Поделиться через


New-AdminAuditLogSearch

Этот командлет доступен в локальной среде Exchange и в облачной службе. Некоторые параметры и настройки могут отличаться в зависимости от среды.

Командлет New-AdminAuditLogSearch используется для поиска по содержимому журнала административного аудита и отправки результатов в один или несколько указываемых почтовых ящиков.

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

New-AdminAuditLogSearch
   -EndDate <ExDateTime>
   -StartDate <ExDateTime>
   -StatusMailRecipients <MultiValuedProperty>
   [-Cmdlets <MultiValuedProperty>]
   [-Confirm]
   [-DomainController <Fqdn>]
   [-ExternalAccess <Boolean>]
   [-Name <String>]
   [-ObjectIds <MultiValuedProperty>]
   [-Parameters <MultiValuedProperty>]
   [-UserIds <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Описание

После запуска командлета New-AdminAuditLogSearch отчет доставляется в указанные почтовые ящики в течение 15 минут. Журнал включается в сообщение электронной почты с отчетом в виде XML-вложения. Максимальный размер создаваемого журнала составляет 10 мегабайт (МБ).

Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.

Примеры

Пример 1

New-AdminAuditLogSearch -Name "Mailbox Quota Change Audit" -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -StatusMailRecipients david@contoso.com, chris@contoso.com

В этом примере выполняется поиск всех записей журнала аудита администратора, которые соответствуют следующим критериям, и результаты отправляются на david@contoso.com SMTP-адреса и chris@contoso.com :

  • Командлеты:Set-Mailbox
  • Параметры: UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
  • Дата начала: 24.01.2018
  • Дата окончания: 12.02.2018

Пример 2

New-AdminAuditLogSearch -ExternalAccess $true -StartDate 07/25/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "Datacenter admin audit log"

В этом примере возвращаются записи в журнале аудита администратора Exchange Online организации для командлетов, выполняемых администраторами центра обработки данных Майкрософт в период с 25 сентября 2018 г. по 24 октября 2018 г. Результаты поиска отправляются на admin@contoso.com SMTP-адреса и pilarp@contoso.com , а текст "Журнал аудита администратора центра обработки данных" добавляется в строку темы сообщения.

Параметры

-Cmdlets

Параметр Cmdlets задает командлеты, поиск по которым следует вести в журнале административного аудита. Возвращаются только записи журнала, содержащие указанные командлеты.

При указании нескольких командлетов разделяйте их запятыми.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Confirm

Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.

  • Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис: -Confirm:$false.
  • Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-DomainController

Этот параметр доступен только в локальной среде Exchange.

Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

Параметр EndDate указывает дату окончания из диапазона дат.

Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ExternalAccess

Параметр ExternalAccess возвращает записи журнала аудита только для командлетов, запущенных пользователем вне вашей организации. В Exchange Online используйте этот параметр для возврата записей журнала аудита для командлетов, выполняемых администраторами центра обработки данных Майкрософт.

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Name

Параметр Name указывает имя поиска в журнале административного аудита. Имя приводится в теме сообщения электронной почты с отчетом о поиске в журнале аудита.

Если имя отчета содержит пробелы, его необходимо заключить в кавычки (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ObjectIds

Параметр ObjectIds указывает, что возвращаться должны только записи журнала административного аудита, содержащие указанные измененные объекты. Этот параметр принимает различные объекты, такие как почтовые ящики, псевдонимы, отправка имен соединителей и т. д.

При указании нескольких идентификаторов объектов разделяйте их запятыми.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Parameters

Параметр Parameters задает параметры, поиск по которым следует вести в журнале административного аудита. Возвращаются только записи журнала, содержащие указанные параметры. Этот параметр нельзя использовать, если используется параметр Cmdlets.

При указании нескольких параметров разделяйте их запятыми.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StartDate

Параметр StartDate указывает дату начала из диапазона дат.

Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StatusMailRecipients

Параметр StatusMailRecipients указывает получателей отчета по поиску в журнале административного аудита. В качестве получателя должен быть указан действительный SMTP-адрес.

При указании нескольких получателей разделяйте каждый SMTP-адрес запятыми.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-UserIds

Параметр UserIds указывает, что возвращаться должны только записи журнала административного аудита, содержащие указанный идентификатор пользователя, запускавшего командлеты.

При указании нескольких идентификаторов пользователей разделяйте их запятыми.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-WhatIf

Параметр WhatIf не работает в PowerShell для соответствия требованиям безопасности & .

Переключатель WhatIf имитирует действия команды. Вы можете использовать его для просмотра результатов изменений без фактического внесения этих изменений. С этим параметром не нужно указывать значение.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

Входные данные

Input types

Сведения о типах входных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип ввода для командлета пустое, командлет не принимает входные данные.

Выходные данные

Output types

Сведения о типах возвращаемых данных, которые также называются типами выходных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип вывода пусто, командлет не возвращает данные.