Export-ActivityExplorerData
此 cmdlet 仅在安全与合规中心 PowerShell 内可用。 有关更多信息,请参见 安全与合规中心 PowerShell。
使用 Export-ActivityExplorerData cmdlet 从 Microsoft 365 Purview 合规性门户中的数据分类 > 活动资源管理器导出活动。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Export-ActivityExplorerData
-EndTime <DateTime>
-OutputFormat <String>
-StartTime <DateTime>
[-Filter1 <String[]>]
[-Filter2 <String[]>]
[-Filter3 <String[]>]
[-Filter4 <String[]>]
[-Filter5 <String[]>]
[-PageCookie <String>]
[-PageSize <Int32>]
[<CommonParameters>] 说明
此 cmdlet 支持以下筛选器:
- 活动
- 应用程序
- ArtifactType
- ClientIP
- ColdScanPolicyId
- CopilotAppHost
- CopilotThreadId
- CopilotType
- CreationTime
- DataState
- DestinationFilePath
- DestinationLocationType
- DeviceName
- DLPPolicyId
- DLPPolicyRuleId
- EmailReceiver
- EmailSender
- EndpointOperation
- EnforcementMode
- FalsePositive
- FileExtension
- GeneralPurposeComparison
- HowApplied
- HowAppliedDetail
- IrmUrlCategory
- IsProtected
- IsProtectedBefore
- ItemName
- LabelEventType
- 位置
- MDATPDeviceId
- OriginatingDomain
- PageSize
- ParentArchiveHash
- 平台
- PolicyId
- PolicyMode
- PolicyName
- PolicyRuleAction
- PolicyRuleId
- PolicyRuleName
- PreviousFileName
- PreviousProtectionOwner
- ProtectionEventType
- ProtectionOwner
- RemovableMediaDeviceManufacturer
- RemovableMediaDeviceModel
- RemovableMediaDeviceSerialNumber
- RetentionLabel
- RMSEncrypted
- SensitiveInfoTypeClassifierType
- SensitiveInfoTypeConfidence
- SensitiveInfoTypeCount
- SensitiveInfoTypeId
- 敏感度标签
- SensitivityLabelPolicy
- Sha1
- Sha256
- SourceLocationType
- TargetDomain
- TargetPrinterName
- 用户
- UsersPerDay
- Workload
有效的工作负荷筛选器包括以下值:
- Copilot
- 端点
- Exchange
- OnPremisesFileShareScanner
- OnPremisesSharePointScanner
- OneDrive
- PowerBI
- PurviewDataMap
- SharePoint
有效的活动筛选器包括以下值:
- AIAppInteraction
- ArchiveCreated
- AutoLabelingSimulation
- BrowseToUrl
- ChangeProtection
- ClassificationAdded
- ClassificationDeleted
- ClassificationUpdated
- CopilotInteraction
- DLPInfo
- DLPRuleEnforce
- DLPRuleMatch
- DLPRuleUndo
- DlpClassification
- DownloadFile
- DownloadText
- FileAccessedByUnallowedApp
- FileArchived
- FileCopiedToClipboard
- FileCopiedToNetworkShare
- FileCopiedToRemoteDesktopSession
- FileCopiedToRemovableMedia
- FileCreated
- FileCreatedOnNetworkShare
- FileCreatedOnRemovableMedia
- FileDeleted
- FileDiscovered
- FileModified
- FilePrinted
- FileRead
- FileRenamed
- FileTransferredByBluetooth
- FileUploadedToCloud
- LabelApplied
- LabelChanged
- LabelRecommended
- LabelRecommendedAndDismissed
- LabelRemoved
- NewProtection
- PastedToBrowser
- RemoveProtection
- ScreenCapture
- UploadFile
- UploadText
- 网页版CopiedToClipboard
- 网页打印
- 网页SavedToLocal
要在安全与合规中心 PowerShell 中使用此 cmdlet,必须分配权限。 有关详细信息,请参阅 Microsoft Purview 合规门户中的权限。
示例
示例 1
Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json本示例以 JSON 格式导出指定日期范围最多 5000 条记录。
示例 2
Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -OutputFormat Json本示例以 Json 格式导出最多 100 条指定日期范围的记录。 如果超过 100 条记录可用,则命令输出中 LastPage 属性的值将为 False。 在新查询中使用 Watermark 属性的值作为 PageCookie 参数的值来获取下一组记录。
示例 3
$res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json
#Run the following steps in loop until all results are fetched
while ($res.LastPage -ne $true)
{
$pageCookie = $res.WaterMark
$res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json -PageCookie $pageCookie
}此示例与上一个示例相关,其中有 100 多条记录可用, (该命令中的 LastPage 属性的值为 False) 。 我们使用相同的日期范围,但这次我们使用此命令中 PageCookie 参数上一命令中的 Watermark 属性的值来获取循环中的剩余结果。 每次迭代的 ResultData 可以根据需要使用。
示例 4
Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived") -OutputFormat Csv本示例以 CSV 格式导出指定日期范围的最多 100 条记录,并按“活动”值 FileArchived 筛选输出。
示例 5
Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -OutputFormat Json此示例以 JSON 格式导出最多 100 条指定日期范围的记录,并按“活动”值 FileArchived 或 ArchiveCreated 筛选输出。
示例 6
Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -Filter2 @("Workload","Endpoint") -OutputFormat Json本示例以 JSON 格式导出最多 100 条指定日期范围的记录,并按 FileArchived 或 ArchiveCreated 活动的工作负载值终结点筛选输出。
参数
-EndTime
EndTime 参数指定日期范围的结束日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果计算机配置为使用短日期格式 MM/dd/yyyy,请输入 09/01/2018 以指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
| 类型: | DateTime |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | False |
| 接受通配符: | False |
| 适用于: | Security & Compliance |
-Filter1
Filter1 参数筛选要导出的数据。 此参数至少采用两个值作为输入:一个筛选器名称和至少一个筛选器值。 例如, @("Activity", "LabelApplied") 返回具有活动值 LabelApplied的记录。
如果为同一参数指定多个筛选器值,则使用 OR 行为。 例如, @("Activity", "LabelApplied", "LabelRemoved") 返回具有活动值 LabelApplied 或 的 LabelRemoved记录。
如果将此参数与其他筛选器参数一起使用,则跨参数使用 AND 行为。 例如:
-Filter1 @("Activity", "LabelApplied", "LabelRemoved") -Filter2 = @("Workload", "Exchange") 返回包含活动值 LabelApplied 或 LabelRemoved 工作负荷的 Exchange 记录。 换句话说, ( (Activity eq LabelApplied) OR (Activity eq LabelRemoved) ) AND (Workload eq Exchange) 。
| 类型: | String[] |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
| 适用于: | Security & Compliance |
-Filter2
Filter2 参数筛选要导出的数据。 此参数具有与 Filter1 参数相同的语法要求、同一参数中多个值的相同 OR 行为以及多个筛选器参数的 AND 行为。
仅当还在同一命令中使用 Filter1 参数时,才使用此参数。
| 类型: | String[] |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
| 适用于: | Security & Compliance |
-Filter3
Filter3 参数筛选要导出的数据。 此参数具有与 Filter1 参数相同的语法要求、同一参数中多个值的相同 OR 行为以及多个筛选器参数的 AND 行为。
仅当在同一命令中也使用 Filter2 和 Filter1 参数时,才使用此参数。
| 类型: | String[] |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
| 适用于: | Security & Compliance |
-Filter4
Filter4 参数筛选要导出的数据。 此参数具有与 Filter1 参数相同的语法要求、同一参数中多个值的相同 OR 行为以及多个筛选器参数的 AND 行为。
仅当在同一命令中还使用 Filter3、Filter2 和 Filter1 参数时,才使用此参数。
| 类型: | String[] |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
| 适用于: | Security & Compliance |
-Filter5
Filter5 参数筛选要导出的数据。 此参数具有与 Filter1 参数相同的语法要求、同一参数中多个值的相同 OR 行为以及多个筛选器参数的 AND 行为。
仅当在同一命令中还使用 Filter4、Filter3、Filter2 和 Filter1 参数时,才使用此参数。
| 类型: | String[] |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
| 适用于: | Security & Compliance |
-OutputFormat
OutputFormat 参数指定输出格式。 有效值包含:
- Csv
- Json
| 类型: | String |
| 接受的值: | csv, json |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | False |
| 接受通配符: | False |
| 适用于: | Security & Compliance |
-PageCookie
PageCookie 参数指定当命令输出中 LastPage 属性的值为 False 时是否获取更多数据。 如果不使用 PageSize 参数,则最多返回 100 条记录。 如果使用 PageSize 参数,最多可以返回 5000 条记录。 若要获取比当前命令中返回的记录更多的记录,请使用当前命令输出中的 Watermark 属性的值作为具有相同日期范围和筛选器的新命令中 PageCookie 参数的值。 PageCookie 值在 120 秒内有效,用于提取同一查询的下一组记录。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
| 适用于: | Security & Compliance |
-PageSize
PageSize 参数指定每页的最大条目数量。 此参数的有效输入是介于 1 和 5000 之间的整数。 默认值为 100。 在导出大型数据集时,请考虑使用较小的 PageSize 值以避免 PageCookie 过期。
| 类型: | Int32 |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
| 适用于: | Security & Compliance |
-StartTime
StartTime 参数指定日期范围的开始日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果计算机配置为使用短日期格式 MM/dd/yyyy,请输入 09/01/2018 以指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
| 类型: | DateTime |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | False |
| 接受通配符: | False |
| 适用于: | Security & Compliance |
备注
通过此 cmdlet 导出的日期时间字段采用协调世界时 (UTC) 。