Set-UnifiedAuditLogRetentionPolicy
Этот командлет доступен только в PowerShell для соответствия требованиям безопасности & . Дополнительные сведения см. в разделе Соответствие требованиям безопасности & PowerShell.
Используйте командлет Set-UnifiedAuditLogRetentionPolicy для изменения политик хранения журналов аудита на портале Microsoft 365 Defender или в Портал соответствия требованиям Microsoft Purview.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Set-UnifiedAuditLogRetentionPolicy
[-Identity] <PolicyIdParameter>
-Priority <Int32>
-RetentionDuration <UnifiedAuditLogRetentionDuration>
[-Confirm]
[-Description <String>]
[-Operations <MultiValuedProperty>]
[-RecordTypes <MultiValuedProperty>]
[-UserIds <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] Описание
Политики хранения журналов аудита используются для указания срока хранения журналов аудита, созданных действиями администратора и пользователя. Политика хранения журнала аудита может указывать длительность хранения в зависимости от типа проверенных действий, службы Майкрософт 365, в которых выполняются действия, или пользователей, которые выполняли действия. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
Чтобы использовать этот командлет в PowerShell для соответствия требованиям безопасности & , необходимо назначить разрешения. Дополнительные сведения см. в разделах Разрешения на портале Microsoft 365 Defender или Разрешения на Портал соответствия требованиям Microsoft Purview.
Примеры
Пример 1
Set-UnifiedAuditLogRetentionPolicy -Identity "eDiscovery audit retention" -RecordTypes Discovery,AeD -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 100В этом примере в политику добавляется тип записи AeD (для событий eDiscovery Premium). Он также настраивает, что политика применяется только к журналам аудита для действий, выполняемых только пользователем admin@contoso.onmicrosoft.com.
Пример 2
Set-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Operations SearchQueryPerformed,FileAccessed -UserIds $null -RetentionDuration SixMonths -Priority 10000В этом примере изменяется политика хранения журнала аудита и изменяется срок хранения на шесть месяцев, добавляется дополнительное действие в параметр Operations и удаляются все значения из свойства UserId, чтобы политика применяла всех пользователей.
Параметры
-Confirm
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис:
-Confirm:$false. - Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Параметр Description задает описание политики хранения журнала аудита. Максимальная длина имени составляет 256 символов. Если значение содержит пробелы, его необходимо заключить в кавычки (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Identity
Параметр Identity указывает единую политику хранения журнала аудита, которую требуется изменить. Вы можете использовать любое уникальное значение, определяющее политику. Например:
- Имя
- Неуявное имя (DN)
- GUID
| Type: | PolicyIdParameter |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operations
Параметр Operations указывает операции журнала аудита, которые хранятся политикой. Указанные значения перезапишут все существующие записи. Список доступных значений для этого параметра см. в разделе Действия аудита.
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Priority
Параметр Priority задает значение приоритета для политики, определяющее порядок обработки политики. Более высокое целочисленное значение указывает на более низкий приоритет. Значение 1 является наивысшим приоритетом, а значение 10000 — самым низким приоритетом. Ни одна из двух политик не может иметь одинаковое значение приоритета.
Этот параметр является обязательным при изменении политики хранения журнала аудита и необходимо использовать уникальное значение приоритета.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordTypes
Параметр RecordTypes указывает журналы аудита определенного типа записей, которые хранятся политикой. Дополнительные сведения о доступных значениях см. в разделе AuditLogRecordType.
Вы можете указать несколько значений, разделив их запятыми. Указанные значения перезапишут все существующие записи.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RetentionDuration
Параметр RetentionDuration указывает, как долго хранятся записи журнала аудита. Допустимые значения:
- Тримесяца
- SixMonths
- NineMonths
- Двенадцать месяцев
- TenYears
Этот параметр является обязательным при изменении политики хранения журнала аудита.
| Type: | UnifiedAuditLogRetentionDuration |
| Accepted values: | ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserIds
Параметр UserIds указывает журналы аудита, которые хранятся политикой на основе идентификатора пользователя, выполнившего действие. Указанные значения перезапишут все существующие записи.
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
Параметр WhatIf не работает в PowerShell для соответствия требованиям безопасности & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |