Search-MailboxAuditLog
此 cmdlet 可在本地 Exchange 和基于云的服务中使用。 一些参数和设置可能只适用于某个特定的环境。
使用 Search-MailboxAuditLog cmdlet 可以搜索与指定的搜索词匹配的邮箱审核日志条目。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Search-MailboxAuditLog
[[-Identity] <MailboxIdParameter>]
[-ShowDetails]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] Search-MailboxAuditLog
[-Mailboxes <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] 说明
Search-MailboxAuditLog cmdlet 对一个或多个指定邮箱的邮箱审核日志执行同步搜索,并在 Exchange 命令行管理程序中显示搜索结果。 若要搜索多个邮箱的邮箱审核日志并通过电子邮件将搜索结果发送给指定的收件人,请改用 New-MailboxAuditLogSearch cmdlet。 若要了解有关邮箱审核日志记录的详细信息,请参阅 Exchange Server 中的邮箱审核日志记录。
在多地理位置环境中,在尝试搜索的邮箱的不同区域中运行此 cmdlet 时,可能会收到错误“尝试访问审核日志时出错”。在此方案中,需要将 PowerShell 会话定位到邮箱所在的同一区域中的用户,如使用 Exchange Online PowerShell 直接连接到地理位置中所述。
您必须先获得权限,然后才能运行此 cmdlet。 虽然本主题中列出了此 cmdlet 的所有参数,但如果这些参数并未包含在分配给您的权限中,那么您将无法使用这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet。
示例
示例 1
Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000本示例检索 Ken Kwok 邮箱的邮箱审核日志条目,了解管理员和委托登录类型在 2018 年 1 月 1 日和 2018 年 12 月 31 日之间执行的操作。 最多返回 2,000 个日志条目。
示例 2
Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000本示例检索 Ken Kwok 和 Ben Smith 邮箱的邮箱审核日志条目,了解 管理员 和委托登录类型在 2018/1/1 和 2018/12/31 之间执行的操作。 最多返回 2,000 个日志条目。
示例 3
Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}本示例检索 Ken Kwok 邮箱的邮箱审核日志条目,了解邮箱所有者在 2017 年 1 月 1 日和 2017 年 3 月 1 日之间执行的操作。 结果会通过管道传递到 Where-Object cmdlet,然后经过筛选,仅返回包含 HardDelete 操作的条目。
参数
-DomainController
此参数只在本地 Exchange 中可用。
DomainController 参数指定此 cmdlet 从 Active Directory 读取数据或向其写入数据时使用的域控制器。 可以使用完全限定的域名 (FQDN) 来标识域控制器。 例如,dc01.contoso.com。
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
EndDate 参数指定日期范围的结束日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果将计算机配置为使用短日期格式 mm/dd/yyyy,请输入 09/01/2018 来指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ExternalAccess
ExternalAccess 参数指定是否仅返回组织外部用户的邮箱访问的审核日志条目。 在 Exchange Online 中,此参数返回由 Microsoft 数据中心管理员访问邮箱的审核日志条目。 有效值包含:
$true:返回外部用户或 Microsoft 数据中心管理员的邮箱访问的审核日志条目。
$false:忽略外部用户或 Microsoft 数据中心管理员的邮箱访问的审核日志条目。 此值为默认值。
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-GroupMailbox
此参数仅在基于云的服务中可用。
需要 GroupMailbox 开关才能在搜索中包含Microsoft 365 组。 不必为此开关指定值。
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online |
-HasAttachments
HasAttachments 参数按带有附件的邮件筛选搜索。 有效值包含:
- $true:只有带有附件的邮件才会包含在搜索中。
- $false:搜索中包含有附件和不带附件的邮件。
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Identity
Identity 参数指定要从中检索邮箱审核日志条目的单个邮箱。 可以使用能够唯一标识邮箱的任意值。 例如:
- 名称
- 别名
- 可分辨名称 (DN)
- 可分辨名称 (DN)
- 域\用户名
- 电子邮件地址
- GUID
- LegacyExchangeDN
- SamAccountName
- 用户 ID 或用户主体名称 (UPN)
| Type: | MailboxIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-LogonTypes
LogonTypes 参数指定登录类型。 有效值包含:
- 管理员:返回管理员登录访问邮箱的审核日志条目。
- Admin:返回以管理员身份登录后才能访问的邮箱的审核日志条目。
- 所有者:返回主邮箱所有者的邮箱访问的审核日志条目。 此值需要 ShowDetails 开关。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Mailboxes
Mailbox 参数指定要从中检索邮箱审核日志条目的邮箱。 可以使用此参数搜索多个邮箱的审核日志。
输入多个以逗号分隔的邮箱。 如果值包含空格或需要引号,请使用以下语法: "Value1","Value2",..."ValueN"。
不能将此参数与 ShowDetails 开关一起使用。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Operations
Operations 参数按邮箱审核日志记录记录的邮箱操作筛选搜索结果。 有效值包含:
- AddFolderPermissions (Exchange 2019 和 Exchange Online。虽然此值已被接受,但它已包含在 UpdateFolderPermissions 操作中,并且不会单独审核。)
- 仅 applyRecord (Exchange Online)
- 复制
- 创建
- 仅默认 (Exchange Online)
- FolderBind
- HardDelete
- MailboxLogin
- MailItemsAccessed (Exchange Online,仅适用于 E5 或 E5 合规性加载项订阅用户。)
- MessageBind (尽管接受此值,但这些操作不再记录。)
- ModifyFolderPermissions (Exchange 2019 且仅Exchange Online。虽然此值已被接受,但它已包含在 UpdateFolderPermissions 操作中,并且不会单独审核。)
- 移动
- MoveToDeletedItems
- RecordDelete 仅 (Exchange Online)
- RemoveFolderPermissions (Exchange 2019 且仅Exchange Online。虽然此值已被接受,但它已包含在 UpdateFolderPermissions 操作中,并且不会单独审核。)
- SendAs
- SendOnBehalf
- SoftDelete
- 更新
- UpdateCalendarDelegation (Exchange 2019 且仅Exchange Online)
- UpdateComplianceTag 仅 (Exchange Online)
- UpdateFolderPermissions (Exchange 2019 和仅Exchange Online)
- UpdateInboxRules (Exchange 2019 和仅 Exchange Online)
Update
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ResultSize
ResultSize 参数指定要返回的最大邮箱审核日志条目数。 有效值为从 1 到 250000 的整数。 默认情况下,返回 1000 个条目。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ShowDetails
ShowDetails 开关从邮箱检索每个日志条目的详细信息。 不必为此开关指定值。
默认情况下,每个返回的日志条目的所有字段都显示在列表视图中。
不能将此开关与“邮箱”参数一起使用。
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-StartDate
StartDate 参数指定日期范围的起始日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果将计算机配置为使用短日期格式 mm/dd/yyyy,请输入 09/01/2018 来指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
输入
Input types
若要了解此 cmdlet 接受的输入类型,请参阅 cmdlet 的输入和输出类型。 如果 cmdlet 的"输入类型"字段为空,则表明此 cmdlet 不接受输入数据。
输出
Output types
若要了解此 cmdlet 接受的返回类型(亦称为"输出类型"),请参阅 cmdlet 的输入和输出类型。 如果"输出类型"字段为空,则表明此 cmdlet 不返回任何数据。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈