Compartilhar via


New-UnifiedAuditLogRetentionPolicy

Esse cmdlet está disponível apenas no PowerShell de Conformidade de Segurança & . Para obter mais informações, confira PowerShell de Conformidade de Segurança&.

Use o cmdlet New-UnifiedAuditLogRetentionPolicy para criar políticas de retenção de log de auditoria no portal Microsoft 365 Defender ou no portal de conformidade do Microsoft Purview.

Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.

Syntax

New-UnifiedAuditLogRetentionPolicy
   [-Name] <String>
   -Priority <Int32>
   -RetentionDuration <UnifiedAuditLogRetentionDuration>
   [-Confirm]
   [-Description <String>]
   [-Operations <MultiValuedProperty>]
   [-RecordTypes <MultiValuedProperty>]
   [-UserIds <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Description

As políticas de retenção de log de auditoria são usadas para especificar uma duração de retenção para logs de auditoria que são gerados por atividades de administrador e usuário. Uma política de retenção de log de auditoria pode especificar a duração de retenção com base no tipo de atividades auditadas, no serviço Microsoft 365 no qual as atividades são executadas ou nos usuários que executaram as atividades. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.

Para usar esse cmdlet no PowerShell de Conformidade de Segurança & , você precisa receber permissões. Para obter mais informações, consulte Permissões no portal de Microsoft 365 Defender ou Permissões no portal de conformidade do Microsoft Purview.

Exemplos

Exemplo 1

New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TwelveMonths -Priority 100

Este exemplo cria uma política de retenção de log de auditoria que mantém todos os logs de auditoria relacionados a eventos Microsoft Teams por um ano.

Exemplo 2

New-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Description "90 day retention policy for noisy SharePoint events" -RecordTypes SharePoint -Operations SearchQueryPerformed -UserIds "app@sharepoint" -RetentionDuration ThreeMonths -Priority 10000

Este exemplo cria uma política de retenção de log de auditoria que mantém todos os logs de auditoria para a atividade SearchQueryPerformed executada pela conta de serviço app@sharepoint por 90 dias.

Parâmetros

-Confirm

A opção Confirm especifica se a solicitação de confirmação deve ser mostrada ou ocultada. Como essa opção afeta o cmdlet dependerá do fato de o cmdlet exigir ou não confirmação antes de continuar.

  • Cmdlets destrutivos (por exemplo, cmdlets Remove-*) têm uma pausa interna que força você a reconhecer o comando antes de prosseguir. Para estes cmdlets, você pode pular o pedido de confirmação usando esta sintaxe exata: -Confirm:$false.
  • A maioria dos outros cmdlets (por exemplo, cmdlets New-* e Set-*) não tem uma pausa interna. Para esses cmdlets, especificar a opção Confirm sem um valor introduz uma pausa que força você a confirmar o comando antes de continuar.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

O parâmetro Description especifica uma descrição para a política de retenção de log de auditoria. O comprimento máximo é de 256 caracteres. Se o valor contiver espaços, coloque-o entre aspas (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

O parâmetro Name especifica um nome exclusivo para a política de retenção de log de auditoria. O tamanho máximo é de 64 caracteres. Se o valor contiver espaços, coloque-o entre aspas (").

Type:String
Position:0
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operations

O parâmetro Operações especifica as operações de log de auditoria que são retidas pela política. Para obter uma lista dos valores disponíveis para este parâmetro, consulte Atividades auditadas.

Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".

Se você usar esse parâmetro, também deve usar o parâmetro RecordTypes para especificar o tipo de registro. Você não poderá usar esse parâmetro se tiver especificado mais de um valor para o parâmetro RecordTypes.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Priority

O parâmetro Priority especifica um valor de prioridade para a política que determina a ordem de processamento de política. Um valor inteiro mais alto indica uma prioridade menor. O valor 1 é a prioridade mais alta e o valor 10000 é a prioridade mais baixa. Nenhuma política pode ter o mesmo valor de prioridade.

Esse parâmetro é necessário quando você cria uma política de retenção de log de auditoria e você deve usar um valor de prioridade exclusivo.

Qualquer política de retenção de log de auditoria personalizada criada terá precedência sobre a política de retenção de log de auditoria padrão. Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RecordTypes

O parâmetro RecordTypes especifica os logs de auditoria de um tipo de registro específico que são mantidos pela política. Para obter detalhes sobre os valores disponíveis, consulte AuditLogRecordType.

Vários valores, separados por vírgulas, podem ser especificados. Se você especificar mais de um valor, não poderá usar o parâmetro Operações.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RetentionDuration

O parâmetro RetentionDuration especifica quanto tempo os registros de log de auditoria são mantidos. Os valores válidos são:

  • ThreeMonths
  • SixMonths
  • NineMonths
  • TwelveMonths
  • TenYears
Type:UnifiedAuditLogRetentionDuration
Accepted values:ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UserIds

O parâmetro UserIds especifica os logs de auditoria que são mantidos pela política com base na ID do usuário que realizou a ação.

Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

A opção WhatIf não funciona no PowerShell de Conformidade de Segurança & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance