ReturnLargeSet, а затем используете значение SessionCommand ReturnNextPreviewPage, результаты ограничены 10 000 записей. Чтобы иметь все 50 000 записей, всегда используйте значение ReturnLargeSet каждый раз, когда вы запустите этот код для одного и того же ИД сеанса.

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-SiteIds

Параметр SiteIds фильтрует записи журнала по URL-адресу сайта SharePoint.

Update Если значения содержат пробелы или иным образом требуют кавычка, используйте следующий синтаксис: "Value1","Value2",..."ValueN" .

Если URL-адрес сайта содержит тире (-), убей символ тире с другой тире. Например, для сайта https://contoso.sharepoint.com/sites/hr-project используйте значение "https://contoso.sharepoint.com/sites/hr--project" .

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-StartDate

Параметр StartDate указывает дату начала из диапазона дат. Записи хранятся в едином журнале аудита в едином универсальном времени (UTC). Если указать значение даты и времени без часовой пояс, значение находится в UTC.

Чтобы указать значение даты или времени для этого параметра, воспользуйтесь одним из следующих вариантов:

  • Укажите значение даты и времени в UTC: Например, "2018-05-06 14:30:00z" .
  • Укажите значение даты и времени в качестве формулы, которая преобразует дату и время в локальном часовом поясе в UTC: Например, (Get-Date "5/6/2018 9:30 AM").ToUniversalTime() . Для получения дополнительной информации см. Get-Date.

Если в значение для этого параметра не включена точка времени, по умолчанию время 12:00 (полночь) в указанную дату.

Type:ExDateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online
-UserIds

Параметр UserIds фильтрует записи журнала по ID пользователя, который выполнил действие.

Update Если значения содержат пробелы или иным образом требуют кавычка, используйте следующий синтаксис: "Value1","Value2",..."ValueN" .

Type:String[]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

Входные данные

Выходные данные