Export-ActivityExplorerData

Módulo:

Exchange PowerShell

Este cmdlet está disponible solo en Security & Compliance PowerShell. Para obtener más información, consulte Security & Compliance PowerShell.

Use el cmdlet Export-ActivityExplorerData para exportar actividades desde el Explorador de actividad de clasificación > de datos en el portal de cumplimiento de Microsoft 365 Purview. El explorador de actividad informa de datos de hasta 30 días.

Para obtener más información acerca de los conjuntos de parámetros de la sección Sintaxis a continuación, vea Sintaxis del cmdlet de Exchange.

Sintaxis

Default (Es el valor predeterminado).

Export-ActivityExplorerData
    -EndTime <DateTime>
    -OutputFormat <String>
    -StartTime <DateTime>
    [-Filter1 <String[]>]
    [-Filter2 <String[]>]
    [-Filter3 <String[]>]
    [-Filter4 <String[]>]
    [-Filter5 <String[]>]
    [-PageCookie <String>]
    [-PageSize <Int32>]
    [<CommonParameters>]

Description

Este cmdlet admite los siguientes filtros:

• Actividad
• Aplicación
• ArtifactType
• ClientIP
• ColdScanPolicyId
• CopilotAppHost
• CopilotThreadId
• CopilotType
• CreationTime
• DataState
• DestinationFilePath
• DestinationLocationType
• DeviceName
• DLPPolicyId
• DLPPolicyRuleId
• EmailReceiver
• EmailSender
• EndpointOperation
• EnforcementMode
• FalsePositive
• FileExtension
• GeneralPurposeComparison
• HowApplied
• HowAppliedDetail
• IrmUrlCategory
• IsProtected
• IsProtectedBefore
• NombreElemento
• LabelEventType
• Ubicación
• MDATPDeviceId
• OriginingDomain
• PageSize
• ParentArchiveHash
• Plataforma
• PolicyId
• PolicyMode
• PolicyName
• PolicyRuleAction
• PolicyRuleId
• PolicyRuleName
• PreviousFileName
• PreviousProtectionOwner
• ProtectionEventType
• ProtectionOwner
• RemovableMediaDeviceManufacturer
• RemovableMediaDeviceModel
• RemovableMediaDeviceSerialNumber
• RetentionLabel
• RMSEncrypted
• SensitiveInfoTypeClassifierType
• SensitiveInfoTypeConfidence
• SensitiveInfoTypeCount
• SensitiveInfoTypeId
• SensitivityLabel
• SensitivityLabelPolicy
• Sha1
• Sha256
• SourceLocationType
• TargetDomain
• TargetPrinterName
• Usuario
• UsersPerDay
• Carga de trabajo

Los filtros de carga de trabajo válidos incluyen los siguientes valores:

• Copilot
• Punto de conexión
• Exchange
• OnPremisesFileShareScanner
• OnPremisesSharePointScanner
• OneDrive
• PowerBI
• PurviewDataMap
• SharePoint

Los filtros de actividad válidos incluyen los siguientes valores:

• AIAppInteraction
• ArchiveCreated
• AutoLabelingSimulation
• ChangeProtection
• ClassificationAdded
• ClassificationDeleted
• ClassificationUpdated
• CopilotInteraction
• DLPInfo
• DLPRuleEnforce
• DLPRuleMatch
• DLPRuleUndo
• DlpClassification
• DownloadFile
• DownloadText
• FileAccessedByUnallowedApp
• FileArchived
• FileCopiedToClipboard
• FileCopiedToNetworkShare
• FileCopiedToRemoteDesktopSession
• FileCopiedToRemovableMedia
• FileCreated
• FileCreatedOnNetworkShare
• FileCreatedOnRemovableMedia
• FileDeleted
• FileDiscovered
• FileModified
• FilePrinted
• FileRead
• FileRenamed
• FileTransferredByBluetooth
• FileUploadedToCloud
• LabelApplied
• LabelChanged
• LabelRecommended
• LabelRecommendedAndDismissed
• LabelRemoved
• NewProtection
• PastedToBrowser
• RemoveProtection
• ScreenCapture
• UploadFile
• UploadText
• Página webCopiedToClipboard
• Página webPrinted
• WebpageSavedToLocal

Para usar este cmdlet en Security & Compliance PowerShell, debe tener asignados permisos. Para obtener más información vea Permisos en el portal de cumplimiento de Microsoft Purview.

Ejemplos

Ejemplo 1

Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json

En este ejemplo se exporta un máximo de 5000 registros para el intervalo de fechas especificado en formato JSON.

Ejemplo 2

Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -OutputFormat Json

En este ejemplo se exportan hasta 100 registros para el intervalo de fechas especificado en formato Json. Si hay más de 100 registros disponibles, el valor de la propiedad LastPage en la salida del comando es False. Use el valor de la propiedad Watermark como valor del parámetro PageCookie en una nueva consulta para obtener el siguiente conjunto de registros.

Ejemplo 3

$res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json

#Run the following steps in loop until all results are fetched

while ($res.LastPage -ne $true)
{
  $pageCookie = $res.WaterMark
  $res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json -PageCookie $pageCookie
}

Este ejemplo está relacionado con el ejemplo anterior donde había más de 100 registros disponibles (el valor de la propiedad LastPage de ese comando era False). Estamos usando el mismo intervalo de fechas, pero esta vez vamos a usar el valor de la propiedad Watermark del comando anterior para el parámetro PageCookie de este comando para obtener los resultados restantes en un bucle. ResultData de cada iteración se puede usar según sea necesario.

Ejemplo 4

Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived") -OutputFormat Csv

En este ejemplo se exportan hasta 100 registros para el intervalo de fechas especificado en formato CSV y se filtra la salida por el valor de actividad FileArchived.

Ejemplo 5

Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -OutputFormat Json

En este ejemplo se exportan hasta 100 registros para el intervalo de fechas especificado en formato JSON y se filtra la salida por el valor de actividad FileArchived o ArchiveCreated.

Ejemplo 6

Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -Filter2 @("Workload","Endpoint") -OutputFormat Json

En este ejemplo se exportan hasta 100 registros para el intervalo de fechas especificado en formato JSON y se filtra la salida por el valor de carga de trabajo Endpoint para las actividades FileArchived o ArchiveCreated.

Parámetros

-EndTime

Aplicable: Cumplimiento de & de seguridad

El parámetro EndTime especifica la fecha de finalización del intervalo de fechas.

Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta MM/dd/aaaa, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".

Propiedades del parámetro

Tipo:	DateTime
Valor predeterminado:	None
Admite caracteres comodín:	False
DontShow:	False

Conjuntos de parámetros

(All)

Posición:	Named
Mandatory:	True
Valor de la canalización:	False
Valor de la canalización por nombre de propiedad:	False
Valor de los argumentos restantes:	False

-Filter1

Aplicable: Cumplimiento de & de seguridad

El parámetro Filter1 filtra los datos que se van a exportar. Este parámetro toma como entrada un mínimo de dos valores: un nombre de filtro y al menos un valor de filtro. Por ejemplo, @("Activity", "LabelApplied") devuelve registros con el valor LabelAppliedde actividad .

Si especifica varios valores de filtro para el mismo parámetro, se usa el comportamiento OR. Por ejemplo, @("Activity", "LabelApplied", "LabelRemoved") devuelve registros con los valores LabelApplied de actividad o LabelRemoved.

Si usa este parámetro con otros parámetros de filtro, el comportamiento AND se usa en todos los parámetros. Por ejemplo:

-Filter1 @("Activity", "LabelApplied", "LabelRemoved") -Filter2 = @("Workload", "Exchange") devuelve registros con los valores LabelApplied de actividad o LabelRemoved para la carga de Exchange trabajo. En otras palabras, ((Activity eq LabelApplied) OR (Activity eq LabelRemoved)) AND (Workload eq Exchange).

Propiedades del parámetro

Tipo:	String[]
Valor predeterminado:	None
Admite caracteres comodín:	False
DontShow:	False

Conjuntos de parámetros

(All)

Posición:	Named
Mandatory:	False
Valor de la canalización:	False
Valor de la canalización por nombre de propiedad:	False
Valor de los argumentos restantes:	False

-Filter2

Aplicable: Cumplimiento de & de seguridad

El parámetro Filter2 filtra los datos que se van a exportar. Este parámetro tiene los mismos requisitos de sintaxis que el parámetro Filter1, el mismo comportamiento OR para varios valores en el mismo parámetro y el mismo comportamiento AND para varios parámetros de filtro.

Use este parámetro solo si también usa el parámetro Filter1 en el mismo comando.

Propiedades del parámetro

Tipo:	String[]
Valor predeterminado:	None
Admite caracteres comodín:	False
DontShow:	False

Conjuntos de parámetros

(All)

Posición:	Named
Mandatory:	False
Valor de la canalización:	False
Valor de la canalización por nombre de propiedad:	False
Valor de los argumentos restantes:	False

-Filter3

Aplicable: Cumplimiento de & de seguridad

El parámetro Filter3 filtra los datos que se van a exportar. Este parámetro tiene los mismos requisitos de sintaxis que el parámetro Filter1, el mismo comportamiento OR para varios valores en el mismo parámetro y el mismo comportamiento AND para varios parámetros de filtro.

Use este parámetro solo si también usa los parámetros Filter2 y Filter1 en el mismo comando.

Propiedades del parámetro

Tipo:	String[]
Valor predeterminado:	None
Admite caracteres comodín:	False
DontShow:	False

Conjuntos de parámetros

(All)

Posición:	Named
Mandatory:	False
Valor de la canalización:	False
Valor de la canalización por nombre de propiedad:	False
Valor de los argumentos restantes:	False

-Filter4

Aplicable: Cumplimiento de & de seguridad

El parámetro Filter4 filtra los datos que se van a exportar. Este parámetro tiene los mismos requisitos de sintaxis que el parámetro Filter1, el mismo comportamiento OR para varios valores en el mismo parámetro y el mismo comportamiento AND para varios parámetros de filtro.

Use este parámetro solo si también usa los parámetros Filter3, Filter2 y Filter1 en el mismo comando.

Propiedades del parámetro

Tipo:	String[]
Valor predeterminado:	None
Admite caracteres comodín:	False
DontShow:	False

Conjuntos de parámetros

(All)

Posición:	Named
Mandatory:	False
Valor de la canalización:	False
Valor de la canalización por nombre de propiedad:	False
Valor de los argumentos restantes:	False

-Filter5

Aplicable: Cumplimiento de & de seguridad

El parámetro Filter5 filtra los datos que se van a exportar. Este parámetro tiene los mismos requisitos de sintaxis que el parámetro Filter1, el mismo comportamiento OR para varios valores en el mismo parámetro y el mismo comportamiento AND para varios parámetros de filtro.

Use este parámetro solo si también usa los parámetros Filter4, Filter3, Filter2 y Filter1 en el mismo comando.

Propiedades del parámetro

Tipo:	String[]
Valor predeterminado:	None
Admite caracteres comodín:	False
DontShow:	False

Conjuntos de parámetros

(All)

Posición:	Named
Mandatory:	False
Valor de la canalización:	False
Valor de la canalización por nombre de propiedad:	False
Valor de los argumentos restantes:	False

-OutputFormat

Aplicable: Cumplimiento de & de seguridad

El parámetro OutputFormat especifica el formato de salida. Los valores admitidos son:

• Csv
• Json

Propiedades del parámetro

Tipo:	String
Valor predeterminado:	None
Valores aceptados:	csv, json
Admite caracteres comodín:	False
DontShow:	False

Conjuntos de parámetros

(All)

Posición:	Named
Mandatory:	True
Valor de la canalización:	False
Valor de la canalización por nombre de propiedad:	False
Valor de los argumentos restantes:	False

-PageCookie

Aplicable: Cumplimiento de & de seguridad

El parámetro PageCookie especifica si se obtienen más datos cuando el valor de la propiedad LastPage en la salida del comando es False. Si no usa el parámetro PageSize, se devuelve un máximo de 100 registros. Si usa el parámetro PageSize, se puede devolver un máximo de 5000 registros. Para obtener más registros de los que se devuelven en el comando actual, use el valor de la propiedad Watermark de la salida del comando actual como valor del parámetro PageCookie en un nuevo comando con el mismo intervalo de fechas y filtros. El valor PageCookie es válido durante 120 segundos para capturar el siguiente conjunto de registros para la misma consulta.

Propiedades del parámetro

Tipo:	String
Valor predeterminado:	None
Admite caracteres comodín:	False
DontShow:	False

Conjuntos de parámetros

(All)

Posición:	Named
Mandatory:	False
Valor de la canalización:	False
Valor de la canalización por nombre de propiedad:	False
Valor de los argumentos restantes:	False

-PageSize

Aplicable: Cumplimiento de & de seguridad

El parámetro PageSize especifica el número máximo de entradas por página. La entrada válida para este parámetro es un número entero entre 1 y 5000. El valor predeterminado es 100. Considere la posibilidad de usar un valor PageSize más pequeño para evitar la expiración de PageCookie al exportar conjuntos de datos grandes.

Propiedades del parámetro

Tipo:	Int32
Valor predeterminado:	None
Admite caracteres comodín:	False
DontShow:	False

Conjuntos de parámetros

(All)

Posición:	Named
Mandatory:	False
Valor de la canalización:	False
Valor de la canalización por nombre de propiedad:	False
Valor de los argumentos restantes:	False

-StartTime

Aplicable: Cumplimiento de & de seguridad

El parámetro StartTime especifica la fecha de inicio del intervalo de fechas.

Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta MM/dd/aaaa, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".

Propiedades del parámetro

Tipo:	DateTime
Valor predeterminado:	None
Admite caracteres comodín:	False
DontShow:	False

Conjuntos de parámetros

(All)

Posición:	Named
Mandatory:	True
Valor de la canalización:	False
Valor de la canalización por nombre de propiedad:	False
Valor de los argumentos restantes:	False

CommonParameters

Este cmdlet admite los parámetros comunes: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction y -WarningVariable. Para más información, consulte about_CommonParameters.

Notas

El campo de fecha y hora exportado a través de este cmdlet está en hora universal coordinada (UTC).

El cmdlet exporta las siguientes columnas de datos. Sin embargo, no todas las columnas están presentes para cada actividad. Para obtener más información sobre la columna exportada para diferentes actividades, se recomienda comprobar las actividades en el Explorador de actividades.

• Actividad
• Aplicación
• ArtifactType
• AssociatedAdminUnits
• AuthorizedGroupId
• AuthorizedGroupName
• ClientIP
• DataState
• DestinationLocationType
• DeviceName
• DlpPolicyMatchId
• EndpointOperation
• EnforcementMode
• EntityProperties
• EvaluationTime
• FalsePositive
• FileExtension
• FilePath
• FileSize
• FileType
• FullUrl
• GroupId
• GroupName
• GroupType
• Sucedió
• Hidden
• HowApplied
• HowAppliedDetail
• IRMContentId
• IsCorporateNetwork
• IsProtected
• IsProtectedBefore
• JitTriggered
• Justificación
• LabelEventType
• Fabricante
• MatchedWithV1DetailedScheme
• MDATPDeviceId
• Model
• OldRetentionLabel
• OldSensitivityLabel
• OriginingDomain
• ParentArchiveHash
• Plataforma
• PolicyId
• PolicyMode
• PolicyName
• PreviousFileName
• PreviousFilePath
• PreviousProtectionOwner
• ProcessName
• ProductVersion
• ProtectionEventType
• ProtectionOwner
• ProtectionType
• Reason
• Receptores
• RecordIdentity
• RetentionLabel
• RMSEncrypted
• RuleActions
• RuleId
• RuleName
• Remitente
• SensitiveInfoTypeBucketsData
• SensitiveInfoTypeData
• SensitivityLabel
• SensitivityLabelPolicyId
• Número de serie.
• Sha1
• Sha256
• SourceLocationType
• StorageName
• Asunto
• TargetDomain
• TargetFilePath
• TargetPrinterName
• TemplateId
• Usuario
• UserSku
• UserType
• VpnNetworkAddress
• VpnServerAddress
• Carga de trabajo