Set-UnifiedAuditLogRetentionPolicy

参考

模块:: ExchangePowerShell

适用于:: Security & Compliance

此 cmdlet 仅在安全性 & 合规性 PowerShell 中可用。有关详细信息，请参阅安全性 & 合规性 PowerShell。

使用 Set-UnifiedAuditLogRetentionPolicy cmdlet 在Microsoft 365 Defender门户或Microsoft Purview 合规门户修改审核日志保留策略。

有关以下语法部分的参数设置的详细信息，请参阅 Exchange cmdlet 语法。

语法

Set-UnifiedAuditLogRetentionPolicy
   [-Identity] <PolicyIdParameter>
   -Priority <Int32>
   -RetentionDuration <UnifiedAuditLogRetentionDuration>
   [-Confirm]
   [-Description <String>]
   [-Operations <MultiValuedProperty>]
   [-RecordTypes <MultiValuedProperty>]
   [-UserIds <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

说明

审核日志保留策略用于为管理员和用户活动生成的审核日志指定保留期。审核日志保留策略可以根据审核的活动类型、执行活动的Microsoft 365 服务或执行活动的用户来指定保留持续时间。有关详细信息，请参阅管理审核日志保留策略。

若要在安全性 & 合规性 PowerShell 中使用此 cmdlet，需要分配权限。有关详细信息，请参阅Microsoft 365 Defender门户中的权限或Microsoft Purview 合规门户中的权限。

示例

示例 1

Set-UnifiedAuditLogRetentionPolicy -Identity "eDiscovery audit retention" -RecordTypes Discovery,AeD -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 100

本示例将电子数据展示高级事件的 AeD () 记录类型添加到策略。它还配置该策略仅应用于仅由用户 admin@contoso.onmicrosoft.com执行的活动的审核日志。

示例 2

Set-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Operations SearchQueryPerformed,FileAccessed -UserIds $null -RetentionDuration SixMonths -Priority 10000

此示例修改审核日志保留策略，将保留期更改为六个月，向 Operations 参数添加一个附加活动，并从 UserId 属性中删除所有值，以便策略将应用于所有用户。

参数

-Confirm

Confirm 开关指定是否显示确认提示。此开关对 cmdlet 造成的影响取决于在你继续操作之前 cmdlet 是否需要确认。

破坏性 cmdlet (例如，Remove-* cmdlet) 具有内置的暂停，该暂停会强制你在继续操作之前确认命令。对于这些 cmdlet，您可以使用此确切语法跳过确认提示：-Confirm:$false。
大多数其他 cmdlet (例如，New-* 和 Set-* cmdlet) 没有内置暂停。对于这些 cmdlet，指定不含值的 Confirm 开关会引入暂停，从而强制要求你先确认命令，然后再继续操作。

Type:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Description

Description 参数指定审核日志保留策略的说明。长度不得超过 256 个字符。如果值中有空格，请使用双引号 (") 将此值括起来。

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Identity

Identity 参数指定要修改的统一审核日志保留策略。可以使用任何能够唯一标识该策略的值。例如：

名称
已取消名称 (DN)
GUID

Type:	PolicyIdParameter
Position:	0
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Operations

Operations 参数指定策略保留的审核日志操作。您指定的值将覆盖所有现有条目。有关此参数的可用值的列表，请参阅已审核的活动。

Update 如果值包含空格或需要引号，请使用以下语法： "Value1","Value2",..."ValueN"。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Priority

Priority 参数指定用于确定策略处理顺序的策略的优先级值。较高的整数值表示优先级较低。值 1 是最高优先级，值 10000 是最低优先级。没有两个策略可以具有相同的优先级值。

修改审核日志保留策略时，此参数是必需的，并且必须使用唯一的优先级值。

Type:	Int32
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-RecordTypes

RecordTypes 参数指定策略保留的特定记录类型的审核日志。有关可用值的详细信息，请参阅 AuditLogRecordType。

可以指定用逗号分隔的多个值。您指定的值将覆盖所有现有条目。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-RetentionDuration

RetentionDuration 参数指定审核日志记录的保留时间。有效值包含:

ThreeMonths
SixMonths
NineMonths
TwelveMonths
TenYears

修改审核日志保留策略时，此参数是必需的。

Type:	UnifiedAuditLogRetentionDuration
Accepted values:	ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-UserIds

UserIds 参数根据执行操作的用户的 ID 指定策略保留的审核日志。您指定的值将覆盖所有现有条目。