Search-AdminAuditLog
Este cmdlet está disponível no Exchange local e no serviço baseado na nuvem. Alguns parâmetros e configurações podem ser exclusivos de um ou outro ambiente.
Use o cmdlet Search-AdminAuditLog para pesquisar o conteúdo do log de auditoria do administrador. Registros de registro em log de auditoria de administrador quando um usuário ou administrador faz uma alteração em sua organização (no centro de administração do Exchange ou usando cmdlets).
Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.
Syntax
Search-AdminAuditLog
[-Cmdlets <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-IsSuccess <Boolean>]
[-ObjectIds <MultiValuedProperty>]
[-Parameters <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[-StartIndex <Int32>]
[-UserIds <MultiValuedProperty>]
[<CommonParameters>] Description
Se o cmdlet Search-AdminAuditLog for executado sem nenhum parâmetro, até 1.000 entradas de log são retornadas, por padrão.
Em Exchange Online PowerShell, se você não usar os parâmetros StartDate ou EndDate, somente os resultados dos últimos 14 dias serão retornados.
Em Exchange Online PowerShell, os dados estão disponíveis para os últimos 90 dias. Você pode inserir datas com mais de 90 dias, mas somente os dados dos últimos 90 dias serão retornados.
Para obter mais informações sobre a estrutura e as propriedades do log de auditoria, consulte Estrutura de log de auditoria do administrador.
Para executar esse cmdlet, você precisa ter permissões. Embora este tópico liste todos os parâmetros do cmdlet, talvez você não tenha acesso a alguns parâmetros se eles não estiverem incluídos nas permissões atribuídas a você. Para localizar as permissões necessárias para executar qualquer cmdlet ou parâmetro em sua organização, confira Find the permissions required to run any Exchange cmdlet.
Exemplos
Exemplo 1
Search-AdminAuditLog -Cmdlets New-RoleGroup,New-ManagementRoleAssignmentEste exemplo encontra todas as entradas de log de auditoria que tenham o cmdlet New-RoleGroup ou New-ManagementRoleAssignment.
Exemplo 2
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults,ProhibitSendReceiveQuota,ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -IsSuccess $trueEste exemplo encontra todas as entradas de log de auditoria que correspondam aos seguintes critérios:
- Cmdlets: Set-Mailbox
- Parâmetros: UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
- StartDate: 24/01/2018
- EndDate: 12/02/2018
O comando foi concluído com sucesso
Exemplo 3
$LogEntries = Search-AdminAuditLog -Cmdlets Write-AdminAuditLog
$LogEntries | ForEach { $_.CmdletParameters }Este exemplo exibe todos os comentários escritos no log de auditoria do administrador pelo cmdlet Write-AdminAuditLog.
Primeiro, armazene as entradas de log de auditoria em uma variável temporária. Em seguida, itere todas as entradas de log de auditoria retornadas e exiba a propriedade Parâmetros.
Exemplo 4
Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2018 -EndDate 10/02/2018Este exemplo retorna entradas no log de auditoria de administrador de uma organização Exchange Online para cmdlets executados pelos administradores do datacenter da Microsoft entre 17 de setembro de 2018 e 2 de outubro de 2018.
Parâmetros
-Cmdlets
O parâmetro Cmdlets filtra os resultados pelos cmdlets usados. Você pode especificar vários cmdlets separados por vírgulas.
Nos resultados desse cmdlet, essa propriedade se chama CmdletName.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-DomainController
Este parâmetro está disponível somente no Exchange local.
O parâmetro DomainController especifica o controlador de domínio que é usado por esse cmdlet para ler dados ou gravar dados no Active Directory. Você identifica o controlador de domínio por seu FQDN (nome de domínio totalmente qualificado). Por exemplo, dc01.contoso.com.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
O parâmetro EndDate especifica a data de término do intervalo de datas.
Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para usar o formato de data abreviada mm/dd/yyyy, insira 01/09/2018 para especificar 1º de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".
No serviço baseado em nuvem, se você especificar um valor de data/hora sem um fuso horário, o valor estará em UTC (Tempo Universal Coordenado). Para especificar um valor de data/hora para este parâmetro, use uma das opções a seguir:
- Especifique o valor de data/hora em UTC: por exemplo, "2021-05-06 14:30:00z".
- Especifique o valor de data/hora como uma fórmula que converte a data/hora no fuso horário local em UTC: Por exemplo,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Para mais informações, consulte Get-Date.
Nos resultados desse cmdlet, a data/hora em que a alteração foi feita (o cmdlet foi executado) é retornada na propriedade chamada RunDate.
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ExternalAccess
O parâmetro ExternalAccess filtra os resultados por alterações feitas (cmdlets executados) por usuários fora de sua organização. Os valores válidos são:
- $true: retornar somente entradas de log de auditoria em que a alteração foi feita por um usuário externo. Em Exchange Online, use o valor para retornar entradas de log de auditoria para alterações feitas pelos administradores do datacenter da Microsoft.
- $false: retornar somente entradas de log de auditoria em que a alteração foi feita por um usuário interno.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-IsSuccess
O parâmetro IsSuccess filtra os resultados se as alterações foram bem-sucedidas. Os valores válidos são:
- $true: somente retornar entradas de log de auditoria em que a alteração foi bem-sucedida (em outras palavras, o cmdlet foi executado com êxito).
- $false: somente retornar entradas de log de auditoria em que a alteração não foi bem-sucedida (em outras palavras, o cmdlet não foi executado com êxito e resultou em um erro).
Nos resultados desse cmdlet, essa propriedade se chama Succeeded.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ObjectIds
O parâmetro ObjectIds filtra os resultados pelo objeto modificado (a caixa de correio, a pasta pública, o conector Enviar, a regra de transporte, o domínio aceito etc. em que o cmdlet operava). Um valor válido depende de como o objeto é representado no log de auditoria. Por exemplo:
- Nome
- Nome distinto canônico (por exemplo, contoso.com/Users/Akia Al-Zuhairi)
- Identidade da pasta pública (por exemplo, \Engenharia\Discussão do Cliente)
Você provavelmente precisará usar outros parâmetros de filtragem neste cmdlet para restringir os resultados e identificar os tipos de objetos nos quais você está interessado. Nos resultados desse cmdlet, essa propriedade se chama ObjectModified.
Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-Parameters
O parâmetro Parâmetros filtra os resultados pelos parâmetros usados. Você só pode usar esse parâmetro com o parâmetro Cmdlets (não é possível usá-lo por si só). Você pode especificar vários parâmetros separados por vírgulas.
Nos resultados desse cmdlet, essa propriedade se chama CmdletParameters
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-ResultSize
O parâmetro ResultSize especifica o número máximo de resultados a serem retornados. O valor padrão é 1000.
O resultado máximo a ser retornado é 250.000.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-StartDate
O parâmetro StartDate especifica a data de início do intervalo de datas.
Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para usar o formato de data abreviada mm/dd/yyyy, insira 01/09/2018 para especificar 1º de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".
No serviço baseado em nuvem, se você especificar um valor de data/hora sem um fuso horário, o valor estará em UTC (Tempo Universal Coordenado). Para especificar um valor de data/hora para este parâmetro, use uma das opções a seguir:
- Especifique o valor de data/hora em UTC: por exemplo, "2021-05-06 14:30:00z".
- Especifique o valor de data/hora como uma fórmula que converte a data/hora no fuso horário local em UTC: Por exemplo,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Para mais informações, consulte Get-Date.
Nos resultados desse cmdlet, a data/hora em que a alteração foi feita (o cmdlet foi executado) é retornada na propriedade chamada RunDate.
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-StartIndex
O parâmetro StartIndex especifica a posição de início dos resultados exibidos no conjunto de resultados.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
-UserIds
O parâmetro UserIds filtra os resultados pelo usuário que fez a alteração (que executou o cmdlet).
Um valor típico para esse parâmetro é o nome da entidade de usuário (UPN; por exemplo, helpdesk@contoso.com). Mas, as atualizações feitas por contas do sistema sem endereços de email podem usar a sintaxe Domain\Username (por exemplo, NT AUTHORITY\SYSTEM (MSExchangeHMHost)).
Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "User1","User2",..."UserN".
Nos resultados desse cmdlet, essa propriedade se chama Chamador
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection |
Entradas
Input types
Para ver os tipos de entrada que este cmdlet aceita, confira Tipos de entrada e saída de cmdlet. Se o campo Tipo de Entrada de um cmdlet estiver em branco, isso significa que o cmdlet não aceita dados de entrada.
Saídas
Output types
Para ver os tipos de retorno, também conhecidos como tipos de saída, que este cmdlet aceita, consulte Tipos de entrada e saída de cmdlet. Se o campo Tipo de Saída estiver em branco, o cmdlet não retorna dados.