Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Search-UnifiedAuditLog

 

Dernière rubrique modifiée :2017-11-13

Cette cmdlet est disponible uniquement dans le service en nuage.

Utilisez la cmdlet Search-UnifiedAuditLog pour rechercher le journal d’audit unifié. Ce journal contient les événements d’Exchange Online, de SharePoint Online, de OneDrive Entreprise, de Azure Active Directory, de Microsoft Teams, de Power BI, de Sway et d’autres services Office 365. Vous pouvez rechercher tous les événements dans une plage de dates spécifiée ou filtrer les résultats en fonction de critères spécifiques, tels que l’utilisateur ayant effectué l’action ou l’objet cible.

Pour plus d'informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir SyntaxeSyntaxe de cmdlet Exchange.

Search-UnifiedAuditLog -EndDate <ExDateTime> -StartDate <ExDateTime> [-Formatted <SwitchParameter>] [-FreeText <String>] [-IPAddresses <String[]>] [-ObjectIds <String[]>] [-Operations <String[]>] [-RecordType <ExchangeAdmin | ExchangeItem | ExchangeItemGroup | SharePoint | SyntheticProbe | SharePointFileOperation | OneDrive | AzureActiveDirectory | AzureActiveDirectoryAccountLogon | DataCenterSecurityCmdlet | ComplianceDLPSharePoint | Sway | ComplianceDLPExchange | SharePointSharingOperation | AzureActiveDirectoryStsLogon | SkypeForBusinessPSTNUsage | SkypeForBusinessUsersBlocked | SecurityComplianceCenterEOPCmdlet | ExchangeAggregatedOperation | PowerBIAudit | CRM | Yammer | SkypeForBusinessCmdlets | Discovery | MicrosoftTeams | MicrosoftTeamsAddOns | MicrosoftTeamsSettingsOperation | ThreatIntelligence>] [-ResultSize <Int32>] [-SessionCommand <Initialize | ReturnLargeSet | ReturnNextPreviewPage>] [-SessionId <String>] [-SiteIds <String[]>] [-UserIds <String[]>]

Cet exemple recherche dans le journal d’audit unifié tous les événements entre le 1er mai 2017 00:00 et le 2 mai 2017 00:00.

Search-UnifiedAuditLog -StartDate 5/1/2017 -EndDate 5/2/2017

Remarque : si vous n’incluez pas d’horodatage dans la valeur pour les paramètres StartDate ou EndDate, l’horodatage par défaut 00:00 (minuit) est utilisé.

Cet exemple recherche tous les événements d’administration Exchange de 8:00 à 18:00 le 1er juin 2017 dans le journal d’audit unifié.

Search-UnifiedAuditLog -StartDate "6/1/2017 8:00 AM" -EndDate "6/1/2017 6:00 PM" -RecordType ExchangeAdmin

Remarque : si vous utilisez la même date pour les paramètres StartDate et EndDate, vous devez inclure un horodatage. Sinon, aucun résultat n’est renvoyé, car la date et l’heure des dates de début et de fin sont identiques.

Cet exemple recherche dans le journal d’audit unifié tous les événements entre le 1er et le 8 mai 2017. Si vous n’incluez pas d’horodatage dans les paramètres EndDate et SessionId, les données sont renvoyées dans les pages lorsque la commande est réexécutée de manière séquentielle en utilisant la même valeur StartDate.

Search-UnifiedAuditLog -StartDate 5/1/2017 -EndDate 5/8/2017 -SessionId "UnifiedAuditLogSearch 05/08/17" -SessionCommand ReturnNextPreviewPage

Remarque : si vous utilisez la valeur SessionCommandReturnLargeSet, puis la valeur ReturnNextPreviewPage pour le même ID de session, les résultats sont limités à 10 000 enregistrements (pas 50 000).

Cet exemple recherche dans le journal d’audit unifié tous les fichiers consultés dans SharePoint Online entre le 1er et le 8 mai 2017. Les données sont renvoyées dans les pages alors que la commande est réexécutée de manière séquentielle en utilisant la même valeur SessionId.

Search-UnifiedAuditLog -StartDate 5/1/2017 -EndDate 5/8/2017 -RecordType SharePointFileOperation -Operations FileAccessed -SessionId "WordDocs_SharepointViews"-SessionCommand ReturnNextPreviewPage

Cet exemple recherche dans le journal d’audit unifié tous les événements entre le 1er et le 8 mai 2017 liés à un document Word spécifique identifié par sa valeur ObjectID.

Search-UnifiedAuditLog -StartDate 5/1/2017 -EndDate 5/8/2017 -ObjectIDs "https://alpinehouse.sharepoint.com/sites/contoso/Departments/SM/International/Shared Documents/Sales Invoice - International.docx"

La cmdlet Search-UnifiedAuditLog présente des pages de données basées sur des itérations répétées de la même commande. Utilisez SessionId et SessionCommand pour exécuter à plusieurs reprises la cmdlet jusqu’à obtenir un résultat nul ou atteindre le nombre maximal de résultats en fonction de la commande de session. Pour évaluer l’avancement, examinez les propriétés ResultIndex (correspondances dans l’itération actuelle) et ResultCount (correspondances pour toutes les itérations) des données renvoyées par la cmdlet.

La cmdlet Search-UnifiedAuditLog est disponible dans Exchange Online PowerShell. Vous pouvez également afficher des événements à partir du journal d’audit unifié à l’aide du Centre de conformité et sécurité dans Office 365. Pour plus d’informations, consultez l’article Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et conformité Office 365.

Si vous souhaitez télécharger des données via un programme à partir du journal d’audit Office 365, nous recommandons d’utiliser l’API d’activités de gestion Office 365 au lieu d’utiliser la cmdlet Search-UnifiedAuditLog dans un script PowerShell. L’API d’activités de gestion Office 365 est un service web REST que vous pouvez utiliser pour développer des solutions de surveillance des opérations, de la sécurité et de la conformité pour votre organisation. Pour plus d’informations, reportez-vous à la rubrique sur la référence de l’API d’activités de gestion Office 365.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations nécessaires pour exécuter une cmdlet ou un paramètre dans votre organisation, consultez la rubrique Rechercher les autorisations requises pour exécuter les cmdlets Exchange.

 

Paramètre Obligatoire Type Description

EndDate

Obligatoire

Microsoft.Exchange.ExchangeSystem.ExDateTime

Le paramètre EndDate indique la fin de la plage de dates définies.

Utilisez le format de date courte qui est défini dans les paramètres Options régionales de l’ordinateur sur lequel vous exécutez la commande. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte dd/mm/yyyy, entrez 01/09/2015 pour spécifier le 1er septembre 2015. Vous pouvez entrer la date uniquement, ou la date et l’heure de la journée. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets («  »), par exemple « 01/09/2015 17:00 ».

si vous n’incluez pas d’horodatage dans la valeur pour ce paramètre, l’horodatage par défaut est 00:00 (minuit) pour la date spécifiée.

StartDate

Obligatoire

Microsoft.Exchange.ExchangeSystem.ExDateTime

Le paramètre StartDate indique le début de la plage de dates définies.

Utilisez le format de date courte qui est défini dans les paramètres Options régionales de l’ordinateur sur lequel vous exécutez la commande. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte dd/mm/yyyy, entrez 01/09/2015 pour spécifier le 1er septembre 2015. Vous pouvez entrer la date uniquement, ou la date et l’heure de la journée. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets («  »), par exemple « 01/09/2015 17:00 ».

si vous n’incluez pas d’horodatage dans la valeur pour ce paramètre, l’horodatage par défaut est 00:00 (minuit) pour la date spécifiée.

Formatted

Facultatif

System.Management.Automation.SwitchParameter

En raison du commutateur Formatted, les attributs normalement renvoyés sous forme d’entiers (par exemple, RecordType et Operation) sont sous forme de chaînes descriptives. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

FreeText

Facultatif

System.String

Le paramètre FreeText filtre les entrées du journal par la chaîne de texte spécifiée. Si la valeur contient des espaces, mettez-la entre guillemets («).

IPAddresses

Facultatif

System.String[]

Le paramètre IPAddresses filtre les entrées du journal en fonction des adresses IP spécifiées. Vous spécifiez plusieurs adresses IP séparées par des virgules.

ObjectIds

Facultatif

System.String[]

Le paramètre ObjectIds filtre les entrées du journal par ID d’objet. L’ID d’objet correspond à l’objet cible qui a été traité et dépend des valeurs RecordType et Operations de l’événement. Par exemple, pour les opérations SharePoint, l’ID d’objet correspond au chemin d’URL vers un fichier, un dossier ou un site. Pour les opérations Azure Active Directory, l’ID d’objet correspond au nom de compte ou à la valeur GUID du compte.

La valeur ObjectId est affichée dans la propriété AuditData (également appelée Détails) de l’événement.

Pour saisir plusieurs valeurs, utilisez la syntaxe suivante : <value1>,<value2>,...<valueX>. Si les valeurs contiennent des espaces ou requièrent des guillemets, vous devez utiliser la syntaxe suivante : "<value1>","<value2>",..."<valueX>".

Operations

Facultatif

System.String[]

Le paramètre Operations filtre les entrées du journal par opération. Les valeurs disponibles pour ce paramètre dépendent de la valeur de RecordType. Pour obtenir la liste des valeurs disponibles pour ce paramètre, consultez l’article Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et conformité Office 365.

Pour saisir plusieurs valeurs, utilisez la syntaxe suivante : <value1>,<value2>,...<valueX>. Si les valeurs contiennent des espaces ou requièrent des guillemets, vous devez utiliser la syntaxe suivante : "<value1>","<value2>",..."<valueX>".

RecordType

Facultatif

Microsoft.Exchange.Data.ApplicationLogic.AuditRecordType

Le paramètre RecordType filtre les entrées du journal par type d’enregistrement.

Les valeurs valides sont :

  • AzureActiveDirectory

  • AzureActiveDirectoryAccountLogon

  • AzureActiveDirectoryStsLogon

  • ComplianceDLPExchange

  • ComplianceDLPSharePoint

  • CRM

  • DataCenterSecurityCmdlet

  • Discovery

  • ExchangeAdmin

  • ExchangeAggregatedOperation

  • ExchangeItem

  • ExchangeItemGroup

  • MicrosoftTeams

  • MicrosoftTeamsAddOns

  • MicrosoftTeamsSettingsOperation

  • OneDrive

  • PowerBIAudit

  • SecurityComplianceCenterEOPCmdlet

  • SharePoint

  • SharePointFileOperation

  • SharePointSharingOperation

  • SkypeForBusinessCmdlets

  • SkypeForBusinessPSTNUsage

  • SkypeForBusinessUsersBlocked

  • Sway

  • ThreatIntelligence

  • Yammer

ResultSize

Facultatif

System.Int32

Le paramètre ResultSize spécifie le nombre maximal de résultats à renvoyer. La valeur par défaut est 100 et la valeur maximale est de 5 000.

SessionCommand

Facultatif

Microsoft.Exchange.Data.ApplicationLogic.UnifiedAuditSessionCommand

Le paramètre SessionCommand spécifie la quantité d’informations à renvoyer et la manière dont elles sont organisées. Les valeurs valides sont les suivantes :

  • ReturnNextPreviewPage   Cette valeur entraîne le renvoi par la cmdlet des données triées selon la date. Le nombre maximal d’enregistrements renvoyés par le biais de la pagination ou du paramètre ResultSize est de 5 000.

  • ReturnLargeSet   Cette valeur entraîne le renvoi par la cmdlet des données non triées susceptibles de contenir des doublons. En utilisant la pagination, vous pouvez accéder à un maximum de 50 000 résultats.

  • Initialize   Cette valeur est réservée à un usage interne à Microsoft.

Remarque : Utilisez toujours la même valeur SessionCommand pour une valeur SessionId donnée. Ne basculez pas entre ReturnLargeSet et ReturnNextPreviewPage pour le même ID de session.

SessionId

Facultatif

System.String

Le paramètre SessionId spécifie un ID que vous fournissez sous la forme d’une chaîne pour identifier une commande (la cmdlet et ses paramètres) qui sera exécutée plusieurs fois pour renvoyer des données paginées. Le paramètre SessionId peut correspondre à toute valeur de chaîne de votre choix.

Lorsque la cmdlet est exécutée de manière séquentielle avec le même ID de session, elle renvoie les données sous forme de blocs séquentiels dont la taille est spécifiée par ResultSize.

Pour un ID de session donné, si vous utilisez la valeur SessionCommandReturnLargeSet, puis la valeur SessionCommandReturnNextPreviewPage, les résultats sont limités à 10 000 enregistrements. Pour disposer des 50 000 enregistrements, utilisez toujours la valeur ReturnLargeSet à chaque exécution de la cmdlet pour le même ID de session.

SiteIds

Facultatif

System.String[]

Le paramètre SiteIds filtre les entrées du journal par ID de site. Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

UserIds

Facultatif

System.String[]

Le paramètre UserIds filtre les entrées du journal selon l’ID de l’utilisateur ayant effectué l’action.

Pour saisir plusieurs valeurs, utilisez la syntaxe suivante : <value1>,<value2>,...<valueX>. Si les valeurs contiennent des espaces ou requièrent des guillemets, vous devez utiliser la syntaxe suivante : "<value1>","<value2>",..."<valueX>".

Pour visualiser les types d’entrées acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type d’entrée pour une cmdlet est vide, la cmdlet n’accepte pas les données d’entrée.

Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.

 
Afficher: