New-UnifiedAuditLogRetentionPolicy

Questo cmdlet è disponibile solo in PowerShell conformità alla sicurezza & . Per altre informazioni, vedere PowerShell conformità alla sicurezza&.

Usare il cmdlet New-UnifiedAuditLogRetentionPolicy per creare criteri di conservazione dei log di controllo nel portale di Microsoft 365 Defender o nel Portale di conformità di Microsoft Purview.

Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.

Sintassi

New-UnifiedAuditLogRetentionPolicy
   [-Name] <String>
   -Priority <Int32>
   -RetentionDuration <UnifiedAuditLogRetentionDuration>
   [-Confirm]
   [-Description <String>]
   [-Operations <MultiValuedProperty>]
   [-RecordTypes <MultiValuedProperty>]
   [-UserIds <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Descrizione

I criteri di conservazione dei log di controllo vengono usati per specificare una durata di conservazione per i log di controllo generati dall'attività dell'amministratore e dell'utente. Un criterio di conservazione del log di controllo può specificare la durata della conservazione in base al tipo di attività controllate, al servizio Microsoft 365 in cui vengono eseguite le attività o agli utenti che hanno eseguito le attività. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.

Per usare questo cmdlet in Security & Compliance PowerShell, è necessario disporre delle autorizzazioni. Per altre informazioni, vedere Autorizzazioni nel portale di Microsoft 365 Defender o Autorizzazioni nel Portale di conformità di Microsoft Purview.

Esempio

Esempio 1

New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TwelveMonths -Priority 100

In questo esempio viene creato un criterio di conservazione dei log di controllo che conserva tutti i log di controllo correlati agli eventi di Microsoft Teams per un anno.

Esempio 2

New-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Description "90 day retention policy for noisy SharePoint events" -RecordTypes SharePoint -Operations SearchQueryPerformed -UserIds "app@sharepoint" -RetentionDuration ThreeMonths -Priority 10000

In questo esempio viene creato un criterio di conservazione dei log di controllo che conserva tutti i log di controllo per l'attività SearchQueryPerformed eseguita dall'account del servizio app@sharepoint per 90 giorni.

Parametri

-Confirm

L'opzione Confirm consente di specificare se visualizzare o nascondere la richiesta di conferma. L'impatto di questa opzione sul cmdlet dipende dalla richiesta di conferma del cmdlet prima di procedere.

  • I cmdlet distruttivi , ad esempio i cmdlet Remove-*, hanno una pausa predefinita che impone di confermare il comando prima di procedere. Per questi cmdlet, è possibile ignorare la richiesta di conferma usando questa precisa sintassi: -Confirm:$false.
  • La maggior parte degli altri cmdlet (ad esempio, i cmdlet New-* e Set-*) non hanno una pausa predefinita. Per questi cmdlet, specificando l'opzione Confirm senza un valore viene introdotta una pausa che impone all'utente di confermare il comando prima di procedere.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Il parametro Description consente di specificare una descrizione per i criteri di conservazione dei log di controllo. La lunghezza massima è 256 caratteri. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

Il parametro Name consente di specificare un nome univoco per i criteri di conservazione del log di controllo. La lunghezza massima è 64 caratteri. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").

Type:String
Position:0
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operations

Il parametro Operations consente di specificare le operazioni del log di controllo mantenute dai criteri. Per un elenco dei valori disponibili per questo parametro, vedere Attività controllate.

È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN".

Se si usa questo parametro, è necessario usare anche il parametro RecordTypes per specificare il tipo di record. Non è possibile usare questo parametro se sono stati specificati più valori per il parametro RecordTypes.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Priority

Il parametro Priority consente di specificare un valore di priorità per il criterio che determina l'ordine di elaborazione dei criteri. Un valore intero superiore indica una priorità inferiore. Il valore 1 è la priorità più alta e il valore 10000 è la priorità più bassa. Nessuno dei due criteri può avere lo stesso valore di priorità.

Questo parametro è obbligatorio quando si creano criteri di conservazione dei log di controllo ed è necessario usare un valore di priorità univoco.

Tutti i criteri di conservazione dei log di controllo personalizzati creati avranno la precedenza sui criteri di conservazione predefiniti del log di controllo. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RecordTypes

Il parametro RecordTypes consente di specificare i log di controllo di un tipo di record specifico conservati dai criteri. Per informazioni dettagliate sui valori disponibili, vedere AuditLogRecordType.

È possibile specificare più valori separati da virgole. Se si specificano più valori, non è possibile usare il parametro Operations.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RetentionDuration

Il parametro RetentionDuration consente di specificare per quanto tempo vengono conservati i record del log di controllo. I valori validi sono:

  • Tre mesi
  • SixMonths
  • NineMonths
  • Dodici mesi
  • Dieci anni
Type:UnifiedAuditLogRetentionDuration
Accepted values:ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UserIds

Il parametro UserIds consente di specificare i log di controllo conservati dai criteri in base all'ID dell'utente che ha eseguito l'azione.

È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

L'opzione WhatIf non funziona in PowerShell per la conformità alla sicurezza & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance