Search-AdminAuditLog
Hinweis
Dieses Cmdlet ist im cloudbasierten Dienst veraltet. Verwenden Sie das Cmdlet Search-UnifiedAuditLog, um auf Überwachungsprotokolldaten zuzugreifen. Weitere Informationen finden Sie in diesem Blogbeitrag: https://aka.ms/AdminAuditCmdletBlog.
Dieses Cmdlet ist der lokalen Bereitstellung von Exchange und im cloudbasierten Dienst verfügbar. Einige Parameter und Einstellungen können für die eine oder die andere Umgebung exklusiv sein.
Verwenden Sie das Cmdlet Search-AdminAuditLog, um den Inhalt des Administratorüberwachungsprotokolls zu durchsuchen. Die Administratorüberwachungsprotokollierung zeichnet auf, wenn ein Benutzer oder Administrator eine Änderung in Ihrem organization vornimmt (im Exchange Admin Center oder mithilfe von Cmdlets).
Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.
Syntax
Default (Standard)
Search-AdminAuditLog
[-Cmdlets <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-IsSuccess <Boolean>]
[-ObjectIds <MultiValuedProperty>]
[-Parameters <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[-StartIndex <Int32>]
[-UserIds <MultiValuedProperty>]
[<CommonParameters>]
Beschreibung
Wenn Sie das Cmdlet Search-AdminAuditLog ohne Parameter ausführen, werden standardmäßig bis zu 1.000 Protokolleinträge zurückgegeben.
Wenn Sie in Exchange Online PowerShell nicht die Parameter StartDate oder EndDate verwenden, werden nur Ergebnisse der letzten 14 Tage zurückgegeben.
In Exchange Online PowerShell sind Daten für die letzten 90 Tage verfügbar. Sie können Datumsangaben eingeben, die älter als 90 Tage sind, aber nur Daten aus den letzten 90 Tagen werden zurückgegeben.
Weitere Informationen zur Struktur und zu den Eigenschaften des Überwachungsprotokolls finden Sie unter Struktur des Administratorüberwachungsprotokolls.
Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Obwohl in diesem Artikel alle Parameter für das Cmdlet aufgeführt sind, haben Sie möglicherweise keinen Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.
Beispiele
Beispiel 1
Search-AdminAuditLog -Cmdlets New-RoleGroup,New-ManagementRoleAssignment
In diesem Beispiel werden alle Administratorüberwachungsprotokolleinträge gesucht, die entweder das New-RoleGroup- oder das New-ManagementRoleAssignment-Cmdlet enthalten.
Beispiel 2
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults,ProhibitSendReceiveQuota,ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -IsSuccess $true
In diesem Beispiel werden alle Administratorüberwachungsprotokolleinträge gesucht, die den folgenden Kriterien entsprechen:
- Cmdlets: Set-Mailbox
- Parameter: UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
- StartDatum: 24.01.2018
- EndDate: 12.02.2018
Der Befehl wurde erfolgreich abgeschlossen.
Beispiel 3
$LogEntries = Search-AdminAuditLog -Cmdlets Write-AdminAuditLog
$LogEntries | ForEach { $_.CmdletParameters }
In diesem Beispiel werden alle Kommentare angezeigt, die vom Cmdlet Write-AdminAuditLog in das Administratorüberwachungsprotokoll geschrieben wurden.
Speichern Sie zunächst die Überwachungsprotokolleinträge in einer temporären Variablen. Durchlaufen Sie dann alle zurückgegebenen Überwachungsprotokolleinträge, und zeigen Sie die Parameters-Eigenschaft an.
Beispiel 4
Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2018 -EndDate 10/02/2018
In diesem Beispiel werden Einträge im Administratorüberwachungsprotokoll eines Exchange Online organization für Cmdlets zurückgegeben, die zwischen dem 17. September 2018 und dem 2. Oktober 2018 von Microsoft-Rechenzentrumsadministratoren ausgeführt werden.
Parameter
-Cmdlets
Anwendbar: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Security & Compliance, Integrierte Sicherheit Add-On für lokale Postfächer
Der Cmdlets-Parameter filtert die Ergebnisse nach den verwendeten Cmdlets. Sie können mehrere Cmdlets angeben, die durch Kommas getrennt sind.
In den Ergebnissen dieses Cmdlets heißt diese Eigenschaft CmdletName.
Parametereigenschaften
| Typ: | MultiValuedProperty |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | True |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | True |
| Wert aus verbleibenden Argumenten: | False |
-DomainController
Anwendbar: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE
Dieser Parameter ist im lokalen Exchange verfügbar.
Der Parameter "DomainController" gibt den Domänencontroller an, der von diesem Cmdlet verwendet wird, um aus Active Directory Daten zu lesen oder hineinzuschreiben. Der Domänencontroller kann anhand seines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) ermittelt werden. Beispiel: dc01.contoso.com.
Parametereigenschaften
| Typ: | Fqdn |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-EndDate
Anwendbar: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Security & Compliance, Integrierte Sicherheit Add-On für lokale Postfächer
Der EndDate-Parameter gibt das Enddatum des Datumsbereichs an.
Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn der Computer beispielsweise für die Verwendung des kurzen Datumsformats MM/TT/jjjj konfiguriert ist, geben Sie 09/01/2018 ein, um den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".
Wenn Sie im cloudbasierten Dienst einen Datums-/Uhrzeitwert ohne Zeitzone angeben, liegt der Wert in koordinierter Weltzeit (UTC) vor. Verwenden Sie eine der folgenden Optionen, um einen Datum/Uhrzeit-Wert für diesen Parameter anzugeben:
- Geben Sie den Datums-/Uhrzeitwert in UTC an: Beispiel: "2021-05-06 14:30:00z".
- Geben Sie den Datums-/Uhrzeitwert als Formel an,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime()die das Datum/die Uhrzeit in Ihrer lokalen Zeitzone in UTC konvertiert: Beispiel: . Weitere Informationen finden Sie unter Get-Date.
In den Ergebnissen dieses Cmdlets wird das Datum/die Uhrzeit der Änderung (das Cmdlet wurde ausgeführt) in der Eigenschaft runDate zurückgegeben.
Parametereigenschaften
| Typ: | ExDateTime |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-ExternalAccess
Anwendbar: Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Security & Compliance, Integriertes Sicherheits-Add-On für lokale Postfächer
Der Parameter ExternalAccess filtert die Ergebnisse nach Änderungen, die von Benutzern außerhalb Ihres organization vorgenommen wurden (Cmdlets, die ausgeführt wurden). Gültige Werte sind:
- $true: Gibt nur Überwachungsprotokolleinträge zurück, bei denen die Änderung von einem externen Benutzer vorgenommen wurde. Verwenden Sie in Exchange Online wert, um Überwachungsprotokolleinträge für Änderungen zurückzugeben, die von Microsoft-Rechenzentrumsadministratoren vorgenommen wurden.
- $false: Gibt nur Überwachungsprotokolleinträge zurück, bei denen die Änderung von einem internen Benutzer vorgenommen wurde.
Parametereigenschaften
| Typ: | Boolean |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-IsSuccess
Anwendbar: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Security & Compliance, Integrierte Sicherheit Add-On für lokale Postfächer
Der Parameter IsSuccess filtert die Ergebnisse danach, ob die Änderungen erfolgreich waren. Gültige Werte sind:
- $true: Gibt nur Überwachungsprotokolleinträge zurück, bei denen die Änderung erfolgreich war (d. h. das Cmdlet wurde erfolgreich ausgeführt).
- $false: Gibt nur Überwachungsprotokolleinträge zurück, bei denen die Änderung nicht erfolgreich war (d. h., das Cmdlet wurde nicht erfolgreich ausgeführt und hat zu einem Fehler geführt).
In den Ergebnissen dieses Cmdlets hat diese Eigenschaft den Namen Succeeded.
Parametereigenschaften
| Typ: | Boolean |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-ObjectIds
Anwendbar: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Security & Compliance, Integrierte Sicherheit Add-On für lokale Postfächer
Der Parameter ObjectIds filtert die Ergebnisse nach dem objekt, das geändert wurde (Postfach, öffentlicher Ordner, Sendeconnector, Transportregel, akzeptierte Domäne usw.), für das das Cmdlet ausgeführt wurde. Ein gültiger Wert hängt davon ab, wie das Objekt im Überwachungsprotokoll dargestellt wird. Zum Beispiel:
- Name
- Kanonischer Distinguished Name (z. B. contoso.com/Users/Akia Al-Zuhairi)
- Identität öffentlicher Ordner (z. B. \Engineering\Customer Discussion)
Sie müssen wahrscheinlich andere Filterparameter für dieses Cmdlet verwenden, um die Ergebnisse einzugrenzen und die Typen von Objekten zu identifizieren, an denen Sie interessiert sind. In den Ergebnissen dieses Cmdlets heißt diese Eigenschaft ObjectModified.
Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".
Parametereigenschaften
| Typ: | MultiValuedProperty |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-Parameters
Anwendbar: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Security & Compliance, Integrierte Sicherheit Add-On für lokale Postfächer
Der Parameter Parameter filtert die Ergebnisse nach den verwendeten Parametern. Sie können diesen Parameter nur mit dem Cmdlets-Parameter verwenden (Sie können ihn nicht selbst verwenden). Sie können mehrere Parameter angeben, die durch Kommas getrennt sind.
In den Ergebnissen dieses Cmdlets heißt diese Eigenschaft CmdletParameters.
Parametereigenschaften
| Typ: | MultiValuedProperty |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-ResultSize
Anwendbar: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Security & Compliance, Integrierte Sicherheit Add-On für lokale Postfächer
Der ResultSize-Parameter gibt die maximale Anzahl von zurückzugebenden Ergebnissen an. Der Standardwert ist 1000.
Die maximal zurückgegebenen Ergebnisse sind 250.000.
Parametereigenschaften
| Typ: | Int32 |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-StartDate
Anwendbar: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Security & Compliance, Integrierte Sicherheit Add-On für lokale Postfächer
Der StartDate-Parameter gibt das Startdatum und die Uhrzeit des Datumsbereichs an.
Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn der Computer beispielsweise für die Verwendung des kurzen Datumsformats MM/TT/jjjj konfiguriert ist, geben Sie 09/01/2018 ein, um den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".
Wenn Sie im cloudbasierten Dienst einen Datums-/Uhrzeitwert ohne Zeitzone angeben, liegt der Wert in koordinierter Weltzeit (UTC) vor. Verwenden Sie eine der folgenden Optionen, um einen Datum/Uhrzeit-Wert für diesen Parameter anzugeben:
- Geben Sie den Datums-/Uhrzeitwert in UTC an: Beispiel: "2021-05-06 14:30:00z".
- Geben Sie den Datums-/Uhrzeitwert als Formel an,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime()die das Datum/die Uhrzeit in Ihrer lokalen Zeitzone in UTC konvertiert: Beispiel: . Weitere Informationen finden Sie unter Get-Date.
In den Ergebnissen dieses Cmdlets wird das Datum/die Uhrzeit der Änderung (das Cmdlet wurde ausgeführt) in der Eigenschaft runDate zurückgegeben.
Parametereigenschaften
| Typ: | ExDateTime |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-StartIndex
Anwendbar: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Security & Compliance, Integrierte Sicherheit Add-On für lokale Postfächer
Der StartIndex-Parameter gibt die Position im Resultset an, an der die angezeigten Ergebnisse beginnen.
Parametereigenschaften
| Typ: | Int32 |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-UserIds
Anwendbar: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Security & Compliance, Integrierte Sicherheit Add-On für lokale Postfächer
Der Parameter UserIds filtert die Ergebnisse nach dem Benutzer, der die Änderung vorgenommen hat (der das Cmdlet ausgeführt hat).
Ein typischer Wert für diesen Parameter ist der Benutzerprinzipalname (User Principal Name, UPN, helpdesk@contoso.comz. B. ). Updates, die von Systemkonten ohne E-Mail-Adressen vorgenommen wurden, können jedoch die Syntax Domäne\Benutzername verwenden (z. B. NT AUTHORITY\SYSTEM (MSExchangeHMHost)).
Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "User1","User2",..."UserN".
In den Ergebnissen dieses Cmdlets heißt diese Eigenschaft Aufrufer.
Parametereigenschaften
| Typ: | MultiValuedProperty |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
CommonParameters
Dieses Cmdlet unterstützt die allgemeinen Parameter -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter about_CommonParameters.
Eingaben
Input types
Eingabetypen, die dieses Cmdlet akzeptiert, finden Sie unter Eingabe- und Ausgabetypen für Cmdlets. Wenn das Feld mit dem Eingabetyp für ein Cmdlet leer ist, akzeptiert das Cmdlet diese Eingabedaten nicht.
Ausgaben
Output types
Informationen zu den Rückgabetypen, die auch als Ausgabetypen bezeichnet werden und die von diesem Cmdlet akzeptiert werden, finden Sie unter Eingabe- und Ausgabetypen von Cmdlets. Wenn das Feld mit dem Ausgabetyp leer ist, gibt das Cmdlet keine Daten zurück.