Partager via

Export-ActivityExplorerData

Module:
Exchange PowerShell

Cette cmdlet est disponible uniquement dans le Centre de conformité et sécurité PowerShell. Si vous souhaitez en savoir plus, veuillez consulter l’article Centre de conformité et sécurité PowerShell.

Utilisez l’applet de commande Export-ActivityExplorerData pour exporter des activités à partir des Explorer d’activité de classification > des données dans le portail de conformité Microsoft 365 Purview. L’Explorateur d’activités signale jusqu’à 30 jours de données.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntaxe

Default (Par défaut) 

Export-ActivityExplorerData
    -EndTime <DateTime>
    -OutputFormat <String>
    -StartTime <DateTime>
    [-Filter1 <String[]>]
    [-Filter2 <String[]>]
    [-Filter3 <String[]>]
    [-Filter4 <String[]>]
    [-Filter5 <String[]>]
    [-PageCookie <String>]
    [-PageSize <Int32>]
    [<CommonParameters>]

Description

Cette applet de commande prend en charge les filtres suivants :

  • Activité
  • Application
  • ArtifactType
  • ClientIP
  • ColdScanPolicyId
  • CopilotAppHost
  • CopilotThreadId
  • CopilotType
  • CreationTime
  • DataState
  • DestinationFilePath
  • DestinationLocationType
  • DeviceName
  • DLPPolicyId
  • DLPPolicyRuleId
  • EmailReceiver
  • EmailSender
  • EndpointOperation
  • EnforcementMode
  • FalsePositive
  • FileExtension
  • GeneralPurposeComparison
  • ProcédureApplied
  • HowAppliedDetail
  • IrmUrlCategory
  • IsProtected
  • IsProtectedBefore
  • IitemName
  • LabelEventType
  • Lieu
  • MDATPDeviceId
  • OriginatingDomain
  • PageSize
  • ParentArchiveHash
  • Plateforme
  • PolicyId
  • PolicyMode
  • PolicyName
  • PolicyRuleAction
  • PolicyRuleId
  • PolicyRuleName
  • PreviousFileName
  • PreviousProtectionOwner
  • ProtectionEventType
  • ProtectionOwner
  • RemovableMediaDeviceManufacturer
  • RemovableMediaDeviceModel
  • RemovableMediaDeviceSerialNumber
  • ÉtiquetteRétention
  • RMSEncrypted
  • SensitiveInfoTypeClassifierType
  • SensitiveInfoTypeConfidence
  • SensitiveInfoTypeCount
  • SensitiveInfoTypeId
  • SensitivityLabel
  • SensitivityLabelPolicy
  • Sha1
  • Sha256
  • SourceLocationType
  • TargetDomain
  • TargetPrinterName
  • Utilisateur
  • UsersPerDay
  • Charge de travail

Les filtres de charge de travail valides incluent les valeurs suivantes :

  • Copilot
  • Point de terminaison
  • Exchange
  • OnPremisesFileShareScanner
  • OnPremisesSharePointScanner
  • OneDrive
  • PowerBI
  • PurviewDataMap
  • SharePoint

Les filtres d’activité valides incluent les valeurs suivantes :

  • AIAppInteraction
  • ArchiveCreated
  • AutoLabelingSimulation
  • ChangeProtection
  • ClassificationAdded
  • ClassificationDeleted
  • ClassificationMise à jour
  • CopilotInteraction
  • DLPInfo
  • DLPRuleEnforce
  • DLPRuleMatch
  • DLPRuleUndo
  • DlpClassification
  • DownloadFile
  • DownloadText
  • FileAccessedByUnallowedApp
  • FileArchived
  • FileCopiedToClipboard
  • FileCopiedToNetworkShare
  • FileCopiedToRemoteDesktopSession
  • FileCopiedToRemovableMedia
  • FileCreated
  • FileCreatedOnNetworkShare
  • FileCreatedOnRemovableMedia
  • FileDeleted
  • FileDiscovered
  • FileModified
  • FilePrinted
  • FileRead
  • FileRenamed
  • FileTransferredByBluetooth
  • FileUploadedToCloud
  • LabelApplied
  • LabelChanged
  • LabelRecommended
  • LabelRecommendedAndDismissed
  • LabelRemoved
  • NewProtection
  • PastedToBrowser
  • RemoveProtection
  • Capture d’écran
  • UploadFile
  • UploadText
  • Page webCopiedToClipboard
  • Page webPrinted
  • Page webSavedToLocal

Pour pouvoir utiliser cette cmdlet dans le Centre de sécurité et de conformité PowerShell, des autorisations doivent vous être attribuées. Pour plus d’informations, consultez la rubrique Autorisations dans le portail de conformité Microsoft Purview.

Exemples

Exemple 1

Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json

Cet exemple exporte un maximum de 5 000 enregistrements pour la plage de dates spécifiée au format JSON.

Exemple 2

Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -OutputFormat Json

Cet exemple exporte jusqu’à 100 enregistrements pour la plage de dates spécifiée au format Json. Si plus de 100 enregistrements sont disponibles, la valeur de la propriété LastPage dans la sortie de la commande est False. Utilisez la valeur de la propriété Filigrane comme valeur du paramètre PageCookie dans une nouvelle requête pour obtenir le jeu d’enregistrements suivant.

Exemple 3

$res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json

#Run the following steps in loop until all results are fetched

while ($res.LastPage -ne $true)
{
  $pageCookie = $res.WaterMark
  $res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json -PageCookie $pageCookie
}

Cet exemple est lié à l’exemple précédent où plus de 100 enregistrements étaient disponibles (la valeur de la propriété LastPage de cette commande était False). Nous utilisons la même plage de dates, mais cette fois, nous utilisons la valeur de la propriété Filigrane de la commande précédente pour le paramètre PageCookie dans cette commande afin d’obtenir les résultats restants dans une boucle. ResultData de chaque itération peut être utilisé en fonction des besoins.

Exemple 4

Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived") -OutputFormat Csv

Cet exemple exporte jusqu’à 100 enregistrements pour la plage de dates spécifiée au format CSV et filtre la sortie en fonction de la valeur d’activité FileArchived.

Exemple 5

Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -OutputFormat Json

Cet exemple exporte jusqu’à 100 enregistrements pour la plage de dates spécifiée au format JSON et filtre la sortie en fonction de la valeur d’activité FileArchived ou ArchiveCreated.

Exemple 6

Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -Filter2 @("Workload","Endpoint") -OutputFormat Json

Cet exemple exporte jusqu’à 100 enregistrements pour la plage de dates spécifiée au format JSON et filtre la sortie en fonction de la valeur de charge de travail Point de terminaison pour les activités FileArchived ou ArchiveCreated.

Paramètres

-EndTime

Applicable : Sécurité & Conformité

Le paramètre EndTime spécifie la date de fin de la plage de dates.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte MM/jj/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Propriétés du paramètre

Type:DateTime
Valeur par défaut:None
Prend en charge les caractères génériques:False
DontShow:False

Jeux de paramètres

(All)
Position:Named
Obligatoire:True
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

-Filter1

Applicable : Sécurité & Conformité

Le paramètre Filter1 filtre les données à exporter. Ce paramètre prend au moins deux valeurs comme entrée : un nom de filtre et au moins une valeur de filtre. Par exemple, @("Activity", "LabelApplied") retourne des enregistrements avec la valeur LabelAppliedd’activité .

Si vous spécifiez plusieurs valeurs de filtre pour le même paramètre, le comportement OR est utilisé. Par exemple, @("Activity", "LabelApplied", "LabelRemoved") retourne des enregistrements avec les valeurs LabelApplied d’activité ou LabelRemoved.

Si vous utilisez ce paramètre avec d’autres paramètres de filtre, le comportement AND est utilisé entre les paramètres. Par exemple :

-Filter1 @("Activity", "LabelApplied", "LabelRemoved") -Filter2 = @("Workload", "Exchange") retourne des enregistrements avec les valeurs LabelApplied d’activité ou LabelRemoved pour la charge de Exchange travail. En d’autres termes, ((Activity eq LabelApplied) OR (Activity eq LabelRemoved)) AND (Workload eq Exchange).

Propriétés du paramètre

Type:

String[]

Valeur par défaut:None
Prend en charge les caractères génériques:False
DontShow:False

Jeux de paramètres

(All)
Position:Named
Obligatoire:False
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

-Filter2

Applicable : Sécurité & Conformité

Le paramètre Filter2 filtre les données à exporter. Ce paramètre a les mêmes exigences de syntaxe que le paramètre Filter1, le même comportement OR pour plusieurs valeurs dans le même paramètre et le même comportement AND pour plusieurs paramètres de filtre.

Utilisez ce paramètre uniquement si vous utilisez également le paramètre Filter1 dans la même commande.

Propriétés du paramètre

Type:

String[]

Valeur par défaut:None
Prend en charge les caractères génériques:False
DontShow:False

Jeux de paramètres

(All)
Position:Named
Obligatoire:False
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

-Filter3

Applicable : Sécurité & Conformité

Le paramètre Filter3 filtre les données à exporter. Ce paramètre a les mêmes exigences de syntaxe que le paramètre Filter1, le même comportement OR pour plusieurs valeurs dans le même paramètre et le même comportement AND pour plusieurs paramètres de filtre.

Utilisez ce paramètre uniquement si vous utilisez également les paramètres Filter2 et Filter1 dans la même commande.

Propriétés du paramètre

Type:

String[]

Valeur par défaut:None
Prend en charge les caractères génériques:False
DontShow:False

Jeux de paramètres

(All)
Position:Named
Obligatoire:False
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

-Filter4

Applicable : Sécurité & Conformité

Le paramètre Filter4 filtre les données à exporter. Ce paramètre a les mêmes exigences de syntaxe que le paramètre Filter1, le même comportement OR pour plusieurs valeurs dans le même paramètre et le même comportement AND pour plusieurs paramètres de filtre.

Utilisez ce paramètre uniquement si vous utilisez également les paramètres Filter3, Filter2 et Filter1 dans la même commande.

Propriétés du paramètre

Type:

String[]

Valeur par défaut:None
Prend en charge les caractères génériques:False
DontShow:False

Jeux de paramètres

(All)
Position:Named
Obligatoire:False
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

-Filter5

Applicable : Sécurité & Conformité

Le paramètre Filter5 filtre les données à exporter. Ce paramètre a les mêmes exigences de syntaxe que le paramètre Filter1, le même comportement OR pour plusieurs valeurs dans le même paramètre et le même comportement AND pour plusieurs paramètres de filtre.

Utilisez ce paramètre uniquement si vous utilisez également les paramètres Filter4, Filter3, Filter2 et Filter1 dans la même commande.

Propriétés du paramètre

Type:

String[]

Valeur par défaut:None
Prend en charge les caractères génériques:False
DontShow:False

Jeux de paramètres

(All)
Position:Named
Obligatoire:False
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

-OutputFormat

Applicable : Sécurité & Conformité

Le paramètre OutputFormat spécifie le format de sortie. Les valeurs valides sont les suivantes :

  • Csv
  • Json

Propriétés du paramètre

Type:String
Valeur par défaut:None
Valeurs acceptées:csv, json
Prend en charge les caractères génériques:False
DontShow:False

Jeux de paramètres

(All)
Position:Named
Obligatoire:True
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

-PageCookie

Applicable : Sécurité & Conformité

Le paramètre PageCookie spécifie s’il faut obtenir davantage de données lorsque la valeur de la propriété LastPage dans la sortie de commande est False. Si vous n’utilisez pas le paramètre PageSize, un maximum de 100 enregistrements sont retournés. Si vous utilisez le paramètre PageSize, un maximum de 5 000 enregistrements peuvent être retournés. Pour obtenir plus d’enregistrements que ce qui est retourné dans la commande actuelle, utilisez la valeur de la propriété Filigrane de la sortie de la commande actuelle comme valeur pour le paramètre PageCookie dans une nouvelle commande avec la même plage de dates et les mêmes filtres. La valeur PageCookie est valide pendant 120 secondes pour extraire le jeu d’enregistrements suivant pour la même requête.

Type:String
Valeur par défaut:None
Prend en charge les caractères génériques:False
DontShow:False
(All)
Position:Named
Obligatoire:False
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

-PageSize

Applicable : Sécurité & Conformité

Le paramètre PageSize indique le nombre maximal d’entrées par page. La valeur valide pour ce paramètre est un entier compris entre 1 et 5 000. La valeur par défaut est 100. Envisagez d’utiliser une valeur PageSize plus petite pour éviter l’expiration de PageCookie lors de l’exportation de jeux de données volumineux.

Propriétés du paramètre

Type:Int32
Valeur par défaut:None
Prend en charge les caractères génériques:False
DontShow:False

Jeux de paramètres

(All)
Position:Named
Obligatoire:False
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

-StartTime

Applicable : Sécurité & Conformité

Le paramètre StartTime spécifie la date de début de la plage de dates.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte MM/jj/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Propriétés du paramètre

Type:DateTime
Valeur par défaut:None
Prend en charge les caractères génériques:False
DontShow:False

Jeux de paramètres

(All)
Position:Named
Obligatoire:True
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

CommonParameters

Cette applet de commande prend en charge les paramètres courants : -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction et -WarningVariable. Pour plus d’informations, consultez about_CommonParameters.

Notes

Le champ date-heure exporté via cette applet de commande est en temps universel coordonné (UTC).

L’applet de commande exporte les colonnes de données suivantes. Toutefois, toutes les colonnes ne sont pas présentes pour chaque activité. Pour plus d’informations sur la colonne exportée pour différentes activités, nous vous recommandons de vérifier les activités dans Activité Explorer.

  • Activité
  • Application
  • ArtifactType
  • AssociatedAdminUnits
  • AuthorizedGroupId
  • AuthorizedGroupName
  • ClientIP
  • DataState
  • DestinationLocationType
  • DeviceName
  • DlpPolicyMatchId
  • EndpointOperation
  • EnforcementMode
  • EntityProperties
  • EvaluationTime
  • FalsePositive
  • FileExtension
  • FilePath
  • FileSize
  • FileType
  • FullUrl
  • GroupId
  • GroupName
  • GroupType
  • Arrivé
  • Masqué
  • ProcédureApplied
  • HowAppliedDetail
  • IRMContentId
  • IsCorporateNetwork
  • IsProtected
  • IsProtectedBefore
  • JitTriggered
  • Justification
  • LabelEventType
  • Fabricant
  • MatchedWithV1DetailedScheme
  • MDATPDeviceId
  • Modèle
  • OldRetentionLabel
  • OldSensitivityLabel
  • OriginatingDomain
  • ParentArchiveHash
  • Plateforme
  • PolicyId
  • PolicyMode
  • PolicyName
  • PreviousFileName
  • PreviousFilePath
  • PreviousProtectionOwner
  • ProcessName
  • ProductVersion
  • ProtectionEventType
  • ProtectionOwner
  • ProtectionType
  • Reason
  • Récepteurs
  • RecordIdentity
  • ÉtiquetteRétention
  • RMSEncrypted
  • RuleActions
  • RuleId
  • RuleName
  • Expéditeur
  • SensitiveInfoTypeBucketsData
  • SensitiveInfoTypeData
  • SensitivityLabel
  • SensitivityLabelPolicyId
  • Numéro de série
  • Sha1
  • Sha256
  • SourceLocationType
  • StorageName
  • Sujet
  • TargetDomain
  • TargetFilePath
  • TargetPrinterName
  • TemplateId
  • Utilisateur
  • UserSku
  • UserType
  • VpnNetworkAddress
  • VpnServerAddress
  • Charge de travail