Search-MailboxAuditLog
Questo cmdlet è disponibile in Exchange locale e nel servizio basato su cloud. Alcuni parametri e impostazioni possono essere esclusivi di singoli ambienti.
Utilizzare il cmdlet Search-MailboxAuditLog per ricercare le voci del log di controllo delle cassette postali che corrispondono ai termini di ricerca specificati.
Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.
Sintassi
Search-MailboxAuditLog
[[-Identity] <MailboxIdParameter>]
[-ShowDetails]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] Search-MailboxAuditLog
[-Mailboxes <MultiValuedProperty>]
[-DomainController <Fqdn>]
[-EndDate <ExDateTime>]
[-ExternalAccess <Boolean>]
[-GroupMailbox]
[-HasAttachments <Boolean>]
[-LogonTypes <MultiValuedProperty>]
[-Operations <MultiValuedProperty>]
[-ResultSize <Int32>]
[-StartDate <ExDateTime>]
[<CommonParameters>] Descrizione
Il cmdlet Search-MailboxAuditLog esegue una ricerca sincrona dei log di controllo delle cassette postali per una o più cassette postali specificate e visualizza i risultati della ricerca nella finestra di Exchange Management Shell. Per ricercare più cassette postali nei log di controllo delle cassette postali e inviare i risultati per posta elettronica ai destinatari specificati, utilizzare il cmdlet New-MailboxAuditLogSearch. Per altre informazioni sulla registrazione di controllo delle cassette postali, vedere Registrazione di controllo delle cassette postali in Exchange Server.
Negli ambienti multi-geografico, quando si esegue questo cmdlet in un'area diversa dalla cassetta postale in cui si sta tentando di eseguire la ricerca, è possibile che venga visualizzato l'errore "Si è verificato un errore durante il tentativo di accesso al log di controllo". In questo scenario è necessario ancorare la sessione di PowerShell a un utente nella stessa area della cassetta postale, come descritto in Connettersi direttamente a una posizione geografica usando Exchange Online PowerShell.
È necessario disporre delle autorizzazioni prima di poter eseguire questo cmdlet. Sebbene in questo argomento vengano elencati tutti i parametri relativi al cmdlet, si potrebbe non avere accesso ad alcuni di essi qualora non siano inclusi nelle autorizzazioni assegnate. Per individuare le autorizzazioni necessarie per eseguire cmdlet o parametri nell'organizzazione, vedere Trovare le autorizzazioni necessarie per eseguire i cmdlet di Exchange.
Esempio
Esempio 1
Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000In questo esempio vengono recuperate le voci del log di controllo delle cassette postali per la cassetta postale di Ken Kwok per le azioni eseguite dai tipi di accesso Amministrazione e Delegate tra il 1/1/2018 e il 31/12/2018. Vengono restituite fino a 2.000 voci di registro.
Esempio 2
Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2018 -EndDate 12/31/2018 -ResultSize 2000Questo esempio recupera le voci del log di controllo delle cassette postali per le cassette postali di Ken Kwok e Ben Smith per le azioni eseguite dai tipi di accesso Amministrazione e Delegato tra il 1/1/2018 e il 31/12/2018. Vengono restituite fino a 2.000 voci di registro.
Esempio 3
Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2017 -EndDate 3/1/2017 | Where-Object {$_.Operation -eq "HardDelete"}In questo esempio vengono recuperate le voci del log di controllo delle cassette postali per la cassetta postale di Ken Kwok per le azioni eseguite dal proprietario della cassetta postale tra il 1/1/2017 e il 3/1/2017. I risultati vengono inviati tramite pipe al cmdlet Where-Object e filtrati per restituire solo le voci relative all'azione HardDelete.
Parametri
-DomainController
Questo parametro è disponibile solo in Exchange locale.
Il parametro DomainController consente di specificare il controller di dominio utilizzato da questo cmdlet per la lettura o la scrittura dei dati in Active Directory. Identificare il controller di dominio mediante il relativo nome di dominio completo (FQDN). Ad esempio, dc01.contoso.com.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-EndDate
Il parametro EndDate consente di specificare la data di fine dell'intervallo di date.
Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ExternalAccess
Il parametro ExternalAccess specifica se restituire solo le voci del log di controllo per l'accesso alle cassette postali da parte degli utenti esterni all'organizzazione. In Exchange Online questo parametro restituisce le voci del log di controllo per l'accesso alle cassette postali da parte degli amministratori del data center Microsoft. I valori validi sono:
$true: vengono restituite voci del log di controllo per l'accesso alle cassette postali da parte di utenti esterni o amministratori del data center Microsoft.
$false: le voci del log di controllo per l'accesso alle cassette postali da parte di utenti esterni o amministratori del data center Microsoft vengono ignorate. Questo è il valore predefinito.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-GroupMailbox
Questo parametro è disponibile solamente nel servizio basato su cloud.
L'opzione GroupMailbox è necessaria per includere Gruppi di Microsoft 365 nella ricerca. Con questa opzione non è necessario specificare alcun valore.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online |
-HasAttachments
Il parametro HasAttachments consente di filtrare la ricerca in base ai messaggi con allegati. I valori validi sono:
- $true: nella ricerca sono inclusi solo i messaggi con allegati.
- $false: i messaggi con e senza allegati sono inclusi nella ricerca.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Identity
Il parametro Identity consente di specificare una singola cassetta postale da cui recuperare le voci del log di controllo della cassetta postale. È possibile utilizzare qualsiasi valore che identifichi la cassetta postale in modo univoco. Ad esempio:
- Nome
- Alias
- Nome distinto (DN)
- Nome distinto (DN)
- Dominio\nomeutente
- Indirizzo di posta elettronica
- GUID
- LegacyExchangeDN
- SamAccountName
- ID utente o Nome entità utente (UPN)
| Type: | MailboxIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-LogonTypes
Il parametro LogonTypes consente di specificare il tipo di accessi. I valori validi sono:
- Amministrazione: vengono restituite le voci del log di controllo per l'accesso alle cassette postali da parte degli accessi dell'amministratore.
- Delegato: vengono restituite voci di log di controllo per l'accesso alle cassette postali da parte dei delegati, incluso l'accesso da parte degli utenti con autorizzazione Accesso completo alle cassette postali.
- Proprietario: vengono restituite le voci di log di controllo per l'accesso alle cassette postali da parte del proprietario della cassetta postale primaria. Questo valore richiede l'opzione ShowDetails.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Mailboxes
Il parametro Cassette postali consente di specificare le cassette postali da cui recuperare le voci del log di controllo delle cassette postali. È possibile utilizzare questo parametro per la ricerca dei log di controllo per più cassette postali.
Immettere più cassette postali separate da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN".
Non è possibile usare questo parametro con l'opzione ShowDetails.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-Operations
Il parametro Operations filtra i risultati della ricerca in base alle azioni della cassetta postale registrate dalla registrazione di controllo delle cassette postali. I valori validi sono:
- AddFolderPermissions (solo Exchange 2019 e Exchange Online. Anche se questo valore è accettato, è già incluso nell'azione UpdateFolderPermissions e non viene controllato separatamente.
- ApplyRecord (solo Exchange Online)
- Copia
- Creare
- Impostazione predefinita (solo Exchange Online)
- FolderBind
- HardDelete
- MailboxLogin
- MailItemsAccessed (Exchange Online solo e solo per gli utenti della sottoscrizione del componente aggiuntivo Conformità E5 o E5.
- MessageBind (anche se questo valore è accettato, queste azioni non vengono più registrate).
- ModifyFolderPermissions (solo Exchange 2019 e Exchange Online. Anche se questo valore è accettato, è già incluso nell'azione UpdateFolderPermissions e non viene controllato separatamente.
- Move
- MoveToDeletedItems
- RecordDelete (solo Exchange Online)
- RemoveFolderPermissions (Solo Exchange 2019 e Exchange Online. Anche se questo valore è accettato, è già incluso nell'azione UpdateFolderPermissions e non viene controllato separatamente.
- SendAs
- SendOnBehalf
- SoftDelete
- Update
- UpdateCalendarDelegation (solo Exchange 2019 e Exchange Online)
- UpdateComplianceTag (solo Exchange Online)
- UpdateFolderPermissions (solo Exchange 2019 e Exchange Online)
- UpdateInboxRules (solo Exchange 2019 e Exchange Online)
È possibile immettere più valori separati da virgole.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ResultSize
Il parametro ResultSize consente di specificare il numero massimo di voci del log di controllo delle cassette postali da restituire. I valori validi sono i numeri interi compresi tra 1 e 250.000. Per impostazione predefinita vengono restituite 1000 voci.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ShowDetails
L'opzione ShowDetails recupera i dettagli di ogni voce di log dalla cassetta postale. Con questa opzione non è necessario specificare alcun valore.
Per impostazione predefinita, in una visualizzazione elenco sono mostrati tutti i campi per ciascuna voce di registro restituita.
Non è possibile usare questa opzione con il parametro Cassette postali.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-StartDate
Il parametro StartDate consente di specificare la data di inizio dell'intervallo di date.
Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".
| Type: | ExDateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
Input
Input types
Per verificare i tipi di input accettati da questo cmdlet, vedere Tipi di input e output dei cmdlet. Se il campo relativo al tipo di input di un cmdlet è vuoto, il cmdlet non accetta dati di input.
Output
Output types
Per verificare i tipi restituiti, detti anche tipi di output, accettati da questo cmdlet, vedere Tipi di input e output dei cmdlet. Se il campo relativo al tipo di output è vuoto, il cmdlet non restituisce dati.