Get-DlpIncidentDetailReport
此 cmdlet 仅在基于云的服务中可用。
注意:此 cmdlet 将停用。 请改用 Export-ActivityExplorerData 。
使用 Get-DlpIncidentDetailReport cmdlet 查看过去 30 天内发生的事件的详细信息。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Get-DlpIncidentDetailReport
[-Action <MultiValuedProperty>]
[-Actor <MultiValuedProperty>]
[-DlpCompliancePolicy <MultiValuedProperty>]
[-DlpComplianceRule <MultiValuedProperty>]
[-EndDate <System.DateTime>]
[-EventType <MultiValuedProperty>]
[-Page <Int32>]
[-PageSize <Int32>]
[-Source <MultiValuedProperty>]
[-StartDate <System.DateTime>]
[<CommonParameters>] 说明
Get-DlpIncidentDetailReport cmdlet 的输出包含以下属性:
- 日期
- 标题
- 位置
- Severity
- Size
- Source
- Actor
- DlpCompliancePolicy
- DlpComplianceRule
- UserAction
- Justification
- SensitiveInformationType
- SensitiveInformationCount
- SensitiveInformationConfidence
- EventType
- 操作
- DistinctRuleCount
- DistinctPolicyCount
- RuleList
- PolicyList
- ActionList
- SensitiveInformationTypeList
- SensitiveInformationCountList
- SensitiveInformationConfidenceList
您必须先获得权限,然后才能运行此 cmdlet。 虽然本主题中列出了此 cmdlet 的所有参数,但如果这些参数并未包含在分配给您的权限中,那么您将无法使用这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet。
示例
示例 1
Get-DlpIncidentDetailReport -StartDate 2022/11 -EndDate 2022/11/30此示例列出在指定日期之间发生的所有事件的详细信息。
参数
-Action
Action 参数按 DLP 策略执行的操作筛选报表。 有效值包含:
- BlockAccess
- GenerateIncidentReport
- NotifyUser
可以指定用逗号分隔的多个值。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-Actor
Actor 参数按上次修改项目的用户筛选报告。 可以输入用逗号分隔的多个用户。
Update 如果值包含空格或需要引号,请使用以下语法: "Value1","Value2",..."ValueN"。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-DlpCompliancePolicy
DlpCompliancePolicy 参数按 DLP 合规性策略的名称筛选报告。 您可以指定用逗号分隔的多个策略。
Update 如果值包含空格或需要引号,请使用以下语法: "Value1","Value2",..."ValueN"。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-DlpComplianceRule
DlpComplianceRule 参数按 DLP 合规性规则的名称筛选报告。 您可以指定用逗号分隔的多个规则。
Update 如果值包含空格或需要引号,请使用以下语法: "Value1","Value2",..."ValueN"。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-EndDate
EndDate 参数指定日期范围的结束日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果将计算机配置为使用短日期格式 mm/dd/yyyy,请输入 09/01/2018 来指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
| Type: | System.DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-EventType
EventType 参数按事件类型筛选报表。 有效值包含:
- DLPByIncidentIdActionHits
- DLPByIncidentIdMessages
- DLPByIncidentIdPolicyFalsePositive
- DLPByIncidentIdPolicyHits
- DLPByIncidentIdPolicyOverride
- DLPByIncidentIdRuleHits
若要查看此参数的有效值的潜在列表,请运行命令: Get-MailFilterListReport -SelectionTarget EventTypes。 指定的事件类型必须与报表相对应。 例如,只能为 DLP 事件报告指定 DLP 事件事件类型。
可以指定用逗号分隔的多个值。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-Page
Page 参数指定您希望查看的结果的页数。 此参数的有效输入是介于 1 和 1000 之间的整数。 默认值为 1。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-PageSize
PageSize 参数指定每页的最大条目数量。 此参数的有效输入是介于 1 和 5000 之间的整数。 默认值为 1000。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-Source
Source 参数按工作负荷筛选报表。 有效值包含:
- EXCH:Exchange Online
- ODB:OneDrive for Business
- SPO:SharePoint Online
- 团队
可以指定用逗号分隔的多个值。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |
-StartDate
StartDate 参数指定日期范围的起始日期。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果将计算机配置为使用短日期格式 mm/dd/yyyy,请输入 09/01/2018 来指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
| Type: | System.DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Security & Compliance |