Export-ActivityExplorerData

Модуль:: Exchange PowerShell

Этот командлет доступен только в PowerShell безопасности и соответствия требованиям. Дополнительные сведения см. в статье PowerShell безопасности и соответствия требованиям.

Используйте командлет Export-ActivityExplorerData для экспорта действий из Обозреватель действия классификации > данных на портале соответствия требованиям Microsoft 365 Purview. Обозреватель действий сообщает о данных за 30 дней.

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

Default (по умолчанию)

Export-ActivityExplorerData
    -EndTime <DateTime>
    -OutputFormat <String>
    -StartTime <DateTime>
    [-Filter1 <String[]>]
    [-Filter2 <String[]>]
    [-Filter3 <String[]>]
    [-Filter4 <String[]>]
    [-Filter5 <String[]>]
    [-PageCookie <String>]
    [-PageSize <Int32>]
    [<CommonParameters>]

Описание

Этот командлет поддерживает следующие фильтры:

Действие
Приложение
ArtifactType
ClientIP
ColdScanPolicyId
CopilotAppHost
CopilotThreadId
CopilotType
CreationTime
DataState
DestinationFilePath
DestinationLocationType
DeviceName
DLPPolicyId
DLPPolicyRuleId
EmailReceiver
EmailSender
EndpointOperation
EnforcementMode
FalsePositive
FileExtension
GeneralPurposeComparison
HowApplied
HowAppliedDetail
IrmUrlCategory
IsProtected
IsProtectedBefore
ItemName
LabelEventType
Расположение
MDATPDeviceId
Исходный домен
PageSize
ParentArchiveHash
Платформа
PolicyId
PolicyMode
PolicyName
PolicyRuleAction
PolicyRuleId
PolicyRuleName
PreviousFileName
PreviousProtectionOwner
ProtectionEventType
ProtectionOwner
RemovableMediaDeviceManufacturer
RemovableMediaDeviceModel
RemovableMediaDeviceSerialNumber
RetentionLabel
RMSEncrypted
SensitiveInfoTypeClassifierType
SensitiveInfoTypeConfidence
SensitiveInfoTypeCount
SensitiveInfoTypeId
SensitivityLabel
SensitivityLabelPolicy
Sha1
Sha256
SourceLocationType
TargetDomain
TargetPrinterName
Пользователь
UsersPerDay
Workload

Допустимые фильтры рабочей нагрузки включают следующие значения:

Copilot
Конечная точка
Exchange
OnPremisesFileShareScanner
OnPremisesSharePointScanner
OneDrive
PowerBI
PurviewDataMap
SharePoint

Допустимые фильтры действий включают следующие значения:

AIAppInteraction
ArchiveCreated
AutoLabelingSimulation
ChangeProtection
КлассификацияДобавлено
ClassificationDeleted
ClassificationUpdated
CopilotInteraction
DLPInfo
DLPRuleEnforce
DLPRuleMatch
DLPRuleUndo
DlpClassification
DownloadFile
DownloadText
FileAccessedByUnallowedApp
FileArchived
FileCopiedToClipboard
FileCopiedToNetworkShare
FileCopiedToRemoteDesktopSession
FileCopiedToRemovableMedia
FileCreated
FileCreatedOnNetworkShare
FileCreatedOnRemovableMedia
FileDeleted
FileDiscovered
FileModified
FilePrinted
FileRead
FileRenamed
FileTransferredByBluetooth
FileUploadedToCloud
LabelApplied
LabelChanged
LabelRecommended
LabelRecommendedAndDismissed
Метка удалена
NewProtection
PastedToBrowser
RemoveProtection
ScreenCapture
UploadFile
UploadText
Веб-страницаCopiedToClipboard
Веб-страницаПечать
Веб-страницаSavedToLocal

Чтобы использовать этот командлет в PowerShell безопасности и соответствия требованиям, вам должны быть назначены соответствующие разрешения. Дополнительные сведения см. в статье Разрешения на портале соответствия требованиям Microsoft Purview.

Примеры

Пример 1

Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json

В этом примере экспортируются не более 5000 записей для указанного диапазона дат в формате JSON.

Пример 2

Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -OutputFormat Json

В этом примере экспортируются до 100 записей для указанного диапазона дат в формате Json. Если доступно более 100 записей, значение свойства LastPage в выходных данных команды равно False. Используйте значение свойства Watermark в качестве значения параметра PageCookie в новом запросе, чтобы получить следующий набор записей.

Пример 3

$res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json

#Run the following steps in loop until all results are fetched

while ($res.LastPage -ne $true)
{
  $pageCookie = $res.WaterMark
  $res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json -PageCookie $pageCookie
}

Этот пример связан с предыдущим примером, в котором было доступно более 100 записей (значение свойства LastPage в этой команде было False). Мы используем тот же диапазон дат, но на этот раз мы используем значение свойства Watermark из предыдущей команды для параметра PageCookie в этой команде, чтобы получить оставшиеся результаты в цикле. ResultData из каждой итерации можно использовать по мере необходимости.

Пример 4

Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived") -OutputFormat Csv

В этом примере экспортируются до 100 записей для указанного диапазона дат в формате CSV и отфильтровываются выходные данные по значению Действия FileArchived.

Пример 5

Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -OutputFormat Json

В этом примере экспортируется до 100 записей для указанного диапазона дат в формате JSON, а выходные данные фильтруются по значению Действия FileArchived или ArchiveCreated.

Пример 6

Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -Filter2 @("Workload","Endpoint") -OutputFormat Json

В этом примере экспортируется до 100 записей для указанного диапазона дат в формате JSON и отфильтровываются выходные данные по значению рабочей нагрузки конечная точка для действий FileArchived или ArchiveCreated.

Параметры

-EndTime

Параметр EndTime указывает дату окончания диапазона дат.

Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если на компьютере настроен короткий формат даты ММ/дд/гггг, введите 01.09.2018, чтобы указать 1 сентября 2018 г. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".

Свойства параметра

Тип:	DateTime
Default value:	None
Поддерживаются подстановочные знаки:	False
DontShow:	False

Наборы параметров

(All)

Position:	Named
Обязательно:	True
Значение из конвейера:	False
Значение из конвейера по имени свойства:	False
Значение из оставшихся аргументов:	False

-Filter1

Параметр Filter1 фильтрует данные для экспорта. Этот параметр принимает как минимум два значения в качестве входных данных: имя фильтра и по крайней мере одно значение фильтра. Например, @("Activity", "LabelApplied") возвращает записи со значением LabelAppliedдействия .

При указании нескольких значений фильтра для одного и того же параметра используется поведение OR. Например, @("Activity", "LabelApplied", "LabelRemoved") возвращает записи со значениями LabelApplied действия или LabelRemoved.

Если этот параметр используется с другими параметрами фильтра, поведение AND используется для параметров. Например:

-Filter1 @("Activity", "LabelApplied", "LabelRemoved") -Filter2 = @("Workload", "Exchange") возвращает записи со значениями LabelApplied действия или LabelRemoved для рабочей нагрузки Exchange . Другими словами, ((Activity eq LabelApplied) OR (Activity eq LabelRemoved)) AND (Workload eq Exchange).

Свойства параметра

Тип:	String[]
Default value:	None
Поддерживаются подстановочные знаки:	False
DontShow:	False

Наборы параметров

(All)

Position:	Named
Обязательно:	False
Значение из конвейера:	False
Значение из конвейера по имени свойства:	False
Значение из оставшихся аргументов:	False

-Filter2

Параметр Filter2 фильтрует данные для экспорта. Этот параметр имеет те же требования к синтаксису, что и параметр Filter1, одно и то же поведение OR для нескольких значений в одном параметре и одно и то же поведение AND для нескольких параметров фильтра.

Используйте этот параметр, только если вы также используете параметр Filter1 в той же команде.

Свойства параметра

Тип:	String[]
Default value:	None
Поддерживаются подстановочные знаки:	False
DontShow:	False

Наборы параметров

(All)

Position:	Named
Обязательно:	False
Значение из конвейера:	False
Значение из конвейера по имени свойства:	False
Значение из оставшихся аргументов:	False

-Filter3

Параметр Filter3 фильтрует данные для экспорта. Этот параметр имеет те же требования к синтаксису, что и параметр Filter1, одно и то же поведение OR для нескольких значений в одном параметре и одно и то же поведение AND для нескольких параметров фильтра.

Используйте этот параметр, только если вы также используете параметры Filter2 и Filter1 в той же команде.

Свойства параметра

Тип:	String[]
Default value:	None
Поддерживаются подстановочные знаки:	False
DontShow:	False

Наборы параметров

(All)

Position:	Named
Обязательно:	False
Значение из конвейера:	False
Значение из конвейера по имени свойства:	False
Значение из оставшихся аргументов:	False

-Filter4

Параметр Filter4 фильтрует данные для экспорта. Этот параметр имеет те же требования к синтаксису, что и параметр Filter1, одно и то же поведение OR для нескольких значений в одном параметре и одно и то же поведение AND для нескольких параметров фильтра.

Используйте этот параметр, только если вы также используете параметры Filter3, Filter2 и Filter1 в той же команде.

Свойства параметра

Тип:	String[]
Default value:	None
Поддерживаются подстановочные знаки:	False
DontShow:	False

Наборы параметров

(All)

Position:	Named
Обязательно:	False
Значение из конвейера:	False
Значение из конвейера по имени свойства:	False
Значение из оставшихся аргументов:	False

-Filter5

Параметр Filter5 фильтрует данные для экспорта. Этот параметр имеет те же требования к синтаксису, что и параметр Filter1, одно и то же поведение OR для нескольких значений в одном параметре и одно и то же поведение AND для нескольких параметров фильтра.

Используйте этот параметр, только если вы также используете параметры Filter4, Filter3, Filter2 и Filter1 в той же команде.

Свойства параметра

Тип:	String[]
Default value:	None
Поддерживаются подстановочные знаки:	False
DontShow:	False

Наборы параметров

(All)

Position:	Named
Обязательно:	False
Значение из конвейера:	False
Значение из конвейера по имени свойства:	False
Значение из оставшихся аргументов:	False

-OutputFormat

Параметр OutputFormat указывает формат вывода. Допустимые значения:

CSV-файл
Json

Свойства параметра

Тип:	String
Default value:	None
Допустимые значения:	csv, json
Поддерживаются подстановочные знаки:	False
DontShow:	False

Наборы параметров

(All)

Position:	Named
Обязательно:	True
Значение из конвейера:	False
Значение из конвейера по имени свойства:	False
Значение из оставшихся аргументов:	False

-PageCookie

Параметр PageCookie указывает, следует ли получать дополнительные данные, если значение свойства LastPage в выходных данных команды равно False. Если параметр PageSize не используется, возвращается не более 100 записей. При использовании параметра PageSize можно вернуть не более 5000 записей. Чтобы получить больше записей, чем возвращено в текущей команде, используйте значение свойства Watermark из выходных данных текущей команды в качестве значения параметра PageCookie в новой команде с тем же диапазоном дат и фильтрами. Значение PageCookie допустимо в течение 120 секунд для получения следующего набора записей для того же запроса.

Свойства параметра

Тип:	String
Default value:	None
Поддерживаются подстановочные знаки:	False
DontShow:	False

Наборы параметров

(All)

Position:	Named
Обязательно:	False
Значение из конвейера:	False
Значение из конвейера по имени свойства:	False
Значение из оставшихся аргументов:	False

-PageSize

Параметр PageSize указывает максимальное число записей на странице. Допустимое значение для этого параметра — целое число от 1 до 5000. Значение по умолчанию — 100. Рекомендуется использовать меньшее значение PageSize, чтобы избежать истечения срока действия PageCookie при экспорте больших наборов данных.

Свойства параметра

Тип:	Int32
Default value:	None
Поддерживаются подстановочные знаки:	False
DontShow:	False

Наборы параметров

(All)

Position:	Named
Обязательно:	False
Значение из конвейера:	False
Значение из конвейера по имени свойства:	False
Значение из оставшихся аргументов:	False

-StartTime

Параметр StartTime указывает дату начала диапазона дат.

Свойства параметра

Тип:	DateTime
Default value:	None
Поддерживаются подстановочные знаки:	False
DontShow:	False

Наборы параметров

(All)

Position:	Named
Обязательно:	True
Значение из конвейера:	False
Значение из конвейера по имени свойства:	False
Значение из оставшихся аргументов:	False

CommonParameters

Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в статье about_CommonParameters.

Примечания

Поле даты и времени, экспортированное с помощью этого командлета, находится в формате UTC.

Командлет экспортирует следующие столбцы данных. Однако для каждого действия присутствуют не все столбцы. Дополнительные сведения об экспортируемом столбце для различных действий рекомендуется проверить действия в разделе Действия Обозреватель.

Действие
Приложение
ArtifactType
AssociatedAdminUnits
AuthorizedGroupId
AuthorizedGroupName
ClientIP
DataState
DestinationLocationType
DeviceName
DlpPolicyMatchId
EndpointOperation
EnforcementMode
EntityProperties
EvaluationTime
FalsePositive
FileExtension
FilePath
FileSize
FileType
FullUrl
GroupId
GroupName
GroupType
Случилось
Скрытый
HowApplied
HowAppliedDetail
IRMContentId
IsCorporateNetwork
IsProtected
IsProtectedBefore
JitTriggered
Justification
LabelEventType
Производитель
MatchedWithV1DetailedScheme
MDATPDeviceId
Модель
OldRetentionLabel
OldSensitivityLabel
Исходный домен
ParentArchiveHash
Платформа
PolicyId
PolicyMode
PolicyName
PreviousFileName
PreviousFilePath
PreviousProtectionOwner
ProcessName
ProductVersion
ProtectionEventType
ProtectionOwner
ProtectionType
Reason
Receivers
RecordIdentity
RetentionLabel
RMSEncrypted
RuleActions
RuleId
RuleName
Sender
SensitiveInfoTypeBucketsData
SensitiveInfoTypeData
SensitivityLabel
SensitivityLabelPolicyId
Серийный номер.
Sha1
Sha256
SourceLocationType
StorageName
Subject
TargetDomain
TargetFilePath
TargetPrinterName
TemplateId
Пользователь
UserSku
UserType
VpnNetworkAddress
VpnServerAddress
Workload

Обратная связь

Были ли сведения на этой странице полезными?

Поделиться через

Export-ActivityExplorerData

Синтаксис

Default (по умолчанию)

Описание

Примеры

Пример 1

Пример 2

Пример 3

Пример 4

Пример 5

Пример 6

Параметры

-EndTime

Свойства параметра

Наборы параметров

-Filter1

Свойства параметра

Наборы параметров

-Filter2

Свойства параметра

Наборы параметров

-Filter3

Свойства параметра

Наборы параметров

-Filter4

Свойства параметра

Наборы параметров

-Filter5

Свойства параметра

Наборы параметров

-OutputFormat

Свойства параметра

Наборы параметров

-PageCookie

Свойства параметра

Наборы параметров

-PageSize

Свойства параметра

Наборы параметров

-StartTime

Свойства параметра

Наборы параметров

CommonParameters

Примечания

Обратная связь