New-MailboxAuditLogSearch

Cette cmdlet est disponible dans Exchange sur site et dans le service cloud. Certains paramètres peuvent être propres à un environnement ou à un autre.

Utilisez la cmdlet New-MailboxAuditLogSearch pour effectuer des recherches dans les journaux d’audit de boîte aux lettres et transmettre les résultats de la recherche aux destinataires concernés par courrier électronique.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntax

New-MailboxAuditLogSearch
   -EndDate <ExDateTime>
   -StartDate <ExDateTime>
   -StatusMailRecipients <MultiValuedProperty>
   [-Confirm]
   [-DomainController <Fqdn>]
   [-ExternalAccess <Boolean>]
   [-GroupMailbox]
   [-HasAttachments <Boolean>]
   [-LogonTypes <MultiValuedProperty>]
   [-Mailboxes <MultiValuedProperty>]
   [-Name <String>]
   [-Operations <MultiValuedProperty>]
   [-ShowDetails]
   [-WhatIf]
   [<CommonParameters>]

Description

La cmdlet New-MailboxAuditLogSearch effectue une recherche asynchrone dans les journaux d’audit des boîtes aux lettres spécifiées et transmet les résultats obtenus aux destinataires concernés par courrier électronique. Le corps du message électronique contient des métadonnées de recherche, tels que les paramètres de la recherche, ainsi que l’heure à laquelle la demande de recherche a été soumise. Les résultats sont joints dans un fichier .xml.

Pour rechercher dans les journaux d’audit des boîtes aux lettres une seule boîte aux lettres et afficher les résultats dans la fenêtre Exchange Management Shell, utilisez plutôt l’applet de commande Search-MailboxAuditLog. Pour plus d’informations sur la journalisation d’audit de boîte aux lettres, consultez la rubrique Journalisation d’audit de boîte aux lettres dans Exchange Server.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations requises pour exécuter une cmdlet ou un paramètre dans votre organisation, voir Find the permissions required to run any Exchange cmdlet.

Exemples

Exemple 1

New-MailboxAuditLogSearch "Admin and Delegate Access" -Mailboxes "Ken Kwok","April Stewart" -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -StatusMailRecipients auditors@contoso.com

Cet exemple crée une recherche dans les journaux d’audit de boîte aux lettres pour rechercher les connexions d’administrateur et de délégué dans les boîtes aux lettres de Ken Kwok et April Stewart du 1/01/2018 au 31/12/2018. Les résultats de la recherche sont envoyés par auditors@contoso.com e-mail.

Exemple 2

New-MailboxAuditLogSearch -ExternalAccess $true -StartDate 09/01/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.com

Cet exemple retourne des entrées des journaux d’audit de boîte aux lettres de tous les utilisateurs de l’organisation pour tout accès aux boîtes aux lettres par les administrateurs de centre de données Microsoft entre le 1er septembre 2018 et le 24 octobre 2018. Les résultats de la recherche sont envoyés à admin@contoso.com.

Paramètres

-Confirm

Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

  • Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.
  • La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-DomainController

Ce paramètre est disponible uniquement dans Exchange sur site.

Le paramètre DomainController spécifie le contrôleur de domaine qui est utilisé par cette cmdlet pour lire ou écrire les données dans Active Directory. Vous identifiez le contrôleur de domaine par son nom de domaine complet (FQDN). Par exemple : « dc01.contoso.com ».

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

Le paramètre EndDate indique la fin de la plage de dates définies.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ExternalAccess

Le paramètre ExternalAccess spécifie s’il est important de renvoyer uniquement des entrées du journal d’audit pour l’accès aux boîtes aux lettres des utilisateurs extérieurs à votre organisation. Dans Exchange Online, ce paramètre renvoie des entrées du journal d’audit pour l’accès aux boîtes aux lettres des administrateurs du centre de données Microsoft. Les valeurs valides sont les suivantes :

$true : les entrées du journal d’audit pour l’accès aux boîtes aux lettres des utilisateurs ou des administrateurs du centre de données Microsoft sont renvoyées.

$false : les entrées du journal d’audit pour l’accès aux boîtes aux lettres des utilisateurs externes ou les administrateurs du centre de données Microsoft sont ignorées. Ceci est la valeur par défaut.

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-GroupMailbox

Ce paramètre est disponible uniquement dans le service basé sur le cloud.

Le commutateur GroupMailbox est requis pour inclure les groupes Microsoft 365 dans la recherche. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-HasAttachments

Le paramètre HasAttachments permet de filtrer la recherche par les messages contenant des pièces jointes. Les valeurs valides sont les suivantes :

  • $true : seuls les messages contenant des pièces jointes sont inclus dans la recherche.
  • $false : les messages avec ou sans pièces jointes sont inclus dans la recherche.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2016, Exchange Server 2019, Exchange Online

-LogonTypes

Le paramètre LogonTypes spécifie le type de connexions. Les valeurs valides sont les suivantes :

  • Administrateur : les entrées du journal d’audit pour l’accès aux boîtes aux lettres des connexions d’administrateur sont renvoyées.
  • Délégué : les entrées du journal d’audit pour l’accès aux boîtes aux lettres des délégués sont renvoyées ainsi que l’accès des utilisateurs ayant des autorisations d’accès complètes aux boîte aux lettres.
  • Externe : pour les boîtes aux lettres Exchange Online, les entrées du journal d’audit pour l’accès aux boîtes aux lettres par les administrateurs de centre de données Microsoft sont retournées.
  • Propriétaire : les entrées du journal d’audit pour l’accès aux boîtes aux lettres du propriétaire de boîte aux lettres principal sont renvoyées. Cette valeur nécessite le commutateur ShowDetails.

Vous pouvez entrer plusieurs valeurs séparées par des virgules.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Mailboxes

Le paramètre Mailboxes spécifie la boîte aux lettres à partir de laquelle récupérer les entrées du journal d’audit de boîte aux lettres.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Si vous ne spécifiez pas de valeur, les journaux d’audit des boîtes aux lettres pour toutes les boîtes aux lettres de l’organisation sont retournés.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Name

Le paramètre Name spécifie un nom pour la recherche. La longueur maximale est de 64 caractères. Si la valeur contient des espaces, placez-la entre guillemets (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-Operations

Le paramètre Operations filtre les résultats de la recherche en fonction des opérations enregistrées par journalisation d’audit de boîte aux lettres. Les valeurs valides sont les suivantes :

  • Copy
  • Create
  • FolderBind
  • HardDelete
  • MailboxLogin
  • MessageBind
  • Move
  • MoveToDeletedItems
  • SendAs
  • SendOnBehalf
  • SoftDelete
  • Update

Vous pouvez entrer plusieurs valeurs séparées par des virgules.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ShowDetails

Le commutateur ShowDetails spécifie que les détails de chaque entrée de journal sont récupérés. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-StartDate

Le paramètre StartDate indique le début de la plage de dates définies.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-StatusMailRecipients

Le paramètre StatusMailRecipients spécifie l’adresse e-mail où les résultats de la recherche sont envoyés. Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-WhatIf

Le commutateur WhatIf simule les actions de la commande. Vous pouvez utiliser ce commutateur pour afficher les modifications qui se produiraient sans réellement appliquer ces modifications. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Entrées

Input types

Pour visualiser les types d'entrées acceptés par cette cmdlet, consultez la rubrique Types d'entrée et de sortie de la cmdlet d'Exchange Management Shell. Si le champ Type d'entrée pour une cmdlet est vide, la cmdlet n'accepte pas les données d'entrée.

Sorties

Output types

Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d'entrée et de sortie de la cmdlet d'Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.