Search-MailboxAuditLog

 

S’applique à :Exchange Online, Exchange Server 2016

Dernière rubrique modifiée :2016-05-14

Cette cmdlet est disponible dans Exchange Server 2016 sur site et dans le service en nuage. Certains paramètres peuvent être propres à un environnement ou à un autre.

Utilisez la cmdlet Search-MailboxAuditLog pour rechercher dans le journal d’audit de la boîte aux lettres des entrées qui correspondent aux critères de recherche spécifiés.

Pour plus d'informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir SyntaxeSyntaxe de cmdlet Exchange.

Search-MailboxAuditLog [-EndDate <ExDateTime>] [-ExternalAccess <$true | $false>] [-HasAttachments <$true | $false>] [-Identity <MailboxIdParameter>] [-LogonTypes <MultiValuedProperty>] [-Operations <MultiValuedProperty>] [-ResultSize <Int32>] [-ShowDetails <SwitchParameter>] [-StartDate <ExDateTime>] <COMMON PARAMETERS>

Search-MailboxAuditLog [-EndDate <ExDateTime>] [-ExternalAccess <$true | $false>] [-HasAttachments <$true | $false>] [-LogonTypes <MultiValuedProperty>] [-Mailboxes <MultiValuedProperty>] [-Operations <MultiValuedProperty>] [-ResultSize <Int32>] [-StartDate <ExDateTime>] <COMMON PARAMETERS>

COMMON PARAMETERS: [-DomainController <Fqdn>]

Cet exemple récupère les entrées du journal d’audit de la boîte aux lettres de l’utilisateur Ken Kwok pour des actions réalisées par les types de connexion Admin et Delegate entre le 01/01/15 et le 31/12/15. 2 000 entrées du journal sont renvoyées au maximum.

Search-MailboxAuditLog -Identity kwok -LogonTypes Admin,Delegate -StartDate 1/1/2015 -EndDate 12/31/2015 -ResultSize 2000

Cet exemple extrait les entrées du journal d’audit des boîtes aux lettres des utilisateurs Ken Kwok et Ben Smith pour des actions réalisées par les types de connexion Admin et Delegate entre le 01/01/15 et le 31/12/15. 2 000 entrées du journal sont renvoyées au maximum.

Search-MailboxAuditLog -Mailboxes kwok,bsmith -LogonTypes Admin,Delegate -StartDate 1/1/2015 -EndDate 12/31/2015 -ResultSize 2000

Cet exemple extrait les entrées du journal d’audit de la boîte aux lettres de l’utilisateur Ken Kwok pour des actions réalisées par le propriétaire de la boîte aux lettres entre le 01/01/16 et le 01/03/16. Les résultats sont transmis à la cmdlet Where-Object et filtrés pour ne renvoyer que les entrées relatives à l’action HardDelete.

Search-MailboxAuditLog -Identity kwok -LogonTypes Owner -ShowDetails -StartDate 1/1/2016 -EndDate 3/1/2016 | Where-Object {$_.Operation -eq "HardDelete"}

La cmdlet Search-MailboxAuditLog réalise une recherche synchrone dans les journaux d’audit d’une ou de plusieurs boîtes aux lettres spécifiées et affiche les résultats de la recherche dans la fenêtre Exchange Management Shell. Pour effectuer ce type de recherche dans plusieurs boîtes aux lettres et transmettre les résultats par courrier électronique aux destinataires concernés, utilisez la cmdlet New-MailboxAuditLogSearch à la place. Pour plus d’informations sur les enregistrements d’audit dans les boîtes aux lettres, voir Journalisation d’audit de boîte aux lettres dans Exchange 2016.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que tous les paramètres de cette cmdlet soient répertoriés dans cette rubrique, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Journaux d’audit des boîtes aux lettres » dans la rubrique Stratégie de messagerie et autorisations de conformité dans Exchange 2016.

 

Paramètre Obligatoire Type Description

DomainController

Facultatif

Microsoft.Exchange.Data.Fqdn

Ce paramètre est disponible uniquement dans Exchange 2016 sur site.

Le paramètre DomainController spécifie le contrôleur de domaine qui est utilisé par cette cmdlet pour lire ou écrire les données dans Active Directory. Vous identifiez le contrôleur de domaine par son nom de domaine complet (FQDN). Par exemple : dc01.contoso.com.

EndDate

Facultatif

Microsoft.Exchange.ExchangeSystem.ExDateTime

Le paramètre EndDate indique la fin de la plage de dates définies.

Utilisez le format de date courte qui est défini dans les paramètres Options régionales de l’ordinateur sur lequel vous exécutez la commande. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte dd/mm/yyyy, entrez 01/09/2015 pour spécifier le 1er septembre 2015. Vous pouvez entrer la date uniquement, ou la date et l’heure de la journée. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets («  »), par exemple « 01/09/2015 17:00 ».

ExternalAccess

Facultatif

System.Boolean

Le paramètre ExternalAccess renvoie uniquement les entrées du journal d’audit concernant l’accès aux boîtes aux lettres par des utilisateurs extérieurs à votre organisation. Dans Exchange Online, utilisez ce paramètre pour renvoyer les entrées du journal d’audit concernant l’accès aux boîtes aux lettres par les administrateurs du centre de données Microsoft.

HasAttachments

Facultatif

System.Boolean

Le paramètre HasAttachments permet de filtrer la recherche en fonction des messages contenant des pièces jointes. Les valeurs valides sont :

  • $true   Seuls les messages contenant des pièces jointes sont inclus dans la recherche.

  • $false   Les messages avec ou sans pièces jointes sont inclus dans la recherche.

Identity

Facultatif

Microsoft.Exchange.Configuration.Tasks.MailboxIdParameter

Le paramètre Identity spécifie la boîte aux lettres pour laquelle des entrées du journal d’audit de la boîte aux lettres sont à extraire. Vous pouvez utiliser ce paramètre pour rechercher dans une seule boîte aux lettres.

LogonTypes

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Le paramètre LogonTypes spécifie le type des ouvertures de session. Les valeurs valides sont les suivantes :

  • Admin   Les entrées du journal d’audit concernant l’accès aux boîtes aux lettres par ouvertures de session administrateur sont renvoyées.

  • Delegate   Les entrées du journal d’audit concernant l’accès aux boîtes aux lettres par délégués sont renvoyées, y compris l’accès des utilisateurs disposant d’une autorisation complète d’accès aux boîtes aux lettres.

  • External   Pour les boîtes aux lettres Exchange Online, les entrées du journal d’audit concernant l’accès aux boîtes aux lettres par des administrateurs du centre de données Microsoft sont renvoyées.

  • Owner   Les entrées du journal d’audit concernant l’accès aux boîtes aux lettres par le propriétaire de boîte aux lettres principal sont renvoyées. Cette valeur est uniquement disponible dans Exchange 2016 et exige également la présence du commutateur ShowDetails.

Mailboxes

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Le paramètre Mailboxes spécifie les boîtes aux lettres pour lesquelles des entrées du journal d’audit de la boîte aux lettres sont à extraire. Ce paramètre permet de rechercher des journaux d’audit concernant plusieurs boîtes aux lettres. Vous ne pouvez pas utiliser le commutateur ShowDetails avec le paramètre Mailboxes.

Operations

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Le paramètre Operations permet de filtrer les résultats de la recherche selon les opérations enregistrées par la journalisation d’audit de boîte aux lettres. Les valeurs valides pour ce paramètre sont les suivantes :

  • Copy

  • Create

  • FolderBind

  • HardDelete

  • MailboxLogin

  • MessageBind

  • Move

  • MoveToDeletedItems

  • SendAs

  • SendOnBehalf

  • SoftDelete

  • Update

Vous pouvez saisir plusieurs valeurs séparées par des virgules.

ResultSize

Facultatif

System.Int32

Le paramètre ResultSize spécifie le nombre maximal d’entrées du journal d’audit de la boîte aux lettres à renvoyer. Les valeurs valides incluent un entier de 1 à 250 000. Par défaut, des entrées 1000 sont retournées.

ShowDetails

Facultatif

System.Management.Automation.SwitchParameter

Le commutateur ShowDetails indique que des détails de chaque entrée du journal sont à extraire. Par défaut, tous les champs de chaque entrée du journal retournée apparaissent sous forme de liste.

Vous ne pouvez pas utiliser le paramètre Mailboxes avec le commutateur ShowDetails.

StartDate

Facultatif

Microsoft.Exchange.ExchangeSystem.ExDateTime

Le paramètre StartDate indique le début de la plage de dates définies.

Utilisez le format de date courte qui est défini dans les paramètres Options régionales de l’ordinateur sur lequel vous exécutez la commande. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte dd/mm/yyyy, entrez 01/09/2015 pour spécifier le 1er septembre 2015. Vous pouvez entrer la date uniquement, ou la date et l’heure de la journée. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets («  »), par exemple « 01/09/2015 17:00 ».

Pour visualiser les types d’entrées acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type d’entrée pour une cmdlet est vide, la cmdlet n’accepte pas les données d’entrée.

Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.

 
Afficher: