Set-UnifiedAuditLogRetentionPolicy
Cette applet de commande est disponible uniquement dans & Security Compliance PowerShell. Pour plus d’informations, consultez Conformité de la sécurité & PowerShell.
Utilisez l’applet de commande Set-UnifiedAuditLogRetentionPolicy pour modifier les stratégies de rétention des journaux d’audit dans le portail Microsoft 365 Defender ou le portail de conformité Microsoft Purview.
Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.
Syntax
Set-UnifiedAuditLogRetentionPolicy
[-Identity] <PolicyIdParameter>
-Priority <Int32>
-RetentionDuration <UnifiedAuditLogRetentionDuration>
[-Confirm]
[-Description <String>]
[-Operations <MultiValuedProperty>]
[-RecordTypes <MultiValuedProperty>]
[-UserIds <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] Description
Les stratégies de rétention des journaux d’audit sont utilisées pour spécifier une durée de rétention pour les journaux d’audit générés par l’activité de l’administrateur et de l’utilisateur. Une stratégie de rétention du journal d’audit peut spécifier la durée de rétention en fonction du type d’activités auditées, du service Microsoft 365 dans lequel les activités sont effectuées ou des utilisateurs qui ont effectué les activités. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.
Pour utiliser cette applet de commande dans PowerShell de conformité de la sécurité & , des autorisations doivent vous être attribuées. Pour plus d’informations, consultez Autorisations dans le portail Microsoft 365 Defender ou Autorisations dans le portail de conformité Microsoft Purview.
Exemples
Exemple 1
Set-UnifiedAuditLogRetentionPolicy -Identity "eDiscovery audit retention" -RecordTypes Discovery,AeD -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 100Cet exemple ajoute le type d’enregistrement AeD (pour les événements eDiscovery Premium) à la stratégie. Il configure également que la stratégie est appliquée uniquement aux journaux d’audit pour les activités effectuées uniquement par l’utilisateur admin@contoso.onmicrosoft.com.
Exemple 2
Set-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Operations SearchQueryPerformed,FileAccessed -UserIds $null -RetentionDuration SixMonths -Priority 10000Cet exemple modifie une stratégie de rétention du journal d’audit et la durée de rétention à six mois, ajoute une activité supplémentaire au paramètre Operations et supprime toutes les valeurs de la propriété UserId afin que la stratégie s’applique à tous les utilisateurs.
Paramètres
-Confirm
Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.
- Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte :
-Confirm:$false. - La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Le paramètre Description spécifie une description de la stratégie de rétention du journal d’audit. La longueur maximale est de 256 caractères. Si la valeur contient des espaces, placez-la entre guillemets (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Identity
Le paramètre Identity spécifie la stratégie de rétention du journal d’audit unifiée que vous souhaitez modifier. Vous pouvez utiliser n’importe quelle valeur qui identifie de manière unique la stratégie. Par exemple :
- Nom
- Nom distingished (DN)
- GUID
| Type: | PolicyIdParameter |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operations
Le paramètre Operations spécifie les opérations de journal d’audit qui sont conservées par la stratégie. Les valeurs que vous spécifiez remplacent les entrées existantes. Pour obtenir la liste des valeurs disponibles pour ce paramètre, consultez Activités auditées.
Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Priority
Le paramètre Priority spécifie une valeur de priorité pour la stratégie qui détermine l’ordre de traitement de la stratégie. Une valeur entière plus élevée indique une priorité inférieure. La valeur 1 est la priorité la plus élevée, et la valeur 10000 est la priorité la plus basse. Deux stratégies ne peuvent pas avoir la même valeur de priorité.
Ce paramètre est requis lorsque vous modifiez une stratégie de rétention de journal d’audit et que vous devez utiliser une valeur de priorité unique.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordTypes
Le paramètre RecordTypes spécifie les journaux d’audit d’un type d’enregistrement spécifique qui sont conservés par la stratégie. Pour plus d’informations sur les valeurs disponibles, consultez AuditLogRecordType.
Vous pouvez spécifier plusieurs valeurs séparées par des virgules. Les valeurs que vous spécifiez remplacent les entrées existantes.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RetentionDuration
Le paramètre RetentionDuration spécifie la durée de conservation des enregistrements du journal d’audit. Les valeurs valides sont les suivantes :
- Trois mois
- SixMois
- NineMonths
- Douze mois
- TenYears
Ce paramètre est requis lors de la modification d’une stratégie de rétention du journal d’audit.
| Type: | UnifiedAuditLogRetentionDuration |
| Accepted values: | ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserIds
Le paramètre UserIds spécifie les journaux d’audit conservés par la stratégie en fonction de l’ID de l’utilisateur qui a effectué l’action. Les valeurs que vous spécifiez remplacent les entrées existantes.
Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
Le commutateur WhatIf ne fonctionne pas dans PowerShell conformité de la sécurité & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |