Rechercher des activités eDiscovery dans le journal d’audit

Activités liées à la recherche de contenu et à la découverte électronique (pour Microsoft Purview eDiscovery (Standard) et Microsoft Purview eDiscovery (Premium)) effectuées dans portail de conformité Microsoft Purview ou en exécutant les applets de commande PowerShell correspondantes, elles sont enregistrées dans le journal d’audit. Les événements sont consignés lorsque les administrateurs ou les gestionnaires eDiscovery (ou les autorisations eDiscovery affectées par l’utilisateur) effectuent les tâches de recherche de contenu et eDiscovery (Standard) suivantes dans le portail de conformité :

  • Création et gestion des cas eDiscovery (Standard) et eDiscovery (Premium)

  • Création, démarrage et modification de recherches de contenu

  • Exécution d’actions de recherche, telles que l’aperçu, l’exportation et la suppression des résultats de recherche

  • Gestion des consignats et des jeux de révision dans eDiscovery (Premium)

  • Configuration du filtrage des autorisations pour la recherche de contenu

  • gestion du rôle d’administrateur eDiscovery.

Pour plus d’informations sur la recherche dans le journal d’audit, les autorisations requises et l’exportation des résultats de recherche, consultez Rechercher dans le journal d’audit dans le portail de conformité.

Comment rechercher et afficher des activités eDiscovery

Actuellement, vous devez effectuer quelques opérations spécifiques pour afficher les activités eDiscovery dans le journal d’audit. Voici comment procéder.

  1. Allez sur https://compliance.microsoft.com et connectez-vous à l’aide de votre compte professionnel ou scolaire.

  2. Dans le volet de navigation gauche du portail de conformité, cliquez sur Audit.

  3. Dans la liste déroulante Activités , sous activités eDiscovery ou activités eDiscovery (Premium), cliquez sur une ou plusieurs activités à rechercher.

    Notes

    La liste déroulante Activités inclut également un groupe d’activités nommées activités d’applet de commande eDiscovery qui retournent des enregistrements à partir du journal d’audit des applets de commande.

  4. Sélectionnez une plage de dates et d’heures pour afficher les événements eDiscovery qui se sont produits au cours de cette période.

  5. Dans la zone Utilisateurs , sélectionnez un ou plusieurs utilisateurs pour lequel afficher les résultats de la recherche. Laissez cette zone vide pour renvoyer des entrées pour tous les utilisateurs.

  6. Cliquez sur Rechercher pour effectuer la recherche à l’aide de vos critères de recherche.

  7. Une fois les résultats de la recherche affichés, vous pouvez cliquer sur Filtrer les résultats pour filtrer ou trier les enregistrements d’activité résultants. Malheureusement, vous ne pouvez pas utiliser le filtrage pour exclure explicitement certaines activités.

  8. Pour afficher des détails sur une activité, cliquez sur l’enregistrement d’activité dans la liste des résultats de recherche.

    Une page Détails s’affiche et contient les propriétés détaillées de l’enregistrement d’événement. Pour afficher des détails supplémentaires, cliquez sur Plus d’informations. Pour obtenir une description de ces propriétés, consultez la section Propriétés détaillées pour les activités eDiscovery .

  9. Si vous le souhaitez, vous pouvez exporter les résultats de la recherche dans le journal d’audit dans un fichier CSV, puis utiliser la fonctionnalité Excel Power Query pour mettre en forme et filtrer ces enregistrements. Pour plus d’informations, consultez Exporter, configurer et afficher des enregistrements du journal d’audit.

Activités de découverte électronique

Le tableau suivant décrit les activités de recherche de contenu et eDiscovery (Standard) journalisées lorsqu’un administrateur ou un gestionnaire eDiscovery effectue une activité liée à eDiscovery à l’aide du portail de conformité. Certaines activités effectuées dans eDiscovery (Premium) peuvent être retournées lorsque vous recherchez des activités dans cette liste.

Notes

Les activités eDiscovery décrites dans cette section fournissent des informations similaires aux activités d’applet de commande eDiscovery décrites dans la section suivante. Nous vous recommandons d’utiliser les activités eDiscovery décrites dans cette section, car elles apparaîtront dans les résultats de la recherche dans le journal d’audit dans les 30 minutes. L’apparition des activités d’applet de commande eDiscovery dans les résultats de recherche dans les journaux d’audit peut prendre jusqu’à 24 heures.

Nom convivial Opération Applet de commande correspondante Description
Ajout d’un membre au cas eDiscovery
CaseMemberAdded
Add-ComplianceCaseMember
Un utilisateur a été ajouté en tant que membre d’un cas eDiscovery. En tant que membre d’un cas, un utilisateur peut effectuer différentes tâches liées à la casse selon qu’il a reçu ou non les autorisations nécessaires.
Modification de la recherche de contenu
SearchUpdated
Set-ComplianceSearch
Une recherche de contenu existante a été modifiée. Les modifications peuvent inclure l’ajout ou la suppression d’emplacements de contenu ou la modification de la requête de recherche.
Modification de l’appartenance à l’administrateur eDiscovery
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
La liste des administrateurs eDiscovery de votre organisation a été modifiée. Cette activité est journalisée lorsque la liste des administrateurs eDiscovery est remplacée par un groupe de nouveaux utilisateurs. Si un seul utilisateur est ajouté ou supprimé, l’opération CaseAdminAdded est journalisée.
Modification du cas eDiscovery
CaseUpdated
Set-ComplianceCase
Un cas eDiscovery a été modifié. Les modifications incluent la fermeture d’un cas ouvert ou la réouverture d’un cas fermé.
Modification de l’appartenance au cas eDiscovery
CaseMemberUpdated
Update-ComplianceCaseMember
La liste d’appartenances d’un cas eDiscovery a été modifiée. Cette activité est journalisée lorsque tous les membres sont remplacés par un groupe de nouveaux utilisateurs. Si un seul membre est ajouté ou supprimé, l’opération CaseMemberAdded ou CaseMemberRemoved est journalisée.
Filtre d’autorisations de recherche modifié
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été modifié.
Requête de recherche modifiée pour la conservation de cas eDiscovery
HoldUpdated
Set-CaseHoldRule
Une conservation basée sur une requête associée à un cas eDiscovery a été modifiée. Les modifications possibles incluent la modification de la plage de requêtes ou de dates pour une conservation basée sur une requête.
Élément d’aperçu de la recherche de contenu téléchargé
PreviewItemDownloaded
S/O
Un utilisateur a téléchargé un élément sur son ordinateur local (en cliquant sur le lien Télécharger l’élément d’origine ) lors de l’aperçu des résultats de la recherche.
Élément d’aperçu de la recherche de contenu répertorié
PreviewItemListed
S/O
Un utilisateur a cliqué sur Aperçu des résultats de la recherche pour afficher la page des résultats de la recherche en préversion, qui répertorie jusqu’à 1 000 éléments des résultats d’une recherche.
Élément d’aperçu de la recherche de contenu affiché
PreviewItemRendered
S/O
Un gestionnaire eDiscovery a affiché un élément en cliquant dessus lors de l’aperçu des résultats de la recherche.
Recherche de contenu créée
SearchCreated
New-ComplianceSearch
Une recherche de contenu a été créée.
Administrateur eDiscovery créé
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Un utilisateur a été ajouté en tant qu’administrateur eDiscovery dans l’organisation.
Cas eDiscovery créé
CaseAdded
New-ComplianceCase
Un cas eDiscovery a été créé. Lorsqu’un cas est créé, vous n’avez qu’à lui donner un nom. D’autres tâches liées à la casse, telles que l’ajout de membres, la création de conservations et la création de recherches de contenu associées au cas, entraînent la journalisation d’événements supplémentaires.
Filtre d’autorisations de recherche créé
SearchPermissionCreated
New-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été créé.
Requête de recherche créée pour la conservation de cas eDiscovery
HoldCreated
New-CaseHoldRule
Une conservation basée sur une requête associée à un cas eDiscovery a été créée.
Recherche de contenu supprimée
SearchRemoved
Remove-ComplianceSearch
Une recherche de contenu existante a été supprimée.
Administrateur eDiscovery supprimé
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Un administrateur eDiscovery a été supprimé de votre organisation.
Cas eDiscovery supprimé
CaseRemoved
Remove-ComplianceCase
Un cas eDiscovery a été supprimé. Toute conservation associée au cas doit être supprimée avant que le cas puisse être supprimé.
Filtre d’autorisations de recherche supprimé
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été supprimé.
Requête de recherche supprimée pour la conservation de cas eDiscovery
HoldRemoved
Remove-CaseHoldRule
Une conservation basée sur une requête associée à un cas eDiscovery a été supprimée. La suppression de la requête de la conservation est souvent le résultat de la suppression d’une conservation. Lorsqu’une conservation ou une requête de conservation est supprimée, les emplacements de contenu qui étaient en attente sont libérés.
Exportation téléchargée de la recherche de contenu
SearchExportDownloaded
S/O
Un utilisateur a téléchargé les résultats d’une recherche de contenu sur son ordinateur local. Une exportation démarrée de l’activité de recherche de contenu doit être lancée avant que les résultats de la recherche puissent être téléchargés.
Résultats préliminaires de la recherche de contenu
SearchPreviewed
S/O
Un utilisateur a aperçu les résultats d’une recherche de contenu.
Résultats purgés de la recherche de contenu
SearchResultsPurged
New-ComplianceSearchAction
Un utilisateur a purgé les résultats d’une recherche de contenu en exécutant la commande New-ComplianceSearchAction -Purge .
Suppression de l’analyse de la recherche de contenu
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
Une action de préparation de la recherche de contenu (pour préparer les résultats de la recherche pour eDiscovery (Premium)) a été supprimée. Si l’action de préparation date de moins de deux semaines, les résultats de recherche préparés pour eDiscovery (Premium) ont été supprimés de la zone de stockage Microsoft Azure. Si l’action de préparation était antérieure à 2 semaines, cet événement indique que seule l’action de préparation correspondante a été supprimée.
Suppression de l’exportation de la recherche de contenu
RemovedSearchExported
Remove-ComplianceSearchAction
Une action d’exportation de recherche de contenu a été supprimée. Si l’action d’exportation date de moins de deux semaines, les résultats de recherche qui ont été chargés dans la zone de stockage Microsoft Azure ont été supprimés. Si l’action d’exportation était antérieure à 2 semaines, cet événement indique que seule l’action d’exportation correspondante a été supprimée.
Membre supprimé du cas eDiscovery
CaseMemberRemoved
Remove-ComplianceCaseMember
Un utilisateur a été supprimé en tant que membre d’un cas eDiscovery.
Suppression des résultats d’aperçu de la recherche de contenu
RemovedSearchPreviewed
Remove-ComplianceSearchAction
Une action de recherche de contenu en préversion a été supprimée.
Suppression de l’action de vidage effectuée lors de la recherche de contenu
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Une action de vidage de recherche de contenu a été supprimée.
Rapport de recherche supprimé
SearchReportRemoved
Remove-ComplianceSearchAction
Une action de rapport d’exportation de recherche de contenu a été supprimée.
Analyse démarrée de la recherche de contenu
SearchResultsSentToZoom
New-ComplianceSearchAction
Les résultats d’une recherche de contenu ont été préparés pour analyse dans eDiscovery (Premium).
Démarrage de la recherche de contenu
SearchStarted
Start-ComplianceSearch
Une recherche de contenu a été démarrée. Lorsque vous créez ou modifiez une recherche de contenu à l’aide du portail de conformité, la recherche est démarrée automatiquement.
Exportation démarrée de la recherche de contenu
SearchExported
New-ComplianceSearchAction
Un utilisateur a exporté les résultats d’une recherche de contenu.
Rapport d’exportation démarré
SearchReport
New-ComplianceSearchAction
Un utilisateur a exporté un rapport de recherche de contenu.
Arrêt de la recherche de contenu
SearchStopped
Stop-ComplianceSearch
Un utilisateur a arrêté une recherche de contenu.
(aucun) CaseViewed Get-ComplianceCase Un utilisateur a consulté un cas eDiscovery (Standard) dans le centre de conformité. L’enregistrement d’audit de cet événement inclut le nom du cas qui a été consulté.
(aucun) SearchViewed Get-ComplianceSearch Un utilisateur a consulté une recherche de contenu dans le centre de conformité en accédant à la recherche sous l’onglet Recherches dans un cas eDiscovery (Standard) ou en accédant à celle-ci sur la page Recherche de contenu . L’enregistrement d’audit de cet événement inclut l’identité de la recherche qui a été consultée.
(aucun) ViewedSearchExported Get-ComplianceSearchAction -Export Un utilisateur a consulté une exportation de recherche de contenu dans le centre de conformité en accédant à l’exportation sous l’onglet Exportations de la page Recherche de contenu . Cette activité est également journalisée lorsqu’un utilisateur affiche une exportation associée à un cas eDiscovery (Standard).
(aucun) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview Un utilisateur a aperçu les résultats d’une recherche de contenu dans le Centre de conformité. Cette activité est également journalisée lorsqu’un utilisateur affiche un aperçu des résultats d’une recherche associée à un cas eDiscovery (Standard).

Activités eDiscovery (Premium)

Le tableau suivant décrit les activités eDiscovery (Premium) journalisées dans le journal d’audit. Ces activités peuvent être utilisées pour vous aider à suivre la progression de l’activité dans un cas eDiscovery (Premium).

Nom convivial Opération Description
Ajouter des données dans un autre ensemble à réviser AddWorkingSetQueryToWorkingSet L’utilisateur a ajouté des documents d’un ensemble à réviser à un autre.
Données ajoutées au groupe à réviser AddQueryToWorkingSet L’utilisateur a ajouté les résultats de recherche d’une recherche de contenu associée à un cas eDiscovery (Premium) à un ensemble de révisions.
Ajout de données ne relevant pas de Microsoft 365 à un jeu à réviser AddNonOffice365DataToWorkingSet L’utilisateur a ajouté des données ne relevant pas de Microsoft 365 à un jeu à réviser.
Ajout de documents corrigés au groupe révision AddRemediatedData L’utilisateur charge les documents qui comportent des erreurs d’indexation qui ont été corrigées dans un groupe de révision.
Données analysées dans le groupe révision RunAlgo L’utilisateur a exécuté Analytics sur les documents d’un groupe de révision.
Document annoté dans le groupe révision AnnotateDocument L’utilisateur a annoté un document dans un groupe de révision. L’annotation inclut rédiger du contenu dans un document.
Ensembles chargés comparés LoadComparisonJob Un utilisateur a comparé deux ensembles chargés différents dans un groupe de révision. Un ensemble chargé est activé lorsque les données d’une recherche de contenu associées au cas sont ajoutées à un groupe de révision.
Documents rédigés convertis au format PDF BurnJob L’utilisateur a converti tous les documents rédigés dans un ensemble de révision en fichiers PDF.
Ensemble de révision créée CreateWorkingSet L’utilisateur a créé un groupe de révision.
Configuration de la recherche de révision créée CreateWorkingSetSearch L’utilisateur a créé une requête de recherche qui effectue une recherche dans les documents d’un groupe de révision.
Balise créée CreateTag Un utilisateur a créé un groupe de balises dans un ensemble de révision. Un groupe de balises peut contenir une ou plusieurs balises enfant. Ces balises sont ensuite utilisées pour baliser des documents dans le groupe révision.
Recherche de la révision supprimée DeleteWorkingSetSearch Un utilisateur a supprimé une requête de recherche dans un groupe de révision.
Balise supprimée DeleteTag Un utilisateur a supprimé une balise ou une balise de groupe dans un groupe de révision.
Document téléchargé DownloadDocument Un utilisateur a téléchargé un document à partir d’un groupe de révision.
Balise modifiée UpdateTag Un utilisateur a modifié une balise dans un groupe de révision.
Exporter des documents d’un groupe de révision ExportJob L’utilisateur a exporté les documents à partir d’un groupe de révision.
Paramètre de casse modifié UpdateCaseSettings L’utilisateur a modifié les paramètres de casse. Les paramètres de casse incluent les informations de casse, les autorisations d’accès et les paramètres qui contrôlent le comportement des recherches et analyses.
Configuration de la recherche de révision modifiée UpdateWorkingSetSearch Un utilisateur a modifié une requête de recherche dans un groupe de révision.
Aperçu de configuration de la recherche de révision PreviewWorkingSetSearch Un utilisateur a visualisé les résultats d’une requête de recherche dans un ensemble de révision.
Documents d’erreur rectifiés ErrorRemediationJob L’utilisateur corrige les fichiers qui contiennent des erreurs d’indexation.
Document balisé TagFiles L’utilisateur a balisé un document dans un groupe de révision.
Résultats avec indicateur d’une requête TagJob L’utilisateur balise tous les documents qui correspondent aux critères de la requête de recherche dans un ensemble de révision.
Document visualisé dans le groupe révision ViewDocument Un utilisateur a consulté un document dans un groupe de révision.

Activités de l’applet de commande eDiscovery

Le tableau suivant répertorie les enregistrements du journal d’audit des applets de commande journalisés lorsqu’un administrateur ou un utilisateur effectue une activité liée à eDiscovery à l’aide du centre de conformité ou en exécutant l’applet de commande correspondante dans Security & Compliance PowerShell. Les informations détaillées dans l’enregistrement du journal d’audit sont différentes pour les activités d’applet de commande répertoriées dans ce tableau et les activités eDiscovery décrites dans la section précédente.

Comme indiqué précédemment, l’apparition des activités d’applet de commande eDiscovery dans les résultats de la recherche dans le journal d’audit peut prendre jusqu’à 24 heures.

Conseil

Les applets de commande de la colonne Opération du tableau suivant sont liées à la rubrique d’aide d’applet de commande correspondante sur TechNet. Accédez à la rubrique d’aide de l’applet de commande pour obtenir une description des paramètres disponibles pour chaque applet de commande. Le paramètre et la valeur de paramètre qui ont été utilisés avec une applet de commande sont inclus dans l’entrée du journal d’audit pour chaque activité d’applet de commande eDiscovery journalisée.

Nom convivial Opération (applet de commande) Description
Conservation créée dans le cas eDiscovery
New-CaseHoldPolicy
Une conservation a été créée pour un cas eDiscovery. Une conservation peut être créée avec ou sans spécifier de source de contenu. Si des sources de contenu sont spécifiées, elles sont identifiées dans l’entrée du journal d’audit.
Conservation supprimée du cas eDiscovery
Remove-CaseHoldPolicy
Une conservation associée à un cas eDiscovery a été supprimée. La suppression d’une conservation libère tous les emplacements de contenu de la conservation. La suppression de la conservation entraîne également la suppression des règles de conservation de cas associées à la conservation (voir Remove-CaseHoldRule ci-dessous ).
Modification de la conservation dans le cas eDiscovery
Set-CaseHoldPolicy
Une conservation associée à une découverte électronique a été modifiée. Les modifications possibles incluent l’ajout ou la suppression d’emplacements de contenu ou la désactivation (désactivation) de la conservation.
Requête de recherche créée pour la conservation de cas eDiscovery
New-CaseHoldRule
Une conservation basée sur une requête associée à un cas eDiscovery a été créée.
Requête de recherche supprimée pour la conservation de cas eDiscovery
Remove-CaseHoldRule
Une conservation basée sur une requête associée à un cas eDiscovery a été supprimée. La suppression de la requête de la conservation est souvent le résultat de la suppression d’une conservation. Lorsqu’une conservation ou une requête de conservation est supprimée, les emplacements de contenu qui étaient en attente sont libérés.
Requête de recherche modifiée pour la conservation de cas eDiscovery
Set-CaseHoldRule
Une conservation basée sur une requête associée à un cas eDiscovery a été modifiée. Les modifications possibles incluent la modification de la plage de requêtes ou de dates pour une conservation basée sur une requête.
Cas eDiscovery créé
New-ComplianceCase
Un cas eDiscovery a été créé. Lorsqu’un cas est créé, vous n’avez qu’à lui donner un nom. D’autres tâches liées à la casse, telles que l’ajout de membres, la création de conservations et la création de recherches de contenu associées au cas, entraînent la journalisation d’événements supplémentaires.
Cas eDiscovery supprimé
Remove-ComplianceCase
Un cas eDiscovery a été supprimé. Toute conservation associée au cas doit être supprimée avant que le cas puisse être supprimé.
Modification du cas eDiscovery
Set-ComplianceCase
Un cas eDiscovery a été modifié. Les modifications incluent la fermeture d’un cas ouvert ou la réouverture d’un cas fermé.
Ajout d’un membre au cas eDiscovery
Add-ComplianceCaseMember
Un utilisateur a été ajouté en tant que membre d’un cas eDiscovery. En tant que membre d’un cas, un utilisateur peut effectuer différentes tâches liées à la casse selon qu’il a reçu ou non les autorisations nécessaires.
Membre supprimé du cas eDiscovery
Remove-ComplianceCaseMember
Un utilisateur a été supprimé en tant que membre d’un cas eDiscovery.
Modification de l’appartenance au cas eDiscovery
Update-ComplianceCaseMember
La liste d’appartenances d’un cas eDiscovery a été modifiée. Cette activité est journalisée lorsque tous les membres sont remplacés par un groupe de nouveaux utilisateurs. Si un seul membre est ajouté ou supprimé, l’opération Add-ComplianceCaseMember ou Remove-ComplianceCaseMember est journalisée.
Recherche de contenu créée
New-ComplianceSearch
Une recherche de contenu a été créée.
Recherche de contenu supprimée
Remove-ComplianceSearch
Une recherche de contenu existante a été supprimée.
Modification de la recherche de contenu
Set-ComplianceSearch
Une recherche de contenu existante a été modifiée. Les modifications peuvent inclure l’ajout ou la suppression d’emplacements de contenu qui font l’objet d’une recherche et la modification de la requête de recherche.
Démarrage de la recherche de contenu
Start-ComplianceSearch
Une recherche de contenu a été démarrée. Lorsque vous créez ou modifiez une recherche de contenu à l’aide de l’interface graphique utilisateur du Centre de conformité, la recherche est démarrée automatiquement. Si vous créez ou modifiez une recherche à l’aide de l’applet de commande New-ComplianceSearch ou Set-ComplianceSearch , vous devez exécuter l’applet de commande Start-ComplianceSearch pour démarrer la recherche.
Arrêt de la recherche de contenu
Stop-ComplianceSearch
Une recherche de contenu en cours d’exécution a été arrêtée.
Action de recherche de contenu créée
New-ComplianceSearchAction
Une action de recherche de contenu a été créée. Les actions de recherche de contenu incluent l’aperçu des résultats de la recherche, l’exportation des résultats de recherche, la préparation des résultats de recherche pour l’analyse dans eDiscovery (Premium) et la suppression définitive des éléments qui correspondent aux critères de recherche d’une recherche de contenu.
Action de recherche de contenu supprimée
Remove-ComplianceSearchAction
Une action de recherche de contenu a été supprimée.
Filtre d’autorisations de recherche créé
New-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été créé.
Filtre d’autorisations de recherche supprimé
Remove-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été supprimé.
Filtre d’autorisations de recherche modifié
Set-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été modifié.
Administrateur eDiscovery créé
Add-eDiscoveryCaseAdmin
Un utilisateur a été ajouté en tant qu’administrateur eDiscovery dans votre organisation.
Administrateur eDiscovery supprimé
Remove-eDiscoveryCaseAdmin
Un administrateur eDiscovery a été supprimé de votre organisation.
Modification de l’appartenance à l’administrateur eDiscovery
Update-eDiscoveryCaseAdmin
La liste des administrateurs eDiscovery de votre organisation a été modifiée. Cette activité est journalisée lorsque la liste des administrateurs eDiscovery est remplacée par un groupe de nouveaux utilisateurs. Si un seul utilisateur est ajouté ou supprimé, l’opération Add-eDiscoveryCaseAdmin ou Remove-eDiscoveryCaseAdmin est journalisée.
(aucun) Get-ComplianceCase
Cette activité est journalisée lorsqu’un utilisateur a consulté une liste de cas eDiscovery (Standard) ou eDiscovery (Premium). Cette activité est également journalisée lorsqu’un utilisateur affiche un cas spécifique dans eDiscovery (Standard). Lorsqu’un utilisateur affiche un cas spécifique, l’enregistrement d’audit inclut l’identité du cas qui a été consulté. Si l’utilisateur n’a consulté qu’une liste de cas, l’enregistrement d’audit ne contient pas d’identité de cas.
(aucun) Get-ComplianceSearch Cette activité est journalisée lorsqu’un utilisateur a consulté une liste de recherches de contenu ou de recherches associées à un cas eDiscovery (Standard). Cette activité est également journalisée lorsqu’un utilisateur affiche une recherche de contenu spécifique ou une recherche spécifique associée à un cas eDiscovery (Standard). Lorsqu’un utilisateur affiche une recherche spécifique, l’enregistrement d’audit inclut l’identité de la recherche qui a été consultée. Si l’utilisateur n’a consulté qu’une liste de recherches, l’enregistrement d’audit ne contient pas d’identité de recherche.
(aucun) Get-ComplianceSearchAction Cette activité est journalisée lorsqu’un utilisateur a consulté une liste d’actions de recherche de conformité (telles que des exportations, des aperçus ou des vidages) ou des actions associées à un cas eDiscovery (Standard). Cette activité est également journalisée lorsqu’un utilisateur affiche une action de recherche de conformité spécifique (telle qu’une exportation) ou affiche une action spécifique associée à un cas eDiscovery (Standard). Lorsqu’un utilisateur affiche une action de recherche, l’enregistrement d’audit inclut l’identité de l’action de recherche qui a été consultée. Si l’utilisateur n’a consulté qu’une liste d’actions, l’enregistrement d’audit ne contient pas d’identité d’action.

Propriétés détaillées pour les activités eDiscovery

Le tableau suivant décrit les propriétés incluses dans la page de menu volant pour une activité eDiscovery répertoriée dans les résultats de la recherche. Ces propriétés sont également incluses dans le fichier CSV lorsque vous exportez les résultats de la recherche dans le journal d’audit. Un enregistrement de journal d’audit pour une activité eDiscovery n’inclut pas toutes les propriétés détaillées répertoriées ci-dessous.

Conseil

Lorsque vous exportez les résultats de la recherche, le fichier CSV contient une colonne nommée AudtiData, qui contient les propriétés détaillées décrites dans le tableau suivant dans une propriété à valeurs multiples. Vous pouvez utiliser la fonctionnalité Power Query dans Excel pour fractionner cette colonne en plusieurs colonnes afin que chaque propriété ait sa propre colonne. Cela vous permet de trier et de filtrer sur une ou plusieurs de ces propriétés. Pour plus d’informations, consultez la section « Exporter les résultats de la recherche dans un fichier » dans rechercher dans le journal d’audit.

Propriété Description
Cas
Identité (GUID) du cas eDiscovery qui a été créé, modifié ou supprimé.
ClientApplication
Les activités d’applet de commande eDiscovery ont la valeur EMC pour cette propriété. Cela indique que l’activité a été effectuée à l’aide de l’interface graphique utilisateur du Centre de conformité ou en exécutant l’applet de commande dans PowerShell.
ClientIP
Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6.
ClientRequestId
Pour les activités eDiscovery, cette propriété est généralement vide.
CmdletVersion
Numéro de build pour la version du centre de conformité en cours d’exécution dans votre organisation.
CreationTime
Date et heure en temps universel coordonné (UTC) lorsque l’activité eDiscovery a été terminée.
EffectiveOrganization
Nom de l’organisation Microsoft 365.
ExchangeLocations
La Exchange Online boîtes aux lettres incluses dans une recherche de contenu ou mises en attente dans un cas eDiscovery.
Exclusions
Boîtes aux lettres ou emplacements de site exclus d’une recherche de contenu ou d’une conservation dans un cas eDiscovery.
ExtendedProperties
Propriétés supplémentaires d’une recherche de contenu, d’une action de recherche de contenu ou d’une conservation dans un cas eDiscovery, tels que le GUID de l’objet et les paramètres d’applet de commande et d’applet de commande correspondants qui ont été utilisés lors de l’activité.
ID
ID de l’entrée de rapport. L’ID identifie de façon unique l’entrée du journal d’audit.
NonPIIParameters
Liste des paramètres (sans aucune valeur) qui ont été utilisés avec l’applet de commande identifiée dans la propriété Operation. Les paramètres répertoriés dans cette propriété sont les mêmes que ceux répertoriés dans la propriété Parameters.
ObjectId
GUID ou nom de l’objet (par exemple, une recherche de contenu ou un cas eDiscovery (Standard) qui a été créé, accédé, modifié ou supprimé par l’activité répertoriée dans la propriété Operation. Cet objet est également identifié dans la colonne Item dans les résultats de recherche du journal d’audit.
ObjectType
Type d’objet eDiscovery que l’utilisateur a créé, supprimé ou modifié ; par exemple, une action de recherche de contenu (préversion, exportation ou vidage), un cas eDiscovery ou une recherche de contenu.
Opération
Nom de l’opération qui correspond à l’activité eDiscovery qui a été effectuée.
OrganizationId
GUID de votre organisation Microsoft 365.
Paramètres
Nom et valeur des paramètres utilisés avec l’applet de commande correspondante.
PublicFolderLocations
Emplacements des dossiers publics dans Exchange Online inclus dans une recherche de contenu ou mis en attente dans un cas eDiscovery.
Requête
Requête de recherche associée à l’activité, telle qu’une recherche de contenu ou une conservation basée sur une requête.
RecordType
Type d’opération indiqué par l’enregistrement. La valeur 18 indique un événement lié à une activité répertoriée dans la section activités de l’applet de commande eDiscovery . La valeur 24 indique un événement lié à une activité répertoriée dans la section Rechercher et afficher les activités eDiscovery .
ResultStatus
Indique si l’action (indiquée dans la propriété Operation) a réussi ou non.
SecurityComplianceCenterEventType
Indique que l’activité était un événement de centre de conformité. Toutes les activités eDiscovery ont la valeur 0 pour cette propriété.
SharepointLocations
Sites SharePoint Online inclus dans une recherche de contenu ou mis en attente dans un cas eDiscovery.
StartTime
Date et heure en temps universel coordonné (UTC) au démarrage de l’activité eDiscovery.
UserId
Utilisateur qui a effectué l’activité (spécifiée dans la propriété Operation) qui a entraîné la journalisation de l’enregistrement. Les enregistrements de l’activité eDiscovery effectuées par les comptes système (tels que NT AUTHORITY\SYSTEM) sont également inclus dans le journal d’audit.
UserKey
Autre ID pour l’utilisateur identifié dans la propriété UserId. Pour les activités eDiscovery, la valeur de cette propriété est généralement la même que la propriété UserId.
UserServicePlan
Abonnement utilisé par votre organisation. Pour les activités eDiscovery, cette propriété est généralement vide.
UserType
Type d’utilisateur ayant effectué l’opération. Les valeurs suivantes indiquent le type d’utilisateur.
0 Utilisateur standard. 2 Administrateur de votre organisation. 3 Un compte système d’administrateur ou de centre de données Microsoft. 4 Un compte système. 5 Application. 6 Principal de service.
Version
Indique le numéro de version de l’activité (identifiée par la propriété Operation) journalisée.
Charge de travail
Service où l’activité s’est produite. Pour les activités eDiscovery, la valeur est SecurityComplianceCenter.