New-MailboxAuditLogSearch
注意
此 cmdlet 将在基于云的服务中弃用。 若要访问审核日志数据,请使用 Search-UnifiedAuditLog cmdlet。 有关详细信息,请参阅此博客文章: https://aka.ms/AuditCmdletBlog。
此 cmdlet 可在本地 Exchange 和基于云的服务中使用。 某些参数和设置可能只属于一个环境或另一个环境。
使用 New-MailboxAuditLogSearch cmdlet 可以搜索邮箱审核日志并通过电子邮件将搜索结果发送给指定收件人。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Default (默认值)
New-MailboxAuditLogSearch
-EndDate <ExDateTime>
-StartDate <ExDateTime>
-StatusMailRecipients <MultiValuedProperty>
[-Confirm]
[-DomainController <Fqdn>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Mailboxes <MultiValuedProperty>]
[-Name <String>]
[-Operations <MultiValuedProperty>]
[-ShowDetails]
[-WhatIf]
[<CommonParameters>]
说明
New-MailboxAuditLogSearch cmdlet 异步搜索指定邮箱的邮箱审核日志,并通过电子邮件将搜索结果发送给指定收件人。 电子邮件的正文包含搜索元数据,如搜索参数和提交搜索请求的时间。 搜索结果附加在 .xml 文件中。
若要搜索单个邮箱的邮箱审核日志并将结果显示在 Exchange 命令行管理程序窗口中,请改用 Search-MailboxAuditLog cmdlet。 若要了解有关邮箱审核日志记录的详细信息,请参阅 Exchange Server 中的邮箱审核日志记录。
您必须先获得权限,然后才能运行此 cmdlet。 尽管本文列出了 cmdlet 的所有参数,但如果某些参数未包含在分配给你的权限中,则可能无法访问这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet。
示例
示例 1
New-MailboxAuditLogSearch "Admin and Delegate Access" -Mailboxes "Ken Kwok","April Stewart" -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -StatusMailRecipients auditors@contoso.com
本示例创建邮箱审核日志搜索,以在 2018 年 1 月 1 日至 2018 年 12 月 31 日之间的管理员和代理人登录名搜索 Ken Kwok 和 April Stewart 的邮箱。 搜索结果通过电子邮件发送到 auditors@contoso.com 。
示例 2
New-MailboxAuditLogSearch -ExternalAccess $true -StartDate 09/01/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.com
此示例从组织中所有用户的邮箱审核日志中返回 2018 年 9 月 1 日至 2018 年 10 月 24 日之间Microsoft数据中心管理员进行的任何邮箱访问的条目。 搜索结果将发送到 admin@contoso.com。
参数
-Confirm
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Confirm 开关指定是否显示确认提示。 此开关对 cmdlet 造成的影响取决于在你继续操作之前 cmdlet 是否需要确认。
- 破坏性 cmdlet(例如 Remove-* cmdlets)内置有暂停,可强制要求先确认命令,然后再继续操作。 对于这些 cmdlet,您可以使用此确切语法跳过确认提示:
-Confirm:$false。 - 其他大多数 cmdlet(例如 New-* 和 Set-* cmdlet)都没有内置暂停。 对于这些 cmdlet,指定不含值的 Confirm 开关会引入暂停,从而强制要求你先确认命令,然后再继续操作。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
| 别名: | cf |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-DomainController
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
DomainController 参数指定此 cmdlet 从 Active Directory 读取数据或向其写入数据时使用的域控制器。 可以使用完全限定的域名 (FQDN) 来标识域控制器。 例如,dc01.contoso.com。
参数属性
| 类型: | Fqdn |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-EndDate
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
EndDate 参数指定日期范围的结束日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果计算机配置为使用短日期格式 MM/dd/yyyy,请输入 09/01/2018 以指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
参数属性
| 类型: | ExDateTime |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-ExternalAccess
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ExternalAccess 参数指定是否仅返回组织外部用户的邮箱访问的审核日志条目。 在 Exchange Online 中,此参数返回由数据中心管理员Microsoft邮箱访问的审核日志条目。 有效值包含:
$true:返回外部用户或数据中心管理员Microsoft邮箱访问的审核日志条目。
$false:忽略外部用户或数据中心管理员Microsoft邮箱访问的审核日志条目。 此值为默认值。
参数属性
| 类型: | Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-GroupMailbox
适用:Exchange Online
此参数仅在基于云的服务中可用。
需要 GroupMailbox 开关才能在搜索中包含Microsoft 365 组。 不必为此开关指定值。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-HasAttachments
适用:Exchange Server 2016、Exchange Server 2019、Exchange Online
HasAttachments 参数按带有附件的邮件筛选搜索。 有效值包含:
- $true:只有带有附件的邮件才会包含在搜索中。
- $false:搜索中包含有附件和不带附件的邮件。
参数属性
| 类型: | Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-LogonTypes
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
LogonTypes 参数指定登录类型。 有效值包含:
- 管理员:返回管理员登录访问邮箱的审核日志条目。
- Admin:返回以管理员身份登录后才能访问的邮箱的审核日志条目。
- 外部:对于Exchange Online邮箱,将返回数据中心管理员Microsoft邮箱访问的审核日志条目。
- 所有者:返回主邮箱所有者的邮箱访问的审核日志条目。 此值需要 ShowDetails 开关。
Update
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Mailboxes
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Mailbox 参数指定要从中检索邮箱审核日志条目的邮箱。
Update 如果值中有空格或需要使用双引号,请使用以下语法:"Value1","Value2",..."ValueN"。
如果未指定值,则会返回组织中所有邮箱的邮箱审核日志。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Name
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Name 参数指定搜索的名称。 最大长度为 64 个字符。 如果值中有空格,请使用双引号 (") 将此值括起来。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Operations
适用:Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Operations 参数按邮箱审核日志记录的操作筛选搜索结果。 有效值包含:
- 复制
- Create
- FolderBind
- HardDelete
- MailboxLogin
- MessageBind
- Move
- MoveToDeletedItems
- SendAs
- SendOnBehalf
- SoftDelete
- 更新
Update
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-ShowDetails
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ShowDetails 开关指定检索每个日志条目的详细信息。 不必为此开关指定值。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-StartDate
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
StartDate 参数指定日期范围的起始日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果计算机配置为使用短日期格式 MM/dd/yyyy,请输入 09/01/2018 以指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
参数属性
| 类型: | ExDateTime |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-StatusMailRecipients
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
StatusMailRecipients 参数指定发送搜索结果的电子邮件地址。 可以指定用逗号分隔的多个值。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-WhatIf
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
WhatIf 开关模拟命令操作。 可以使用此开关在不实际应用将会发生的更改的情况下预览这些更改。 不必为此开关指定值。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
| 别名: | 无线 |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
CommonParameters
此 cmdlet 支持通用参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters。
输入
Input types
若要了解此 cmdlet 接受的输入类型,请参阅 cmdlet 的输入和输出类型。 如果 cmdlet 的"输入类型"字段为空,则表明此 cmdlet 不接受输入数据。
输出
Output types
若要了解此 cmdlet 接受的返回类型(亦称为"输出类型"),请参阅 cmdlet 的输入和输出类型。 如果"输出类型"字段为空,则表明此 cmdlet 不返回任何数据。