【排错】搜索不到管理员或邮箱审核日志
常规讨论
-
【问题描述】
使用Search-AdminAuditLog或Search-MailboxAuditLog搜索审核日志时没有结果输出。
【排错步骤】
一、检查审核的设置
可以通过下面的命令查看管理员审核日志或某个邮箱审核日志的设置:
Get-AdminAuditLogConfig|fl Get-Mailbox username | Format-List Audit*
检查审核日志可保留的时间和可被记录的操作,确认您搜索的相关记录在保留时间内,执行的命令或操作是可被记录的:
二、检查并修改系统的语言和区域设置
以英文环境为例:
1、 检查并确认English (United States)为语言首选项。
控制面板 > 时钟、语言和区域 > 语言:
2、 复制区域设置。
控制面板 > 时钟、语言和区域 > 区域,查看格式为English (United States):
进入管理页面 > 复制设置 > 勾选将当前设置复制到“欢迎屏幕和系统帐户”:
管理页面 > 更改系统区域设置 > 确认当前系统区域设置为English (United States):
设置好后需要重启Exchange服务器。
三、 检查仲裁邮箱
管理员审核日志存储在仲裁邮箱SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}中。如果无法搜索管理员审核日志,也请检查下该仲裁是否存在:
Get-Mailbox -Arbitration | FL Name,DisplayName,ServerName,Database,AdminDisplayVersion
如果丢失,可尝试重建该邮箱:
.\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAD Enable-Mailbox -Identity "SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}" -Arbitration Set-Mailbox -Identity "SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}" -Arbitration -UMDataStorage $true -Force
参考文档:
Move the Exchange 2010 system mailbox to Exchange 2013
Re-create the Microsoft Exchange Discovery system mailbox
关键词:审核日志无搜索结果,管理员审核日志,邮箱审核日志, Search-AdminAuditLog,Search-MailboxAuditLog
如果您遇到类似的问题且通过以上步骤仍未能解决,欢迎随时来我们论坛提问(点击文章页面左上角的“提出问题”按钮快速发帖)
如果帖子有帮到您的话,请点击左上方“投票”按钮。这将帮助到阅读这个帖子的其他用户。
