Search-AdminAuditLog

 

S’applique à :Exchange Online, Exchange Online Protection, Exchange Server 2016

Dernière rubrique modifiée :2016-03-31

Cette cmdlet est disponible dans Exchange Server 2016 sur site et dans le service en nuage. Certains paramètres peuvent être propres à un environnement ou à un autre.

Utilisez la cmdlet Search-AdminAuditLog pour rechercher le contenu du journal d’audit de l’administrateur.

Pour plus d'informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir SyntaxeSyntaxe de cmdlet Exchange.

Search-AdminAuditLog [-Cmdlets <MultiValuedProperty>] [-EndDate <ExDateTime>] [-ExternalAccess <$true | $false>] [-IsSuccess <$true | $false>] [-ObjectIds <MultiValuedProperty>] [-Parameters <MultiValuedProperty>] [-ResultSize <Int32>] [-StartDate <ExDateTime>] [-StartIndex <Int32>] [-UserIds <MultiValuedProperty>] [-DomainController <Fqdn>]

Cet exemple recherche toutes les entrées dans le journal d’audit de l’administrateur qui contiennent la cmdlet New-RoleGroup ou la cmdlet New-ManagementRoleAssignment.

Search-AdminAuditLog -Cmdlets New-RoleGroup, New-ManagementRoleAssignment

Cet exemple recherche toutes les entrées dans le journal d’audit de l’administrateur qui répondent aux critères suivants :

  • Cmdlets Set-Mailbox

  • Parameters UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota

  • StartDate   24/01/2015

  • EndDate   12/02/2015

  • La commande a été exécutée comme il se doit

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters UseDatabaseQuotaDefaults, ProhibitSendReceiveQuota, ProhibitSendQuota -StartDate 01/24/2015 -EndDate 02/12/2015 -IsSuccess $true

Cet exemple affiche tous les commentaires inscrits dans le journal d’audit de l’administrateur par la cmdlet Write-AdminAuditLog.

Avant toute chose, stockez les entrées du journal d’audit dans une variable temporaire au moyen de la commande suivante.

$LogEntries = Search-AdminAuditLog -Cmdlets Write-AdminAuditLog

Ensuite, passez en revue toutes les entrées du journal d’audit renvoyées et affichez la propriété Parameters à l’aide de la commande suivante.

$LogEntries | ForEach { $_.CmdletParameters }

Cet exemple renvoie des entrées dans le journal d’audit de l’administrateur d’une organisation Exchange Online pour les cmdlets exécutées par des administrateurs du centre de données Microsoft entre le 17.09.15 et le 02.10.15.

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2015 -EndDate 10/02/2015

Si vous exécutez la cmdlet Search-AdminAuditLog sans aucun paramètre, 1 000 entrées du journal peuvent être renvoyées par défaut.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que tous les paramètres de cette cmdlet soient répertoriés dans cette rubrique, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Enregistrement d’audit d’administrateur en affichage seul » dans la rubrique Infrastructure Exchange et des autorisations de PowerShell.

 

Paramètre Obligatoire Type Description

Cmdlets

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Le paramètre Cmdlets spécifie les cmdlets que vous souhaitez rechercher dans le journal d’audit de l’administrateur. Seules les entrées de journal qui contiennent les cmdlets que vous spécifiez sont renvoyées.

Pour spécifier plusieurs cmdlets, séparez chacune d’elles par une virgule.

DomainController

Facultatif

Microsoft.Exchange.Data.Fqdn

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre DomainController spécifie le contrôleur de domaine qui est utilisé par cette cmdlet pour lire ou écrire les données dans Active Directory. Vous identifiez le contrôleur de domaine par son nom de domaine complet (FQDN). Par exemple : dc01.contoso.com.

EndDate

Facultatif

Microsoft.Exchange.ExchangeSystem.ExDateTime

Le paramètre EndDate indique la fin de la plage de dates définies.

Utilisez le format de date courte qui est défini dans les paramètres Options régionales de l’ordinateur sur lequel vous exécutez la commande. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte dd/mm/yyyy, entrez 01/09/2015 pour spécifier le 1er septembre 2015. Vous pouvez entrer la date uniquement, ou la date et l’heure de la journée. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets («  »), par exemple « 01/09/2015 17:00 ».

ExternalAccess

Facultatif

System.Boolean

Le paramètre ExternalAccess renvoie uniquement les entrées du journal d’audit concernant les cmdlets qui ont été exécutées par un utilisateur extérieur à votre organisation. Dans Exchange Online, utilisez ce paramètre pour renvoyer les entrées du journal d’audit concernant les cmdlets exécutées par les administrateurs du centre de données Microsoft.

IsSuccess

Facultatif

System.Boolean

Le paramètre IsSuccess spécifie si seules les entrées du journal d’audit de l’administrateur qui signalaient une réussite ou un échec doivent être renvoyées. Les valeurs valides sont $true et $false.

ObjectIds

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Le paramètre ObjectIds précise que seules des entrées du journal d’audit de l’administrateur contenant les objets modifiés spécifiés peuvent être renvoyées. Ce paramètre accepte une grande variété d’objets, notamment des boîtes aux lettres, des alias, des noms de connecteurs d’envoi, etc.

Pour spécifier plusieurs ID d’objet, séparez chacun d’eux par une virgule.

Parameters

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Le paramètre Parameters spécifie les paramètres que vous souhaitez rechercher dans le journal d’audit de l’administrateur. Seules les entrées de journal qui contiennent les paramètres que vous spécifiez sont renvoyées. Vous pouvez uniquement recourir à ce paramètre si vous utilisez le paramètre Cmdlets.

Pour spécifier plusieurs paramètres, séparez chacun d’eux par une virgule.

ResultSize

Facultatif

System.Int32

Le paramètre ResultSize spécifie le nombre maximal de résultats à renvoyer. Pour retourner toutes les demandes correspondant à la requête, utilisez unlimited comme valeur pour ce paramètre. La valeur par défaut est 1000.

StartDate

Facultatif

Microsoft.Exchange.ExchangeSystem.ExDateTime

Le paramètre StartDate indique le début de la plage de dates définies.

Utilisez le format de date courte qui est défini dans les paramètres Options régionales de l’ordinateur sur lequel vous exécutez la commande. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte dd/mm/yyyy, entrez 01/09/2015 pour spécifier le 1er septembre 2015. Vous pouvez entrer la date uniquement, ou la date et l’heure de la journée. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets («  »), par exemple « 01/09/2015 17:00 ».

StartIndex

Facultatif

System.Int32

Le paramètre StartIndex permet de spécifier la position du jeu de résultats où l’affichage dans le jeu de résultats commence.

UserIds

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Le paramètre UserIds précise que seules des entrées du journal d’audit de l’administrateur contenant l’ID spécifié de l’utilisateur qui a exécuté la cmdlet peuvent être renvoyées.

Pour spécifier plusieurs ID d’utilisateur, séparez chacun d’eux par une virgule.

Pour visualiser les types d’entrées acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type d’entrée pour une cmdlet est vide, la cmdlet n’accepte pas les données d’entrée.

Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.

 
Afficher: