Set-UnifiedAuditLogRetentionPolicy
Этот командлет доступен только в PowerShell безопасности и соответствия требованиям. Дополнительные сведения см. в статье PowerShell безопасности и соответствия требованиям.
Используйте командлет Set-UnifiedAuditLogRetentionPolicy для изменения политик хранения журналов аудита на портале Microsoft Defender или в Портал соответствия требованиям Microsoft Purview.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Default (По умолчанию)
Set-UnifiedAuditLogRetentionPolicy
[-Identity] <PolicyIdParameter>
-Priority <Int32>
-RetentionDuration <UnifiedAuditLogRetentionDuration>
[-Confirm]
[-Description <String>]
[-Operations <MultiValuedProperty>]
[-RecordTypes <MultiValuedProperty>]
[-UserIds <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>]
Описание
Политики хранения журналов аудита используются для указания срока хранения журналов аудита, созданных действиями администратора и пользователя. Политика хранения журнала аудита может указывать длительность хранения в зависимости от типа действий, прошедших аудит, службы Microsoft 365, в которых выполняются действия, или пользователей, которые выполняли действия. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
Чтобы использовать этот командлет в PowerShell безопасности и соответствия требованиям, вам должны быть назначены соответствующие разрешения. Дополнительные сведения см. в разделах Разрешения на портале Microsoft Defender или Разрешения в Портал соответствия требованиям Microsoft Purview.
Примеры
Пример 1
Set-UnifiedAuditLogRetentionPolicy -Identity "eDiscovery audit retention" -RecordTypes Discovery,AeD -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 100
В этом примере в политику добавляется тип записи AeD (для событий eDiscovery Premium). Он также настраивает, что политика применяется только к журналам аудита для действий, выполняемых только пользователем admin@contoso.onmicrosoft.com.
Пример 2
Set-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Operations SearchQueryPerformed,FileAccessed -UserIds $null -RetentionDuration SixMonths -Priority 10000
В этом примере изменяется политика хранения журнала аудита и изменяется срок хранения на шесть месяцев, добавляется дополнительное действие в параметр Operations и удаляются все значения из свойства UserId, чтобы политика применяла всех пользователей.
Параметры
-Confirm
Применимо: соответствие требованиям & безопасности
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, командлеты Remove-) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис:
-Confirm:$false. - Большинство других командлетов (например, командлеты New- и Set-) не имеют встроенной паузы. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
Свойства параметров
| Тип: | SwitchParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
| Aliases: | cf |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Description
Применимо: соответствие требованиям & безопасности
Параметр Description задает описание политики хранения журнала аудита. Максимальная длина имени составляет 256 символов. Если значение содержит пробелы, его необходимо заключить в кавычки (").
Свойства параметров
| Тип: | String |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Identity
Применимо: соответствие требованиям & безопасности
Параметр Identity указывает единую политику хранения журнала аудита, которую требуется изменить. Вы можете использовать любое уникальное значение, определяющее политику. Например:
- имя;
- различающееся имя (DN);
- GUID
Свойства параметров
| Тип: | PolicyIdParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | 0 |
| Обязательно: | True |
| Значение из конвейера: | True |
| Значение из конвейера по имени свойства: | True |
| Значение из оставшихся аргументов: | False |
-Operations
Применимо: соответствие требованиям & безопасности
Параметр Operations указывает операции журнала аудита, которые хранятся политикой. Указанные значения перезаписывают все существующие записи. Список доступных значений для этого параметра см. в разделе Действия аудита.
Update Если значения содержат пробелы или по каким-либо другим причинам требуют применения кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Свойства параметров
| Тип: | MultiValuedProperty |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-Priority
Применимо: соответствие требованиям & безопасности
Параметр Priority задает значение приоритета для политики, определяющее порядок обработки политики. Более высокое целочисленное значение указывает на более низкий приоритет. Значение 1 является наивысшим приоритетом, а значение 10000 — наименьшим приоритетом. Ни одна из двух политик не может иметь одинаковое значение приоритета.
Этот параметр является обязательным при изменении политики хранения журнала аудита и необходимо использовать уникальное значение приоритета.
Свойства параметров
| Тип: | Int32 |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | True |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-RecordTypes
Применимо: соответствие требованиям & безопасности
Параметр RecordTypes указывает журналы аудита определенного типа записей, которые хранятся политикой. Дополнительные сведения о доступных значениях см. в разделе AuditLogRecordType.
Вы можете указать несколько значений, разделив их запятыми. Указанные значения перезаписывают все существующие записи.
Свойства параметров
| Тип: | MultiValuedProperty |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-RetentionDuration
Применимо: соответствие требованиям & безопасности
Параметр RetentionDuration указывает, как долго хранятся записи журнала аудита. Допустимые значения:
- Тримесяца
- SixMonths
- NineMonths
- Двенадцать месяцев
- TenYears
Этот параметр является обязательным при изменении политики хранения журнала аудита.
Свойства параметров
| Тип: | UnifiedAuditLogRetentionDuration |
| Default value: | None |
| Допустимые значения: | ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | True |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-UserIds
Применимо: соответствие требованиям & безопасности
Параметр UserIds указывает журналы аудита, которые хранятся политикой на основе идентификатора пользователя, выполнившего действие. Указанные значения перезаписывают все существующие записи.
Update Если значения содержат пробелы или по каким-либо другим причинам требуют применения кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Свойства параметров
| Тип: | MultiValuedProperty |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
-WhatIf
Применимо: соответствие требованиям & безопасности
Параметр WhatIf не поддерживается в PowerShell безопасности и соответствия требованиям.
Свойства параметров
| Тип: | SwitchParameter |
| Default value: | None |
| Поддерживаются подстановочные знаки: | False |
| DontShow: | False |
| Aliases: | wi |
Наборы параметров
(All)
| Position: | Named |
| Обязательно: | False |
| Значение из конвейера: | False |
| Значение из конвейера по имени свойства: | False |
| Значение из оставшихся аргументов: | False |
CommonParameters
Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье about_CommonParameters.