Partager via


New-UnifiedAuditLogRetentionPolicy

Cette applet de commande est disponible uniquement dans & Security Compliance PowerShell. Pour plus d’informations, consultez Conformité de la sécurité & PowerShell.

Utilisez l’applet de commande New-UnifiedAuditLogRetentionPolicy pour créer des stratégies de rétention du journal d’audit dans le portail Microsoft 365 Defender ou le portail de conformité Microsoft Purview.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntax

New-UnifiedAuditLogRetentionPolicy
   [-Name] <String>
   -Priority <Int32>
   -RetentionDuration <UnifiedAuditLogRetentionDuration>
   [-Confirm]
   [-Description <String>]
   [-Operations <MultiValuedProperty>]
   [-RecordTypes <MultiValuedProperty>]
   [-UserIds <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Description

Les stratégies de rétention des journaux d’audit sont utilisées pour spécifier une durée de rétention pour les journaux d’audit générés par l’activité de l’administrateur et de l’utilisateur. Une stratégie de rétention du journal d’audit peut spécifier la durée de rétention en fonction du type d’activités auditées, du service Microsoft 365 dans lequel les activités sont effectuées ou des utilisateurs qui ont effectué les activités. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

Pour utiliser cette applet de commande dans PowerShell de conformité de la sécurité & , des autorisations doivent vous être attribuées. Pour plus d’informations, consultez Autorisations dans le portail Microsoft 365 Defender ou Autorisations dans le portail de conformité Microsoft Purview.

Exemples

Exemple 1

New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TwelveMonths -Priority 100

Cet exemple crée une stratégie de rétention des journaux d’audit qui conserve tous les journaux d’audit liés aux événements Microsoft Teams pendant un an.

Exemple 2

New-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Description "90 day retention policy for noisy SharePoint events" -RecordTypes SharePoint -Operations SearchQueryPerformed -UserIds "app@sharepoint" -RetentionDuration ThreeMonths -Priority 10000

Cet exemple crée une stratégie de rétention des journaux d’audit qui conserve tous les journaux d’audit pour l’activité SearchQueryPerformed effectuée par le compte de service app@sharepoint pendant 90 jours.

Paramètres

-Confirm

Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

  • Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.
  • La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Le paramètre Description spécifie une description de la stratégie de rétention du journal d’audit. La longueur maximale est de 256 caractères. Si la valeur contient des espaces, placez-la entre guillemets (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

Le paramètre Name spécifie un nom unique pour la stratégie de rétention du journal d’audit. La longueur maximale est de 64 caractères. Si la valeur contient des espaces, placez-la entre guillemets (").

Type:String
Position:0
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operations

Le paramètre Operations spécifie les opérations de journal d’audit qui sont conservées par la stratégie. Pour obtenir la liste des valeurs disponibles pour ce paramètre, consultez Activités auditées.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Si vous utilisez ce paramètre, vous devez également utiliser le paramètre RecordTypes pour spécifier le type d’enregistrement. Vous ne pouvez pas utiliser ce paramètre si vous avez spécifié plusieurs valeurs pour le paramètre RecordTypes.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Priority

Le paramètre Priority spécifie une valeur de priorité pour la stratégie qui détermine l’ordre de traitement de la stratégie. Une valeur entière plus élevée indique une priorité inférieure. La valeur 1 est la priorité la plus élevée, et la valeur 10000 est la priorité la plus basse. Deux stratégies ne peuvent pas avoir la même valeur de priorité.

Ce paramètre est requis lorsque vous créez une stratégie de rétention du journal d’audit et que vous devez utiliser une valeur de priorité unique.

Toute stratégie de rétention de journal d’audit personnalisée que vous créez est prioritaire sur la stratégie de rétention du journal d’audit par défaut. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RecordTypes

Le paramètre RecordTypes spécifie les journaux d’audit d’un type d’enregistrement spécifique qui sont conservés par la stratégie. Pour plus d’informations sur les valeurs disponibles, consultez AuditLogRecordType.

Vous pouvez spécifier plusieurs valeurs séparées par des virgules. Si vous spécifiez plusieurs valeurs, vous ne pouvez pas utiliser le paramètre Operations.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RetentionDuration

Le paramètre RetentionDuration spécifie la durée de conservation des enregistrements du journal d’audit. Les valeurs valides sont les suivantes :

  • Trois mois
  • SixMois
  • NineMonths
  • Douze mois
  • TenYears
Type:UnifiedAuditLogRetentionDuration
Accepted values:ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UserIds

Le paramètre UserIds spécifie les journaux d’audit conservés par la stratégie en fonction de l’ID de l’utilisateur qui a effectué l’action.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

Le commutateur WhatIf ne fonctionne pas dans PowerShell conformité de la sécurité & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance