Поделиться через


Set-UnifiedAuditLogRetentionPolicy

Этот командлет доступен только в PowerShell для соответствия требованиям безопасности & . Дополнительные сведения см. в разделе Соответствие требованиям безопасности & PowerShell.

Используйте командлет Set-UnifiedAuditLogRetentionPolicy для изменения политик хранения журналов аудита на портале Microsoft 365 Defender или в Портал соответствия требованиям Microsoft Purview.

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

Set-UnifiedAuditLogRetentionPolicy
   [-Identity] <PolicyIdParameter>
   -Priority <Int32>
   -RetentionDuration <UnifiedAuditLogRetentionDuration>
   [-Confirm]
   [-Description <String>]
   [-Operations <MultiValuedProperty>]
   [-RecordTypes <MultiValuedProperty>]
   [-UserIds <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Описание

Политики хранения журналов аудита используются для указания срока хранения журналов аудита, созданных действиями администратора и пользователя. Политика хранения журнала аудита может указывать длительность хранения в зависимости от типа проверенных действий, службы Майкрософт 365, в которых выполняются действия, или пользователей, которые выполняли действия. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.

Чтобы использовать этот командлет в PowerShell для соответствия требованиям безопасности & , необходимо назначить разрешения. Дополнительные сведения см. в разделах Разрешения на портале Microsoft 365 Defender или Разрешения на Портал соответствия требованиям Microsoft Purview.

Примеры

Пример 1

Set-UnifiedAuditLogRetentionPolicy -Identity "eDiscovery audit retention" -RecordTypes Discovery,AeD -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 100

В этом примере в политику добавляется тип записи AeD (для событий eDiscovery Premium). Он также настраивает, что политика применяется только к журналам аудита для действий, выполняемых только пользователем admin@contoso.onmicrosoft.com.

Пример 2

Set-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Operations SearchQueryPerformed,FileAccessed -UserIds $null -RetentionDuration SixMonths -Priority 10000

В этом примере изменяется политика хранения журнала аудита и изменяется срок хранения на шесть месяцев, добавляется дополнительное действие в параметр Operations и удаляются все значения из свойства UserId, чтобы политика применяла всех пользователей.

Параметры

-Confirm

Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.

  • Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис: -Confirm:$false.
  • Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Параметр Description задает описание политики хранения журнала аудита. Максимальная длина имени составляет 256 символов. Если значение содержит пробелы, его необходимо заключить в кавычки (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Identity

Параметр Identity указывает единую политику хранения журнала аудита, которую требуется изменить. Вы можете использовать любое уникальное значение, определяющее политику. Например:

  • Имя
  • Неуявное имя (DN)
  • GUID
Type:PolicyIdParameter
Position:0
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Security & Compliance

-Operations

Параметр Operations указывает операции журнала аудита, которые хранятся политикой. Указанные значения перезапишут все существующие записи. Список доступных значений для этого параметра см. в разделе Действия аудита.

Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Priority

Параметр Priority задает значение приоритета для политики, определяющее порядок обработки политики. Более высокое целочисленное значение указывает на более низкий приоритет. Значение 1 является наивысшим приоритетом, а значение 10000 — самым низким приоритетом. Ни одна из двух политик не может иметь одинаковое значение приоритета.

Этот параметр является обязательным при изменении политики хранения журнала аудита и необходимо использовать уникальное значение приоритета.

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RecordTypes

Параметр RecordTypes указывает журналы аудита определенного типа записей, которые хранятся политикой. Дополнительные сведения о доступных значениях см. в разделе AuditLogRecordType.

Вы можете указать несколько значений, разделив их запятыми. Указанные значения перезапишут все существующие записи.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RetentionDuration

Параметр RetentionDuration указывает, как долго хранятся записи журнала аудита. Допустимые значения:

  • Тримесяца
  • SixMonths
  • NineMonths
  • Двенадцать месяцев
  • TenYears

Этот параметр является обязательным при изменении политики хранения журнала аудита.

Type:UnifiedAuditLogRetentionDuration
Accepted values:ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UserIds

Параметр UserIds указывает журналы аудита, которые хранятся политикой на основе идентификатора пользователя, выполнившего действие. Указанные значения перезапишут все существующие записи.

Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

Параметр WhatIf не работает в PowerShell для соответствия требованиям безопасности & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance