Search-AdminAuditLog
Este cmdlet está disponible en Exchange local y en el servicio basado en la nube. Puede que algunos parámetros y opciones de configuración sean exclusivos de un entorno u otro.
Use el cmdlet Search-AdminAuditLog para buscar el contenido del registro de auditoría de administrador. Los registros de auditoría de administrador se registran cuando un usuario o administrador realiza un cambio en su organización (en el Centro de administración de Exchange o mediante cmdlets).
Para obtener más información acerca de los conjuntos de parámetros de la sección Sintaxis a continuación, vea Sintaxis del cmdlet de Exchange.
Syntax
Search-AdminAuditLog
[-Cmdlets <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-IsSuccess <Boolean>]
[-ObjectIds <MultiValuedProperty>]
[-Parameters <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[-StartIndex <Int32>]
[-UserIds <MultiValuedProperty>]
[<CommonParameters>]
Description
Si ejecuta el cmdlet Search-AdminAuditLog sin parámetros, se devolverán de forma predeterminada hasta 1.000 entradas de registro.
En Exchange Online PowerShell, si no usa los parámetros StartDate o EndDate, solo se devuelven los resultados de los últimos 14 días.
En Exchange Online PowerShell, los datos están disponibles durante los últimos 90 días. Puede especificar fechas anteriores a 90 días, pero solo se devolverán los datos de los últimos 90 días.
Para obtener más información sobre la estructura y las propiedades del registro de auditoría, consulte Estructura de registro de auditoría de administrador.
Deberá tener asignados permisos antes de poder ejecutar este cmdlet. Aunque en este tema se enumeran todos los parámetros correspondientes a este cmdlet, tal vez no tenga acceso a algunos parámetros si no están incluidos en los permisos que se le han asignado. Para obtener los permisos necesarios para ejecutar cualquier cmdlet o parámetro en su organización, consulte Find the permissions required to run any Exchange cmdlet.
Ejemplos
Ejemplo 1
Search-AdminAuditLog -Cmdlets New-RoleGroup,New-ManagementRoleAssignment
En este ejemplo, se buscan todas las entradas del registro de auditoría de administrador que contengan el cmdlet New-RoleGroup o New-ManagementRoleAssignment.
Ejemplo 2
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults,ProhibitSendReceiveQuota,ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -IsSuccess $true
En este ejemplo, se buscan todas entradas del registro de auditoría de administrador que coincidan con los criterios siguientes:
- Cmdlets: Set-Mailbox
- Parámetros: UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
- StartDate: 24/01/2018
- EndDate: 12/02/2018
El comando se completó correctamente
Ejemplo 3
$LogEntries = Search-AdminAuditLog -Cmdlets Write-AdminAuditLog
$LogEntries | ForEach { $_.CmdletParameters }
En este ejemplo, se muestran todos los comentarios escritos en el registro de auditoría de administrador por el cmdlet Write-AdminAuditLog.
En primer lugar, almacene las entradas del registro de auditoría en una variable temporal. A continuación, recorre en iteración todas las entradas de registro de auditoría devueltas y muestra la propiedad Parameters.
Ejemplo 4
Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2018 -EndDate 10/02/2018
En este ejemplo se devuelven entradas en el registro de auditoría de administrador de una organización de Exchange Online para los cmdlets que ejecutan los administradores del centro de datos de Microsoft entre el 17 de septiembre de 2018 y el 2 de octubre de 2018.
Parámetros
-Cmdlets
El parámetro Cmdlets filtra los resultados por los cmdlets que se usaron. Puede especificar varios cmdlets separados por comas.
En los resultados de este cmdlet, esta propiedad se denomina CmdletName.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-DomainController
Este parámetro solo está disponible en Exchange local.
El parámetro DomainController especifica el controlador de dominio que el cmdlet usa para leer datos de Active Directory o escribirlos. El controlador de dominio se identifica por su nombre de dominio completo (FQDN). Por ejemplo, dc01.contoso.com.
Type: | Fqdn |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
El parámetro EndDate especifica la fecha de finalización del intervalo de fechas.
Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta mm/dd/yyyy, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".
En el servicio basado en la nube, si especifica un valor de fecha y hora sin una zona horaria, el valor está en Hora universal coordinada (UTC). Para especificar un valor de fecha y hora para este parámetro, use una de las siguientes opciones:
- Especifique el valor de fecha y hora en UTC: por ejemplo, "2021-05-06 14:30:00z".
- Especifique el valor de fecha y hora como una fórmula que convierta la fecha y hora de la zona horaria local en UTC: por ejemplo,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime()
. Para obtener más información, vea Get-Date.
En los resultados de este cmdlet, la fecha y hora en que se realizó el cambio (se ejecutó el cmdlet) se devuelve en la propiedad denominada RunDate.
Type: | ExDateTime |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ExternalAccess
El parámetro ExternalAccess filtra los resultados por los cambios realizados (cmdlets que se ejecutaron) por usuarios fuera de la organización. Los valores admitidos son:
- $true: solo devuelve entradas de registro de auditoría en las que un usuario externo realizó el cambio. En Exchange Online, use el valor para devolver entradas de registro de auditoría para los cambios realizados por los administradores del centro de datos de Microsoft.
- $false: solo devuelve entradas de registro de auditoría en las que un usuario interno realizó el cambio.
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-IsSuccess
El parámetro IsSuccess filtra los resultados mediante si los cambios se realizaron correctamente. Los valores admitidos son:
- $true: solo devuelve entradas de registro de auditoría en las que el cambio se realizó correctamente (es decir, el cmdlet se ejecutó correctamente).
- $false: solo devuelve entradas de registro de auditoría en las que el cambio no se realizó correctamente (es decir, el cmdlet no se ejecutó correctamente y produjo un error).
En los resultados de este cmdlet, esta propiedad se denomina Succeeded.
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ObjectIds
El parámetro ObjectIds filtra los resultados por el objeto que se modificó (el buzón, la carpeta pública, el conector send, la regla de transporte, el dominio aceptado, etc. en el que operaba el cmdlet). Un valor válido depende de cómo se represente el objeto en el registro de auditoría. Por ejemplo:
- Nombre
- Nombre distintivo canónico (por ejemplo, contoso.com/Users/Akia Al-Zuhairi)
- Identidad de carpeta pública (por ejemplo, \Engineering\Customer Discussion)
Es probable que deba usar otros parámetros de filtrado en este cmdlet para restringir los resultados e identificar los tipos de objetos que le interesan. En los resultados de este cmdlet, esta propiedad se denomina ObjectModified.
Update Si los valores contienen espacios o necesitan comillas, use la siguiente sintaxis: "Value1","Value2",..."ValueN"
.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-Parameters
El parámetro Parameters filtra los resultados por los parámetros que se usaron. Solo puede usar este parámetro con el parámetro Cmdlets (no puede usarlo por sí mismo). Puede especificar varios parámetros separados por comas.
En los resultados de este cmdlet, esta propiedad se denomina CmdletParameters.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ResultSize
El parámetro ResultSize especifica el número máximo de resultados que se van a devolver. El valor predeterminado es 1000.
Los resultados máximos que se devolverán son 250 000.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-StartDate
El parámetro StartDate especifica la fecha de inicio del intervalo de fechas.
Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta mm/dd/yyyy, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".
En el servicio basado en la nube, si especifica un valor de fecha y hora sin una zona horaria, el valor está en Hora universal coordinada (UTC). Para especificar un valor de fecha y hora para este parámetro, use una de las siguientes opciones:
- Especifique el valor de fecha y hora en UTC: por ejemplo, "2021-05-06 14:30:00z".
- Especifique el valor de fecha y hora como una fórmula que convierta la fecha y hora de la zona horaria local en UTC: por ejemplo,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime()
. Para obtener más información, vea Get-Date.
En los resultados de este cmdlet, la fecha y hora en que se realizó el cambio (se ejecutó el cmdlet) se devuelve en la propiedad denominada RunDate.
Type: | ExDateTime |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-StartIndex
El parámetro StartIndex especifica la posición en el conjunto de resultados donde se inician los resultados mostrados.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-UserIds
El parámetro UserIds filtra los resultados por el usuario que realizó el cambio (quién ejecutó el cmdlet).
Un valor típico para este parámetro es el nombre principal de usuario (UPN; por ejemplo, helpdesk@contoso.com). Sin embargo, las actualizaciones realizadas por cuentas del sistema sin direcciones de correo electrónico pueden usar la sintaxis Domain\Username (por ejemplo, NT AUTHORITY\SYSTEM (MSExchangeHMHost)).
Update Si los valores contienen espacios o necesitan comillas, use la siguiente sintaxis: "User1","User2",..."UserN"
.
En los resultados de este cmdlet, esta propiedad se denomina Llamador.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
Entradas
Input types
Para ver los tipos de entrada que acepta este cmdlet, consulte Tipos de entrada y salida de cmdlet. Si el campo Tipo de entrada de un cmdlet está en blanco, el cmdlet no acepta datos de entrada.
Salidas
Output types
Para ver los tipos de valor devuelto (también conocidos como tipos de resultado) que acepta este cmdlet, consulte Tipos de entrada y salida de cmdlet. Si el campo Tipo de resultado está en blanco, el cmdlet no devuelve datos.