Get-DlpDetectionsReport
此 cmdlet 仅在基于云的服务中可用。
注意:此 cmdlet 将停用。 使用 Export-ActivityExplorerData cmdlet 查看 DLP 信息。 来自 Export-ActivityExplorerData 的数据与已停用的 Get-DlpIncidentDetailReport cmdlet 相同。
使用 Get-DlpDetectionsReport cmdlet 列出过去 30 天内基于云的组织中Exchange Online、SharePoint Online 和OneDrive for Business的数据丢失防护 (DLP) 规则匹配项的摘要。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Get-DlpDetectionsReport
[-Action <MultiValuedProperty>]
[-AggregateBy <String>]
[-DlpCompliancePolicy <MultiValuedProperty>]
[-DlpComplianceRule <MultiValuedProperty>]
[-EndDate <DateTime>]
[-Expression <Expression>]
[-EventType <MultiValuedProperty>]
[-Page <Int32>]
[-PageSize <Int32>]
[-Source <MultiValuedProperty>]
[-StartDate <DateTime>]
[-SummarizeBy <MultiValuedProperty>]
[<CommonParameters>] 说明
Get-DlpDetectionsReport cmdlet 返回每天汇总一次的常规 DLP 检测数据。 返回的属性包括:
- 日期
- DLP 策略
- DLP 符合性规则
- 事件类型
- Source
- 邮件计数
若要查看所有这些列 (宽度问题) ,请将输出写入文件。 例如,Get-DlpDetectionsReport | Out-String -Width 4096 | Out-File "C:\Users\admin\Desktop\DLP Detections Report.txt"。
若要查看有关每个 DLP 规则匹配的详细信息,请使用 Get-DlpDetailReport cmdlet。
您必须先获得权限,然后才能运行此 cmdlet。 虽然本主题中列出了此 cmdlet 的所有参数,但如果这些参数并未包含在分配给您的权限中,那么您将无法使用这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet。
示例
示例 1
Get-DlpDetectionsReport -StartDate 11/01/2018 -EndDate 11/30/2018此示例列出了 2018 年 11 月的 DLP 活动。
参数
-Action
Action 参数按 DLP 策略执行的操作筛选报表。 有效值包含:
- BlockAccess
- GenerateIncidentReport
- NotifyUser
可以指定用逗号分隔的多个值。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-AggregateBy
AggregateBy 参数指定报告周期。 有效值为:Hour、Day 或 Summary。 默认值为 Day。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-DlpCompliancePolicy
DlpCompliancePolicy 参数按 DLP 合规性策略的名称筛选报告。 您可以指定用逗号分隔的多个策略。
Update 如果值包含空格或需要引号,请使用以下语法: "Value1","Value2",..."ValueN"。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-DlpComplianceRule
DlpComplianceRule 参数按 DLP 合规性规则的名称筛选报告。 您可以指定用逗号分隔的多个规则。
Update 如果值包含空格或需要引号,请使用以下语法: "Value1","Value2",..."ValueN"。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-EndDate
EndDate 参数指定日期范围的结束日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果将计算机配置为使用短日期格式 mm/dd/yyyy,请输入 09/01/2018 来指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-EventType
EventType 参数按事件类型筛选报表。 有效值包含:
- DataRetentions
- DLPActionHits
- DLPActionUndo
- DLPByIncidentIdActionHits
- DLPByIncidentIdMessages
- DLPByIncidentIdPolicyFalsePositive
- DLPByIncidentIdPolicyHits
- DLPByIncidentIdPolicyOverride
- DLPByIncidentIdRuleHits
- DLPMessages
- DLPPolicyFalsePositive
- DLPPolicyHits
- DLPPolicyOverride
- DLPRuleHits
若要查看此参数的有效值的潜在列表,请运行命令: Get-MailFilterListReport -SelectionTarget EventTypes。 指定的事件类型必须与报表相对应。 例如,只能为 DLP 报表指定 DLP 事件类型。
可以指定用逗号分隔的多个值。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-Expression
此参数仅在安全性 & 合规性 PowerShell 中可用
保留此参数以供 Microsoft 内部使用。
| Type: | Expression |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Page
Page 参数指定您希望查看的结果的页数。 此参数的有效输入是介于 1 和 1000 之间的整数。 默认值为 1。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-PageSize
PageSize 参数指定每页的最大条目数量。 此参数的有效输入是介于 1 和 5000 之间的整数。 默认值为 1000。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-Source
Source 参数按工作负荷筛选报表。 有效值包含:
- EXCH:Exchange Online
- ODB:OneDrive for Business
- SPO:SharePoint Online
可以指定用逗号分隔的多个值。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-StartDate
StartDate 参数指定日期范围的起始日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果将计算机配置为使用短日期格式 mm/dd/yyyy,请输入 09/01/2018 来指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-SummarizeBy
SummarizeBy 参数根据您指定的值返回总和。 如果您的报告使用此参数接受的任意值筛选数据,则您可以使用 SummarizeBy 参数根据这些值对结果进行汇总。 若要减少报告中返回的行数,请考虑使用 SummarizeBy 参数。 汇总可以减少为报表检索的数据量,并更快地传递报表。 例如,与其在报告中的一行上查看 EventType 的特定值的每个实例,不如使用 SummarizeBy 参数在报告的一行中查看 EventType 的特定值的实例总数。
对于此 cmdlet,有效值为:
- DLPPolicy
- Domain
- EventType
可以指定用逗号分隔的多个值。 为此参数指定的值不会显示在结果中, (相应列中的值为空白) 。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |