Search-MailboxAuditLog
Observação
Este cmdlet será preterido no serviço baseado na cloud. Para aceder aos dados do registo de auditoria, utilize o cmdlet Search-UnifiedAuditLog. Para obter mais informações, consulte esta mensagem de blogue: https://aka.ms/AuditCmdletBlog.
Este cmdlet está disponível no Exchange local e no serviço baseado na nuvem. Alguns parâmetros e definições podem ser exclusivos de um ambiente ou outro.
Use o cmdlet Search-MailboxAuditLog para pesquisar entradas de log de auditoria de caixa de correio correspondentes aos termos de pesquisa especificados.
Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.
Sintaxe
Identity
Search-MailboxAuditLog
[[-Identity] <MailboxIdParameter>]
[-ShowDetails]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-IncludeInactiveMailbox]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>]
MultipleMailboxesSearch
Search-MailboxAuditLog
[-Mailboxes <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-IncludeInactiveMailbox]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>]
Description
O cmdlet Search-MailboxAuditLog efetua uma pesquisa síncrona de registos de auditoria de caixa de correio para uma ou mais caixas de correio especificadas e apresenta os resultados da pesquisa na janela da Shell de Gestão do Exchange. Para pesquisar logs de auditoria de caixa de correio para várias caixas de correio e enviar os resultados por email para destinatários especificados, use o cmdlet New-MailboxAuditLogSearch, em vez disso. Para saber mais sobre o registo de auditoria de caixas de correio, consulte Registo de auditoria da caixa de correio no Exchange Server.
Em ambientes multigeográficos, quando executa este cmdlet numa região diferente da caixa de correio que está a tentar pesquisar, poderá receber o erro "Ocorreu um erro ao tentar aceder ao registo de auditoria". Neste cenário, tem de ancorar a sessão do PowerShell a um utilizador na mesma região que a caixa de correio, conforme descrito em Ligar diretamente a uma localização geográfica com o Exchange Online PowerShell.
Para executar esse cmdlet, você precisa ter permissões. Embora este artigo liste todos os parâmetros do cmdlet, poderá não ter acesso a alguns parâmetros se não estiverem incluídos nas permissões que lhe foram atribuídas. Para localizar as permissões necessárias para executar qualquer cmdlet ou parâmetro em sua organização, confira Find the permissions required to run any Exchange cmdlet.
Exemplos
Exemplo 1
Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000
Este exemplo obtém entradas de registo de auditoria de caixa de correio para a caixa de correio de Ken Kwok para ações realizadas por tipos de início de sessão Administração e Delegado entre 1/1/2018 e 31/12/2018. No máximo, 2.000 entradas de log são retornadas.
Exemplo 2
Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000
Este exemplo obtém entradas de registo de auditoria de caixa de correio para as caixas de correio de Ken Kwok e Ben Smith para ações realizadas por Administração e delegar tipos de início de sessão entre 1/1/2018 e 31/12/2018. No máximo, 2.000 entradas de log são retornadas.
Exemplo 3
Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}
Este exemplo obtém entradas de registo de auditoria de caixa de correio para a caixa de correio de Ken Kwok para ações realizadas pelo proprietário da caixa de correio entre 1/1/2017 e 01/03/2017. Os resultados são redirecionados para o cmdlet Where-Object e filtrados para retornar apenas entradas com a ação HardDelete.
Parâmetros
-DomainController
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019
Este parâmetro está disponível somente no Exchange local.
O parâmetro DomainController especifica o controlador de domínio que é usado por esse cmdlet para ler dados ou gravar dados no Active Directory. Você identifica o controlador de domínio por seu FQDN (nome de domínio totalmente qualificado). Por exemplo, dc01.contoso.com.
Propriedades do parâmetro
| Tipo: | Fqdn |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-EndDate
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
O parâmetro EndDate especifica a data de término do intervalo de datas.
Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para utilizar o formato de data abreviada MM/dd/aaaa, introduza 01/09/2018 para especificar 1 de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".
Propriedades do parâmetro
| Tipo: | ExDateTime |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-ExternalAccess
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
O parâmetro ExternalAccess especifica se pretende devolver apenas entradas de registo de auditoria para acesso à caixa de correio por utilizadores fora da sua organização. No Exchange Online, este parâmetro devolve entradas de registo de auditoria para acesso à caixa de correio por administradores de datacenters da Microsoft. Os valores válidos são:
$true: são devolvidas entradas de registo de auditoria para acesso à caixa de correio por utilizadores externos ou administradores de datacenters da Microsoft.
$false: as entradas de registo de auditoria para acesso à caixa de correio por utilizadores externos ou administradores de datacenters da Microsoft são ignoradas. Este valor é a predefinição.
Propriedades do parâmetro
| Tipo: | Boolean |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-GroupMailbox
Aplicável: Exchange Online
Esse parâmetro só está disponível no serviço baseado em nuvem.
O comutador GroupMailbox é necessário para incluir Grupos do Microsoft 365 na pesquisa. Não é preciso especificar um valor com essa opção.
Propriedades do parâmetro
| Tipo: | SwitchParameter |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-HasAttachments
Aplicável: Exchange Server 2016, Exchange Server 2019, Exchange Online
O parâmetro HasAttachments filtra a pesquisa por mensagens com anexos. Os valores válidos são:
- $true: apenas as mensagens com anexos são incluídas na pesquisa.
- $false: as mensagens com e sem anexos são incluídas na pesquisa.
Propriedades do parâmetro
| Tipo: | Boolean |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-Identity
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
O parâmetro Identidade especifica uma única caixa de correio para obter entradas de registo de auditoria da caixa de correio. É possível usar qualquer valor que identifique a caixa de correio exclusivamente. Por exemplo:
- Nome
- Alias
- Nome diferenciado (DN)
- Nome diferenciado (DN)
- Domínio\Nome de Utilizador
- Endereço de email
- GUID
- LegacyExchangeDN
- SamAccountName
- ID de usuário ou nome UPN
Propriedades do parâmetro
| Tipo: | MailboxIdParameter |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
Identity
| Cargo: | 1 |
| Obrigatório: | False |
| Valor do pipeline: | True |
| Valor do pipeline pelo nome da propriedade: | True |
| Valor dos argumentos restantes: | False |
-IncludeInactiveMailbox
Aplicável: Exchange Online
Esse parâmetro só está disponível no serviço baseado em nuvem.
{{ Fill IncludeInactiveMailbox Description }}
Propriedades do parâmetro
| Tipo: | SwitchParameter |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-LogonTypes
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
O parâmetro LogonTypes especifica o tipo de inícios de sessão. Os valores válidos são:
- Administração: são devolvidas entradas de registo de auditoria para acesso à caixa de correio por inícios de sessão de administrador.
- Admin: as entradas de log de auditoria para acesso à caixa de correio pelos logons de administrador são retornadas.
- Proprietário: são devolvidas as entradas de registo de auditoria para acesso à caixa de correio pelo proprietário da caixa de correio principal. Este valor requer o comutador ShowDetails.
Propriedades do parâmetro
| Tipo: | MultiValuedProperty |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-Mailboxes
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
O parâmetro Caixas de Correio especifica as caixas de correio para obter entradas de registo de auditoria da caixa de correio. Você pode usar esse parâmetro para pesquisar os logs de auditoria para várias caixas de correio.
Introduza várias caixas de correio separadas por vírgulas. Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".
Não pode utilizar este parâmetro com o comutador ShowDetails.
Propriedades do parâmetro
| Tipo: | MultiValuedProperty |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
MultipleMailboxesSearch
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-Operations
Aplicável: Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
O parâmetro Operações filtra os resultados da pesquisa pelas ações da caixa de correio registadas pelo registo de auditoria da caixa de correio. Os valores válidos são:
- AddFolderPermissions (apenas exchange 2019 e Exchange Online. Embora este valor seja aceite, já está incluído na ação UpdateFolderPermissions e não é auditado separadamente.)
- AplicarRegisto (apenas Exchange Online)
- Copiar
- Criar
- Predefinição (apenas Exchange Online)
- PastaBind
- HardDelete
- MailboxLogin
- MailItemsAccessed (apenas Exchange Online e apenas para utilizadores de subscrições de suplementos de Conformidade E5 ou E5.)
- MessageBind (embora este valor seja aceite, estas ações já não são registadas.)
- ModifyFolderPermissions (apenas exchange 2019 e Exchange Online. Embora este valor seja aceite, já está incluído na ação UpdateFolderPermissions e não é auditado separadamente.)
- Mover
- MoveToDeletedItems
- RecordDelete (apenas Exchange Online)
- RemoveFolderPermissions (apenas exchange 2019 e Exchange Online. Embora este valor seja aceite, já está incluído na ação UpdateFolderPermissions e não é auditado separadamente.)
- SendAs
- SendOnBehalf
- SoftDelete
- Atualizar
- UpdateCalendarDelegation (apenas exchange 2019 e Exchange Online)
- UpdateComplianceTag (apenas Exchange Online)
- UpdateFolderPermissions (apenas no Exchange 2019 e Exchange Online)
- UpdateInboxRules (apenas no Exchange 2019 e Exchange Online)
Update
Propriedades do parâmetro
| Tipo: | MultiValuedProperty |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-ResultSize
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
O parâmetro ResultSize especifica o número máximo de entradas do log de auditoria de caixa de correio a serem retornadas. Valores válidos incluem um inteiro de 1 a 250000. Por padrão, 1000 entradas são retornadas.
Propriedades do parâmetro
| Tipo: | Int32 |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-ShowDetails
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
O comutador ShowDetails obtém os detalhes de cada entrada de registo a partir da caixa de correio. Não é preciso especificar um valor com essa opção.
Por padrão, todos os campos de cada entrada de log retornada são exibidos em uma lista.
Não pode utilizar este comutador com o parâmetro Caixas de Correio.
Propriedades do parâmetro
| Tipo: | SwitchParameter |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
Identity
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-StartDate
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online
O parâmetro StartDate especifica a data de início do intervalo de datas.
Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para utilizar o formato de data abreviada MM/dd/aaaa, introduza 01/09/2018 para especificar 1 de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".
Propriedades do parâmetro
| Tipo: | ExDateTime |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
CommonParameters
Este cmdlet suporta os parâmetros comuns: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction e -WarningVariable. Para obter mais informações, confira about_CommonParameters.
Entradas
Input types
Para ver os tipos de entrada que este cmdlet aceita, confira Tipos de entrada e saída de cmdlet. Se o campo Tipo de Entrada de um cmdlet estiver em branco, isso significa que o cmdlet não aceita dados de entrada.
Saídas
Output types
Para ver os tipos de retorno, também conhecidos como tipos de saída, que este cmdlet aceita, consulte Tipos de entrada e saída de cmdlet. Se o campo Tipo de Saída estiver em branco, o cmdlet não retorna dados.