Start-HistoricalSearch
此 cmdlet 仅在基于云的服务中可用。
使用 Start-HistoricalSearch cmdlet 可启动一个新的历史搜索。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Default (默认值)
Start-HistoricalSearch
-EndDate <DateTime>
-ReportTitle <String>
-ReportType <HistoricalSearchReportType>
-StartDate <DateTime>
[-BlockStatus <String>]
[-CompressFile <Boolean>]
[-ConnectorType <String>]
[-DeliveryStatus <String>]
[-Direction <MessageDirection>]
[-DLPPolicy <MultiValuedProperty>]
[-EncryptionTemplate <String>]
[-EncryptionType <String>]
[-Locale <CultureInfo>]
[-MessageID <MultiValuedProperty>]
[-NetworkMessageID <MultiValuedProperty>]
[-NotifyAddress <MultiValuedProperty>]
[-OriginalClientIP <String>]
[-RecipientAddress <MultiValuedProperty>]
[-SenderAddress <MultiValuedProperty>]
[-SmtpSecurityError <String>]
[-TLSUsed <String>]
[-TransportRule <MultiValuedProperty>]
[-Url <String>]
[<CommonParameters>]
说明
历史搜索以逗号分隔的值 (CSV) 文件中提供邮件跟踪和报告详细信息,这些邮件的年龄在 1-4 小时 (之间,具体取决于环境) 和 90 天。 最多可以在 24 小时内提交 250 个历史搜索。 如果接近每日配额,则会收到警告。 已取消的搜索算在每日配额内。 此外,在每个 CSV 文件中,限制为 100000 个结果或行。
如果指定通讯组,则结果中可能不会返回所有消息。 若要确保所有邮件都返回,请指定单个收件人。
您必须先获得权限,然后才能运行此 cmdlet。 尽管本文列出了 cmdlet 的所有参数,但如果某些参数未包含在分配给你的权限中,则可能无法访问这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet。
示例
示例 1
Start-HistoricalSearch -ReportTitle "Fabrikam Search" -StartDate 1/1/2023 -EndDate 1/7/2023 -ReportType MessageTrace -SenderAddress michelle@fabrikam.com -NotifyAddress chris@contoso.com
此示例启动名为“Fabrikam 搜索”的新历史搜索,该搜索具有以下属性:
- 日期范围:2023 年 1 月 1 日至 2023 年 1 月 6 日。 由于未指定一天中的时间,因此使用值 0:00 AM。 在此示例中,日期范围等效于 -StartDate “1/1/2023 0:00 AM” -EndDate “1/7/2023 0:00 AM”
- 报告类型:消息跟踪
- 发件人地址: michelle@fabrikam.com
- 内部通知电子邮件地址: chris@contoso.com
参数
-BlockStatus
适用:Exchange Online、Exchange Online Protection
BlockStatus 参数按外部发送的消息的状态、因安全检查而阻止的消息或成功发送的消息来筛选 OutboundSecurityReport 报告中的结果。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-CompressFile
适用:Exchange Online、Exchange Online Protection
{{ Fill CompressFile Description }}
参数属性
| 类型: | Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-ConnectorType
适用:Exchange Online、Exchange Online Protection
ConnectorType 参数按连接器类型筛选 ConnectorReport 报表中的结果。 有效值包含:
- OnPremises
- 合作伙伴
- NoConnector
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-DeliveryStatus
适用:Exchange Online、Exchange Online Protection
DeliveryStatus 参数按邮件的传送状态筛选结果。 可以使用下列值之一:
- 已送达
- Expanded
- 已失败
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Direction
适用:Exchange Online、Exchange Online Protection
Direction 参数按邮件的方向筛选结果。 有效值包含:
- 全部:传入和传出消息。
- 已接收:仅接收消息。
- 已发送:仅传出消息。
参数属性
| 类型: | MessageDirection |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-DLPPolicy
适用:Exchange Online、Exchange Online Protection
DLPPolicy 参数按对邮件施加的 DLP 策略的名称筛选结果。 可以指定多个 DLP 策略,用逗号进行分隔。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-EncryptionTemplate
适用:Exchange Online、Exchange Online Protection
{{ Fill EncryptionTemplate Description }}
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-EncryptionType
适用:Exchange Online、Exchange Online Protection
{{ Fill EncryptionType Description }}
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-EndDate
适用:Exchange Online、Exchange Online Protection
EndDate 参数指定日期范围的结束日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果计算机配置为使用短日期格式 MM/dd/yyyy,请输入 09/01/2018 以指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
如果未指定一天中的时间,则使用默认值 0:00 AM。 例如,值 12/31/2022 实际为“12/31/2022 0:00 AM”,这意味着不包含 2022 年 12 月 31 日的数据, (仅包含 2022 年 12 月 30 日的数据) 。
还需要在命令中至少使用以下参数之一:MessageID、RecipientAddress 或 SenderAddress。
参数属性
| 类型: | DateTime |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | True |
| 来自管道的值(按属性名称): | True |
| 来自剩余参数的值: | False |
-Locale
适用:Exchange Online、Exchange Online Protection
Locale 参数按邮件的区域设置筛选结果。
此参数的有效输入是 Microsoft .NET Framework CultureInfo 类支持的区域性代码值。 例如,da-DK 表示丹麦语,ja-JP 表示日语。 有关详细信息,请参阅 CultureInfo 类。
参数属性
| 类型: | CultureInfo |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-MessageID
适用:Exchange Online、Exchange Online Protection
MessageId 参数按邮件的 Message-ID 头字段筛选结果。 此值也称为“客户端 ID”。 Message-ID 的格式取决于发送邮件的消息传送服务器。 此值应对每封邮件都是唯一的。 但是,并非所有消息传送服务器都会以相同方式创建 Message-ID 的值。 请务必包含完整的消息 ID 字符串 (,其中可能包含尖括号) ,并将值括在引号 (,例如“”d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com) 。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-NetworkMessageID
适用:Exchange Online、Exchange Online Protection
NetworkMessageId 参数按 NetworkMessageId 字段的值筛选邮件跟踪日志条目。 此字段包含唯一的消息 ID 值,该值在可能由于分叉或通讯组扩展而创建的消息副本之间保留。 示例值为 1341ac7b13fb42ab4d4408cf7f55890f。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-NotifyAddress
适用:Exchange Online、Exchange Online Protection
NotifyAddress 参数指定历史搜索完成时要通知的内部收件人的电子邮件地址。 电子邮件地址必须位于为组织配置的接受域中。 可以输入多个电子邮件地址,中间用逗号分隔。
若要查看历史搜索的结果,需要至少为 NotifyAddress 参数指定一个电子邮件地址。 否则,需要在 Exchange 管理中心的“邮件流>邮件跟踪”中单击已完成的邮件跟踪。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | True |
| 来自管道的值(按属性名称): | True |
| 来自剩余参数的值: | False |
-OriginalClientIP
适用:Exchange Online、Exchange Online Protection
OriginalClientIP 参数按邮件的原始 IP 地址筛选结果。 对于传入邮件,OriginalClientIP 值是发件人的 IP 地址。 对于传出邮件,OriginalClientIP 值是接收邮件的外部 SMTP 服务器的 IP 地址。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-RecipientAddress
适用:Exchange Online、Exchange Online Protection
RecipientAddress 参数按收件人的电子邮件地址筛选结果。 可以指定用逗号分隔的多个值。 最大地址数为 100。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | True |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-ReportTitle
适用:Exchange Online、Exchange Online Protection
ReportTitle 参数为历史搜索指定一个描述性名称。 如果值中有空格,请使用双引号 (") 将此值括起来。
还需要在命令中至少使用以下参数之一:MessageID、RecipientAddress 或 SenderAddress。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-ReportType
适用:Exchange Online、Exchange Online Protection
ReportType 参数指定要执行的历史搜索的类型。 可以使用下列值之一:
- ATPReport:Defender for Office 365文件类型报告和Defender for Office 365消息处置报告
- ConnectorReport:入站/出站消息报告。
- DLP:数据丢失防护报告。
- MessageTrace:消息跟踪报告。
- MessageTraceDetail:消息跟踪详细信息报告。
- OutboundSecurityReport:传输安全报告中的出站消息。
- P2SenderAttribution:P2 发件人属性报告。
- 垃圾邮件:垃圾邮件检测报告。
- 欺骗:欺骗邮件报告。
- TransportRule:传输或邮件流规则报告。
- UnifiedDLP:统一数据丢失防护报告。
还需要在命令中至少使用以下参数之一:MessageID、RecipientAddress 或 SenderAddress。
参数属性
| 类型: | HistoricalSearchReportType |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-SenderAddress
适用:Exchange Online、Exchange Online Protection
SenderAddress 参数按发件人的电子邮件地址筛选结果。 可以指定用逗号分隔的多个值。 最大地址数为 100。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-SmtpSecurityError
适用:Exchange Online、Exchange Online Protection
SmtpSecurityError 参数按在外部发送时阻止邮件的错误类型筛选 OutboundSecurityReport 报告中的结果。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-StartDate
适用:Exchange Online、Exchange Online Protection
StartDate 参数指定日期范围的起始日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果计算机配置为使用短日期格式 MM/dd/yyyy,请输入 09/01/2018 以指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
参数属性
| 类型: | DateTime |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | True |
| 来自管道的值(按属性名称): | True |
| 来自剩余参数的值: | False |
-TLSUsed
适用:Exchange Online、Exchange Online Protection
TLSUsed 参数按 TLS 版本筛选 ConnectorReport 报表中的结果。 有效值包含:
- 无 Tls
- TLS1.2
- TLS1.3
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-TransportRule
适用:Exchange Online、Exchange Online Protection
TransportRule 参数按 Exchange 邮件流规则的名称筛选结果, (也称为处理邮件的传输规则) 。 可以指定多个传输规则,中间用逗号分隔。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Url
适用:Exchange Online、Exchange Online Protection
{{ 填充 URL 说明 }}
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
CommonParameters
此 cmdlet 支持通用参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters。
输入
Input types
若要了解此 cmdlet 接受的输入类型,请参阅 cmdlet 的输入和输出类型。 如果 cmdlet 的"输入类型"字段为空,则表明此 cmdlet 不接受输入数据。
输出
Output types
若要了解此 cmdlet 接受的返回类型(亦称为"输出类型"),请参阅 cmdlet 的输入和输出类型。 如果"输出类型"字段为空,则表明此 cmdlet 不返回任何数据。