New-UnifiedAuditLogRetentionPolicy
Этот командлет доступен только в PowerShell для соответствия требованиям безопасности & . Дополнительные сведения см. в разделе Соответствие требованиям безопасности & PowerShell.
Используйте командлет New-UnifiedAuditLogRetentionPolicy для создания политик хранения журналов аудита на портале Microsoft 365 Defender или в Портал соответствия требованиям Microsoft Purview.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
New-UnifiedAuditLogRetentionPolicy
[-Name] <String>
-Priority <Int32>
-RetentionDuration <UnifiedAuditLogRetentionDuration>
[-Confirm]
[-Description <String>]
[-Operations <MultiValuedProperty>]
[-RecordTypes <MultiValuedProperty>]
[-UserIds <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] Описание
Политики хранения журналов аудита используются для указания срока хранения журналов аудита, созданных действиями администратора и пользователя. Политика хранения журнала аудита может указывать длительность хранения в зависимости от типа проверенных действий, службы Майкрософт 365, в которых выполняются действия, или пользователей, которые выполняли действия. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
Чтобы использовать этот командлет в PowerShell для соответствия требованиям безопасности & , необходимо назначить разрешения. Дополнительные сведения см. в разделах Разрешения на портале Microsoft 365 Defender или Разрешения на Портал соответствия требованиям Microsoft Purview.
Примеры
Пример 1
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TwelveMonths -Priority 100В этом примере создается политика хранения журнала аудита, которая сохраняет все журналы аудита, связанные с событиями Майкрософт Teams, в течение одного года.
Пример 2
New-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Description "90 day retention policy for noisy SharePoint events" -RecordTypes SharePoint -Operations SearchQueryPerformed -UserIds "app@sharepoint" -RetentionDuration ThreeMonths -Priority 10000В этом примере создается политика хранения журнала аудита, которая сохраняет все журналы аудита для действия SearchQueryPerformed, выполняемого учетной записью службы app@sharepoint в течение 90 дней.
Параметры
-Confirm
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис:
-Confirm:$false. - Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Параметр Description задает описание политики хранения журнала аудита. Максимальная длина имени составляет 256 символов. Если значение содержит пробелы, его необходимо заключить в кавычки (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
Параметр Name задает уникальное имя для политики хранения журнала аудита. Максимальная длина: 64 символа. Если значение содержит пробелы, его необходимо заключить в кавычки (").
| Type: | String |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operations
Параметр Operations указывает операции журнала аудита, которые хранятся политикой. Список доступных значений для этого параметра см. в разделе Действия аудита.
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Если вы используете этот параметр, необходимо также использовать параметр RecordTypes, чтобы указать тип записи. Этот параметр нельзя использовать, если для параметра RecordTypes задано несколько значений.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Priority
Параметр Priority задает значение приоритета для политики, определяющее порядок обработки политики. Более высокое целочисленное значение указывает на более низкий приоритет. Значение 1 является наивысшим приоритетом, а значение 10000 — самым низким приоритетом. Ни одна из двух политик не может иметь одинаковое значение приоритета.
Этот параметр является обязательным при создании политики хранения журнала аудита и необходимо использовать уникальное значение приоритета.
Любая настраиваемая политика хранения журнала аудита, которую вы создаете, будет иметь приоритет над политикой хранения журнала аудита по умолчанию. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordTypes
Параметр RecordTypes указывает журналы аудита определенного типа записей, которые хранятся политикой. Дополнительные сведения о доступных значениях см. в разделе AuditLogRecordType.
Вы можете указать несколько значений, разделив их запятыми. Если указать несколько значений, нельзя использовать параметр Operations.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RetentionDuration
Параметр RetentionDuration указывает, как долго хранятся записи журнала аудита. Допустимые значения:
- Тримесяца
- SixMonths
- NineMonths
- Двенадцать месяцев
- TenYears
| Type: | UnifiedAuditLogRetentionDuration |
| Accepted values: | ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserIds
Параметр UserIds указывает журналы аудита, которые хранятся политикой на основе идентификатора пользователя, выполнившего действие.
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
Параметр WhatIf не работает в PowerShell для соответствия требованиям безопасности & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |