Search-AdminAuditLog

參考

模組:: ExchangePowerShell

適用於:: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

內部部署 Exchange 和雲端式服務有提供此 Cmdlet。有些參數和設定可能是某一個環境所專屬。

使用 Search-AdminAuditLog Cmdlet 來搜尋系統管理員稽核記錄的內容。當使用者或系統管理員在您的組織中 (Exchange 系統管理中心或使用 Cmdlet) 進行變更時，系統管理員稽核記錄記錄。

如需下方＜語法＞一節中參數集的詳細資訊，請參閱 Exchange Cmdlet 語法。

Syntax

Search-AdminAuditLog
      [-Cmdlets <MultiValuedProperty>]
      [-DomainController <Fqdn>]
      [-EndDate <ExDateTime>]
      [-ExternalAccess <Boolean>]
      [-IsSuccess <Boolean>]
      [-ObjectIds <MultiValuedProperty>]
      [-Parameters <MultiValuedProperty>]
      [-ResultSize <Int32>]
      [-StartDate <ExDateTime>]
      [-StartIndex <Int32>]
      [-UserIds <MultiValuedProperty>]
      [<CommonParameters>]

Description

如果您在不使用任何參數的情況下執行 Search-AdminAuditLog Cmdlet，預設會傳回最多 1，000 個記錄專案。

在 Exchange Online PowerShell 中，如果您未使用 StartDate 或 EndDate 參數，則只會傳回過去 14 天的結果。

在 Exchange Online PowerShell 中，資料可供過去 90 天使用。您可以輸入超過 90 天的日期，但只會傳回過去 90 天的資料。

如需稽核記錄結構和屬性的詳細資訊，請參閱系統管理員稽核記錄結構。

您必須已獲指派權限，才能執行此指令程式。雖然本主題已列出這個指令程式的所有參數，不過，如果某些參數並未包含在指派給您的權限中，您可能就無法存取這些參數。若要尋找在組織中執行任何 Cmdlet 或參數所需的權限，請參閱 Find the permissions required to run any Exchange cmdlet。

範例

範例 1

Search-AdminAuditLog -Cmdlets New-RoleGroup,New-ManagementRoleAssignment

此範例會尋找包含 New-RoleGroup 或 New-ManagementRoleAssignment Cmdlet 的所有系統管理員稽核記錄專案。

範例 2

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults,ProhibitSendReceiveQuota,ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -IsSuccess $true

此範例會尋找符合下列準則的所有系統管理員稽核記錄專案：

Cmdlet：Set-Mailbox
參數：UseDatabaseQuotaDefaults、ProhibitSendReceiveQuota、ProhibitSendQuota
StartDate：01/24/2018
EndDate：02/12/2018

命令已順利完成

範例 3

$LogEntries = Search-AdminAuditLog -Cmdlets Write-AdminAuditLog

$LogEntries | ForEach { $_.CmdletParameters }

此範例會顯示 Write-AdminAuditLog Cmdlet 寫入系統管理員稽核記錄檔的所有批註。

首先，將稽核記錄專案儲存在暫存變數中。然後，逐一查看傳回的所有稽核記錄專案，並顯示 Parameters 屬性。

範例 4

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2018 -EndDate 10/02/2018

此範例會針對 Microsoft 資料中心系統管理員在 2018 年 9 月 17 日到 2018 年 10 月 2 日之間執行的 Cmdlet，傳回Exchange Online組織的系統管理員稽核記錄中的專案。

參數

-Cmdlets

Cmdlet 參數會依使用的 Cmdlet 篩選結果。您可以指定多個以逗號分隔的 Cmdlet。

在此 Cmdlet 的結果中，此屬性的名稱為 CmdletName。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	True
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-DomainController

此參數僅適用於內部部署 Exchange。

DomainController 參數會指定此 Cmdlet 用來向 Active Directory 讀取或寫入資料的網域控制站。您可以透過網域控制站的完整網域名稱 (FQDN) 來識別網域控制站。例如，dc01.contoso.com。

Type:	Fqdn
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

EndDate 參數會指定日期範圍的結束日期。

在您要執行命令的電腦上，使用該電腦的 [地區選項] 設定中定義的簡短日期格式。例如，如果電腦設定成使用簡短日期格式 mm/dd/yyyy，請輸入 09/01/2018 以指定 2018 年 9 月 1 日。您可以只輸入日期，或者也可以輸入日期和時間。如果輸入日期和時間，請使用引號 (") 括住值，例如 "09/01/2018 5:00 PM"。

在雲端式服務中，如果您指定沒有時區的日期/時間值，該值會以國際標準時間 (UTC) 。若要指定這個參數的日期/時間值，請使用下列其中一個選項︰

以 UTC 指定日期/時間值：例如，「2021-05-06 14：30：00z」。
將日期/時間值指定為公式，將您當地時區的日期/時間轉換成 UTC：例如。 (Get-Date "5/6/2021 9:30 AM").ToUniversalTime() 如需詳細資訊，請參閱 Get-Date。

在此 Cmdlet 的結果中，會在名為 RunDate的屬性中傳回執行 Cmdlet (變更的日期/時間) 。

Type:	ExDateTime
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ExternalAccess

ExternalAccess 參數會根據組織外部使用者) 執行的 Cmdlet (所做的變更來篩選結果。有效值為：

$true：只傳回外部使用者進行變更的稽核記錄專案。在Exchange Online中，使用值傳回 Microsoft 資料中心系統管理員所做變更的稽核記錄專案。
$false：僅傳回內部使用者進行變更的稽核記錄專案。

Type:	Boolean
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-IsSuccess

IsSuccess 參數會根據變更是否成功來篩選結果。有效值為：

$true：僅傳回變更成功的稽核記錄專案 (換句話說，Cmdlet 已成功執行) 。
$false：僅傳回變更不成功的稽核記錄專案 (換句話說，Cmdlet 未成功執行，並導致錯誤) 。

在此 Cmdlet 的結果中，此屬性的名稱為 Succeeded。

Type:	Boolean
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ObjectIds

ObjectIds 參數會依信箱、公用資料夾、傳送連接器、傳輸規則、已接受網域等 (修改的物件來篩選結果。Cmdlet 在) 上運作的。有效的值取決於物件在稽核記錄中的表示方式。例如：

名稱
例如，contoso.com/Users/Akia Al-Zuhairi) (標準辨別名稱
公用資料夾身分識別 (例如\Engineering\Customer Discussion)

您可能需要在此 Cmdlet 上使用其他篩選參數來縮小結果範圍，並識別您感興趣的物件類型。在此 Cmdlet 的結果中，此屬性的名稱為 ObjectModified。

您可以輸入多個以逗號分隔的值。如果值包含空格或需要引號，請使用下列語法： "Value1","Value2",..."ValueN" 。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Parameters

Parameters 參數會依所使用的參數來篩選結果。您只能將此參數與 Cmdlet 參數搭配使用 (您無法單獨) 使用它。您可以指定多個以逗號分隔的參數。

在此 Cmdlet 的結果中，此屬性的名稱為 CmdletParameters

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ResultSize

ResultSize 參數會指定傳回的結果筆數上限。預設值為 1000。

要傳回的結果上限為 250，000。

Type:	Int32
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StartDate

StartDate 參數會指定日期範圍的開始日期。

在雲端式服務中，如果您指定沒有時區的日期/時間值，該值會以國際標準時間 (UTC) 。若要指定這個參數的日期/時間值，請使用下列其中一個選項︰

以 UTC 指定日期/時間值：例如，「2021-05-06 14：30：00z」。
將日期/時間值指定為公式，將您當地時區的日期/時間轉換成 UTC：例如。 (Get-Date "5/6/2021 9:30 AM").ToUniversalTime() 如需詳細資訊，請參閱 Get-Date。

在此 Cmdlet 的結果中，會在名為 RunDate的屬性中傳回執行 Cmdlet (變更的日期/時間) 。

Type:	ExDateTime
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StartIndex

StartIndex 參數會指定結果集中顯示結果開始的位置。

Type:	Int32
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-UserIds

UserIds 參數會依執行 Cmdlet) 的使用者進行變更 (來篩選結果。

此參數的一般值是 UPN (使用者主體名稱;例如， helpdesk@contoso.com) 。但是，由沒有電子郵件地址的系統帳戶所進行的更新，可能會使用 Domain\Username 語法 (例如 NT AUTHORITY\SYSTEM (MSExchangeHMHost) ) 。

您可以輸入多個以逗號分隔的值。如果值包含空格或需要引號，請使用下列語法： "User1","User2",..."UserN" 。

在此 Cmdlet 的結果中，此屬性的名稱為 Caller

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

輸入

Input types

若要查看此指令程式可接受的輸入類型，請參閱指令程式輸入和輸出類型。如果指令程式的 [輸入類型] 欄位是空的，表示指令程式不接受輸入資料。

輸出

Output types

若要查看此指令程式可接受的傳回類型 (也就是所謂的輸出類型)，請參閱指令程式輸入和輸出類型。如果 [輸出類型] 欄位是空的，表示指令程式不會傳回資料。