Export-ActivityExplorerData
此 Cmdlet 僅適用於安全性與合規性 PowerShell。 如需詳細資訊,請參閱 安全性與合規性 PowerShell。
使用 Export-ActivityExplorerData Cmdlet 從 Microsoft 365 Purview 合規性入口網站中的資料分類 > 活動總管匯出活動。 活動總管會報告最多 30 天的資料。
如需下方<語法>一節中參數集的詳細資訊,請參閱 Exchange Cmdlet 語法。
語法
Default (預設值)
Export-ActivityExplorerData
-EndTime <DateTime>
-OutputFormat <String>
-StartTime <DateTime>
[-Filter1 <String[]>]
[-Filter2 <String[]>]
[-Filter3 <String[]>]
[-Filter4 <String[]>]
[-Filter5 <String[]>]
[-PageCookie <String>]
[-PageSize <Int32>]
[<CommonParameters>]
Description
此 Cmdlet 支援下列篩選:
- 活動
- 應用程式
- ArtifactType
- 用戶端IP
- ColdScanPolicyId
- 副駕駛應用主機
- 副駕駛ThreadId
- 副駕駛類型
- CreationTime
- 數據狀態
- 目的地檔案路徑
- 目的地位置類型
- DeviceName
- DLPPolicyId
- DLPPolicyRuleId
- 電子郵件接收者
- 電子郵件寄件者
- 端點作業
- 強制模式
- 誤報
- 檔案副檔名
- 一般用途比較
- 如何應用
- 如何應用細節
- IrmUrl類別
- 是受保護的
- IsProtected之前
- 項目名稱
- 標籤事件類型
- 位置
- MDATPDeviceId
- 原始網域
- PageSize
- ParentArchiveHash (家長存檔雜湊)
- 平台
- 原則標識碼
- 原則模式
- PolicyName
- PolicyRule動作
- 原則規則標識碼
- 原則規則名稱
- 上一頁檔案名稱
- 上一頁保護擁有者
- 保護事件類型
- 保護擁有者
- RemovableMediaDevice製造商
- RemovableMediaDeviceModel
- RemovableMediaDeviceSerialNumber
- 保留標籤
- RMS加密
- SensitiveInfoType分類器類型
- 敏感資訊類型信賴度
- 敏感資訊類型計數
- 敏感資訊類型Id
- SensitivityLabel
- SensitivityLabelPolicy
- 沙1
- 沙256
- 來源位置類型
- 目標網域
- 目標印表機名稱
- 使用者
- 用戶每天
- 工作負載
有效的工作負載篩選器包括下列值:
- Copilot
- 端點
- Exchange
- OnPremisesFileShareScanner
- 內部部署 SharePoint掃描器
- OneDrive
- PowerBI
- Purview資料對應
- SharePoint
有效的活動篩選包括下列值:
- AIApp互動
- 存檔創建
- 自動標示模擬
- 變更保護
- 分類新增
- 分類已刪除
- 分類更新
- 副駕駛互動
- DLPnfo
- DLPRule強制執行
- DLPRule匹配
- DLPRuleUndo
- Dlp分類
- 下載檔案
- 下載文字
- FileAccessedByUnallowedApp
- 檔案已存檔
- 檔案複製到剪貼簿
- 檔案複製到網路共享
- FileCopiedToRemoteDesktopSession
- FileCopiedToRemovableMedia
- FileCreated
- FileCreatedOnNetwork共享
- FileCreatedOnRemovableMedia
- FileDeleted
- 檔案發現
- FileModified
- 檔案列印
- 檔案讀取
- FileRenamed
- 檔案透過藍牙傳輸
- 檔案上傳至雲端
- 標籤應用
- LabelChanged
- 標籤推薦
- 標籤推薦和關閉
- 標籤已移除
- 新保護
- 貼到瀏覽器
- 移除保護
- 螢幕擷取
- 上傳檔案
- 上傳文字
- 網頁複製到剪貼簿
- 網頁印刷
- 網頁保存到本地
若要在安全性與合規性 PowerShell 中使用此 Cmdlet,您必須獲得指派權限。 如需詳細資訊,請參閱 Microsoft Purview 合規性入口網站中的權限。
範例
範例 1
Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json
此範例以 JSON 格式匯出指定日期範圍的最多 5000 筆記錄。
範例 2
Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -OutputFormat Json
此範例以 Json 格式匯出指定日期範圍的最多 100 筆記錄。 如果有超過 100 筆記錄可用,則命令輸出中的 LastPage 內容值為 False。 使用 Watermark 屬性的值作為新查詢中 PageCookie 參數的值,以取得下一組記錄。
範例 3
$res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json
#Run the following steps in loop until all results are fetched
while ($res.LastPage -ne $true)
{
$pageCookie = $res.WaterMark
$res = Export-ActivityExplorerData -StartTime "07/08/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -PageSize 5000 -OutputFormat Json -PageCookie $pageCookie
}
此範例與上一個範例相關,其中有超過 100 筆記錄可用 (該命令的 LastPage 屬性值為 False) 。 我們使用相同的日期範圍,但這次我們會使用此命令中 PageCookie 參數的上一個命令中的 Watermark 屬性值,以取得迴圈中的其餘結果。 ResultData 可以視需要使用每個疊代。
範例 4
Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived") -OutputFormat Csv
此範例會以 CSV 格式匯出指定日期範圍的最多 100 筆記錄,並依 Activity 值 FileArchived 篩選輸出。
範例 5
Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -OutputFormat Json
此範例會以 JSON 格式匯出指定日期範圍的最多 100 筆記錄,並依 Activity 值 FileArchived 或 ArchiveCreated 篩選輸出。
範例 6
Export-ActivityExplorerData -StartTime "07/06/2022 07:15 AM" -EndTime "07/08/2022 11:08 AM" -Filter1 @("Activity", "FileArchived", "ArchiveCreated") -Filter2 @("Workload","Endpoint") -OutputFormat Json
此範例會以 JSON 格式匯出指定日期範圍的最多 100 筆記錄,並依 FileArchived 或 ArchiveCreated 活動的工作負載值端點篩選輸出。
參數
-EndTime
適用:安全 & 合規
EndTime 參數指定日期範圍的結束日期。
在您要執行命令的電腦上,使用該電腦的 [地區選項] 設定中定義的簡短日期格式。 例如,如果電腦設定為使用簡短日期格式 MM/dd/yyyy,請輸入 09/01/2018 以指定 2018 年 9 月 1 日。 您可以只輸入日期,或者也可以輸入日期和時間。 如果輸入日期和時間,請使用引號 (") 括住值,例如 "09/01/2018 5:00 PM"。
參數屬性
| 類型: | DateTime |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Filter1
適用:安全 & 合規
Filter1 參數會篩選要匯出的資料。 此參數至少採用兩個值作為輸入:篩選器名稱和至少一個篩選器值。 例如, @("Activity", "LabelApplied") 傳回活動值 LabelApplied為 的記錄。
如果您為相同的參數指定多個篩選值,則會使用 OR 行為。 例如, @("Activity", "LabelApplied", "LabelRemoved") 傳回活動值 LabelApplied 或 LabelRemoved的記錄。
如果您將此參數與其他篩選參數搭配使用,則會跨參數使用 AND 行為。 例如:
-Filter1 @("Activity", "LabelApplied", "LabelRemoved") -Filter2 = @("Workload", "Exchange") 傳回具有活動值 LabelApplied 或 LabelRemoved 工作負載的 Exchange 記錄。 換句話說, ( (Activity eq LabelApplied) 或 (Activity eq LabelRemoved) ) 和 (Workload eq Exchange) 。
參數屬性
| 類型: | String[] |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Filter2
適用:安全 & 合規
Filter2 參數會篩選要匯出的資料。 此參數與 Filter1 參數具有相同的語法需求、相同參數中多個值的相同 OR 行為,以及多個過濾器參數的相同 AND 行為。
只有在您也在同一命令中使用 Filter1 參數時,才使用此參數。
參數屬性
| 類型: | String[] |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Filter3
適用:安全 & 合規
Filter3 參數會篩選要匯出的資料。 此參數與 Filter1 參數具有相同的語法需求、相同參數中多個值的相同 OR 行為,以及多個過濾器參數的相同 AND 行為。
只有在您同時在相同命令中使用 Filter2 和 Filter1 參數時,才使用此參數。
參數屬性
| 類型: | String[] |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Filter4
適用:安全 & 合規
Filter4 參數會篩選要匯出的資料。 此參數與 Filter1 參數具有相同的語法需求、相同參數中多個值的相同 OR 行為,以及多個過濾器參數的相同 AND 行為。
只有在您同時在相同命令中使用 Filter3、Filter2 和 Filter1 參數時,才使用此參數。
參數屬性
| 類型: | String[] |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Filter5
適用:安全 & 合規
Filter5 參數會篩選要匯出的資料。 此參數與 Filter1 參數具有相同的語法需求、相同參數中多個值的相同 OR 行為,以及多個過濾器參數的相同 AND 行為。
只有在您也在同一命令中使用 Filter4、Filter3、Filter2 和 Filter1 參數時,才使用此參數。
參數屬性
| 類型: | String[] |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-OutputFormat
適用:安全 & 合規
OutputFormat 參數會指定輸出格式。 有效值為:
- CSV的
- 簡譯本
參數屬性
| 類型: | String |
| 預設值: | None |
| 接受的值: | csv, json |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-PageCookie
適用:安全 & 合規
PageCookie 參數會指定當命令輸出中 LastPage 屬性的值為 False 時,是否要取得更多資料。 如果您不使用 PageSize 參數,則最多會傳回 100 筆記錄。 如果您使用 PageSize 參數,則最多可以傳回 5000 筆記錄。 若要取得比目前命令中傳回的記錄更多的記錄,請使用目前命令輸出中的 Watermark 屬性值,作為具有相同日期範圍和篩選條件的新命令中的 PageCookie 參數值。 PageCookie 值的有效期限為 120 秒,可擷取相同查詢的下一組記錄。
參數屬性
| 類型: | String |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-PageSize
適用:安全 & 合規
PageSize 參數會指定每頁的顯示項目數上限。 此參數的有效輸入是 1 與 5000 之間的整數。 預設值為 100。 請考慮使用較小的 PageSize 值,以避免匯出大型資料集時 PageCookie 過期。
參數屬性
| 類型: | Int32 |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-StartTime
適用:安全 & 合規
StartTime 參數指定日期範圍的開始日期。
在您要執行命令的電腦上,使用該電腦的 [地區選項] 設定中定義的簡短日期格式。 例如,如果電腦設定為使用簡短日期格式 MM/dd/yyyy,請輸入 09/01/2018 以指定 2018 年 9 月 1 日。 您可以只輸入日期,或者也可以輸入日期和時間。 如果輸入日期和時間,請使用引號 (") 括住值,例如 "09/01/2018 5:00 PM"。
參數屬性
| 類型: | DateTime |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
CommonParameters
此 Cmdlet 支援常見參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters。
備註
透過此 Cmdlet 匯出的日期時間欄位是以 UTC) 的協調世界時 (。
Cmdlet 會匯出下列資料欄。 不過,並非每個活動都有所有資料行。 如需不同活動匯出欄的詳細資訊,建議您檢查活動 總管中的活動。
- 活動
- 應用程式
- ArtifactType
- 關聯管理單位
- 授權群組識別碼
- 授權群組名稱
- 用戶端IP
- 數據狀態
- 目的地位置類型
- DeviceName
- DlpPolicyMatchId
- 端點作業
- 強制模式
- 實體屬性
- 評估時間
- 誤報
- 檔案副檔名
- FilePath
- FileSize
- FileType
- 完整網址
- 群組識別碼
- GroupName
- GroupType
- 發生了
- 隱藏
- 如何應用
- 如何應用細節
- IRMContentId
- 是企業網絡
- 是受保護的
- IsProtected之前
- 吉特觸發
- 理由
- 標籤事件類型
- 製造商
- 比對V1詳細方案
- MDATPDeviceId
- Model
- 舊保留標籤
- OldSensitivity標籤
- 原始網域
- ParentArchiveHash (家長存檔雜湊)
- 平台
- 原則標識碼
- 原則模式
- PolicyName
- 上一頁檔案名稱
- 上一頁檔案路徑
- 上一頁保護擁有者
- 程序名稱
- ProductVersion
- 保護事件類型
- 保護擁有者
- ProtectionType
- 原因
- 接收器
- 記錄身分識別
- 保留標籤
- RMS加密
- 規則動作
- 規則標識碼
- 規則名稱
- 寄件者
- SensitiveInfoTypeBucketsData
- 敏感資訊類型資料
- SensitivityLabel
- SensitivityLabelPolicyId
- SerialNumber
- 沙1
- 沙256
- 來源位置類型
- 儲存名稱
- 主旨
- 目標網域
- 目標檔案路徑
- 目標印表機名稱
- TemplateId
- 使用者
- 用戶 SKU
- UserType
- Vpn網路位址
- VpnServer地址
- 工作負載