Partager via


New-AdminAuditLogSearch

Cette cmdlet est disponible dans Exchange sur site et dans le service cloud. Certains paramètres peuvent être propres à un environnement ou à un autre.

Utilisez la cmdlet New-AdminAuditLogSearch pour rechercher le contenu du journal d’audit de l’administrateur et transmettre les résultats à une ou plusieurs boîtes aux lettres spécifiées par vos soins.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntax

New-AdminAuditLogSearch
   -EndDate <ExDateTime>
   -StartDate <ExDateTime>
   -StatusMailRecipients <MultiValuedProperty>
   [-Cmdlets <MultiValuedProperty>]
   [-Confirm]
   [-DomainController <Fqdn>]
   [-ExternalAccess <Boolean>]
   [-Name <String>]
   [-ObjectIds <MultiValuedProperty>]
   [-Parameters <MultiValuedProperty>]
   [-UserIds <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Description

Une fois l’applet de commande New-AdminAuditLogSearch exécutée, le rapport est remis aux boîtes aux lettres que vous spécifiez dans les 15 minutes. Le journal est inclus sous forme de pièce jointe XML dans l’e-mail de rapport. La taille maximale du journal pouvant être généré est de 10 mégaoctets (Mo).

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations requises pour exécuter une cmdlet ou un paramètre dans votre organisation, voir Find the permissions required to run any Exchange cmdlet.

Exemples

Exemple 1

New-AdminAuditLogSearch -Name "Mailbox Quota Change Audit" -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota -StartDate 01/24/2018 -EndDate 02/12/2018 -StatusMailRecipients david@contoso.com, chris@contoso.com

Cet exemple recherche toutes les entrées du journal d’audit de l’administrateur qui correspondent aux critères suivants et envoie les résultats aux david@contoso.com adresses SMTP et chris@contoso.com :

  • Cmdlets:Set-Mailbox
  • Parameters:UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota
  • StartDate: 24/01/2018
  • Date de fin : 12/02/2018

Exemple 2

New-AdminAuditLogSearch -ExternalAccess $true -StartDate 07/25/2018 -EndDate 10/24/2018 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "Datacenter admin audit log"

Cet exemple retourne des entrées dans le journal d’audit administrateur d’une organisation Exchange Online pour les applets de commande exécutées par Microsoft administrateurs de centre de données entre le 25 septembre 2018 et le 24 octobre 2018. Les résultats de la admin@contoso.com recherche sont envoyés aux adresses SMTP et et pilarp@contoso.com le texte « Journal d’audit administrateur du centre de données » est ajouté à la ligne d’objet du message.

Paramètres

-Cmdlets

Le paramètre Cmdlets spécifie les cmdlets que vous souhaitez rechercher dans le journal d’audit de l’administrateur. Seules les entrées de journal qui contiennent les cmdlets que vous spécifiez sont renvoyées.

Pour spécifier plusieurs cmdlets, séparez chacune d’elles par une virgule.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Confirm

Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

  • Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.
  • La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-DomainController

Ce paramètre est disponible uniquement dans Exchange sur site.

Le paramètre DomainController spécifie le contrôleur de domaine qui est utilisé par cette cmdlet pour lire ou écrire les données dans Active Directory. Vous identifiez le contrôleur de domaine par son nom de domaine complet (FQDN). Par exemple : « dc01.contoso.com ».

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-EndDate

Le paramètre EndDate indique la fin de la plage de dates définies.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ExternalAccess

Le paramètre ExternalAccess renvoie uniquement les entrées du journal d’audit concernant les cmdlets qui ont été exécutées par un utilisateur extérieur à votre organisation. Dans Exchange Online, utilisez ce paramètre pour retourner des entrées de journal d’audit pour les applets de commande exécutées par Microsoft administrateurs du centre de données.

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Name

Le paramètre Name spécifie le nom de la recherche dans le journal d’audit de l’administrateur. Le nom est affiché dans la ligne d’objet du message électronique du rapport d’audit.

Si le nom du rapport contient des espaces, placez le nom entre guillemets (« ).

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-ObjectIds

Le paramètre ObjectIds précise que seules des entrées du journal d’audit de l’administrateur contenant les objets modifiés spécifiés peuvent être renvoyées. Ce paramètre accepte une variété d’objets, tels que les boîtes aux lettres, les alias, les noms de connecteurs d’envoi, etc.

Pour spécifier plusieurs ID d’objet, séparez chacun d’eux par une virgule.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-Parameters

Le paramètre Parameters spécifie les paramètres que vous souhaitez rechercher dans le journal d’audit de l’administrateur. Seules les entrées de journal qui contiennent les paramètres que vous spécifiez sont renvoyées. Vous pouvez uniquement recourir à ce paramètre si vous utilisez le paramètre Cmdlets.

Pour spécifier plusieurs paramètres, séparez chacun d’eux par une virgule.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StartDate

Le paramètre StartDate indique le début de la plage de dates définies.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Type:ExDateTime
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-StatusMailRecipients

Le paramètre StatusMailRecipients spécifie les destinataires qui doivent recevoir le rapport du journal d’audit de l’administrateur. Le destinataire doit être une adresse SMTP valide.

Si vous souhaitez spécifier plusieurs destinataires, séparez chaque adresse SMTP par une virgule.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-UserIds

Le paramètre UserIds précise que seules des entrées du journal d’audit de l’administrateur contenant l’ID spécifié de l’utilisateur qui a exécuté la cmdlet peuvent être renvoyées.

Pour spécifier plusieurs ID d’utilisateur, séparez chacun d’eux par une virgule.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

-WhatIf

Le commutateur WhatIf ne fonctionne pas dans PowerShell conformité de la sécurité & .

Le commutateur WhatIf simule les actions de la commande. Vous pouvez utiliser ce commutateur pour afficher les modifications qui se produiraient sans réellement appliquer ces modifications. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Security & Compliance, Exchange Online Protection

Entrées

Input types

Pour visualiser les types d'entrées acceptés par cette cmdlet, consultez la rubrique Types d'entrée et de sortie de la cmdlet d'Exchange Management Shell. Si le champ Type d'entrée pour une cmdlet est vide, la cmdlet n'accepte pas les données d'entrée.

Sorties

Output types

Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d'entrée et de sortie de la cmdlet d'Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.