Search-UnifiedAuditLog
Этот командлет доступен только в облачной службе.
Используйте командлет Search-UnifiedAuditLog для поиска в едином журнале аудита. Этот журнал содержит события из Exchange Online, SharePoint, OneDrive, Microsoft Entra ID, Microsoft Teams, Power BI и других служб Microsoft 365. Можно выполнить поиск всех событий в указанном диапазоне дат или отфильтровать результаты по определенным критериям, таким как пользователь, выполнивший действие, действие или целевой объект.
Примечание. По умолчанию этот командлет возвращает подмножество результатов, содержащих до 100 записей. Используйте параметр SessionCommand со значением ReturnLargeSet для исчерпывающего поиска до 50 000 результатов. Параметр SessionCommand приводит к тому, что командлет возвращает несортированные данные.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Default (По умолчанию)
Search-UnifiedAuditLog
-EndDate <ExDateTime>
-StartDate <ExDateTime>
[-Formatted]
[-FreeText <String>]
[-HighCompleteness]
[-IPAddresses <String[]>]
[-LongerRetentionEnabled <String>]
[-ObjectIds <String[]>]
[-Operations <String[]>]
[-RecordType <AuditRecordType>]
[-ResultSize <Int32>]
[-SessionCommand <UnifiedAuditSessionCommand>]
[-SessionId <String>]
[-SiteIds <String[]>]
[-UserIds <String[]>]
[<CommonParameters>]
Описание
Командлет Search-UnifiedAuditLog представляет страницы данных на основе повторяемых итераций одной и той же команды. Используйте SessionId и SessionCommand, чтобы многократно выполнять командлет, пока не получите нулевой возврат или не найдешь максимальное количество результатов на основе команды сеанса. Чтобы оценить ход выполнения, просмотрите свойства ResultIndex (попадания в текущей итерации) и ResultCount (попадания для всех итераций) данных, возвращаемых командлетом.
Командлет Search-UnifiedAuditLog доступен в Exchange Online PowerShell. Вы также можете просматривать события из единого журнала аудита с помощью Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделе Проверенные действия.
Если вы хотите программно скачать данные из журнала аудита Microsoft 365, рекомендуется использовать API действий управления Microsoft 365 вместо командлета Search-UnifiedAuditLog в скрипте PowerShell. API действий управления Microsoft 365 — это веб-служба REST, которую можно использовать для разработки решений для мониторинга операций, безопасности и соответствия требованиям для вашей организации. Дополнительные сведения см. в статье Справочник по API действий управления.
Этот командлет доступен в Office 365, которым управляет 21Vianet, но не возвращает никаких результатов.
Параметр OutVariable принимает объекты типа ArrayList. Ниже приведен пример его использования:
$start = (Get-Date).AddDays(-1); $end = (Get-Date).AddDays(-0.5); $auditData = New-Object System.Collections.ArrayList; Search-UnifiedAuditLog -StartDate $start -EndDate $end -OutVariable +auditData | Out-Null
Для его запуска необходимо получить соответствующие разрешения. Хотя в этой статье перечислены все параметры командлета, у вас может не быть доступа к некоторым параметрам, если они не включены в назначенные вам разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Примеры
Пример 1
Search-UnifiedAuditLog -StartDate 5/1/2023 -EndDate 5/2/2023 -SessionCommand ReturnLargeSet
В этом примере выполняется поиск в едином журнале аудита для всех событий с 1 мая 2023 г. 00:00 по 2 мая 2023 г. 00:00.
Примечание. Если не включить метку времени в значение параметров StartDate или EndDate, используется метка времени по умолчанию 12:00 (полночь).
Пример 2
Search-UnifiedAuditLog -StartDate "6/1/2023 8:00 AM" -EndDate "6/1/2023 6:00 PM" -RecordType ExchangeAdmin -SessionCommand ReturnLargeSet
В этом примере выполняется поиск в едином журнале аудита для всех событий администрирования Exchange с 8:00 до 18:00 1 июня 2023 г.
Примечание Если для параметров StartDate и EndDate используется одна и та же дата, необходимо включить метку времени. В противном случае результаты не возвращаются, так как дата и время для дат начала и окончания совпадают.
Пример 3
Search-UnifiedAuditLog -StartDate 5/1/2023 -EndDate 5/8/2023 -SessionId "UnifiedAuditLogSearch 05/08/17" -SessionCommand ReturnLargeSet
В этом примере выполняется поиск в едином журнале аудита для всех событий с 1 мая 2023 г. по 8 мая 2023 г. Если не включить метку времени в параметры StartDate или EndDate, данные возвращаются на страницах при последовательном выполнении команды с использованием того же значения SessionId.
Примечание. Всегда используйте одно и то же значение SessionCommand для заданного значения SessionId. Не переключайтесь между ReturnLargeSet и ReturnNextPreviewPage для одного и того же идентификатора сеанса. В противном случае выходные данные ограничены 10 000 результатами.
Пример 4
Search-UnifiedAuditLog -StartDate 5/1/2023 -EndDate 5/8/2023 -RecordType SharePointFileOperation -Operations FileAccessed -SessionId "WordDocs_SharepointViews" -SessionCommand ReturnLargeSet
В этом примере выполняется поиск в едином журнале аудита для всех файлов, доступных в SharePoint с 1 мая 2023 г. по 8 мая 2023 г. Данные возвращаются на страницах при последовательном выполнении команды с использованием того же значения SessionId.
Пример 5
Search-UnifiedAuditLog -StartDate 5/1/2023 -EndDate 5/8/2023 -ObjectIDs "https://alpinehouse.sharepoint.com/sites/contoso/Departments/SM/International/Shared Documents/Sales Invoice - International.docx" -SessionCommand ReturnLargeSet
В этом примере выполняется поиск в едином журнале аудита с 1 мая 2023 г. по 8 мая 2023 г. на наличие всех событий, связанных с конкретным Word документом, определяемым значением ObjectID.
Параметры
-EndDate
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр EndDate указывает дату окончания из диапазона дат. Записи хранятся в едином журнале аудита в формате UTC. Если указать значение даты и времени без часового пояса, значение будет в формате UTC.
Чтобы указать значение даты или времени для этого параметра, воспользуйтесь одним из следующих вариантов:
- Укажите значение даты и времени в формате UTC: например,
"2018-05-06 14:30:00z". - Укажите значение даты и времени в виде формулы, которая преобразует дату и время в местном часовом поясе в utc: например,
(Get-Date "5/6/2018 9:30 AM").ToUniversalTime(). Для получения дополнительной информации см. Get-Date.
Если не включить метку времени в значение этого параметра, метка времени по умолчанию — 12:00 (полночь) в указанную дату.
Свойства параметров
| Тип: | ExDateTime |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | True |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Formatted
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр Formatted приводит к тому, что атрибуты, которые обычно возвращаются в виде целых чисел (например, RecordType и Operation), будут отформатированы как описательные строки. С этим параметром не нужно указывать значение.
Кроме того, этот параметр делает AuditData более удобочитаемым.
Свойства параметров
| Тип: | SwitchParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-FreeText
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр FreeText фильтрует записи журнала по указанной текстовой строке. Если значение содержит пробелы, его необходимо заключить в кавычки (").
Свойства параметров
| Тип: | String |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-HighCompleteness
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Примечание. Этот параметр в настоящее время находится в предварительной версии, доступен не во всех организациях и может быть изменен.
Вместо этого параметр HighCompleteness указывает производительность в результатах. С этим параметром не нужно указывать значение.
При использовании этого параметра запрос возвращает более полные результаты поиска, но выполнение может занять значительно больше времени. Если этот параметр не используется, запрос выполняется быстрее, но результаты поиска могут отсутствовать.
Свойства параметров
| Тип: | SwitchParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-IPAddresses
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр IPAddresses фильтрует записи журнала по указанным IP-адресам. Вы указываете несколько IP-адресов, разделенных запятыми.
Свойства параметров
| Тип: | String[] |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-LongerRetentionEnabled
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
{{ Fill LongerRetentionEnabled Description }}
Свойства параметров
| Тип: | String |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-ObjectIds
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр ObjectIds фильтрует записи журнала по идентификатору объекта. Идентификатор объекта — это целевой объект, с которым было выполнено действие, и зависит от значений RecordType и Operations события.
Например, для операций SharePoint идентификатор объекта — это URL-путь к файлу, папке или сайту. Для поиска журналов на сайте добавьте подстановочный знак (*) перед URL-адресом сайта (например, "https://contoso.sharepoint.com/sites/test/*").
Для операций Microsoft Entra идентификатором объекта является имя учетной записи или значение GUID учетной записи.
Значение ObjectId отображается в свойстве AuditData (также известное как Details) события.
Update Если значения содержат пробелы или по каким-либо другим причинам требуют применения кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Свойства параметров
| Тип: | String[] |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Operations
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр Operations фильтрует записи журнала по операциям. Доступные значения для этого параметра зависят от значения RecordType. Список доступных значений для этого параметра см. в разделе Действия аудита.
Update Если значения содержат пробелы или по каким-либо другим причинам требуют применения кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Свойства параметров
| Тип: | String[] |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-RecordType
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр RecordType фильтрует записи журнала по типу записи. Дополнительные сведения о доступных значениях см. в разделе AuditLogRecordType.
Свойства параметров
| Тип: | AuditRecordType |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-ResultSize
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр ResultSize указывает максимальное число возвращаемых результатов. Значение по умолчанию — 100, максимальное — 5000.
Свойства параметров
| Тип: | Int32 |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-SessionCommand
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр SessionCommand указывает, сколько сведений возвращается и как она организована. Этот параметр является обязательным, если требуется получить больше, чем ограничение по умолчанию в 100 результатов. Допустимые значения:
- ReturnLargeSet. Это значение приводит к тому, что командлет возвращает несортированные данные. С помощью разбиения по страницам можно получить доступ к не более чем 50 000 результатов. Это рекомендуемое значение, если упорядоченный результат не требуется и оптимизирован для задержки поиска.
- ReturnNextPreviewPage: это значение заставляет командлет возвращать данные, отсортированные по дате. Максимальное число записей, возвращаемых при использовании разбиения на разбиение по страницам или параметрОм ResultSize, составляет 5000 записей.
Примечание. Всегда используйте одно и то же значение SessionCommand для заданного значения SessionId. Не переключайтесь между ReturnLargeSet и ReturnNextPreviewPage для одного и того же идентификатора сеанса. В противном случае выходные данные ограничены 10 000 результатами.
Свойства параметров
| Тип: | UnifiedAuditSessionCommand |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-SessionId
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр SessionId указывает строку идентификатора для идентификации команды (командлета и его параметров), которая выполняется несколько раз для возврата страничных данных. SessionId может быть любым строковым значением.
При последовательном выполнении командлета с тем же идентификатором сеанса командлет возвращает данные в последовательных блоках размера, указанного в ResultSize.
Если для заданного идентификатора сеанса используется значение SessionCommand ReturnLargeSet, а затем используется значение SessionCommand ReturnNextPreviewPage, результаты будут ограничены 10 000 записей. Чтобы было доступно все 50 000 записей, всегда используйте значение ReturnLargeSet при каждом запуске командлета для одного и того же идентификатора сеанса.
Свойства параметров
| Тип: | String |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-SiteIds
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр SiteIds фильтрует записи журнала по Идентификатору сайта SharePoint (GUID). Можно ввести несколько значений, разделенных запятыми: Value1, Value2,...ValueN.
Чтобы получить SiteId для сайта SharePoint, добавьте /_api/site/id к URL-адресу семейства веб-сайтов, которое вы хотите указать. Например, измените URL-адрес https://contoso.sharepoint.com/sites/hr-project на https://contoso.sharepoint.com/sites/hr-project/_api/site/id. Возвращается полезные данные XML, а siteId для семейства веб-сайтов отображается в свойстве Edm.Guid; например: <d:Id xmlns:d="http://schemas.microsoft.com/ado/2007/08/dataservices" xmlns:m="http://schemas.microsoft.com/ado/2007/08/dataservices/metadata" xmlns:georss="http://www.georss.org/georss" xmlns:gml="http://www.opengis.net/gml" m:type="Edm.Guid">14ab81b6-f23d-476a-8cac-ad5dbd2910f7</d:Id>.
Свойства параметров
| Тип: | String[] |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-StartDate
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр StartDate указывает дату начала из диапазона дат. Записи хранятся в едином журнале аудита в формате UTC. Если указать значение даты и времени без часового пояса, значение будет в формате UTC.
Чтобы указать значение даты или времени для этого параметра, воспользуйтесь одним из следующих вариантов:
- Укажите значение даты и времени в формате UTC: например,
"2018-05-06 14:30:00z". - Укажите значение даты и времени в виде формулы, которая преобразует дату и время в местном часовом поясе в utc: например,
(Get-Date "5/6/2018 9:30 AM").ToUniversalTime(). Для получения дополнительной информации см. Get-Date.
Если не включить метку времени в значение этого параметра, метка времени по умолчанию — 12:00 (полночь) в указанную дату.
Свойства параметров
| Тип: | ExDateTime |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | True |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-UserIds
Применимо: Exchange Online, встроенная надстройка безопасности для локальных почтовых ящиков
Параметр UserIds фильтрует записи журнала по учетной записи (UserPrincipalName) пользователя, выполнившего действие. Например, [email protected].
Update Если значения содержат пробелы или по каким-либо другим причинам требуют применения кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Свойства параметров
| Тип: | String[] |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье about_CommonParameters.