Buscar actividades de eDiscovery en el registro de auditoría

Actividades relacionadas con la búsqueda de contenido y eDiscovery (para Microsoft Purview eDiscovery (estándar) y Microsoft Purview eDiscovery (Premium)) que se realizan en portal de cumplimiento Microsoft Purview o mediante la ejecución de los cmdlets de PowerShell correspondientes se registran en el registro de auditoría. Los eventos se registran cuando los administradores o administradores de eDiscovery (o los permisos de exhibición de documentos electrónicos asignados por el usuario) realizan las siguientes tareas de búsqueda de contenido y exhibición de contenido (estándar) en el portal de cumplimiento:

  • Creación y administración de casos de eDiscovery (Estándar) y eDiscovery (Premium)

  • Creación, inicio y edición de búsquedas de contenido

  • Realizar acciones de búsqueda, como obtener una vista previa, exportar y eliminar resultados de búsqueda

  • Administración de custodios y conjuntos de revisión en eDiscovery (Premium)

  • Configuración del filtrado de permisos para la búsqueda de contenido

  • Administrar el rol de administrador de la exhibición de documentos electrónicos

Para obtener más información sobre cómo buscar en el registro de auditoría, los permisos necesarios y exportar los resultados de búsqueda, consulte Búsqueda en el registro de auditoría en el portal de cumplimiento.

Búsqueda y visualización de actividades de exhibición de documentos electrónicos

Actualmente, tiene que hacer algunas cosas específicas para ver las actividades de exhibición de documentos electrónicos en el registro de auditoría. Aquí se muestra cómo hacerlo.

  1. Vaya a https://compliance.microsoft.com e inicie sesión con su cuenta profesional o educativa.

  2. En el panel de navegación izquierdo del portal de cumplimiento, haga clic en Auditar.

  3. En la lista desplegable Actividades , en actividades de exhibición de documentos electrónicos o actividades de exhibición de documentos electrónicos (Premium), haga clic en una o varias actividades para buscar.

    Nota

    La lista desplegable Actividades también incluye un grupo de actividades denominadas actividades de cmdlet de eDiscovery que devolverán registros del registro de auditoría de cmdlets.

  4. Seleccione un intervalo de fecha y hora para mostrar los eventos de exhibición de documentos electrónicos que se produjeron en ese período.

  5. En el cuadro Usuarios , seleccione uno o varios usuarios para mostrar los resultados de búsqueda. Deje este cuadro en blanco para devolver entradas para todos los usuarios.

  6. Haga clic en Búsqueda para ejecutar la búsqueda mediante sus criterios de búsqueda.

  7. Una vez que se muestran los resultados de la búsqueda, puede hacer clic en Filtrar resultados para filtrar u ordenar los registros de actividad resultantes. Desafortunadamente, no puede usar el filtrado para excluir explícitamente determinadas actividades.

  8. Para ver detalles sobre una actividad, haga clic en el registro de actividad en la lista de resultados de búsqueda.

    Se muestra una página desplegable Detalles que contiene las propiedades detalladas del registro de eventos. Para mostrar detalles adicionales, haga clic en Más información. Para obtener una descripción de estas propiedades, vea la sección Propiedades detalladas para actividades de exhibición de documentos electrónicos .

  9. Si lo desea, puede exportar los resultados de la búsqueda de registros de auditoría a un archivo CSV y, a continuación, usar la característica de Power Query de Excel para dar formato y filtrar estos registros. Para más información, consulteExportar, configurar y ver registros de auditoría.

Actividades de eDiscovery

En la tabla siguiente se describen las actividades búsqueda de contenido y exhibición de documentos electrónicos (estándar) que se registran cuando un administrador o administrador de eDiscovery realiza una actividad relacionada con eDiscovery mediante el portal de cumplimiento. Algunas actividades realizadas en eDiscovery (Premium) pueden devolverse al buscar actividades en esta lista.

Nota

Las actividades de eDiscovery descritas en esta sección proporcionan información similar a las actividades de cmdlet de eDiscovery descritas en la sección siguiente. Se recomienda usar las actividades de exhibición de documentos electrónicos que se describen en esta sección, ya que aparecerán en los resultados de la búsqueda del registro de auditoría en un plazo de 30 minutos. Las actividades de cmdlet de eDiscovery pueden tardar hasta 24 horas en aparecer en los resultados de la búsqueda de registros de auditoría.

Nombre descriptivo Operación Cmdlet correspondiente Descripción
Se ha agregado un miembro al caso de eDiscovery
CaseMemberAdded
Add-ComplianceCaseMember
Se agregó un usuario como miembro de un caso de exhibición de documentos electrónicos. Como miembro de un caso, un usuario puede realizar varias tareas relacionadas con casos en función de si se le han asignado los permisos necesarios.
Búsqueda de contenido modificada
SearchUpdated
Set-ComplianceSearch
Se ha cambiado una búsqueda de contenido existente. Los cambios pueden incluir la adición o eliminación de ubicaciones de contenido o la edición de la consulta de búsqueda.
Se ha cambiado la pertenencia al administrador de eDiscovery
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
Se ha cambiado la lista de administradores de exhibición de documentos electrónicos de la organización. Esta actividad se registra cuando la lista de administradores de exhibición de documentos electrónicos se reemplaza por un grupo de nuevos usuarios. Si se agrega o quita un único usuario, se registra la operación CaseAdminAdded.
Se ha cambiado el caso de eDiscovery
CaseUpdated
Set-ComplianceCase
Se cambió un caso de eDiscovery. Los cambios incluyen el cierre de un caso abierto o la reapertura de un caso cerrado.
Se ha cambiado la pertenencia a casos de exhibición de documentos electrónicos
CaseMemberUpdated
Update-ComplianceCaseMember
Se cambió la lista de pertenencia de un caso de exhibición de documentos electrónicos. Esta actividad se registra cuando todos los miembros se reemplazan por un grupo de nuevos usuarios. Si se agrega o quita un solo miembro, se registra la operación CaseMemberAdded o CaseMemberRemoved.
Filtro de permisos de búsqueda modificado
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Se ha cambiado un filtro de permisos de búsqueda.
Se ha cambiado la consulta de búsqueda para la suspensión de mayúsculas y minúsculas de eDiscovery
HoldUpdated
Set-CaseHoldRule
Se cambió una suspensión basada en consultas asociada a un caso de exhibición de documentos electrónicos. Los posibles cambios incluyen la edición de la consulta o el intervalo de fechas para una retención basada en consultas.
Elemento de vista previa de búsqueda de contenido descargado
PreviewItemDownloaded
N/D
Un usuario descargó un elemento en su equipo local (haciendo clic en el vínculo Descargar elemento original ) al obtener una vista previa de los resultados de la búsqueda.
Elemento de vista previa de búsqueda de contenido enumerado
PreviewItemListed
N/D
Un usuario ha hecho clic en Vista previa de los resultados de la búsqueda para mostrar la página de resultados de búsqueda de vista previa, que muestra hasta 1000 elementos a partir de los resultados de una búsqueda.
Elemento de vista previa de búsqueda de contenido visto
PreviewItemRendered
N/D
Un administrador de eDiscovery ha visto un elemento haciendo clic en él al obtener una vista previa de los resultados de la búsqueda.
Búsqueda de contenido creada
SearchCreated
New-ComplianceSearch
Se creó una nueva búsqueda de contenido.
Administrador de eDiscovery creado
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Se agregó un usuario como administrador de exhibición de documentos electrónicos en la organización.
Caso de eDiscovery creado
CaseAdded
New-ComplianceCase
Se creó un caso de eDiscovery. Cuando se crea un caso, solo tiene que darle un nombre. Otras tareas relacionadas con casos, como agregar miembros, crear retenciones y crear búsquedas de contenido asociadas al caso, provocan que se registren eventos adicionales.
Filtro de permisos de búsqueda creado
SearchPermissionCreated
New-ComplianceSecurityFilter
Se creó un filtro de permisos de búsqueda.
Consulta de búsqueda creada para la suspensión de casos de eDiscovery
HoldCreated
New-CaseHoldRule
Se creó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos.
Búsqueda de contenido eliminado
SearchRemoved
Remove-ComplianceSearch
Se eliminó una búsqueda de contenido existente.
Administrador de eDiscovery eliminado
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Se eliminó un administrador de exhibición de documentos electrónicos de la organización.
Caso de eDiscovery eliminado
CaseRemoved
Remove-ComplianceCase
Se eliminó un caso de eDiscovery. Cualquier retención asociada al caso debe quitarse antes de que se pueda eliminar el caso.
Filtro de permisos de búsqueda eliminados
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Se eliminó un filtro de permisos de búsqueda.
Consulta de búsqueda eliminada para la suspensión de casos de eDiscovery
HoldRemoved
Remove-CaseHoldRule
Se eliminó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. La eliminación de la consulta de la suspensión suele ser el resultado de eliminar una suspensión. Cuando se elimina una consulta de suspensión o suspensión, se liberan las ubicaciones de contenido que estaban en espera.
Exportación descargada de la búsqueda de contenido
SearchExportDownloaded
N/D
Un usuario descargó los resultados de una búsqueda de contenido en su equipo local. Se debe iniciar una exportación iniciada de la actividad de búsqueda de contenido antes de que se puedan descargar los resultados de la búsqueda.
Resultados en vista previa de la búsqueda de contenido
SearchPreviewed
N/D
Un usuario ha obtenido una vista previa de los resultados de una búsqueda de contenido.
Resultados purgados de la búsqueda de contenido
SearchResultsPurged
New-ComplianceSearchAction
Un usuario purgue los resultados de una búsqueda de contenido mediante la ejecución del comando New-ComplianceSearchAction -Purge .
Se ha quitado el análisis de la búsqueda de contenido.
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
Se eliminó una acción de preparación de búsqueda de contenido (para preparar los resultados de búsqueda para eDiscovery (Premium)). Si la acción de preparación tenía menos de dos semanas de antigüedad, los resultados de búsqueda preparados para eDiscovery (Premium) se eliminaron del área de almacenamiento de Microsoft Azure. Si la acción de preparación era anterior a 2 semanas, este evento indica que solo se eliminó la acción de preparación correspondiente.
Se ha quitado la exportación de la búsqueda de contenido
RemovedSearchExported
Remove-ComplianceSearchAction
Se eliminó una acción de exportación de búsqueda de contenido. Si la acción de exportación tenía menos de dos semanas de antigüedad, se eliminaron los resultados de búsqueda cargados en el área de almacenamiento de Microsoft Azure. Si la acción de exportación era anterior a 2 semanas, este evento indica que solo se eliminó la acción de exportación correspondiente.
Se quitó el miembro del caso de eDiscovery
CaseMemberRemoved
Remove-ComplianceCaseMember
Un usuario se quitó como miembro de un caso de exhibición de documentos electrónicos.
Se han quitado los resultados de la vista previa de la búsqueda de contenido
RemovedSearchPreviewed
Remove-ComplianceSearchAction
Se eliminó una acción de vista previa de búsqueda de contenido.
Acción de purga eliminada realizada en la búsqueda de contenido
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Se eliminó una acción de purga de búsqueda de contenido.
Informe de búsqueda eliminado
SearchReportRemoved
Remove-ComplianceSearchAction
Se eliminó una acción de informe de exportación de búsqueda de contenido.
Análisis iniciado de la búsqueda de contenido
SearchResultsSentToZoom
New-ComplianceSearchAction
Los resultados de una búsqueda de contenido se prepararon para su análisis en eDiscovery (Premium).
Búsqueda de contenido iniciada
SearchStarted
Start-ComplianceSearch
Se inició una búsqueda de contenido. Al crear o cambiar una búsqueda de contenido mediante el portal de cumplimiento, la búsqueda se inicia automáticamente.
Exportación iniciada de la búsqueda de contenido
SearchExported
New-ComplianceSearchAction
Un usuario exportó los resultados de una búsqueda de contenido.
Informe de exportación iniciado
SearchReport
New-ComplianceSearchAction
Un usuario exportó un informe de búsqueda de contenido.
Búsqueda de contenido detenida
SearchStopped
Stop-ComplianceSearch
Un usuario detuvo una búsqueda de contenido.
(ninguno) CaseViewed Get-ComplianceCase Un usuario ha visto un caso de exhibición de documentos electrónicos (estándar) en el centro de cumplimiento. El registro de auditoría de este evento incluye el nombre del caso que se ha visto.
(ninguno) SearchViewed Get-ComplianceSearch Un usuario ha visto una búsqueda de contenido en el centro de cumplimiento accediendo a la búsqueda en la pestaña Búsquedas en un caso de exhibición de documentos electrónicos (estándar) o accediendo a ella en la página Búsqueda de contenido . El registro de auditoría de este evento incluye la identidad de la búsqueda que se ha visto.
(ninguno) ViewedSearchExported Get-ComplianceSearchAction -Export Un usuario ha visto una exportación de búsqueda de contenido en el centro de cumplimiento accediendo a la exportación en la pestaña Exportaciones de la página Búsqueda de contenido . Esta actividad también se registra cuando un usuario ve una exportación asociada a un caso de exhibición de documentos electrónicos (estándar).
(ninguno) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview Un usuario ha obtenido una vista previa de los resultados de una búsqueda de contenido en el centro de cumplimiento. Esta actividad también se registra cuando un usuario obtiene una vista previa de los resultados de una búsqueda asociada a un caso de exhibición de documentos electrónicos (estándar).

Actividades de eDiscovery (Premium)

En la tabla siguiente se describen las actividades de eDiscovery (Premium) registradas en el registro de auditoría. Estas actividades se pueden usar para ayudarle a realizar un seguimiento de la progresión de la actividad en un caso de exhibición de documentos electrónicos (Premium).

Nombre descriptivo Operación Descripción
Agregar datos a otro conjunto de revisión AddWorkingSetQueryToWorkingSet El usuario ha agregado documentos de un conjunto de revisiones a un conjunto de revisiones diferente.
Datos agregados a otro conjunto de revisión AddQueryToWorkingSet El usuario agregó los resultados de búsqueda de una búsqueda de contenido asociada a un caso de exhibición de documentos electrónicos (Premium) a un conjunto de revisión.
Se han agregado datos que no son de Microsoft 365 a un conjunto de revisión AddNonOffice365DataToWorkingSet Un usuario ha agregado datos que no son de Microsoft 365 a un conjunto de revisión.
Documentos corregidos agregados para revisar el conjunto AddRemediatedData El usuario carga documentos que tuvieron errores de indexación corregidos para un conjunto de revisiones.
Datos analizados en el conjunto de revisiones RunAlgo El usuario ejecuta el análisis en los documentos de un conjunto de revisiones.
Documento anotados en el conjunto de revisiones AnnotateDocument El usuario anotó un documento en un conjunto de revisiones. La anotación incluye contenido redactado en un documento.
Conjuntos de carga comparados LoadComparisonJob El usuario comparó dos conjuntos de carga distintos en un conjunto de revisiones. Un conjunto de carga es cuando los datos de una búsqueda de contenido asociados al caso se agregan a un conjunto de revisiones.
Documentos redactados convertidos en PDF BurnJob El usuario convirtió todos los documentos redactados en un conjunto de revisión en archivos PDF.
Creado el conjunto de revisiones CreateWorkingSet El usuario creó un conjunto de revisiones.
Conjunto de búsqueda de revisiones creado CreateWorkingSetSearch El usuario creó una consulta de búsqueda para buscar en los documentos de un conjunto de revisiones.
Etiqueta creada CreateTag El usuario creó un grupo de etiquetas en un conjunto de revisiones. Un grupo de etiquetas puede contener una o más etiquetas pequeñas. Las etiquetas se usan para etiquetar documentos en el conjunto de revisiones.
Conjunto de búsqueda de revisiones creado DeleteWorkingSetSearch El usuario eliminó una consulta de búsqueda en un conjunto de revisiones.
Etiquetas eliminadas DeleteTag El usuario eliminó un grupo de etiquetas en un conjunto de revisiones.
Documento descargado DownloadDocument El usuario ha descargado un documento de un conjunto de revisiones.
Etiqueta editada UpdateTag El usuario cambió una etiqueta en un conjunto de revisiones.
Documentos exportados desde un conjunto de revisión ExportJob Documentos de usuario exportados desde un conjunto de revisión.
Configuración de carcaza modificados UpdateCaseSettings Los usuarios modificaron la configuración de una carcaza. Las opciones de configuración de carcazas incluyen información de casos, permisos de acceso y configuraciones que controlan el comportamiento de búsqueda y análisis.
Conjunto de búsqueda de revisiones modificado UpdateWorkingSetSearch El usuario editó una consulta de búsqueda en un conjunto de revisiones.
Conjunto de búsqueda de revisiones previstas PreviewWorkingSetSearch Usuario obtiene una vista previa de los resultados de una consulta de búsqueda en un conjunto de revisiones.
Documentos erróneos corregidos ErrorRemediationJob El usuario corrige los archivos que contienen errores de escritura..
Documento etiquetado TagFiles El usuario etiquetó un documento en un conjunto de revisiones.
Resultados etiquetados de una consulta TagJob EL usuario etiqueta todos los documentos que coinciden con los criterios de la consulta de búsqueda en un conjunto de revisiones.
Documento anotados en el conjunto de revisiones ViewDocument El usuario visualizó un documento en un conjunto de revisiones.

Actividades de cmdlet de eDiscovery

En la tabla siguiente se enumeran los registros de registro de auditoría de cmdlets que se registran cuando un administrador o usuario realiza una actividad relacionada con eDiscovery mediante el centro de cumplimiento o mediante la ejecución del cmdlet correspondiente en PowerShell de cumplimiento de seguridad &. La información detallada del registro de auditoría es diferente para las actividades de cmdlet enumeradas en esta tabla y las actividades de exhibición de documentos electrónicos descritas en la sección anterior.

Como se indicó anteriormente, las actividades de cmdlet de eDiscovery pueden tardar hasta 24 horas en aparecer en los resultados de la búsqueda del registro de auditoría.

Sugerencia

Los cmdlets de la columna Operation de la tabla siguiente están vinculados al tema de ayuda de cmdlet correspondiente en TechNet. Vaya al tema de ayuda del cmdlet para obtener una descripción de los parámetros disponibles para cada cmdlet. El parámetro y el valor del parámetro que se usaron con un cmdlet se incluyen en la entrada de registro de auditoría para cada actividad de cmdlet de eDiscovery que se registra.

Nombre descriptivo Operación (cmdlet) Descripción
Suspensión creada en el caso de eDiscovery
New-CaseHoldPolicy
Se creó una suspensión para un caso de exhibición de documentos electrónicos. Se puede crear una suspensión con o sin especificar un origen de contenido. Si se especifican orígenes de contenido, se identificarán en la entrada del registro de auditoría.
Suspensión eliminada del caso de eDiscovery
Remove-CaseHoldPolicy
Se eliminó una suspensión asociada a un caso de exhibición de documentos electrónicos. Al eliminar una suspensión, se liberan todas las ubicaciones de contenido de la suspensión. La eliminación de la suspensión también da como resultado la eliminación de las reglas de suspensión de casos asociadas a la suspensión (vea Remove-CaseHoldRule a continuación).
Se ha cambiado la suspensión en el caso de eDiscovery
Set-CaseHoldPolicy
Se ha cambiado una suspensión asociada a una exhibición de documentos electrónicos. Los posibles cambios incluyen agregar o quitar ubicaciones de contenido o desactivar (deshabilitar) la suspensión.
Consulta de búsqueda creada para la suspensión de casos de eDiscovery
New-CaseHoldRule
Se creó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos.
Consulta de búsqueda eliminada para la suspensión de casos de eDiscovery
Remove-CaseHoldRule
Se eliminó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. La eliminación de la consulta de la suspensión suele ser el resultado de eliminar una suspensión. Cuando se elimina una consulta de suspensión o suspensión, se liberan las ubicaciones de contenido que estaban en espera.
Se ha cambiado la consulta de búsqueda para la suspensión de mayúsculas y minúsculas de eDiscovery
Set-CaseHoldRule
Se cambió una suspensión basada en consultas asociada a un caso de exhibición de documentos electrónicos. Los posibles cambios incluyen la edición de la consulta o el intervalo de fechas para una retención basada en consultas.
Caso de eDiscovery creado
New-ComplianceCase
Se creó un caso de eDiscovery. Cuando se crea un caso, solo tiene que darle un nombre. Otras tareas relacionadas con casos, como agregar miembros, crear retenciones y crear búsquedas de contenido asociadas al caso, provocan que se registren eventos adicionales.
Caso de eDiscovery eliminado
Remove-ComplianceCase
Se eliminó un caso de eDiscovery. Cualquier retención asociada al caso debe quitarse antes de que se pueda eliminar el caso.
Se ha cambiado el caso de eDiscovery
Set-ComplianceCase
Se cambió un caso de eDiscovery. Los cambios incluyen el cierre de un caso abierto o la reapertura de un caso cerrado.
Se ha agregado un miembro al caso de eDiscovery
Add-ComplianceCaseMember
Se agregó un usuario como miembro de un caso de exhibición de documentos electrónicos. Como miembro de un caso, un usuario puede realizar varias tareas relacionadas con casos en función de si se le han asignado los permisos necesarios.
Se quitó el miembro del caso de eDiscovery
Remove-ComplianceCaseMember
Un usuario se quitó como miembro de un caso de exhibición de documentos electrónicos.
Se ha cambiado la pertenencia a casos de exhibición de documentos electrónicos
Update-ComplianceCaseMember
Se cambió la lista de pertenencia de un caso de exhibición de documentos electrónicos. Esta actividad se registra cuando todos los miembros se reemplazan por un grupo de nuevos usuarios. Si se agrega o quita un solo miembro, se registra la operación Add-ComplianceCaseMember o Remove-ComplianceCaseMember .
Búsqueda de contenido creada
New-ComplianceSearch
Se creó una nueva búsqueda de contenido.
Búsqueda de contenido eliminado
Remove-ComplianceSearch
Se eliminó una búsqueda de contenido existente.
Búsqueda de contenido modificada
Set-ComplianceSearch
Se ha cambiado una búsqueda de contenido existente. Los cambios pueden incluir la adición o eliminación de ubicaciones de contenido que se buscan y la edición de la consulta de búsqueda.
Búsqueda de contenido iniciada
Start-ComplianceSearch
Se inició una búsqueda de contenido. Al crear o cambiar una búsqueda de contenido mediante la GUI del Centro de cumplimiento, la búsqueda se inicia automáticamente. Si crea o cambia una búsqueda mediante el cmdlet New-ComplianceSearch o Set-ComplianceSearch , debe ejecutar el cmdlet Start-ComplianceSearch para iniciar la búsqueda.
Búsqueda de contenido detenida
Stop-ComplianceSearch
Se detuvo una búsqueda de contenido que se estaba ejecutando.
Acción de búsqueda de contenido creada
New-ComplianceSearchAction
Se creó una acción de búsqueda de contenido. Las acciones de búsqueda de contenido incluyen la vista previa de los resultados de búsqueda, la exportación de resultados de búsqueda, la preparación de los resultados de búsqueda para su análisis en eDiscovery (Premium) y la eliminación permanente de elementos que coinciden con los criterios de búsqueda de una búsqueda de contenido.
Acción de búsqueda de contenido eliminado
Remove-ComplianceSearchAction
Se eliminó una acción de búsqueda de contenido.
Filtro de permisos de búsqueda creado
New-ComplianceSecurityFilter
Se creó un filtro de permisos de búsqueda.
Filtro de permisos de búsqueda eliminados
Remove-ComplianceSecurityFilter
Se eliminó un filtro de permisos de búsqueda.
Filtro de permisos de búsqueda modificado
Set-ComplianceSecurityFilter
Se ha cambiado un filtro de permisos de búsqueda.
Administrador de eDiscovery creado
Add-eDiscoveryCaseAdmin
Se agregó un usuario como administrador de exhibición de documentos electrónicos en su organización.
Administrador de eDiscovery eliminado
Remove-eDiscoveryCaseAdmin
Se eliminó un administrador de exhibición de documentos electrónicos de la organización.
Se ha cambiado la pertenencia al administrador de eDiscovery
Update-eDiscoveryCaseAdmin
Se ha cambiado la lista de administradores de exhibición de documentos electrónicos de la organización. Esta actividad se registra cuando la lista de administradores de exhibición de documentos electrónicos se reemplaza por un grupo de nuevos usuarios. Si se agrega o quita un único usuario, se registra la operación Add-eDiscoveryCaseAdmin o Remove-eDiscoveryCaseAdmin .
(ninguno) Get-ComplianceCase
Esta actividad se registra cuando un usuario ha visto una lista de casos de exhibición de documentos electrónicos (estándar) o eDiscovery (Premium). Esta actividad también se registra cuando un usuario ve un caso específico en eDiscovery (Estándar). Cuando un usuario ve un caso específico, el registro de auditoría incluye la identidad del caso que se ha visto. Si el usuario solo ha visto una lista de casos, el registro de auditoría no contiene una identidad de caso.
(ninguno) Get-ComplianceSearch Esta actividad se registra cuando un usuario ha visto una lista de búsquedas de contenido o búsquedas asociadas a un caso de exhibición de documentos electrónicos (estándar). Esta actividad también se registra cuando un usuario ve una búsqueda de contenido específica o ve una búsqueda específica asociada a un caso de exhibición de documentos electrónicos (estándar). Cuando un usuario ve una búsqueda específica, el registro de auditoría incluye la identidad de la búsqueda que se ha visto. Si el usuario solo ha visto una lista de búsquedas, el registro de auditoría no contiene una identidad de búsqueda.
(ninguno) Get-ComplianceSearchAction Esta actividad se registra cuando un usuario ha visto una lista de acciones de búsqueda de cumplimiento (como exportaciones, vistas previas o purgas) o acciones asociadas a un caso de exhibición de documentos electrónicos (estándar). Esta actividad también se registra cuando un usuario ve una acción de búsqueda de cumplimiento específica (como una exportación) o ve una acción específica asociada a un caso de exhibición de documentos electrónicos (estándar). Cuando un usuario ve una acción de búsqueda, el registro de auditoría incluye la identidad de la acción de búsqueda que se ha visto. Si el usuario solo ha visto una lista de acciones, el registro de auditoría no contiene una identidad de acción.

Propiedades detalladas de las actividades de eDiscovery

En la tabla siguiente se describen las propiedades que se incluyen en la página de control flotante de una actividad de exhibición de documentos electrónicos enumerada en los resultados de la búsqueda. Estas propiedades también se incluyen en el archivo CSV al exportar los resultados de la búsqueda de registros de auditoría. Un registro de auditoría para una actividad de exhibición de documentos electrónicos no incluirá todas las propiedades detalladas que se enumeran a continuación.

Sugerencia

Al exportar los resultados de la búsqueda, el archivo CSV contiene una columna denominada AudtiData, que contiene las propiedades detalladas descritas en la tabla siguiente en una propiedad de varios valores. Puede usar la característica Power Query en Excel para dividir esta columna en varias columnas para que cada propiedad tenga su propia columna. Esto le permitirá ordenar y filtrar una o varias de estas propiedades. Para obtener más información, vea la sección "Exportar los resultados de búsqueda a un archivo" en Buscar en el registro de auditoría.

Propiedad Descripción
Case
Identidad (GUID) del caso de exhibición de documentos electrónicos que se creó, cambió o eliminó.
ClientApplication
Las actividades de cmdlets de eDiscovery tienen un valor de EMC para esta propiedad. Esto indica que la actividad se realizó mediante la GUI del Centro de cumplimiento o ejecutando el cmdlet en PowerShell.
ClientIP
La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.
ClientRequestId
Para las actividades de exhibición de documentos electrónicos, esta propiedad suele estar en blanco.
CmdletVersion
Número de compilación de la versión del centro de cumplimiento que se ejecuta en su organización.
CreationTime
Fecha y hora de la hora universal coordinada (UTC) cuando se completó la actividad de exhibición de documentos electrónicos.
EffectiveOrganization
Nombre de la organización de Microsoft 365.
ExchangeLocations
Los Exchange Online buzones que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos.
Exclusiones
Ubicaciones de buzón o sitio que se excluyen de una búsqueda de contenido o una suspensión en un caso de exhibición de documentos electrónicos.
ExtendedProperties
Propiedades adicionales de una búsqueda de contenido, una acción de búsqueda de contenido o una suspensión en un caso de exhibición de documentos electrónicos, como el GUID del objeto y los parámetros de cmdlet y cmdlet correspondientes que se usaron cuando se realizó la actividad.
Id
Identificador de la entrada del informe. El identificador identifica de forma única la entrada del registro de auditoría.
NonPIIParameters
Una lista de los parámetros (sin ningún valor) que se usaron con el cmdlet identificado en la propiedad Operation. Los parámetros enumerados en esta propiedad son los mismos que los que aparecen en la propiedad Parameters.
ObjectId
GUID o nombre del objeto (por ejemplo, una búsqueda de contenido o un caso de exhibición de documentos electrónicos (estándar) que la actividad enumerada en la propiedad Operation creó, obtuvo acceso, cambió o eliminó. Este objeto también se identifica en la columna Item de los resultados de búsqueda del registro de auditoría.
ObjectType
Tipo de objeto eDiscovery que el usuario creó, eliminó o modificó; por ejemplo, una acción de búsqueda de contenido (vista previa, exportación o purga), un caso de exhibición de documentos electrónicos o una búsqueda de contenido.
Operación
Nombre de la operación que corresponde a la actividad eDiscovery que se realizó.
OrganizationId
GUID de la organización de Microsoft 365.
Parámetros
Nombre y valor de los parámetros que se usaron con el cmdlet correspondiente.
PublicFolderLocations
Las ubicaciones de carpetas públicas de Exchange Online que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos.
Consulta
Consulta de búsqueda asociada a la actividad, como una búsqueda de contenido o una retención basada en consultas.
RecordType
El tipo de operación indicado por el registro. El valor de 18 indica un evento relacionado con una actividad enumerada en la sección de actividades de cmdlets de eDiscovery . Un valor de 24 indica un evento relacionado con una actividad que se muestra en la sección Búsqueda y visualización de actividades de eDiscovery .
ResultStatus
Indica si la acción (especificada en la propiedad Operation) se completó correctamente o no.
SecurityComplianceCenterEventType
Indica que la actividad era un evento del centro de cumplimiento. Todas las actividades de eDiscovery tendrán un valor de 0 para esta propiedad.
SharepointLocations
Los sitios de SharePoint Online que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos.
StartTime
Fecha y hora de la hora universal coordinada (UTC) cuando se inició la actividad de exhibición de documentos electrónicos.
UserId
El usuario que realizó la actividad (especificada en la propiedad Operation) que provocó que se registrara el registro. Los registros de la actividad de exhibición de documentos electrónicos realizadas por cuentas del sistema (como NT AUTHORITY\SYSTEM) también se incluyen en el registro de auditoría.
UserKey
Un id. alternativo para el usuario identificado en la propiedad id. de usuario. En el caso de las actividades de eDiscovery, el valor de esta propiedad suele ser el mismo que la propiedad UserId.
UserServicePlan
La suscripción que usa la organización. Para las actividades de exhibición de documentos electrónicos, esta propiedad suele estar en blanco.
UserType
El tipo de usuario que llevó a cabo la operación. Los siguientes valores indican el tipo de usuario.
0 Un usuario normal. 2 Administrador de la organización. 3 Una cuenta de sistema de centro de datos o administrador del centro de datos de Microsoft. 4 Una cuenta del sistema. 5 Una aplicación. 6 Una entidad de servicio.
Versión
Indica el número de versión de la actividad (identificada por la propiedad Operation) que se registra.
Carga de trabajo
El servicio donde se produjo la actividad. Para las actividades de eDiscovery, el valor es SecurityComplianceCenter.