Set-AdminAuditLogConfig
此 cmdlet 可在本地 Exchange 和基于云的服务中使用。 某些参数和设置可能只属于一个环境或另一个环境。
使用 Set-AdminAuditLogConfig cmdlet 可以配置管理员审核日志记录配置设置。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Default (默认值)
Set-AdminAuditLogConfig
[[-Identity] <OrganizationIdParameter>]
[-AdminAuditLogAgeLimit <EnhancedTimeSpan>]
[-AdminAuditLogCmdlets <MultiValuedProperty>]
[-AdminAuditLogEnabled <Boolean>]
[-AdminAuditLogExcludedCmdlets <MultiValuedProperty>]
[-AdminAuditLogParameters <MultiValuedProperty>]
[-Confirm]
[-DomainController <Fqdn>]
[-Force]
[-LogLevel <AuditLogLevel>]
[-Name <String>]
[-TestCmdletLoggingEnabled <Boolean>]
[-UnifiedAuditLogIngestionEnabled <Boolean>]
[-WhatIf]
[<CommonParameters>]
说明
如果启用审核日志记录,则将为所运行的每个 cmdlet(Get cmdlet 除外)创建一个日志条目。 日志条目存储在隐藏的邮箱中,可使用 Search-AdminAuditLog 或 New-AdminAuditLogSearch cmdlet 进行访问。
不管是启用还是禁用了管理员审核日志记录,Set-AdminAuditLogConfig、Enable-CmdletExtensionAgent 和 Disable-CmdletExtensionAgent cmdlet 在运行时都会被记录。
管理员审核日志记录依赖 Active Directory 复制功能将指定的配置设置复制到贵组织中的域控制器。 根据复制设置,所做的更改可能不会立即应用于组织中的所有 Exchange 服务器。
对审核日志配置的更改可能需要长达 60 分钟才能应用于在配置更改时打开 Exchange 命令行管理程序的计算机。 如果要立即应用更改,请在每台计算机上关闭并重新打开 Exchange 命令行管理程序。
您必须先获得权限,然后才能运行此 cmdlet。 尽管本文列出了 cmdlet 的所有参数,但如果某些参数未包含在分配给你的权限中,则可能无法访问这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet。
示例
示例 1
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogCmdlets * -AdminAuditLogParameters * -AdminAuditLogExcludedCmdlets Get-*
本示例为组织中的每个 cmdlet 和每个参数启用管理员审核日志记录,但 Get cmdlet 除外。
示例 2
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogCmdlets *Mailbox, *Management*, *TransportRule* -AdminAuditLogParameters *
本示例对于组织中运行的特定 cmdlet 启用管理员审核日志记录。 将记录指定 cmdlet 上所使用的全部参数。 每次运行指定的 cmdlet 时,都会向审核日志添加一个日志条目。
示例 3
Set-AdminAuditLogConfig -AdminAuditLogEnabled $true -AdminAuditLogCmdlets *Mailbox* -AdminAuditLogParameters *Address*
本示例对于在运行特定 cmdlet 时所指定的特定参数启用管理员审核日志记录。 参数名和 cmdlet 名称必须与借助于 AdminAuditLogCmdlets 和 AdminAuditLogParameters 参数指定的字符串相匹配。 例如,只有当在名称中包含 "Mailbox" 字符串的 cmdlet 上运行名称中包含 "Address" 字符串的参数时,才会生成一个日志条目。
参数
-AdminAuditLogAgeLimit
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
AdminAuditLogAgeLimit 参数指定每个日志条目在保存多长之后应被删除。 默认期限为 90 天。
若要指定值,请以时间跨度格式 dd.hh:mm:ss 输入值(其中 dd = 天,hh = 小时,mm = 分钟,ss = 秒)。
例如,若要将审核日志期限设置为 120 天,请使用语法 120.00:00:00。
将期限设置为一个小于当前限制的值将导致删除早于新限制的日志条目。
将期限设置为 0 将清除所有条目的审核日志。
参数属性
| 类型: | EnhancedTimeSpan |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-AdminAuditLogCmdlets
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
AdminAuditLogCmdlets 参数指定应被审核的 cmdlet。 您可以指定一个或多个 cmdlet,用逗号分隔。 还可以使用通配符 (*) 来匹配 cmdlet 列表中一个或多个条目中的多个 cmdlet。 若要审核所有的 cmdlet,请仅指定通配符 (*)。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-AdminAuditLogEnabled
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
AdminAuditLogEnabled 参数指定是否启用管理员审核日志记录。 有效值包含:
- $true:已启用管理员审核日志记录。 此值为默认值。
- $false:管理员审核日志记录已禁用。
在启用日志记录之前,必须指定管理员审核日志邮箱。
不管是启用还是禁用了审核日志记录,都始终会记录对管理员审核日志配置所做的更改。
参数属性
| 类型: | Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-AdminAuditLogExcludedCmdlets
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
AdminAuditLogExcludedCmdlets 参数指定应该从审核中排除哪些 cmdlet。 如果要排除不希望审核的特定 cmdlet(即使它们与 AdminAuditLogCmdlets 参数中指定的通配符字符串匹配),请使用此参数。
您可以指定一个或多个 cmdlet,用逗号分隔。 还可以使用通配符 (*) 来匹配 cmdlet 列表中一个或多个条目中的多个 cmdlet。 不能仅指定通配符 (*)。
如果要清除列表,请指定值 $null。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-AdminAuditLogParameters
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
AdminAuditLogParameters 参数指定应当针对通过 AdminAuditLogCmdlets 参数指定的 cmdlet 审核哪些参数。 您可以指定一个或多个以逗号分隔的参数。 还可以使用通配符 (*) 来匹配参数列表中一个或多个条目中的多个参数。 若要审核所有的参数,请仅指定通配符 (*)。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Confirm
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online、Exchange Online Protection
Confirm 开关指定是否显示确认提示。 此开关对 cmdlet 造成的影响取决于在你继续操作之前 cmdlet 是否需要确认。
- 破坏性 cmdlet(例如 Remove-* cmdlets)内置有暂停,可强制要求先确认命令,然后再继续操作。 对于这些 cmdlet,您可以使用此确切语法跳过确认提示:
-Confirm:$false。 - 其他大多数 cmdlet(例如 New-* 和 Set-* cmdlet)都没有内置暂停。 对于这些 cmdlet,指定不含值的 Confirm 开关会引入暂停,从而强制要求你先确认命令,然后再继续操作。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
| 别名: | cf |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-DomainController
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
DomainController 参数指定此 cmdlet 从 Active Directory 读取数据或向其写入数据时使用的域控制器。 可以使用完全限定的域名 (FQDN) 来标识域控制器。 例如,dc01.contoso.com。
参数属性
| 类型: | Fqdn |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Force
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online、Exchange Online Protection
强制开关隐藏警告或确认消息。 不必为此开关指定值。
您可以在以编程方式运行任务时使用此开关,因为此时并不适合提示用户提供管理输入。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Identity
适用:Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
保留此参数以供 Microsoft 内部使用。
参数属性
| 类型: | OrganizationIdParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | 1 |
| 必需: | False |
| 来自管道的值: | True |
| 来自管道的值(按属性名称): | True |
| 来自剩余参数的值: | False |
-LogLevel
适用:Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
LogLevel 参数指定日志条目中是否应包括其他属性。 有效值包含:
- 无:cmdletName、ObjectName、Parameters (值) 以及调用方、Succeeded 和 RunDate 属性包含在日志条目中。 此值为默认值。
- 详细:ModifiedProperties (新旧) 和 ModifiedObjectResolvedName 属性也包含在日志条目中。
参数属性
| 类型: | AuditLogLevel |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Name
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
Name 参数指定 AdminAuditLogConfig 对象的名称。
配置管理员审核日志记录时,无需指定此参数。 此参数不会影响您的配置,也不会影响管理员审核日志记录的工作方式。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-TestCmdletLoggingEnabled
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
此参数只在本地 Exchange 中可用。
TestCmdletLoggingEnabled 参数指定测试 cmdlet (以谓词 Test 开头的 cmdlet 名称) 结果是否包含在管理员审核日志记录中。 有效值包含:
- $true:测试 cmdlet 包含在管理员审核日志记录中。
- $false:测试 cmdlet 不包括在管理员审核日志记录中。 此值为默认值。
测试 cmdlet 会生成大量信息。 在这种情况下,应该仅在较短时间内启用测试 cmdlet 的日志记录。
参数属性
| 类型: | Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-UnifiedAuditLogIngestionEnabled
适用:Exchange Server 2016、Exchange Server 2019、Exchange Online、Exchange Online Protection
此参数仅在基于云的服务中有效。
UnifiedAuditLogIngestionEnabled 参数指定是启用或禁用Microsoft 365 审核日志中用户和管理员活动的记录。 有效值包含:
- $true:用户和管理员活动记录在 Microsoft 365 审核日志中,管理员可以搜索Microsoft 365 审核日志。 此值为默认值。
- $false:用户和管理员活动不会记录在 Microsoft 365 审核日志中,并且管理员无法搜索Microsoft 365 审核日志。
参数属性
| 类型: | Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-WhatIf
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online、Exchange Online Protection
WhatIf 开关模拟命令操作。 可以使用此开关在不实际应用将会发生的更改的情况下预览这些更改。 不必为此开关指定值。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
| 别名: | 无线 |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
CommonParameters
此 cmdlet 支持通用参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters。
输入
Input types
若要了解此 cmdlet 接受的输入类型,请参阅 cmdlet 的输入和输出类型。 如果 cmdlet 的"输入类型"字段为空,则表明此 cmdlet 不接受输入数据。
输出
Output types
若要了解此 cmdlet 接受的返回类型(亦称为"输出类型"),请参阅 cmdlet 的输入和输出类型。 如果"输出类型"字段为空,则表明此 cmdlet 不返回任何数据。