Search-AdminAuditLog
Observação
Este cmdlet será preterido no serviço baseado na cloud. Para aceder aos dados do registo de auditoria, utilize o cmdlet Search-UnifiedAuditLog. Para obter mais informações, consulte esta mensagem de blogue: https://aka.ms/AdminAuditCmdletBlog.
Este cmdlet está disponível no Exchange local e no serviço baseado na nuvem. Alguns parâmetros e definições podem ser exclusivos de um ambiente ou outro.
Use o cmdlet Search-AdminAuditLog para pesquisar o conteúdo do log de auditoria do administrador. O registo de auditoria do administrador regista quando um utilizador ou administrador efetua uma alteração na sua organização (no centro de administração do Exchange ou através de cmdlets).
Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.
Sintaxe
Default (Default)
Search-AdminAuditLog
[-Cmdlets <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-IsSuccess <Boolean>]
[-ObjectIds <MultiValuedProperty>]
[-Parameters <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[-StartIndex <Int32>]
[-UserIds <MultiValuedProperty>]
[<CommonParameters>]
Description
Se o cmdlet Search-AdminAuditLog for executado sem nenhum parâmetro, até 1.000 entradas de log são retornadas, por padrão.
No Exchange Online PowerShell, se não utilizar os parâmetros StartDate ou EndDate, só são devolvidos os resultados dos últimos 14 dias.
No Exchange Online PowerShell, os dados estão disponíveis para os últimos 90 dias. Pode introduzir datas com mais de 90 dias, mas apenas são devolvidos dados dos últimos 90 dias.
Para obter mais informações sobre a estrutura e propriedades do registo de auditoria, veja Estrutura do registo de auditoria do administrador.
Para executar esse cmdlet, você precisa ter permissões. Embora este artigo liste todos os parâmetros do cmdlet, poderá não ter acesso a alguns parâmetros se não estiverem incluídos nas permissões que lhe foram atribuídas. Para localizar as permissões necessárias para executar qualquer cmdlet ou parâmetro em sua organização, confira Find the permissions required to run any Exchange cmdlet.
Exemplos
Exemplo 1
Search-AdminAuditLog -Cmdlets New-RoleGroup,New-ManagementRoleAssignment
Este exemplo encontra todas as entradas de log de auditoria que tenham o cmdlet New-RoleGroup ou New-ManagementRoleAssignment.
Exemplo 2
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults,ProhibitSendReceiveQuota,ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -IsSuccess $true
Este exemplo encontra todas as entradas de log de auditoria que correspondam aos seguintes critérios:
- Cmdlets: Set-Mailbox
- Parâmetros: UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
- Data De Início: 24/01/2018
- DataDados Finais: 12/02/2018
O comando foi concluído com sucesso
Exemplo 3
$LogEntries = Search-AdminAuditLog -Cmdlets Write-AdminAuditLog
$LogEntries | ForEach { $_.CmdletParameters }
Este exemplo exibe todos os comentários escritos no log de auditoria do administrador pelo cmdlet Write-AdminAuditLog.
Primeiro, armazene as entradas do registo de auditoria numa variável temporária. Em seguida, itere através de todas as entradas de registo de auditoria devolvidas e apresente a propriedade Parâmetros.
Exemplo 4
Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2018 -EndDate 10/02/2018
Este exemplo devolve entradas no registo de auditoria do administrador de um Exchange Online organização para cmdlets executados por administradores de datacenters da Microsoft entre 17 de setembro de 2018 e 2 de outubro de 2018.
Parâmetros
-Cmdlets
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Conformidade & de Segurança, Segurança incorporada suplemento para caixas de correio no local
O parâmetro Cmdlets filtra os resultados pelos cmdlets que foram utilizados. Pode especificar vários cmdlets separados por vírgulas.
Nos resultados deste cmdlet, esta propriedade tem o nome CmdletName.
Propriedades do parâmetro
| Tipo: | MultiValuedProperty |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | True |
| Valor do pipeline pelo nome da propriedade: | True |
| Valor dos argumentos restantes: | False |
-DomainController
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE
Este parâmetro está disponível somente no Exchange local.
O parâmetro DomainController especifica o controlador de domínio que é usado por esse cmdlet para ler dados ou gravar dados no Active Directory. Você identifica o controlador de domínio por seu FQDN (nome de domínio totalmente qualificado). Por exemplo, dc01.contoso.com.
Propriedades do parâmetro
| Tipo: | Fqdn |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-EndDate
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Conformidade & de Segurança, Segurança incorporada suplemento para caixas de correio no local
O parâmetro EndDate especifica a data de término do intervalo de datas.
Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para utilizar o formato de data abreviada MM/dd/aaaa, introduza 01/09/2018 para especificar 1 de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".
No serviço baseado na cloud, se especificar um valor de data/hora sem um fuso horário, o valor estará na Hora Universal Coordenada (UTC). Para especificar um valor de data/hora para este parâmetro, use uma das opções a seguir:
- Especifique o valor de data/hora em UTC: por exemplo, "2021-05-06 14:30:00z".
- Especifique o valor de data/hora como uma fórmula que converte a data/hora no fuso horário local para UTC: por exemplo,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Para mais informações, consulte Get-Date.
Nos resultados deste cmdlet, a data/hora em que a alteração foi efetuada (o cmdlet foi executado) é devolvida na propriedade denominada RunDate.
Propriedades do parâmetro
| Tipo: | ExDateTime |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-ExternalAccess
Aplicável: Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Conformidade & de Segurança, Suplemento de segurança incorporado para caixas de correio no local
O parâmetro ExternalAccess filtra os resultados por alterações efetuadas (cmdlets que foram executados) por utilizadores fora da sua organização. Os valores válidos são:
- $true: devolver apenas entradas de registo de auditoria em que a alteração foi efetuada por um utilizador externo. No Exchange Online, utilize o valor para devolver entradas de registo de auditoria para as alterações efetuadas pelos administradores do datacenter da Microsoft.
- $false: devolve apenas entradas de registo de auditoria em que a alteração foi efetuada por um utilizador interno.
Propriedades do parâmetro
| Tipo: | Boolean |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-IsSuccess
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Conformidade & de Segurança, Segurança incorporada suplemento para caixas de correio no local
O parâmetro IsSuccess filtra os resultados se as alterações foram efetuadas com êxito. Os valores válidos são:
- $true: devolver apenas entradas de registo de auditoria em que a alteração foi efetuada com êxito (por outras palavras, o cmdlet foi executado com êxito).
- $false: devolve apenas entradas de registo de auditoria em que a alteração não foi bem-sucedida (por outras palavras, o cmdlet não foi executado com êxito e resultou num erro).
Nos resultados deste cmdlet, esta propriedade chama-se Com êxito.
Propriedades do parâmetro
| Tipo: | Boolean |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-ObjectIds
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Conformidade & de Segurança, Segurança incorporada suplemento para caixas de correio no local
O parâmetro ObjectIds filtra os resultados pelo objeto que foi modificado (a caixa de correio, pasta pública, Enviar conector, regra de transporte, domínio aceite, etc. em que o cmdlet funcionava). Um valor válido depende da forma como o objeto é representado no registo de auditoria. Por exemplo:
- Nome
- Nome único canónico (por exemplo, contoso.com/Users/Akia Al-Zuhairi)
- Identidade da pasta pública (por exemplo, \Engenharia\Debate de Clientes)
É provável que precise de utilizar outros parâmetros de filtragem neste cmdlet para restringir os resultados e identificar os tipos de objetos que lhe interessam. Nos resultados deste cmdlet, esta propriedade é denominada ObjectModified.
Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".
Propriedades do parâmetro
| Tipo: | MultiValuedProperty |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-Parameters
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Conformidade & de Segurança, Segurança incorporada suplemento para caixas de correio no local
O parâmetro Parameters filtra os resultados pelos parâmetros que foram utilizados. Só pode utilizar este parâmetro com o parâmetro Cmdlets (não pode utilizá-lo por si só). Pode especificar vários parâmetros separados por vírgulas.
Nos resultados deste cmdlet, esta propriedade tem o nome CmdletParameters
Propriedades do parâmetro
| Tipo: | MultiValuedProperty |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-ResultSize
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Conformidade & de Segurança, Segurança incorporada suplemento para caixas de correio no local
O parâmetro ResultSize especifica o número máximo de resultados a serem retornados. O valor padrão é 1000.
O máximo de resultados a devolver é 250 000.
Propriedades do parâmetro
| Tipo: | Int32 |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-StartDate
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Conformidade & de Segurança, Segurança incorporada suplemento para caixas de correio no local
O parâmetro StartDate especifica a data de início do intervalo de datas.
Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para utilizar o formato de data abreviada MM/dd/aaaa, introduza 01/09/2018 para especificar 1 de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".
No serviço baseado na cloud, se especificar um valor de data/hora sem um fuso horário, o valor estará na Hora Universal Coordenada (UTC). Para especificar um valor de data/hora para este parâmetro, use uma das opções a seguir:
- Especifique o valor de data/hora em UTC: por exemplo, "2021-05-06 14:30:00z".
- Especifique o valor de data/hora como uma fórmula que converte a data/hora no fuso horário local para UTC: por exemplo,
(Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Para mais informações, consulte Get-Date.
Nos resultados deste cmdlet, a data/hora em que a alteração foi efetuada (o cmdlet foi executado) é devolvida na propriedade denominada RunDate.
Propriedades do parâmetro
| Tipo: | ExDateTime |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-StartIndex
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Conformidade & de Segurança, Segurança incorporada suplemento para caixas de correio no local
O parâmetro StartIndex especifica a posição de início dos resultados exibidos no conjunto de resultados.
Propriedades do parâmetro
| Tipo: | Int32 |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-UserIds
Aplicável: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Server SE, Exchange Online, Conformidade & de Segurança, Segurança incorporada suplemento para caixas de correio no local
O parâmetro UserIds filtra os resultados pelo utilizador que efetuou a alteração (quem executou o cmdlet).
Um valor típico para este parâmetro é o nome principal de utilizador (UPN; por exemplo, helpdesk@contoso.com). No entanto, as atualizações efetuadas por contas de sistema sem endereços de e-mail podem utilizar a sintaxe Domain\Username (por exemplo, NT AUTHORITY\SYSTEM (MSExchangeHMHost)).
Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "User1","User2",..."UserN".
Nos resultados deste cmdlet, esta propriedade chama-se Chamador
Propriedades do parâmetro
| Tipo: | MultiValuedProperty |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
CommonParameters
Este cmdlet suporta os parâmetros comuns: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction e -WarningVariable. Para obter mais informações, confira about_CommonParameters.
Entradas
Input types
Para ver os tipos de entrada que este cmdlet aceita, confira Tipos de entrada e saída de cmdlet. Se o campo Tipo de Entrada de um cmdlet estiver em branco, isso significa que o cmdlet não aceita dados de entrada.
Saídas
Output types
Para ver os tipos de retorno, também conhecidos como tipos de saída, que este cmdlet aceita, consulte Tipos de entrada e saída de cmdlet. Se o campo Tipo de Saída estiver em branco, o cmdlet não retorna dados.