Export-ActivityExplorerData
Dieses Cmdlet ist nur im Security & Compliance Center-PowerShell verfügbar. Weitere Informationen finden Sie unter Security & Compliance Center-PowerShell.
Verwenden Sie das Cmdlet Export-ActivityExplorerData, um Aktivitäten aus der Datenklassifizierungsaktivität > Explorer im Microsoft 365 Purview-Complianceportal zu exportieren. Der Aktivitäts-Explorer meldet Daten im Wert von bis zu 30 Tagen.
Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.
Syntax
Default (Standardwert)
Export-ActivityExplorerData
-EndTime <DateTime>
-OutputFormat <String>
-StartTime <DateTime>
[-Filter1 <String[]>]
[-Filter2 <String[]>]
[-Filter3 <String[]>]
[-Filter4 <String[]>]
[-Filter5 <String[]>]
[-PageCookie <String>]
[-PageSize <Int32>]
[<CommonParameters>]
Beschreibung
Dieses Cmdlet unterstützt die folgenden Filter:
- Aktivität
- Application
- ArtifactType
- ClientIP
- ColdScanPolicyId
- CopilotAppHost
- CopilotThreadId
- CopilotType
- CreationTime
- DataState
- DestinationFilePath
- DestinationLocationType
- DeviceName
- DLPPolicyId
- DLPPolicyRuleId
- EmailReceiver
- EmailSender
- EndpointOperation
- EnforcementMode
- FalsePositive
- FileExtension
- GeneralPurposeComparison
- HowApplied
- HowAppliedDetail
- IrmUrlCategory
- IsProtected
- IsProtectedBefore
- ItemName
- LabelEventType
- Location
- MDATPDeviceId
- OriginatingDomain
- PageSize
- ParentArchiveHash
- Plattform
- PolicyId
- PolicyMode
- PolicyName
- PolicyRuleAction
- PolicyRuleId
- PolicyRuleName
- PreviousFileName
- PreviousProtectionOwner
- ProtectionEventType
- ProtectionOwner
- RemovableMediaDeviceManufacturer
- RemovableMediaDeviceModel
- RemovableMediaDeviceSerialNumber
- RetentionLabel
- RMSEncrypted
- SensitiveInfoTypeClassifierType
- SensitiveInfoTypeConfidence
- SensitiveInfoTypeCount
- SensitiveInfoTypeId
- SensitivityLabel
- SensitivityLabelPolicy
- Sha1
- Sha256
- SourceLocationType
- TargetDomain
- TargetPrinterName
- Benutzer
- UsersPerDay
- Arbeitslast
Gültige Workloadfilter umfassen die folgenden Werte:
- Copilot
- Endpunkt
- Exchange
- OnPremisesFileShareScanner
- OnPremisesSharePointScanner
- Microsoft OneDrive-App
- PowerBI
- PurviewDataMap
- SharePoint
Gültige Aktivitätsfilter umfassen die folgenden Werte:
- AIAppInteraction
- ArchiveCreated
- AutoLabelingSimulation
- ChangeProtection
- KlassifizierungHinzuadded
- ClassificationDeleted
- ClassificationUpdated
- CopilotInteraction
- DLPInfo
- DLPRuleEnforce
- DLPRuleMatch
- DLPRuleUndo
- DlpClassification
- DownloadFile
- DownloadText
- FileAccessedByUnallowedApp
- FileArchived
- FileCopiedToClipboard
- FileCopiedToNetworkShare
- FileCopiedToRemoteDesktopSession
- FileCopiedToRemovableMedia
- FileCreated
- FileCreatedOnNetworkShare
- FileCreatedOnRemovableMedia
- FileDeleted
- FileDiscovered
- FileModified
- FilePrinted
- FileRead
- FileRenamed
- FileTransferredByBluetooth
- FileUploadedToCloud
- LabelApplied
- LabelChanged
- LabelRecommended
- LabelRecommendedAndDismissed
- LabelRemoved
- NewProtection
- PastedToBrowser
- RemoveProtection
- ScreenCapture
- UploadFile
- UploadText
- WebpageCopiedToClipboard
- WebseitePrinted
- WebpageSavedToLocal
Um dieses Cmdlet in Security & Compliance PowerShell zu verwenden, müssen Ihnen Berechtigungen zugewiesen werden. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.
Beispiele
Beispiel 1
Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json
In diesem Beispiel werden maximal 5.000 Datensätze für den angegebenen Datumsbereich im JSON-Format exportiert.
Beispiel 2
Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -OutputFormat Json
In diesem Beispiel werden bis zu 100 Datensätze für den angegebenen Datumsbereich im JSON-Format exportiert. Wenn mehr als 100 Datensätze verfügbar sind, ist der Wert der LastPage-Eigenschaft in der Befehlsausgabe False. Verwenden Sie den Wert der Watermark-Eigenschaft als Wert des PageCookie-Parameters in einer neuen Abfrage, um den nächsten Satz von Datensätzen abzurufen.
Beispiel 3
$res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json
#Run the following steps in loop until all results are fetched
while ($res.LastPage -ne $true)
{
$pageCookie = $res.WaterMark
$res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json -PageCookie $pageCookie
}
Dieses Beispiel bezieht sich auf das vorherige Beispiel, in dem mehr als 100 Datensätze verfügbar waren (der Wert der LastPage-Eigenschaft aus diesem Befehl war False). Wir verwenden denselben Datumsbereich, aber dieses Mal verwenden wir den Wert der Watermark-Eigenschaft aus dem vorherigen Befehl für den PageCookie-Parameter in diesem Befehl, um die verbleibenden Ergebnisse in einer Schleife abzurufen. ResultData aus jeder Iteration kann nach Bedarf verwendet werden.
Beispiel 4
Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived") -OutputFormat Csv
In diesem Beispiel werden bis zu 100 Datensätze für den angegebenen Datumsbereich im CSV-Format exportiert und die Ausgabe nach dem Aktivitätswert FileArchived gefiltert.
Beispiel 5
Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -OutputFormat Json
In diesem Beispiel werden bis zu 100 Datensätze für den angegebenen Datumsbereich im JSON-Format exportiert und die Ausgabe nach dem Aktivitätswert FileArchived oder ArchiveCreated gefiltert.
Beispiel 6
Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -Filter2 @("Workload","Endpoint") -OutputFormat Json
In diesem Beispiel werden bis zu 100 Datensätze für den angegebenen Datumsbereich im JSON-Format exportiert und die Ausgabe nach dem Workloadwert Endpunkt für FileArchived- oder ArchiveCreated-Aktivitäten gefiltert.
Parameter
-EndTime
Anwendbar: Security & Compliance
Der Parameter EndTime gibt das Enddatum des Datumsbereichs an.
Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn der Computer beispielsweise für die Verwendung des kurzen Datumsformats MM/TT/jjjj konfiguriert ist, geben Sie 09/01/2018 ein, um den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".
Parametereigenschaften
| Typ: | DateTime |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch.: | True |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-Filter1
Anwendbar: Security & Compliance
Der Parameter Filter1 filtert die zu exportierenden Daten. Dieser Parameter verwendet mindestens zwei Werte als Eingabe: einen Filternamen und mindestens einen Filterwert. Gibt beispielsweise @("Activity", "LabelApplied") Datensätze mit dem Aktivitätswert LabelAppliedzurück.
Wenn Sie mehrere Filterwerte für denselben Parameter angeben, wird OR-Verhalten verwendet. Gibt beispielsweise @("Activity", "LabelApplied", "LabelRemoved") Datensätze mit den Aktivitätswerten LabelApplied oder LabelRemovedzurück.
Wenn Sie diesen Parameter mit anderen Filterparametern verwenden, wird DAS AND-Verhalten parameterübergreifend verwendet. Zum Beispiel:
-Filter1 @("Activity", "LabelApplied", "LabelRemoved") -Filter2 = @("Workload", "Exchange") gibt Datensätze mit den Aktivitätswerten LabelApplied oder LabelRemoved für die Exchange Workload zurück. Anders ausgedrückt: ((Activity eq LabelApplied) ODER (Activity eq LabelRemoved)) AND (Workload eq Exchange).
Parametereigenschaften
| Typ: | String[] |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch.: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-Filter2
Anwendbar: Security & Compliance
Der Parameter Filter2 filtert die zu exportierenden Daten. Dieser Parameter hat die gleichen Syntaxanforderungen wie der Parameter Filter1, das gleiche OR-Verhalten für mehrere Werte im gleichen Parameter und das gleiche AND-Verhalten für mehrere Filterparameter.
Verwenden Sie diesen Parameter nur, wenn Sie auch den Parameter Filter1 im selben Befehl verwenden.
Parametereigenschaften
| Typ: | String[] |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch.: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-Filter3
Anwendbar: Security & Compliance
Der Parameter Filter3 filtert die zu exportierenden Daten. Dieser Parameter hat die gleichen Syntaxanforderungen wie der Parameter Filter1, das gleiche OR-Verhalten für mehrere Werte im gleichen Parameter und das gleiche AND-Verhalten für mehrere Filterparameter.
Verwenden Sie diesen Parameter nur, wenn Sie auch die Parameter Filter2 und Filter1 im selben Befehl verwenden.
Parametereigenschaften
| Typ: | String[] |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch.: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-Filter4
Anwendbar: Security & Compliance
Der Parameter Filter4 filtert die zu exportierenden Daten. Dieser Parameter hat die gleichen Syntaxanforderungen wie der Parameter Filter1, das gleiche OR-Verhalten für mehrere Werte im gleichen Parameter und das gleiche AND-Verhalten für mehrere Filterparameter.
Verwenden Sie diesen Parameter nur, wenn Sie auch die Parameter Filter3, Filter2 und Filter1 im selben Befehl verwenden.
Parametereigenschaften
| Typ: | String[] |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch.: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-Filter5
Anwendbar: Security & Compliance
Der Parameter Filter5 filtert die zu exportierenden Daten. Dieser Parameter hat die gleichen Syntaxanforderungen wie der Parameter Filter1, das gleiche OR-Verhalten für mehrere Werte im gleichen Parameter und das gleiche AND-Verhalten für mehrere Filterparameter.
Verwenden Sie diesen Parameter nur, wenn Sie auch die Parameter Filter4, Filter3, Filter2 und Filter1 im selben Befehl verwenden.
Parametereigenschaften
| Typ: | String[] |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch.: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-OutputFormat
Anwendbar: Security & Compliance
Der OutputFormat-Parameter gibt das Ausgabeformat an. Gültige Werte sind:
- CSV
- Json
Parametereigenschaften
| Typ: | String |
| Standardwert: | None |
| Zulässige Werte: | csv, json |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch.: | True |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-PageCookie
Anwendbar: Security & Compliance
Der PageCookie-Parameter gibt an, ob weitere Daten abgerufen werden sollen, wenn der Wert der LastPage-Eigenschaft in der Befehlsausgabe False ist. Wenn Sie den PageSize-Parameter nicht verwenden, werden maximal 100 Datensätze zurückgegeben. Wenn Sie den PageSize-Parameter verwenden, können maximal 5.000 Datensätze zurückgegeben werden. Um mehr Datensätze abzurufen, als im aktuellen Befehl zurückgegeben werden, verwenden Sie den Wert der Watermark-Eigenschaft aus der Ausgabe des aktuellen Befehls als Wert für den PageCookie-Parameter in einem neuen Befehl mit demselben Datumsbereich und denselben Filtern. Der PageCookie-Wert ist 120 Sekunden gültig, um den nächsten Satz von Datensätzen für dieselbe Abfrage abzurufen.
Parametereigenschaften
| Typ: | String |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch.: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-PageSize
Anwendbar: Security & Compliance
Der PageSize-Parameter gibt die maximale Anzahl von Einträgen pro Seite an. Gültige Eingabewerte für diesen Parameter sind ganze Zahlen zwischen 1 und 5000. Der Standardwert ist 100. Erwägen Sie die Verwendung eines kleineren PageSize-Werts, um das Ablaufen von PageCookie beim Exportieren großer Datasets zu vermeiden.
Parametereigenschaften
| Typ: | Int32 |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch.: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-StartTime
Anwendbar: Security & Compliance
Der StartTime-Parameter gibt das Startdatum des Datumsbereichs an.
Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn der Computer beispielsweise für die Verwendung des kurzen Datumsformats MM/TT/jjjj konfiguriert ist, geben Sie 09/01/2018 ein, um den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".
Parametereigenschaften
| Typ: | DateTime |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch.: | True |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
CommonParameters
Dieses Cmdlet unterstützt die allgemeinen Parameter -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen finden Sie unter about_CommonParameters.
Hinweise
Das über dieses Cmdlet exportierte Datums-/Uhrzeitfeld befindet sich in koordinierter Weltzeit (UTC).
Das Cmdlet exportiert die folgenden Datenspalten. Es sind jedoch nicht alle Spalten für jede Aktivität vorhanden. Ausführliche Informationen zur exportierten Spalte für verschiedene Aktivitäten finden Sie unter Aktivität Explorer.
- Aktivität
- Application
- ArtifactType
- AssociatedAdminUnits
- AuthorizedGroupId
- AuthorizedGroupName
- ClientIP
- DataState
- DestinationLocationType
- DeviceName
- DlpPolicyMatchId
- EndpointOperation
- EnforcementMode
- EntityProperties
- EvaluationTime
- FalsePositive
- FileExtension
- FilePath
- FileSize
- FileType
- FullUrl
- GroupId
- GroupName
- GroupType
- Geschah
- Ausgeblendet
- HowApplied
- HowAppliedDetail
- IRMContentId
- IsCorporateNetwork
- IsProtected
- IsProtectedBefore
- JitTriggered
- Begründung
- LabelEventType
- Hersteller
- MatchedWithV1DetailedScheme
- MDATPDeviceId
- Modell
- OldRetentionLabel
- OldSensitivityLabel
- OriginatingDomain
- ParentArchiveHash
- Plattform
- PolicyId
- PolicyMode
- PolicyName
- PreviousFileName
- PreviousFilePath
- PreviousProtectionOwner
- ProcessName
- ProductVersion
- ProtectionEventType
- ProtectionOwner
- ProtectionType
- Grund
- Empfänger
- RecordIdentity
- RetentionLabel
- RMSEncrypted
- RuleActions
- RuleId
- RuleName
- Sender
- SensitiveInfoTypeBucketsData
- SensitiveInfoTypeData
- SensitivityLabel
- SensitivityLabelPolicyId
- Seriennummer
- Sha1
- Sha256
- SourceLocationType
- StorageName
- Subject
- TargetDomain
- TargetFilePath
- TargetPrinterName
- TemplateId
- Benutzer
- UserSku
- UserType
- VpnNetworkAddress
- VpnServerAddress
- Arbeitslast