Condividi tramite


Cercare le attività di eDiscovery nel log di controllo

Consiglio

eDiscovery (anteprima) è ora disponibile nel nuovo portale di Microsoft Purview. Per altre informazioni sull'uso della nuova esperienza di eDiscovery, vedere Informazioni su eDiscovery (anteprima).

Attività correlate a Ricerca contenuto ed eDiscovery (per Microsoft Purview eDiscovery (Standard) e Microsoft Purview eDiscovery (Premium)) eseguite in Portale di conformità di Microsoft Purview o eseguendo i cmdlet di PowerShell corrispondenti vengono registrati nel log di controllo. Gli eventi vengono registrati quando gli amministratori o i responsabili di eDiscovery (o qualsiasi autorizzazione eDiscovery assegnata dall'utente) eseguono le seguenti attività Ricerca contenuto ed eDiscovery (Standard) nel portale di conformità:

  • Creazione e gestione di casi di eDiscovery (Standard) ed eDiscovery (Premium).
  • Creazione, avvio e modifica di ricerche di contenuto.
  • Esecuzione di azioni di ricerca, ad esempio l'anteprima, l'esportazione e l'eliminazione dei risultati della ricerca.
  • Gestione dei responsabili e dei set di revisione in eDiscovery (Premium).
  • Configurazione del filtro delle autorizzazioni per Ricerca contenuto.
  • Gestione del ruolo di amministratore di eDiscovery.

Per altre informazioni sulla ricerca nel log di controllo, sulle autorizzazioni necessarie e sull'esportazione dei risultati della ricerca, vedere Cercare nel log di controllo.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Come cercare e visualizzare le attività di eDiscovery

Attualmente, è necessario eseguire alcune operazioni specifiche per visualizzare le attività di eDiscovery nel log di controllo. Ecco come:

Nota

Per un periodo di tempo limitato, questa esperienza classica di eDiscovery è disponibile anche nel nuovo portale di Microsoft Purview. Abilitare l'esperienza eDiscovery classica del portale di conformità nelle impostazioni dell'esperienza di eDiscovery (anteprima) per visualizzare l'esperienza classica nel nuovo portale di Microsoft Purview.

  1. Passare alla Portale di conformità di Microsoft Purview e accedere usando l'account aziendale o dell'istituto di istruzione.

  2. Nel riquadro di spostamento a sinistra del portale di conformità selezionare Controlla.

  3. Nell'elenco a discesa Attività selezionare una o più attività da cercare in Attività di eDiscovery o attività eDiscovery (Premium).

    Nota

    L'elenco a discesa Attività include anche un gruppo di attività denominate attività cmdlet eDiscovery che restituiscono record dal log di controllo dei cmdlet.

  4. Selezionare un intervallo di data e ora per visualizzare gli eventi di eDiscovery che si sono verificati entro tale periodo.

  5. Nella casella Utenti selezionare uno o più utenti per cui visualizzare i risultati della ricerca. Lasciare vuota questa casella per restituire le voci per tutti gli utenti.

  6. Selezionare Cerca per eseguire la ricerca usando i criteri di ricerca.

  7. Dopo aver visualizzato i risultati della ricerca, è possibile selezionare Filtra risultati per filtrare o ordinare i record di attività risultanti. Sfortunatamente, non è possibile usare il filtro per escludere in modo esplicito determinate attività.

  8. Per visualizzare i dettagli di un'attività, selezionare il record attività nell'elenco dei risultati della ricerca.

    Viene visualizzata una pagina a comparsa Dettagli che contiene le proprietà dettagliate del record dell'evento. Per visualizzare altri dettagli, selezionare Altre informazioni. Per una descrizione di queste proprietà, vedere la sezione Proprietà dettagliate per le attività di eDiscovery .

  9. Se lo si desidera, è possibile esportare i risultati della ricerca del log di controllo in un file CSV e quindi usare la funzionalità excel Power Query per formattare e filtrare questi record. Per ulteriori informazioni, vedi Esportare, configurare e visualizzare i record del log di audit.

Attività di eDiscovery

Nella tabella seguente vengono descritte le attività Ricerca contenuto ed eDiscovery (Standard) registrate quando un amministratore o un manager di eDiscovery esegue un'attività correlata a eDiscovery tramite il portale di conformità. Alcune attività eseguite in eDiscovery (Premium) possono essere restituite quando si cercano attività in questo elenco.

Nota

Le attività di eDiscovery descritte in questa sezione forniscono informazioni simili alle attività del cmdlet eDiscovery descritte nella sezione successiva. È consigliabile usare le attività di eDiscovery descritte in questa sezione perché verranno visualizzate nei risultati della ricerca nel log di controllo entro 30 minuti. La visualizzazione delle attività dei cmdlet di eDiscovery nei risultati della ricerca nel log di controllo può richiedere fino a 24 ore.

Nome descrittivo Operazione Cmdlet corrispondente Descrizione
Aggiunta di un membro al caso di eDiscovery
CaseMemberAdded
Add-ComplianceCaseMember
Un utente è stato aggiunto come membro di un caso di eDiscovery. Come membro di un caso, un utente può eseguire varie attività correlate ai casi a seconda che gli siano state assegnate le autorizzazioni necessarie.
Ricerca di contenuto modificata
SearchUpdated
Set-ComplianceSearch
È stata modificata una ricerca di contenuto esistente. Le modifiche possono includere l'aggiunta o la rimozione di percorsi di contenuto o la modifica della query di ricerca.
Modifica dell'appartenenza dell'amministratore di eDiscovery
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
L'elenco degli amministratori di eDiscovery nell'organizzazione è stato modificato. Questa attività viene registrata quando l'elenco degli amministratori di eDiscovery viene sostituito con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo utente, viene registrata l'operazione CaseAdminAdded.
Modifica del caso di eDiscovery
CaseUpdated
Set-ComplianceCase
È stato modificato un caso di eDiscovery. Le modifiche includono la chiusura di un caso aperto o la riapertura di un caso chiuso.
Modifica dell'appartenenza al caso di eDiscovery
CaseMemberUpdated
Update-ComplianceCaseMember
L'elenco di appartenenza di un caso di eDiscovery è stato modificato. Questa attività viene registrata quando tutti i membri vengono sostituiti con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo membro, viene registrata l'operazione CaseMemberAdded o CaseMemberRemoved.
Filtro delle autorizzazioni di ricerca modificato
SearchPermissionUpdated
Set-ComplianceSecurityFilter
È stato modificato un filtro delle autorizzazioni di ricerca.
Modifica della query di ricerca per il blocco di maiuscole/minuscole di eDiscovery
HoldUpdated
Set-CaseHoldRule
È stato modificato un blocco basato su query associato a un caso di eDiscovery. Le possibili modifiche includono la modifica della query o dell'intervallo di date per un blocco basato su query.
Elemento di anteprima della ricerca contenuto scaricato
PreviewItemDownloaded
N/D
Un utente ha scaricato un elemento nel computer locale (selezionando il collegamento Scarica elemento originale ) durante l'anteprima dei risultati della ricerca.
Elemento di anteprima della ricerca contenuto elencato
PreviewItemListed
N/D
Un utente ha selezionato Anteprima risultati ricerca per visualizzare la pagina dei risultati della ricerca di anteprima, che elenca fino a 1.000 elementi dai risultati di una ricerca.
Ricerca contenuto creata
SearchCreated
New-ComplianceSearch
È stata creata una nuova ricerca di contenuto.
Amministratore di eDiscovery creato
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Un utente è stato aggiunto come amministratore di eDiscovery nell'organizzazione.
Creazione di un caso di eDiscovery
CaseAdded
New-ComplianceCase
È stato creato un caso di eDiscovery. Quando viene creato un caso, è sufficiente assegnargli un nome. Altre attività correlate al caso, ad esempio l'aggiunta di membri, la creazione di blocchi e la creazione di ricerche di contenuto associate al caso, comportano la registrazione di eventi aggiuntivi.
Filtro delle autorizzazioni di ricerca create
SearchPermissionCreated
New-ComplianceSecurityFilter
È stato creato un filtro per le autorizzazioni di ricerca.
Query di ricerca creata per il blocco di maiuscole e minuscole di eDiscovery
HoldCreated
New-CaseHoldRule
È stato creato un blocco basato su query associato a un caso di eDiscovery.
Ricerca contenuto eliminato
SearchRemoved
Remove-ComplianceSearch
È stata eliminata una ricerca di contenuto esistente.
Amministratore di eDiscovery eliminato
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Un amministratore di eDiscovery è stato eliminato dall'organizzazione.
Caso di eDiscovery eliminato
CaseRemoved
Remove-ComplianceCase
È stato eliminato un caso di eDiscovery. Qualsiasi blocco associato al caso deve essere rimosso prima che il caso possa essere eliminato.
Filtro delle autorizzazioni di ricerca eliminate
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
È stato eliminato un filtro delle autorizzazioni di ricerca.
Query di ricerca eliminata per il blocco di maiuscole e minuscole di eDiscovery
HoldRemoved
Remove-CaseHoldRule
È stato eliminato un blocco basato su query associato a un caso di eDiscovery. La rimozione della query dal blocco è spesso il risultato dell'eliminazione di un blocco. Quando viene eliminata una query di blocco o di blocco, vengono rilasciati i percorsi del contenuto che erano in attesa.
Esportazione scaricata della ricerca di contenuto
SearchExportDownloaded
N/D
Un utente ha scaricato i risultati di una ricerca di contenuto nel computer locale. È necessario avviare un'esportazione avviata dell'attività di ricerca del contenuto prima di scaricare i risultati della ricerca.
Risultati in anteprima della ricerca di contenuto
RicercaAnteprima
N/D
Un utente ha visualizzato in anteprima i risultati di una ricerca di contenuto.
Risultati eliminati della ricerca di contenuto
SearchResultsPurged
New-ComplianceSearchAction
Un utente ha eliminato i risultati di una ricerca contenuto eseguendo il comando New-ComplianceSearchAction -Purge .
Rimozione dell'analisi della ricerca di contenuto
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
È stata eliminata un'azione di preparazione della ricerca di contenuto (per preparare i risultati della ricerca per eDiscovery (Premium).) Se l'azione di preparazione aveva meno di due settimane, i risultati della ricerca preparati per eDiscovery (Premium) sono stati eliminati dall'area di archiviazione di Microsoft Azure. Se l'azione di preparazione è stata precedente a 2 settimane, questo evento indica che è stata eliminata solo l'azione di preparazione corrispondente.
Rimozione dell'esportazione della ricerca di contenuto
RemovedSearchExported
Remove-ComplianceSearchAction
Un'azione di esportazione di ricerca contenuto è stata eliminata. Se l'azione di esportazione aveva meno di due settimane, i risultati della ricerca caricati nell'area di archiviazione di Microsoft Azure sono stati eliminati. Se l'azione di esportazione era precedente a 2 settimane, questo evento indica che è stata eliminata solo l'azione di esportazione corrispondente.
Membro rimosso dal caso eDiscovery
CaseMemberRemoved
Remove-ComplianceCaseMember
Un utente è stato rimosso come membro di un caso di eDiscovery.
Rimossi i risultati di anteprima della ricerca di contenuto
RemovedSearchPreviewed
Remove-ComplianceSearchAction
È stata eliminata un'azione di anteprima della ricerca di contenuto.
Rimozione dell'azione di eliminazione eseguita nella ricerca di contenuto
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Un'azione di eliminazione della ricerca di contenuto è stata eliminata.
Rimozione del report di ricerca
SearchReportRemoved
Remove-ComplianceSearchAction
Un'azione di esportazione del report di ricerca contenuto è stata eliminata.
Analisi avviata della ricerca di contenuto
SearchResultsSentToZoom
New-ComplianceSearchAction
I risultati di una ricerca di contenuto sono stati preparati per l'analisi in eDiscovery (Premium).
Ricerca contenuto avviata
SearchStarted
Start-ComplianceSearch
È stata avviata una ricerca di contenuto. Quando si crea o si modifica una ricerca di contenuto usando il portale di conformità, la ricerca viene avviata automaticamente.
Avvio dell'esportazione della ricerca di contenuto
SearchExported
New-ComplianceSearchAction
Un utente ha esportato i risultati di una ricerca di contenuto.
Report di esportazione avviato
SearchReport
New-ComplianceSearchAction
Un utente ha esportato un report di ricerca contenuto.
Ricerca contenuto arrestata
SearchStopped
Stop-ComplianceSearch
Un utente ha arrestato una ricerca di contenuto.
(nessuno) CaseViewed Get-ComplianceCase Un utente ha visualizzato un caso di eDiscovery (Standard) nel portale di conformità. Il record di controllo per questo evento include il nome del caso visualizzato.
(nessuno) SearchViewed Get-ComplianceSearch Un utente ha visualizzato una ricerca contenuto nel portale di conformità accedendo alla ricerca nella scheda Ricerche in un caso di eDiscovery (Standard) o accedendo alla ricerca contenuto nella pagina Ricerca contenuto . Il record di controllo per questo evento include l'identità della ricerca visualizzata.
(nessuno) ViewedSearchExported Get-ComplianceSearchAction -Export Un utente ha visualizzato un'esportazione ricerca contenuto nel portale di conformità accedendo all'esportazione nella scheda Esportazioni nella pagina Ricerca contenuto . Questa attività viene registrata anche quando un utente visualizza un'esportazione associata a un caso eDiscovery (Standard).
(nessuno) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview Un utente ha visualizzato in anteprima i risultati di una ricerca contenuto nel portale di conformità. Questa attività viene registrata anche quando un utente visualizza in anteprima i risultati di una ricerca associata a un caso eDiscovery (Standard).

Attività di eDiscovery (Premium)

Nella tabella seguente vengono descritte le attività di eDiscovery (Premium) registrate nel log di controllo. Queste attività possono essere usate per tenere traccia dell'avanzamento dell'attività in un caso di eDiscovery (Premium).

Nome descrittivo Operazione Descrizione
Aggiungere dati a un altro insieme da rivedere AddWorkingSetQueryToWorkingSet L'utente ha aggiunto i documenti di un insieme da rivedere a un altro insieme da rivedere.
Aggiunti dati a un insieme da rivedere AddQueryToWorkingSet L'utente ha aggiunto i risultati della ricerca da una ricerca di contenuto associata a un caso di eDiscovery (Premium) a un set di revisioni.
Sono stati aggiunti dati non di Microsoft 365 a un insieme da rivedere AddNonOffice365DataToWorkingSet L'utente ha aggiunto dati non di Microsoft 365 a un insieme da rivedere.
Aggiunta di documenti con correzione a un insieme da rivedere AddRemediatedData L'utente carica i documenti con errori di indicizzazione corretti in un insieme da rivedere.
Dati analizzati nell'insieme da rivedere RunAlgo L'utente ha eseguito l'analisi dei documenti in un set di revisione.
Documento con annotazioni nell'insieme da rivedere AnnotateDocument L'utente ha annotato un documento in un insieme da rivedere. L'annotazione include la correzione del contenuto di un documento.
Set di carichi confrontati LoadComparisonJob L'utente ha confrontato due set di carichi diversi in insieme da rivedere. Un set di carichi si verifica quando i dati di una ricerca di contenuto associata al caso vengono aggiunti a un insieme da rivedere.
Documenti corretti convertiti in PDF BurnJob L'utente ha convertito in file PDF tutti i documenti corretti di un insieme da rivedere.
Creato insieme da rivedere CreateWorkingSet L'utente ha creato un insieme da rivedere.
Ricerca insieme da rivedere creata CreateWorkingSetSearch L'utente ha creato una query di ricerca che consente di cercare i documenti in un insieme da rivedere.
Creato tag CreateTag L'utente ha creato un gruppo di tag in un insieme da rivedere. Un gruppo di tag può contenere uno o più tag figlio. Questi tag vengono usati per contrassegnare i documenti nell'insieme da rivedere.
Ricerca insieme da rivedere eliminata DeleteWorkingSetSearch Un utente ha eliminato una query di ricerca in un insieme da rivedere.
Tag eliminato DeleteTag L'utente ha eliminato un tag o un gruppo di tag in un insieme da rivedere.
Documento scaricato DownloadDocument L'utente ha scaricato un documento da un insieme da rivedere.
Tag modificato UpdateTag L'utente ha modificato un tag in un insieme da rivedere.
Esportati documenti da un insieme da rivedere ExportJob L'utente ha esportato dei documenti da un insieme da rivedere.
Impostazione caso modificata UpdateCaseSettings L'utente ha modificato le impostazioni per un caso. Le impostazioni per il caso includono le informazioni sul caso, le autorizzazioni di accesso e le impostazioni che controllano il comportamento di ricerca e analisi.
Ricerca insieme da rivedere modificata UpdateWorkingSetSearch Un utente ha modificato una query di ricerca in un insieme da rivedere.
Visualizzazione dell'anteprima della ricerca dell'insieme da rivedere PreviewWorkingSetSearch Un utente ha visualizzato in anteprima i risultati di una query di ricerca in un insieme da rivedere.
Corretti i documenti con errori ErrorRemediationJob L'utente corregge i file che contengono errori di indicizzazione.
Documento con tag TagFiles L'utente contrassegna un documento in un insieme da rivedere.
Contrassegnati i risultati di una query TagJob Un utente contrassegna tutti i documenti che corrispondono ai criteri della query di ricerca in un insieme da rivedere.
Documento visualizzato nell'insieme da rivedere ViewDocument L'utente ha visualizzato un documento in un insieme da rivedere.

Attività dei cmdlet di eDiscovery

Nella tabella seguente sono elencati i record del log di controllo dei cmdlet registrati quando un amministratore o un utente esegue un'attività correlata a eDiscovery usando il portale di conformità o eseguendo il cmdlet corrispondente in PowerShell sicurezza & conformità. Le informazioni dettagliate nel record del log di controllo sono diverse per le attività dei cmdlet elencate in questa tabella e per le attività di eDiscovery descritte nella sezione precedente.

Come indicato in precedenza, la visualizzazione delle attività dei cmdlet di eDiscovery nei risultati della ricerca nel log di controllo può richiedere fino a 24 ore.

Consiglio

I cmdlet nella colonna Operazione nella tabella seguente sono collegati all'argomento della Guida corrispondente relativo ai cmdlet in TechNet. Passare all'argomento della Guida del cmdlet per una descrizione dei parametri disponibili per ogni cmdlet. Il parametro e il valore del parametro usati con un cmdlet sono inclusi nella voce del log di controllo per ogni attività del cmdlet eDiscovery registrata.

Nome descrittivo Operazione (cmdlet) Descrizione
Blocco creato nel caso di eDiscovery
New-CaseHoldPolicy
È stato creato un blocco per un caso di eDiscovery. È possibile creare un blocco con o senza specificare un'origine di contenuto. Se vengono specificate origini di contenuto, verranno identificate nella voce del log di controllo.
Blocco eliminato dal caso di eDiscovery
Remove-CaseHoldPolicy
È stato eliminato un blocco associato a un caso di eDiscovery. L'eliminazione di un blocco rilascia tutti i percorsi del contenuto dal blocco. L'eliminazione del blocco comporta anche l'eliminazione delle regole di blocco dei maiuscole e minuscole associate al blocco (vedere Remove-CaseHoldRule di seguito).
Blocco modificato nel caso di eDiscovery
Set-CaseHoldPolicy
È stato modificato un blocco associato a un eDiscovery. Le possibili modifiche includono l'aggiunta o la rimozione di percorsi di contenuto o la disattivazione (disabilitazione) del blocco.
Query di ricerca creata per il blocco di maiuscole e minuscole di eDiscovery
New-CaseHoldRule
È stato creato un blocco basato su query associato a un caso di eDiscovery.
Query di ricerca eliminata per il blocco di maiuscole e minuscole di eDiscovery
Remove-CaseHoldRule
È stato eliminato un blocco basato su query associato a un caso di eDiscovery. La rimozione della query dal blocco è spesso il risultato dell'eliminazione di un blocco. Quando viene eliminata una query di blocco o di blocco, vengono rilasciati i percorsi del contenuto che erano in attesa.
Modifica della query di ricerca per il blocco di maiuscole/minuscole di eDiscovery
Set-CaseHoldRule
È stato modificato un blocco basato su query associato a un caso di eDiscovery. Le possibili modifiche includono la modifica della query o dell'intervallo di date per un blocco basato su query.
Creazione di un caso di eDiscovery
New-ComplianceCase
È stato creato un caso di eDiscovery. Quando viene creato un caso, è sufficiente assegnargli un nome. Altre attività correlate al caso, ad esempio l'aggiunta di membri, la creazione di blocchi e la creazione di ricerche di contenuto associate al caso, comportano la registrazione di eventi aggiuntivi.
Caso di eDiscovery eliminato
Remove-ComplianceCase
È stato eliminato un caso di eDiscovery. Qualsiasi blocco associato al caso deve essere rimosso prima che il caso possa essere eliminato.
Modifica del caso di eDiscovery
Set-ComplianceCase
È stato modificato un caso di eDiscovery. Le modifiche includono la chiusura di un caso aperto o la riapertura di un caso chiuso.
Aggiunta di un membro al caso di eDiscovery
Add-ComplianceCaseMember
Un utente è stato aggiunto come membro di un caso di eDiscovery. Come membro di un caso, un utente può eseguire varie attività correlate ai casi a seconda che gli siano state assegnate le autorizzazioni necessarie.
Membro rimosso dal caso eDiscovery
Remove-ComplianceCaseMember
Un utente è stato rimosso come membro di un caso di eDiscovery.
Modifica dell'appartenenza al caso di eDiscovery
Update-ComplianceCaseMember
L'elenco di appartenenza di un caso di eDiscovery è stato modificato. Questa attività viene registrata quando tutti i membri vengono sostituiti con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo membro, viene registrata l'operazione Add-ComplianceCaseMember o Remove-ComplianceCaseMember .
Ricerca contenuto creata
New-ComplianceSearch
È stata creata una nuova ricerca di contenuto.
Ricerca contenuto eliminato
Remove-ComplianceSearch
È stata eliminata una ricerca di contenuto esistente.
Ricerca di contenuto modificata
Set-ComplianceSearch
È stata modificata una ricerca di contenuto esistente. Le modifiche possono includere l'aggiunta o la rimozione di percorsi di contenuto in cui viene eseguita la ricerca e la modifica della query di ricerca.
Ricerca contenuto avviata
Start-ComplianceSearch
È stata avviata una ricerca di contenuto. Quando si crea o si modifica una ricerca di contenuto usando la GUI del portale di conformità, la ricerca viene avviata automaticamente. Se si crea o si modifica una ricerca usando il cmdlet New-ComplianceSearch o Set-ComplianceSearch , è necessario eseguire il cmdlet Start-ComplianceSearch per avviare la ricerca.
Ricerca contenuto arrestata
Stop-ComplianceSearch
Una ricerca di contenuto in esecuzione è stata arrestata.
Azione di ricerca contenuto creata
New-ComplianceSearchAction
È stata creata un'azione di ricerca del contenuto. Le azioni di ricerca del contenuto includono l'anteprima dei risultati della ricerca, l'esportazione dei risultati della ricerca, la preparazione dei risultati della ricerca per l'analisi in eDiscovery (Premium) e l'eliminazione definitiva di elementi che corrispondono ai criteri di ricerca di una ricerca di contenuto.
Azione di ricerca contenuto eliminato
Remove-ComplianceSearchAction
Un'azione di ricerca contenuto è stata eliminata.
Filtro delle autorizzazioni di ricerca create
New-ComplianceSecurityFilter
È stato creato un filtro per le autorizzazioni di ricerca.
Filtro delle autorizzazioni di ricerca eliminate
Remove-ComplianceSecurityFilter
È stato eliminato un filtro delle autorizzazioni di ricerca.
Filtro delle autorizzazioni di ricerca modificato
Set-ComplianceSecurityFilter
È stato modificato un filtro delle autorizzazioni di ricerca.
Amministratore di eDiscovery creato
Add-eDiscoveryCaseAdmin
Un utente è stato aggiunto come amministratore di eDiscovery nell'organizzazione.
Amministratore di eDiscovery eliminato
Remove-eDiscoveryCaseAdmin
Un amministratore di eDiscovery è stato eliminato dall'organizzazione.
Modifica dell'appartenenza dell'amministratore di eDiscovery
Update-eDiscoveryCaseAdmin
L'elenco degli amministratori di eDiscovery nell'organizzazione è stato modificato. Questa attività viene registrata quando l'elenco degli amministratori di eDiscovery viene sostituito con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo utente, viene registrata l'operazione Add-eDiscoveryCaseAdmin o Remove-eDiscoveryCaseAdmin .
(nessuno) Get-ComplianceCase
Questa attività viene registrata quando un utente visualizza un elenco di casi di eDiscovery (Standard) o eDiscovery (Premium). Questa attività viene registrata anche quando un utente visualizza un caso specifico in eDiscovery (Standard). Quando un utente visualizza un caso specifico, il record di controllo include l'identità del caso visualizzato. Se l'utente ha visualizzato solo un elenco di casi, il record di controllo non contiene un'identità del caso.
(nessuno) Get-ComplianceSearch Questa attività viene registrata quando un utente visualizza un elenco di ricerche di contenuto o ricerche associate a un caso eDiscovery (Standard). Questa attività viene registrata anche quando un utente visualizza una ricerca contenuto specifica o visualizza una ricerca specifica associata a un caso eDiscovery (Standard). Quando un utente visualizza una ricerca specifica, il record di controllo include l'identità della ricerca visualizzata. Se l'utente ha visualizzato solo un elenco di ricerche, il record di controllo non contiene un'identità di ricerca.
(nessuno) Get-ComplianceSearchAction Questa attività viene registrata quando un utente visualizza un elenco di azioni di ricerca di conformità (ad esempio esportazioni, anteprime o ripuliture) o azioni associate a un caso di eDiscovery (Standard). Questa attività viene registrata anche quando un utente visualizza un'azione di ricerca di conformità specifica (ad esempio un'esportazione) o visualizza un'azione specifica associata a un caso di eDiscovery (Standard). Quando un utente visualizza un'azione di ricerca, il record di controllo include l'identità dell'azione di ricerca visualizzata. Se l'utente ha visualizzato solo un elenco di azioni, il record di controllo non contiene un'identità di azione.

Proprietà dettagliate per le attività di eDiscovery

Nella tabella seguente vengono descritte le proprietà incluse nella pagina a comparsa per un'attività di eDiscovery elencata nei risultati della ricerca. Queste proprietà sono incluse anche nel file CSV quando si esportano i risultati della ricerca nel log di controllo. Un record del log di controllo per un'attività di eDiscovery non includerà tutte le proprietà dettagliate elencate di seguito.

Consiglio

Quando si esportano i risultati della ricerca, il file CSV contiene una colonna denominata AudtiData, che contiene le proprietà dettagliate descritte nella tabella seguente in una proprietà multivalore. È possibile usare la funzionalità Power Query in Excel per suddividere questa colonna in più colonne in modo che ogni proprietà abbia una propria colonna. In questo modo sarà possibile ordinare e filtrare in base a una o più di queste proprietà. Per altre informazioni, vedere Cercare nel log di controllo.

Proprietà Descrizione
Caso
Identità (GUID) del caso di eDiscovery creato, modificato o eliminato.
ClientApplication
Le attività dei cmdlet di eDiscovery hanno un valore EMC per questa proprietà. Ciò indica che l'attività è stata eseguita usando la GUI del portale di conformità o eseguendo il cmdlet in PowerShell.
ClientIP
Indirizzo IP del dispositivo usato durante la registrazione dell'attività. L'indirizzo IP viene visualizzato in formato IPv4 o IPv6.
ClientRequestId
Per le attività di eDiscovery, questa proprietà è in genere vuota.
CmdletVersion
Numero di build per la versione del portale di conformità in esecuzione nell'organizzazione.
CreationTime
Data e ora dell'ora UTC (Coordinated Universal Time) in cui è stata completata l'attività eDiscovery.
EffectiveOrganization
Nome dell'organizzazione di Microsoft 365.
ExchangeLocations
Il Exchange Online cassette postali incluse in una ricerca di contenuto o sospese in un caso di eDiscovery.
Esclusioni
Cassette postali o posizioni del sito escluse da una ricerca di contenuto o da un blocco in un caso di eDiscovery.
ExtendedProperties
Proprietà aggiuntive da una ricerca di contenuto, un'azione di ricerca di contenuto o un blocco in un caso di eDiscovery, ad esempio il GUID dell'oggetto e i parametri cmdlet e cmdlet corrispondenti usati quando è stata eseguita l'attività.
Id
ID della voce del report. L'ID identifica in modo univoco la voce del log di controllo.
NonPIIParameters
Elenco dei parametri (senza valori) usati con il cmdlet identificato nella proprietà Operation. I parametri elencati in questa proprietà sono gli stessi elencati nella proprietà Parameters.
ObjectId
GUID o nome dell'oggetto , ad esempio una ricerca contenuto o un caso eDiscovery (Standard) creato, accessibile, modificato o eliminato dall'attività elencata nella proprietà Operation. Questo oggetto viene identificato anche nella colonna Item nei risultati della ricerca del log di controllo.
ObjectType
Tipo di oggetto eDiscovery creato, eliminato o modificato dall'utente; Ad esempio, un'azione di ricerca di contenuto (anteprima, esportazione o eliminazione), un caso di eDiscovery o una ricerca di contenuto.
Operazione
Nome dell'operazione che corrisponde all'attività di eDiscovery eseguita.
OrganizationId
GUID per l'organizzazione di Microsoft 365.
Parametri
Nome e valore per i parametri usati con il cmdlet corrispondente.
PublicFolderLocations
I percorsi delle cartelle pubbliche in Exchange Online inclusi in una ricerca di contenuto o messi in attesa in un caso di eDiscovery.
Query
Query di ricerca associata all'attività, ad esempio una ricerca di contenuto o un blocco basato su query.
RecordType
Tipo di operazione indicato dal record. Il valore 18 indica un evento correlato a un'attività elencata nella sezione attività del cmdlet eDiscovery . Il valore 24 indica un evento correlato a un'attività elencata nella sezione Come cercare e visualizzare le attività di eDiscovery .
ResultStatus
Indica se l'azione (specificata nella proprietà Operation) ha avuto esito positivo o meno.
SecurityComplianceCenterEventType
Indica che l'attività è un evento del portale di conformità. Tutte le attività di eDiscovery avranno un valore pari a 0 per questa proprietà.
SharepointLocations
Siti di SharePoint Online inclusi in una ricerca di contenuto o sospesi in un caso di eDiscovery.
StartTime
Data e ora dell'ora UTC (Coordinated Universal Time) in cui è stata avviata l'attività eDiscovery.
UserId
L'utente che ha eseguito l'attività (specificata nella proprietà Operation) che ha generato la registrazione del record. Anche i record per l'attività di eDiscovery eseguita dagli account di sistema (ad esempio NT AUTHORITY\SYSTEM) sono inclusi nel log di controllo.
UserKey
ID alternativo per l'utente identificato nella proprietà UserId. Per le attività di eDiscovery, il valore di questa proprietà è in genere lo stesso della proprietà UserId.
UserServicePlan
Sottoscrizione usata dall'organizzazione. Per le attività di eDiscovery, questa proprietà è in genere vuota.
Usertype
Tipo di utente che ha eseguito l'operazione. I valori seguenti indicano il tipo di utente.
0 Un utente normale. 2 Amministratore dell'organizzazione. 3 Un amministratore del data center Microsoft o un account di sistema del data center. 4 Un account di sistema. 5 Un'applicazione. 6 Un'entità servizio.
Versione
Indica il numero di versione dell'attività (identificata dalla proprietà Operation) registrata.
Carico di lavoro
Servizio in cui si è verificata l'attività. Per le attività di eDiscovery, il valore è SecurityComplianceCenter.