Set-UnifiedAuditLogRetentionPolicy
Dieses Cmdlet ist nur in PowerShell zur Sicherheitskonformität & verfügbar. Weitere Informationen finden Sie unter Security & Compliance PowerShell.
Verwenden Sie das Cmdlet Set-UnifiedAuditLogRetentionPolicy, um Aufbewahrungsrichtlinien für Überwachungsprotokolle im Microsoft 365 Defender-Portal oder im Microsoft Purview-Complianceportal zu ändern.
Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.
Syntax
Set-UnifiedAuditLogRetentionPolicy
[-Identity] <PolicyIdParameter>
-Priority <Int32>
-RetentionDuration <UnifiedAuditLogRetentionDuration>
[-Confirm]
[-Description <String>]
[-Operations <MultiValuedProperty>]
[-RecordTypes <MultiValuedProperty>]
[-UserIds <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] Beschreibung
Aufbewahrungsrichtlinien für Überwachungsprotokolle werden verwendet, um eine Aufbewahrungsdauer für Überwachungsprotokolle anzugeben, die von Administrator- und Benutzeraktivitäten generiert werden. Eine Aufbewahrungsrichtlinie für Überwachungsprotokolle kann die Aufbewahrungsdauer basierend auf dem Typ der überwachten Aktivitäten, dem Microsoft 365-Dienst, in dem Aktivitäten ausgeführt werden, oder den Benutzern, die die Aktivitäten ausgeführt haben, angeben. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.
Um dieses Cmdlet in PowerShell für Sicherheitskonformität & verwenden zu können, müssen Ihnen Berechtigungen zugewiesen werden. Weitere Informationen finden Sie unter Berechtigungen im Microsoft 365 Defender-Portal oder Berechtigungen im Microsoft Purview-Complianceportal.
Beispiele
Beispiel 1
Set-UnifiedAuditLogRetentionPolicy -Identity "eDiscovery audit retention" -RecordTypes Discovery,AeD -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 100In diesem Beispiel wird der Richtlinie der Datensatztyp AeD (für eDiscovery Premium-Ereignisse) hinzugefügt. Außerdem wird konfiguriert, dass die Richtlinie nur auf die Überwachungsprotokolle für Aktivitäten angewendet wird, die nur vom Benutzer admin@contoso.onmicrosoft.comausgeführt werden.
Beispiel 2
Set-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Operations SearchQueryPerformed,FileAccessed -UserIds $null -RetentionDuration SixMonths -Priority 10000In diesem Beispiel wird eine Aufbewahrungsrichtlinie für Überwachungsprotokolle geändert und die Aufbewahrungsdauer auf sechs Monate geändert, dem Operations-Parameter eine zusätzliche Aktivität hinzugefügt und alle Werte aus der UserId-Eigenschaft entfernt, sodass die Richtlinie für alle Benutzer gilt.
Parameter
-Confirm
Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.
- Destruktive Cmdlets (z. B. Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl zu bestätigen, bevor Sie fortfahren. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen:
-Confirm:$false. - Die meisten anderen Cmdlets (z. B. New-* und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Der Description-Parameter gibt eine Beschreibung für die Aufbewahrungsrichtlinie für Überwachungsprotokolle an. Die Höchstlänge beträgt 256 Zeichen. Wenn der Wert Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Identity
Der Parameter Identity gibt die vereinheitlichte Aufbewahrungsrichtlinie für Überwachungsprotokolle an, die Sie ändern möchten. Sie können einen beliebigen Wert verwenden, der die Richtlinie eindeutig identifiziert. Beispiel:
- Name
- Distingished Name (DN)
- GUID
| Type: | PolicyIdParameter |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operations
Der Parameter Operations gibt die Überwachungsprotokollvorgänge an, die von der Richtlinie beibehalten werden. Die Werte, die Sie angeben, überschreiben vorhandene Einträge. Eine Liste der verfügbaren Werte für diesen Parameter finden Sie unter Überwachte Aktivitäten.
Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Priority
Der Parameter Priority gibt einen Prioritätswert für die Richtlinie an, der die Reihenfolge der Richtlinienverarbeitung bestimmt. Ein höherer ganzzahliger Wert gibt eine niedrigere Priorität an. Der Wert 1 ist die höchste Priorität, und der Wert 10000 ist die niedrigste Priorität. Keine zwei Richtlinien können denselben Prioritätswert aufweisen.
Dieser Parameter ist erforderlich, wenn Sie eine Aufbewahrungsrichtlinie für Überwachungsprotokolle ändern, und Sie müssen einen eindeutigen Prioritätswert verwenden.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordTypes
Der Parameter RecordTypes gibt die Überwachungsprotokolle eines bestimmten Datensatztyps an, die von der Richtlinie beibehalten werden. Ausführliche Informationen zu den verfügbaren Werten finden Sie unter AuditLogRecordType.
Es können mehrere Werte durch Kommata getrennt angegeben werden. Die Werte, die Sie angeben, überschreiben vorhandene Einträge.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RetentionDuration
Der Parameter RetentionDuration gibt an, wie lange Überwachungsprotokolldatensätze aufbewahrt werden. Gültige Werte sind:
- ThreeMonths
- SixMonths
- NineMonths
- ZwölfMonate
- TenYears
Dieser Parameter ist erforderlich, wenn eine Aufbewahrungsrichtlinie für Überwachungsprotokolle geändert wird.
| Type: | UnifiedAuditLogRetentionDuration |
| Accepted values: | ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserIds
Der Parameter UserIds gibt die Überwachungsprotokolle an, die von der Richtlinie aufbewahrt werden, basierend auf der ID des Benutzers, der die Aktion ausgeführt hat. Die Werte, die Sie angeben, überschreiben vorhandene Einträge.
Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
Der WhatIf-Schalter funktioniert in PowerShell für Sicherheitskonformität & nicht.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |