New-AdminAuditLogSearch
注意事項
此指令在雲端服務中將被棄用。 要存取稽核日誌資料,請使用 Search-UnifiedAuditLog cmdlet。 欲了解更多資訊,請參閱這篇部落格文章: https://aka.ms/AdminAuditCmdletBlog。
內部部署 Exchange 和雲端式服務有提供此 Cmdlet。 有些參數和設定可能只限於某一環境。
使用 New-AdminAuditLogSearch 指令程式搜尋系統管理員稽核記錄的內容,並將結果傳送到您指定的一個或多個信箱。
如需下方<語法>一節中參數集的詳細資訊,請參閱 Exchange Cmdlet 語法。
語法
Default (預設值)
New-AdminAuditLogSearch
-EndDate <ExDateTime>
-StartDate <ExDateTime>
-StatusMailRecipients <MultiValuedProperty>
[-Cmdlets <MultiValuedProperty>]
[-Confirm]
[-DomainController <Fqdn>]
[-ExternalAccess <Boolean>]
[-Name <String>]
[-ObjectIds <MultiValuedProperty>]
[-Parameters <MultiValuedProperty>]
[-UserIds <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>]
Description
執行 New-AdminAuditLogSearch 指令程式之後,報告會在 15 分鐘內傳遞到您指定的信箱。 記錄會以 XML 附件形式包含在報告電子郵件中。 可以產生的記錄大小上限是 10 megabytes (MB)。
您必須已獲指派權限,才能執行此指令程式。 雖然這篇文章列出了 cmdlet 的所有參數,但如果某些參數未包含在你分配的權限中,你可能無法存取這些參數。 若要尋找在組織中執行任何 Cmdlet 或參數所需的權限,請參閱 Find the permissions required to run any Exchange cmdlet。
範例
範例 1
New-AdminAuditLogSearch -Name "Mailbox Quota Change Audit" -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -StatusMailRecipients david@contoso.com, chris@contoso.com
此範例會找到所有符合以下條件的管理員稽核日誌條目,並將結果傳送至 david@contoso.com 及 chris@contoso.com SMTP 位址:
- Cmdlets:Set-Mailbox
- 參數:UseDatabaseQuotaDefaults、禁止發送ReceiveQuota、禁止發送配額
- 開播日期:2018/01/24
- 結束日期:2018/02/12
範例 2
New-AdminAuditLogSearch -ExternalAccess $true -StartDate 07/25/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "Datacenter admin audit log"
此範例回傳 Exchange Online 組織管理員稽核日誌中,針對 2018 年 9 月 25 日至 2018 年 10 月 24 日期間由 Microsoft 資料中心管理員執行的 cmdlets 紀錄。 搜尋結果會傳送至 admin@contoso.com SMTP pilarp@contoso.com 地址,並在主旨行加上「Datacenter admin audit log」文字。
參數
-Cmdlets
適用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE、Exchange Online、安全 & 合規、內建安全本地郵件匣的外掛
Cmdlets 參數會指定您要在系統管理員稽核記錄中搜尋的指令程式。 只會傳回包含您指定之指令程式的記錄項目。
如果要指定多個指令程式,請使用逗號分隔每個指令程式。
參數屬性
| 類型: | MultiValuedProperty |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Confirm
適用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE、Exchange Online、安全 & 合規、內建安全本地郵件匣的外掛
Confirm 參數會指定要顯示或隱藏確認提示。 這個參數對 Cmdlet 的影響取決於 Cmdlet 是否需要確認才能繼續作業。
- 破壞性的 Cmdlet (如 Remove-* cmdlets) 有內建暫停,它會先強迫您確認命令才會繼續作業。 對於這些 Cmdlet,您可以使用以下確切語法來略過確認提示:
-Confirm:$false。 - 其他大部分的 Cmdlet (如 New-* 和 Set-* cmdlets) 則沒有內建暫停。 在使用這些 Cmdlet 時,指定不含任何值的 Confirm 參數會引入強迫您認可命令後才繼續作業的暫停。
參數屬性
| 類型: | SwitchParameter |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
| 別名: | 參見 |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-DomainController
適用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE
此參數僅適用於內部部署 Exchange。
DomainController 參數會指定此 Cmdlet 用來向 Active Directory 讀取或寫入資料的網域控制站。 您可以透過網域控制站的完整網域名稱 (FQDN) 來識別網域控制站。 例如,dc01.contoso.com。
參數屬性
| 類型: | Fqdn |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-EndDate
適用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE、Exchange Online、安全 & 合規、內建安全本地郵件匣的外掛
EndDate 參數會指定日期範圍的結束日期。
在您要執行命令的電腦上,使用該電腦的 [地區選項] 設定中定義的簡短日期格式。 例如,如果電腦設定使用短日期格式 MM/dd/yyyy,請輸入 09/01/2018 以指定 2018 年 9 月 1 日。 您可以只輸入日期,或者也可以輸入日期和時間。 如果輸入日期和時間,請使用引號 (") 括住值,例如 "09/01/2018 5:00 PM"。
參數屬性
| 類型: | ExDateTime |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-ExternalAccess
適用:Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE、Exchange Online、安全 & 合規、內建本地信箱安全附加元件
ExternalAccess 參數只會針對組織外部的使用者執行的 Cmdlet,傳回稽核記錄項目。 在 Exchange Online 中,使用此參數回傳 Microsoft 資料中心管理員執行的 cmdlets 的稽核日誌條目。
參數屬性
| 類型: | Boolean |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Name
適用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE、Exchange Online、安全 & 合規、內建安全本地郵件匣的外掛
Name 參數會指定系統管理員稽核記錄搜尋的名稱。 該名稱會在稽核記錄報告電子郵件的主旨行中顯示。
如果報告名稱包含空格,請使用引號 (") 括住名稱。
參數屬性
| 類型: | String |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-ObjectIds
適用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE、Exchange Online、安全 & 合規、內建安全本地郵件匣的外掛
ObjectIds 參數會指定只應傳回包含指定之已變更物件的系統管理員稽核記錄項目。 此參數接受多種物件,例如郵箱、別名、發送連接器名稱等。
如果要指定多個物件識別碼,請使用逗號分隔每個識別碼。
參數屬性
| 類型: | MultiValuedProperty |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Parameters
適用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE、Exchange Online、安全 & 合規、內建安全本地郵件匣的外掛
Parameters 參數會指定您要在系統管理員稽核記錄中搜尋的參數。 只會傳回包含您指定之參數的記錄項目。 如果使用 Cmdlets 參數,只能使用此參數。
如果要指定多個參數,請使用逗號分隔每個參數。
參數屬性
| 類型: | MultiValuedProperty |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-StartDate
適用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE、Exchange Online、安全 & 合規、內建安全本地郵件匣的外掛
StartDate 參數會指定日期範圍的開始日期。
在您要執行命令的電腦上,使用該電腦的 [地區選項] 設定中定義的簡短日期格式。 例如,如果電腦設定使用短日期格式 MM/dd/yyyy,請輸入 09/01/2018 以指定 2018 年 9 月 1 日。 您可以只輸入日期,或者也可以輸入日期和時間。 如果輸入日期和時間,請使用引號 (") 括住值,例如 "09/01/2018 5:00 PM"。
參數屬性
| 類型: | ExDateTime |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-StatusMailRecipients
適用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE、Exchange Online、安全 & 合規、內建安全本地郵件匣的外掛
StatusMailRecipients 參數會指定應收到系統管理員稽核記錄報告的收件者。 收件者必須是有效的 SMTP 位址。
如果要指定多個收件者,請使用逗號分隔每個 SMTP。
參數屬性
| 類型: | MultiValuedProperty |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-UserIds
適用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE、Exchange Online、安全 & 合規、內建安全本地郵件匣的外掛
UserIds 參數會指定只應在系統管理員稽核記錄項目包含指定的使用者識別碼 (此使用者為當初執行指令程式的使用者) 時,才傳回系統管理員稽核記錄項目。
如果要指定多個使用者識別碼,請使用逗號分隔每個識別碼。
參數屬性
| 類型: | MultiValuedProperty |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-WhatIf
適用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Server SE、Exchange Online、安全 & 合規、內建安全本地郵件匣的外掛
WhatIf 開關無法在安全性與合規性 PowerShell 中使用。
WhatIf 參數會模擬命令的動作。 使用此參數時,您不需要實際套用變更即可檢視可能會發生的變更。 您不需要使用此參數指定值。
參數屬性
| 類型: | SwitchParameter |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
| 別名: | 威斯康辛 |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
CommonParameters
此 cmdlet 支援常見參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters。
輸入
Input types
若要查看此指令程式可接受的輸入類型,請參閱指令程式輸入和輸出類型。 如果指令程式的 [輸入類型] 欄位是空的,表示指令程式不接受輸入資料。
輸出
Output types
若要查看此指令程式可接受的傳回類型 (也就是所謂的輸出類型),請參閱指令程式輸入和輸出類型。 如果 [輸出類型] 欄位是空的,表示指令程式不會傳回資料。