New-AdminAuditLogSearch

此 cmdlet 可在本地 Exchange 和基于云的服务中使用。 一些参数和设置可能只适用于某个特定的环境。

使用 New-AdminAuditLogSearch cmdlet 可以搜索管理员审核日志的内容并将结果发送到指定的一个或多个邮箱。

有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法

语法

New-AdminAuditLogSearch
   -EndDate <ExDateTime>
   -StartDate <ExDateTime>
   -StatusMailRecipients <MultiValuedProperty>
   [-Cmdlets <MultiValuedProperty>]
   [-Confirm]
   [-DomainController <Fqdn>]
   [-ExternalAccess <Boolean>]
   [-Name <String>]
   [-ObjectIds <MultiValuedProperty>]
   [-Parameters <MultiValuedProperty>]
   [-UserIds <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

说明

运行 New-AdminAuditLogSearch cmdlet 后,会在 15 分钟内将报告发送到指定的邮箱。 日志作为 XML 附件包含在报告电子邮件中。 可以生成的日志的最大大小为 10 兆字节 (MB)。

您必须先获得权限,然后才能运行此 cmdlet。 虽然本主题中列出了此 cmdlet 的所有参数,但如果这些参数并未包含在分配给您的权限中,那么您将无法使用这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet

示例

示例 1

New-AdminAuditLogSearch -Name "Mailbox Quota Change Audit" -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -StatusMailRecipients david@contoso.com, chris@contoso.com

此示例查找符合以下条件的所有管理员审核日志条目,并将结果发送到 david@contoso.com 和 chris@contoso.com SMTP 地址:

  • Cmdlets:Set-Mailbox
  • Parameters:UseDatabaseQuotaDefaults、ProhibitSendReceiveQuota、ProhibitSendQuota
  • StartDate: 01/24/2018
  • EndDate: 02/12/2018

示例 2

New-AdminAuditLogSearch -ExternalAccess $true -StartDate 07/25/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "Datacenter admin audit log"

此示例返回 2018 年 9 月 25 日至 2018 年 10 月 24 日期间Microsoft数据中心管理员运行的 cmdlet 的Exchange Online组织的管理员审核日志中的条目。 搜索结果将发送到 和 pilarp@contoso.com SMTP 地址,admin@contoso.com并将文本“数据中心管理员审核日志”添加到邮件的主题行。

参数

-Cmdlets

Cmdlets 参数指定要在管理员审核日志中搜索的 cmdlet。 仅返回包含指定 cmdlet 的日志条目。

如果要指定多个 cmdlet,应使用逗号分隔各个 cmdlet。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Confirm

Confirm 开关指定是否显示确认提示。 此开关对 cmdlet 造成的影响取决于在你继续操作之前 cmdlet 是否需要确认。

  • 破坏性 cmdlet (例如,Remove-* cmdlet) 具有内置的暂停,该暂停会强制你在继续操作之前确认命令。 对于这些 cmdlet,您可以使用此确切语法跳过确认提示:-Confirm:$false
  • 大多数其他 cmdlet (例如,New-* 和 Set-* cmdlet) 没有内置暂停。 对于这些 cmdlet,指定不含值的 Confirm 开关会引入暂停,从而强制要求你先确认命令,然后再继续操作。
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-DomainController

此参数只在本地 Exchange 中可用。

DomainController 参数指定此 cmdlet 从 Active Directory 读取数据或向其写入数据时使用的域控制器。 可以使用完全限定的域名 (FQDN) 来标识域控制器。 例如,dc01.contoso.com。

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

EndDate 参数指定日期范围的结束日期。

请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果将计算机配置为使用短日期格式 mm/dd/yyyy,请输入 09/01/2018 来指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ExternalAccess

ExternalAccess 参数仅针对您所在组织外部的用户运行的 cmdlet 返回审核日志条目。 在 Exchange Online 中,使用此参数返回由数据中心管理员Microsoft运行的 cmdlet 的审核日志条目。

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Name

Name 参数指定管理员审核日志搜索的名称。 该名称显示在审核日志报告电子邮件的主题行中。

如果报告名称中包含空格,则使用引号 (") 括住该名称。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ObjectIds

ObjectIds 参数指定仅返回包含指定更改对象的管理员审核日志条目。 此参数接受各种对象,例如邮箱、别名、发送连接器名称等。

如果要指定多个对象 ID,应使用逗号分隔各个 ID。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Parameters

Parameters 参数指定要在管理员审核日志中搜索的参数。 仅返回包含指定参数的日志条目。 仅当使用 Cmdlets 参数时才能使用此参数。

如果要指定多个参数,应使用逗号分隔各个参数。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StartDate

StartDate 参数指定日期范围的起始日期。

请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果将计算机配置为使用短日期格式 mm/dd/yyyy,请输入 09/01/2018 来指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StatusMailRecipients

StatusMailRecipients 参数指定应接收管理员审核日志报告的收件人。 收件人必须是有效的 SMTP 地址。

如果要指定多个收件人,应使用逗号分隔各个 SMTP 地址。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-UserIds

UserIds 参数指定仅返回包含运行 cmdlet 的用户的指定 ID 的管理员审核日志条目。

如果要指定多个用户 ID,应使用逗号分隔各个 ID。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-WhatIf

WhatIf 开关在安全 & 合规性 PowerShell 中不起作用。

WhatIf 开关模拟命令操作。 可以使用此开关在不实际应用将会发生的更改的情况下预览这些更改。 不必为此开关指定值。

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

输入

Input types

若要了解此 cmdlet 接受的输入类型,请参阅 cmdlet 的输入和输出类型。 如果 cmdlet 的"输入类型"字段为空,则表明此 cmdlet 不接受输入数据。

输出

Output types

若要了解此 cmdlet 接受的返回类型(亦称为"输出类型"),请参阅 cmdlet 的输入和输出类型。 如果"输出类型"字段为空,则表明此 cmdlet 不返回任何数据。