Search-MailboxAuditLog
注意
此 cmdlet 将在基于云的服务中弃用。 若要访问审核日志数据,请使用 Search-UnifiedAuditLog cmdlet。 有关详细信息,请参阅此博客文章: https://aka.ms/AuditCmdletBlog。
此 cmdlet 可在本地 Exchange 和基于云的服务中使用。 某些参数和设置可能只属于一个环境或另一个环境。
使用 Search-MailboxAuditLog cmdlet 可以搜索与指定的搜索词匹配的邮箱审核日志条目。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Identity
Search-MailboxAuditLog
[[-Identity] <MailboxIdParameter>]
[-ShowDetails]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-IncludeInactiveMailbox]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>]
MultipleMailboxesSearch
Search-MailboxAuditLog
[-Mailboxes <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-IncludeInactiveMailbox]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>]
说明
Search-MailboxAuditLog cmdlet 对一个或多个指定邮箱的邮箱审核日志执行同步搜索,并在 Exchange 命令行管理程序中显示搜索结果。 若要搜索多个邮箱的邮箱审核日志并通过电子邮件将搜索结果发送给指定的收件人,请改用 New-MailboxAuditLogSearch cmdlet。 若要了解有关邮箱审核日志记录的详细信息,请参阅 Exchange Server 中的邮箱审核日志记录。
在多地理位置环境中,在尝试搜索的邮箱的不同区域中运行此 cmdlet 时,可能会收到错误“尝试访问审核日志时出错”。在此方案中,需要将 PowerShell 会话定位到邮箱所在的同一区域中的用户,如使用 Exchange Online PowerShell 直接连接到地理位置中所述。
您必须先获得权限,然后才能运行此 cmdlet。 尽管本文列出了 cmdlet 的所有参数,但如果某些参数未包含在分配给你的权限中,则可能无法访问这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet。
示例
示例 1
Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000
本示例检索 Ken Kwok 邮箱的邮箱审核日志条目,了解管理员和委托登录类型在 2018 年 1 月 1 日和 2018 年 12 月 31 日之间执行的作。 最多返回 2,000 个日志条目。
示例 2
Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000
本示例检索 Ken Kwok 和 Ben Smith 邮箱的邮箱审核日志条目,了解 管理员 和委托登录类型在 2018/1/1 和 2018/12/31 之间执行的作。 最多返回 2,000 个日志条目。
示例 3
Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}
本示例检索 Ken Kwok 邮箱的邮箱审核日志条目,了解邮箱所有者在 2017 年 1 月 1 日和 2017 年 3 月 1 日之间执行的作。 结果会通过管道传递到 Where-Object cmdlet,然后经过筛选,仅返回包含 HardDelete 操作的条目。
参数
-DomainController
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
DomainController 参数指定此 cmdlet 从 Active Directory 读取数据或向其写入数据时使用的域控制器。 可以使用完全限定的域名 (FQDN) 来标识域控制器。 例如,dc01.contoso.com。
参数属性
| 类型: | Fqdn |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-EndDate
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
EndDate 参数指定日期范围的结束日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果计算机配置为使用短日期格式 MM/dd/yyyy,请输入 09/01/2018 以指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
参数属性
| 类型: | ExDateTime |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-ExternalAccess
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ExternalAccess 参数指定是否仅返回组织外部用户的邮箱访问的审核日志条目。 在 Exchange Online 中,此参数返回由数据中心管理员Microsoft邮箱访问的审核日志条目。 有效值包含:
$true:返回外部用户或数据中心管理员Microsoft邮箱访问的审核日志条目。
$false:忽略外部用户或数据中心管理员Microsoft邮箱访问的审核日志条目。 此值为默认值。
参数属性
| 类型: | Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-GroupMailbox
适用:Exchange Online
此参数仅在基于云的服务中可用。
需要 GroupMailbox 开关才能在搜索中包含Microsoft 365 组。 不必为此开关指定值。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-HasAttachments
适用:Exchange Server 2016、Exchange Server 2019、Exchange Online
HasAttachments 参数按带有附件的邮件筛选搜索。 有效值包含:
- $true:只有带有附件的邮件才会包含在搜索中。
- $false:搜索中包含有附件和不带附件的邮件。
参数属性
| 类型: | Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Identity
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Identity 参数指定要从中检索邮箱审核日志条目的单个邮箱。 可以使用能够唯一标识邮箱的任意值。 例如:
- 名称
- 别名
- 可分辨名称 (DN)
- 可分辨名称 (DN)
- 域\用户名
- 电子邮件地址
- GUID
- LegacyExchangeDN
- SamAccountName
- 用户 ID 或用户主体名称 (UPN)
参数属性
| 类型: | MailboxIdParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
Identity
| Position: | 1 |
| 必需: | False |
| 来自管道的值: | True |
| 来自管道的值(按属性名称): | True |
| 来自剩余参数的值: | False |
-IncludeInactiveMailbox
适用:Exchange Online
此参数仅在基于云的服务中可用。
{{ Fill IncludeInactiveMailbox Description }}
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-LogonTypes
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
LogonTypes 参数指定登录类型。 有效值包含:
- 管理员:返回管理员登录访问邮箱的审核日志条目。
- Admin:返回以管理员身份登录后才能访问的邮箱的审核日志条目。
- 所有者:返回主邮箱所有者的邮箱访问的审核日志条目。 此值需要 ShowDetails 开关。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Mailboxes
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Mailbox 参数指定要从中检索邮箱审核日志条目的邮箱。 可以使用此参数搜索多个邮箱的审核日志。
输入多个以逗号分隔的邮箱。 如果值中有空格或需要使用双引号,请使用以下语法:"Value1","Value2",..."ValueN"。
不能将此参数与 ShowDetails 开关一起使用。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
MultipleMailboxesSearch
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Operations
适用:Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Operations 参数按邮箱审核日志记录记录的邮箱作筛选搜索结果。 有效值包含:
- AddFolderPermissions (Exchange 2019 和 Exchange Online。虽然此值已被接受,但它已包含在 UpdateFolderPermissions作中,并且不会单独审核。)
- 仅 applyRecord (Exchange Online)
- 复制
- 创建
- 仅默认 (Exchange Online)
- FolderBind
- HardDelete
- MailboxLogin
- MailItemsAccessed (Exchange Online,仅适用于 E5 或 E5 合规性加载项订阅用户。)
- MessageBind (尽管接受此值,但这些作不再记录。)
- ModifyFolderPermissions (Exchange 2019 且仅Exchange Online。虽然此值已被接受,但它已包含在 UpdateFolderPermissions作中,并且不会单独审核。)
- 移动
- MoveToDeletedItems
- RecordDelete 仅 (Exchange Online)
- RemoveFolderPermissions (Exchange 2019 且仅Exchange Online。虽然此值已被接受,但它已包含在 UpdateFolderPermissions作中,并且不会单独审核。)
- SendAs
- SendOnBehalf
- SoftDelete
- 更新
- UpdateCalendarDelegation (Exchange 2019 且仅Exchange Online)
- UpdateComplianceTag 仅 (Exchange Online)
- UpdateFolderPermissions (Exchange 2019 和仅Exchange Online)
- UpdateInboxRules (Exchange 2019 和仅 Exchange Online)
Update
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-ResultSize
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ResultSize 参数指定要返回的最大邮箱审核日志条目数。 有效值为从 1 到 250000 的整数。 默认情况下,返回 1000 个条目。
参数属性
| 类型: | Int32 |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-ShowDetails
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ShowDetails 开关从邮箱检索每个日志条目的详细信息。 不必为此开关指定值。
默认情况下,每个返回的日志条目的所有字段都显示在列表视图中。
不能将此开关与“邮箱”参数一起使用。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
Identity
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-StartDate
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
StartDate 参数指定日期范围的起始日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果计算机配置为使用短日期格式 MM/dd/yyyy,请输入 09/01/2018 以指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
参数属性
| 类型: | ExDateTime |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
CommonParameters
此 cmdlet 支持通用参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters。
输入
Input types
若要了解此 cmdlet 接受的输入类型,请参阅 cmdlet 的输入和输出类型。 如果 cmdlet 的"输入类型"字段为空,则表明此 cmdlet 不接受输入数据。
输出
Output types
若要了解此 cmdlet 接受的返回类型(亦称为"输出类型"),请参阅 cmdlet 的输入和输出类型。 如果"输出类型"字段为空,则表明此 cmdlet 不返回任何数据。