Freigeben über


Get-DlpIncidentDetailReport

Dieses Cmdlet ist nur im cloudbasierten Dienst verfügbar.

Hinweis: Dieses Cmdlet wird eingestellt. Verwenden Sie stattdessen Export-ActivityExplorerData .

Verwenden Sie das Cmdlet Get-DlpIncidentDetailReport, um die Details der Vorfälle anzuzeigen, die in den letzten 30 Tagen aufgetreten sind.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

Get-DlpIncidentDetailReport
   [-Action <MultiValuedProperty>]
   [-Actor <MultiValuedProperty>]
   [-DlpCompliancePolicy <MultiValuedProperty>]
   [-DlpComplianceRule <MultiValuedProperty>]
   [-EndDate <System.DateTime>]
   [-EventType <MultiValuedProperty>]
   [-Page <Int32>]
   [-PageSize <Int32>]
   [-Source <MultiValuedProperty>]
   [-StartDate <System.DateTime>]
   [<CommonParameters>]

Beschreibung

Die Ausgabe des Cmdlets Get-DlpIncidentDetailReport enthält die folgenden Eigenschaften:

  • Datum
  • Titel
  • Standort
  • Severity
  • Size
  • Source
  • Akteur
  • DlpCompliancePolicy
  • DlpComplianceRule
  • UserAction
  • Begründung
  • SensitiveInformationType
  • SensitiveInformationCount
  • SensitiveInformationConfidence
  • EventType
  • Aktion
  • DistinctRuleCount
  • DistinctPolicyCount
  • RuleList
  • PolicyList
  • ActionList
  • SensitiveInformationTypeList
  • SensitiveInformationCountList
  • SensitiveInformationConfidenceList

Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.

Beispiele

Beispiel 1

Get-DlpIncidentDetailReport -StartDate 2022/11 -EndDate 2022/11/30

In diesem Beispiel werden die Details aller Vorfälle aufgelistet, die zwischen den angegebenen Datumsangaben aufgetreten sind.

Parameter

-Action

Der Action-Parameter filtert den Bericht nach der Aktion, die von DLP-Richtlinien ausgeführt wird. Gültige Werte sind:

  • BlockAccess
  • GenerateIncidentReport
  • NotifyUser

Es können mehrere Werte durch Kommata getrennt angegeben werden.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Security & Compliance

-Actor

Der Parameter Actor filtert den Bericht nach dem Benutzer, der das Element zuletzt geändert hat. Mehrere Benutzer können durch Kommata getrennt eingegeben werden.

Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Security & Compliance

-DlpCompliancePolicy

Der DlpCompliancePolicy-Parameter filtert den Bericht nach dem Namen der DLP-Kompatibilitätsrichtlinie. Mehrere Richtlinien können durch Kommas getrennt angegeben werden.

Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Security & Compliance

-DlpComplianceRule

Der DlpComplianceRule-Parameter filtert den Bericht nach dem Namen der DLP-Kompatibilitätsregel. Mehrere Regeln können durch Kommas getrennt angegeben werden.

Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Security & Compliance

-EndDate

Der EndDate-Parameter gibt das Enddatum des Datumsbereichs an.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Type:System.DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Security & Compliance

-EventType

Der Parameter EventType filtert den Bericht nach Ereignistyp. Gültige Werte sind:

  • DLPByIncidentIdActionHits
  • DLPByIncidentIdMessages
  • DLPByIncidentIdPolicyFalsePositive
  • DLPByIncidentIdPolicyHits
  • DLPByIncidentIdPolicyOverride
  • DLPByIncidentIdRuleHits

Führen Sie den folgenden Befehl aus, um die liste der gültigen Werte für diesen Parameter anzuzeigen: Get-MailFilterListReport -SelectionTarget EventTypes. Der Ereignistyp, den Sie angeben, muss dem Bericht entsprechen. Beispielsweise können Sie nur DLP-Incidentereignistypen für DLP-Incidentberichte angeben.

Es können mehrere Werte durch Kommata getrennt angegeben werden.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Security & Compliance

-Page

Der Page-Parameter gibt die Seitenanzahl der anzuzeigenden Ergebnisse an. Gültige Eingabewerte für diesen Parameter sind ganze Zahlen zwischen 1 und 1000. Der Standardwert ist 1.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Security & Compliance

-PageSize

Der PageSize-Parameter gibt die maximale Anzahl von Einträgen pro Seite an. Gültige Eingabewerte für diesen Parameter sind ganze Zahlen zwischen 1 und 5000. Der Standardwert ist 1000.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Security & Compliance

-Source

Der Source-Parameter filtert den Bericht nach Workload. Gültige Werte sind:

  • EXCH: Exchange Online
  • ODB: OneDrive for Business
  • SPO: SharePoint Online
  • TEAMS

Es können mehrere Werte durch Kommata getrennt angegeben werden.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Security & Compliance

-StartDate

Der StartDate-Parameter gibt das Startdatum und die Uhrzeit des Datumsbereichs an.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Type:System.DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Security & Compliance