New-MailboxAuditLogSearch
Dieses Cmdlet ist der lokalen Bereitstellung von Exchange und im cloudbasierten Dienst verfügbar. Einige Parameter und Einstellungen gelten exklusiv für die eine oder andere Umgebung.
Verwenden Sie das Cmdlet New-MailboxAuditLogSearch, um Postfachüberwachungsprotokolle zu durchsuchen und Suchergebnisse per E-Mail an bestimmte Empfänger zu senden.
Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.
Syntax
New-MailboxAuditLogSearch
-EndDate <ExDateTime>
-StartDate <ExDateTime>
-StatusMailRecipients <MultiValuedProperty>
[-Confirm]
[-DomainController <Fqdn>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Mailboxes <MultiValuedProperty>]
[-Name <String>]
[-Operations <MultiValuedProperty>]
[-ShowDetails]
[-WhatIf]
[<CommonParameters>] Beschreibung
Das Cmdlet New-MailboxAuditLogSearch führt eine asynchrone Suche von Postfachüberwachungsprotokollen für die angegebenen Postfächer durch und sendet die Suchergebnisse per E-Mail an die angegebenen Empfänger. Der Text der E-Mail-Nachricht enthält Suchmetadaten wie Suchparameter und den Zeitpunkt, zu dem die Suchanforderung übermittelt wurde. Die Ergebnisse werden in einer .xml-Datei angefügt.
Verwenden Sie stattdessen das Cmdlet Search-MailboxAuditLog, um Postfachüberwachungsprotokolle für ein einzelnes Postfach zu durchsuchen und die Ergebnisse im Fenster der Exchange-Verwaltungsshell anzuzeigen. Weitere Informationen zur Postfachüberwachungsprotokollierung finden Sie unter Überwachungsprotokollierung von Postfächern in Exchange Server.
Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.
Beispiele
Beispiel 1
New-MailboxAuditLogSearch "Admin and Delegate Access" -Mailboxes "Ken Kwok","April Stewart" -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -StatusMailRecipients auditors@contoso.comIn diesem Beispiel wird eine Postfachüberwachungsprotokollsuche erstellt, um die Postfächer von Ken Kwok und April Stewart nach Administrator- und Stellvertretungsanmeldungen vom 1.1.2018 bis zum 31.12.2018 zu durchsuchen. Suchergebnisse werden per E-Mail an auditors@contoso.com gesendet.
Beispiel 2
New-MailboxAuditLogSearch -ExternalAccess $true -StartDate 09/01/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.comIn diesem Beispiel werden Einträge aus den Postfachüberwachungsprotokollen aller Benutzer in der Organisation für jeden Postfachzugriff durch Microsoft Rechenzentrumsadministratoren zwischen dem 1. September 2018 und dem 24. Oktober 2018 zurückgegeben. Die Suchergebnisse werden an admin@contoso.comgesendet.
Parameter
-Confirm
Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.
- Destruktive Cmdlets (z. B. Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl zu bestätigen, bevor Sie fortfahren. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen:
-Confirm:$false. - Die meisten anderen Cmdlets (z. B. New-* und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-DomainController
Dieser Parameter ist im lokalen Exchange verfügbar.
Der Parameter "DomainController" gibt den Domänencontroller an, der von diesem Cmdlet verwendet wird, um aus Active Directory Daten zu lesen oder hineinzuschreiben. Der Domänencontroller kann anhand seines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) ermittelt werden. Beispiel: dc01.contoso.com.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
Der EndDate-Parameter gibt das Enddatum des Datumsbereichs an.
Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ExternalAccess
Der Parameter ExternalAccess gibt an, ob nur Überwachungsprotokolleinträge für den Postfachzugriff durch Benutzer zurückgegeben werden sollen, die sich außerhalb Ihrer Organisation befinden. In Exchange Online gibt dieser Parameter Überwachungsprotokolleinträge für den Postfachzugriff durch Microsoft Rechenzentrumsadministratoren zurück. Gültige Werte sind:
$true: Überwachungsprotokolleinträge für den Postfachzugriff durch externe Benutzer oder Microsoft Rechenzentrumsadministratoren werden zurückgegeben.
$false: Überwachungsprotokolleinträge für den Postfachzugriff durch externe Benutzer oder Microsoft Rechenzentrumsadministratoren werden ignoriert. Dies ist der Standardwert.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-GroupMailbox
Dieser Parameter ist nur im cloudbasierten Dienst verfügbar.
Der Schalter GroupMailbox ist erforderlich, um Microsoft 365-Gruppen in die Suche einzubeziehen. Sie müssen bei dieser Option keinen Wert angeben.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online |
-HasAttachments
Der Parameter HasAttachments filtert die Suche nach Nachrichten, die Anlagen enthalten. Gültige Werte sind:
- $true: Nur Nachrichten mit Anlagen werden in die Suche einbezogen.
- $false: Nachrichten mit und ohne Anlagen werden in die Suche einbezogen.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2016, Exchange Server 2019, Exchange Online |
-LogonTypes
Der Parameter LogonTypes gibt den Anmeldetyp an. Gültige Werte sind:
- Admin: Überwachungsprotokolleinträge für den Postfachzugriff durch Administratoranmeldungen werden zurückgegeben.
- Admin: Zurückgegeben werden Überwachungsprotokolleinträge für den Postfachzugriff durch Administratoren.
- Extern: Für Exchange Online Postfächer werden Überwachungsprotokolleinträge für den Postfachzugriff durch Microsoft Rechenzentrumsadministratoren zurückgegeben.
- Besitzer: Überwachungsprotokolleinträge für den Postfachzugriff durch den primären Postfachbesitzer werden zurückgegeben. Für diesen Wert ist der Schalter ShowDetails erforderlich.
Mehrere Werte können durch Kommata getrennt eingegeben werden.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Mailboxes
Der Parameter Mailboxes gibt das Postfach an, aus dem Postfachüberwachungsprotokolleinträge abgerufen werden sollen.
Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".
Wenn Sie keinen Wert angeben, werden Postfachüberwachungsprotokolle für alle Postfächer in der Organisation zurückgegeben.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Name
Der Parameter Name gibt einen Namen für die Suche an. Die Höchstlänge beträgt 64 Zeichen. Wenn der Wert Leerzeichen enthält, müssen Sie ihn in Anführungszeichen (") setzen.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Operations
Der Parameter Operations filtert die Suchergebnisse nach den Vorgängen, die von der Postfachüberwachungsprotokollierung protokolliert werden. Gültige Werte sind:
- Kopie
- Erstellen
- FolderBind
- HardDelete
- MailboxLogin
- MessageBind
- Verschieben
- MoveToDeletedItems
- SendAs
- SendOnBehalf
- SoftDelete
- Update
Mehrere Werte können durch Kommata getrennt eingegeben werden.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ShowDetails
Der Schalter ShowDetails gibt an, dass Details zu jedem Protokolleintrag abgerufen werden. Sie müssen keinen Wert für diese Option angeben.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-StartDate
Der StartDate-Parameter gibt das Startdatum und die Uhrzeit des Datumsbereichs an.
Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-StatusMailRecipients
Der Parameter StatusMailRecipients gibt die E-Mail-Adresse an, an die die Suchergebnisse gesendet werden. Es können mehrere Werte durch Kommata getrennt angegeben werden.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-WhatIf
Die Option "WhatIf" simuliert die Aktionen des Befehls. Sie können diesen Switch verwenden, um die Änderungen anzuzeigen, die auftreten würden, ohne diese Änderungen tatsächlich anzuwenden. Sie müssen keinen Wert für diese Option angeben.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
Eingaben
Input types
Eingabetypen, die dieses Cmdlet akzeptiert, finden Sie unter Eingabe- und Ausgabetypen für Cmdlets. Wenn das Feld mit dem Eingabetyp für ein Cmdlet leer ist, akzeptiert das Cmdlet diese Eingabedaten nicht.
Ausgaben
Output types
Informationen zu den Rückgabetypen, die auch als Ausgabetypen bezeichnet werden, die dieses Cmdlet akzeptiert, finden Sie unter Cmdlet Input and Output Types. Wenn das Feld Ausgabetyp leer ist, gibt das Cmdlet keine Daten zurück.