New-UnifiedAuditLogRetentionPolicy
此 cmdlet 仅在安全与合规中心 PowerShell 内可用。 有关更多信息,请参见 安全与合规中心 PowerShell。
使用 New-UnifiedAuditLogRetentionPolicy cmdlet 在Microsoft Defender门户或Microsoft Purview 合规门户中创建审核日志保留策略。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Default (默认值)
New-UnifiedAuditLogRetentionPolicy
[-Name] <String>
-Priority <Int32>
-RetentionDuration <UnifiedAuditLogRetentionDuration>
[-Confirm]
[-Description <String>]
[-Operations <MultiValuedProperty>]
[-RecordTypes <MultiValuedProperty>]
[-UserIds <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>]
说明
审核日志保留策略用于为管理员和用户活动生成的审核日志指定保留期。 审核日志保留策略可以根据审核的活动类型、执行活动的Microsoft 365 服务或执行活动的用户来指定保留持续时间。 有关详细信息,请参阅管理审核日志保留策略。
要在安全与合规中心 PowerShell 中使用此 cmdlet,必须分配权限。 有关详细信息,请参阅Microsoft Defender门户中的权限或Microsoft Purview 合规门户中的权限。
示例
示例 1
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TwelveMonths -Priority 100
此示例创建一个审核日志保留策略,该策略将与Microsoft Teams 事件相关的所有审核日志保留一年。
示例 2
New-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Description "90 day retention policy for noisy SharePoint events" -RecordTypes SharePoint -Operations SearchQueryPerformed -UserIds "app@sharepoint" -RetentionDuration ThreeMonths -Priority 10000
此示例创建审核日志保留策略,该策略将 app@sharepoint 服务帐户执行的 SearchQueryPerformed 活动的所有审核日志保留 90 天。
参数
-Confirm
适用:安全 & 合规性
Confirm 开关指定是否显示确认提示。 此开关对 cmdlet 造成的影响取决于在你继续操作之前 cmdlet 是否需要确认。
- 破坏性 cmdlet(例如 Remove-* cmdlets)内置有暂停,可强制要求先确认命令,然后再继续操作。 对于这些 cmdlet,您可以使用此确切语法跳过确认提示:
-Confirm:$false。 - 其他大多数 cmdlet(例如 New-* 和 Set-* cmdlet)都没有内置暂停。 对于这些 cmdlet,指定不含值的 Confirm 开关会引入暂停,从而强制要求你先确认命令,然后再继续操作。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
| 别名: | cf |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Description
适用:安全 & 合规性
Description 参数指定审核日志保留策略的说明。 长度不得超过 256 个字符。 如果值中有空格,请使用双引号 (") 将此值括起来。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Name
适用:安全 & 合规性
Name 参数指定审核日志保留策略的唯一名称。 最大长度为 64 个字符。 如果值中有空格,请使用双引号 (") 将此值括起来。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | 0 |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Operations
适用:安全 & 合规性
Operations 参数指定策略保留的审核日志作。 有关此参数的可用值的列表,请参阅 已审核的活动。
Update 如果值中有空格或需要使用双引号,请使用以下语法:"Value1","Value2",..."ValueN"。
如果使用此参数,还必须使用 RecordTypes 参数来指定记录类型。 如果为 RecordTypes 参数指定了多个值,则不能使用此参数。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Priority
适用:安全 & 合规性
Priority 参数指定用于确定策略处理顺序的策略的优先级值。 较高的整数值表示优先级较低。 值 1 是最高优先级,值 10000 是最低优先级。 没有两个策略可以具有相同的优先级值。
创建审核日志保留策略时,此参数是必需的,并且必须使用唯一的优先级值。
创建的任何自定义审核日志保留策略都优先于默认审核日志保留策略。 有关详细信息,请参阅管理审核日志保留策略。
参数属性
| 类型: | Int32 |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-RecordTypes
适用:安全 & 合规性
RecordTypes 参数指定策略保留的特定记录类型的审核日志。 有关可用值的详细信息,请参阅 AuditLogRecordType。
可以指定用逗号分隔的多个值。 如果指定多个值,则无法使用 Operations 参数。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-RetentionDuration
适用:安全 & 合规性
RetentionDuration 参数指定审核日志记录的保留时间。 有效值包含:
- ThreeMonths
- SixMonths
- NineMonths
- TwelveMonths
- TenYears
参数属性
| 类型: | UnifiedAuditLogRetentionDuration |
| 默认值: | None |
| 接受的值: | ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-UserIds
适用:安全 & 合规性
UserIds 参数根据执行作的用户的 ID 指定策略保留的审核日志。
Update 如果值中有空格或需要使用双引号,请使用以下语法:"Value1","Value2",..."ValueN"。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-WhatIf
适用:安全 & 合规性
WhatIf 开关在安全与合规 PowerShell 中不起作用。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
| 别名: | 无线 |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
CommonParameters
此 cmdlet 支持通用参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters。