Wyszukaj działania zbierania elektronicznych materiałów dowodowych w dzienniku inspekcji

Działania związane z wyszukiwaniem zawartości i pozyskiwaniem elektronicznych materiałów dowodowych (dla Zbieranie elektronicznych materiałów dowodowych w Microsoft Purview (Standard) i Zbieranie elektronicznych materiałów dowodowych w Microsoft Purview (Premium)) wykonywane w programie portal zgodności Microsoft Purview lub uruchamiając odpowiednie polecenia cmdlet programu PowerShell, są rejestrowane w dzienniku inspekcji. Zdarzenia są rejestrowane, gdy administratorzy lub menedżerowie zbierania elektronicznych materiałów dowodowych (lub dowolne przypisane przez użytkownika uprawnienia do zbierania elektronicznych materiałów dowodowych) wykonują następujące zadania wyszukiwania zawartości i zbierania elektronicznych materiałów dowodowych (standardowa) w portalu zgodności:

  • Tworzenie przypadków zbierania elektronicznych materiałów dowodowych (Standard) i eDiscovery (Premium) oraz zarządzanie nimi

  • Tworzenie, uruchamianie i edytowanie wyszukiwań zawartości

  • Wykonywanie akcji wyszukiwania, takich jak wyświetlanie podglądu, eksportowanie i usuwanie wyników wyszukiwania

  • Zarządzanie opiekunami i zestawy przeglądów w usłudze eDiscovery (Premium)

  • Konfigurowanie filtrowania uprawnień dla wyszukiwania zawartości

  • Zarządzanie rolą administratora zbierania elektronicznych materiałów dowodowych

Aby uzyskać więcej informacji na temat przeszukiwania dziennika inspekcji, wymaganych uprawnień i eksportowania wyników wyszukiwania, zobacz Przeszukiwanie dziennika inspekcji w portalu zgodności.

Jak wyszukiwać i wyświetlać działania zbierania elektronicznych materiałów dowodowych

Obecnie należy wykonać kilka konkretnych czynności, aby wyświetlić działania zbierania elektronicznych materiałów dowodowych w dzienniku inspekcji. W tym artykule wyjaśniono, jak to zrobić.

  1. Przejdź do witryny https://compliance.microsoft.com i zaloguj się przy użyciu konta służbowego.

  2. W okienku nawigacji po lewej stronie portalu zgodności kliknij pozycję Inspekcja.

  3. Na liście rozwijanej Działania w obszarze Działania zbierania elektronicznych materiałów dowodowych lub Działań zbierania elektronicznych materiałów dowodowych (Premium) kliknij co najmniej jedno działanie, aby wyszukać.

    Uwaga

    Lista rozwijana Działania zawiera również grupę działań o nazwie działania cmdlet zbierania elektronicznych materiałów dowodowych, które będą zwracać rekordy z dziennika inspekcji poleceń cmdlet.

  4. Wybierz zakres dat i godzin, aby wyświetlić zdarzenia zbierania elektronicznych materiałów dowodowych, które wystąpiły w tym okresie.

  5. W polu Użytkownicy wybierz co najmniej jednego użytkownika, aby wyświetlić wyniki wyszukiwania. Pozostaw to pole puste, aby zwrócić wpisy dla wszystkich użytkowników.

  6. Kliknij pozycję Wyszukaj , aby uruchomić wyszukiwanie przy użyciu kryteriów wyszukiwania.

  7. Po wyświetleniu wyników wyszukiwania możesz kliknąć pozycję Filtruj wyniki , aby filtrować lub sortować wynikowe rekordy działań. Niestety, nie można użyć filtrowania, aby jawnie wykluczyć niektóre działania.

  8. Aby wyświetlić szczegółowe informacje o działaniu, kliknij rekord działania na liście wyników wyszukiwania.

    Zostanie wyświetlona strona wysuwanych szczegółów zawierająca szczegółowe właściwości z rekordu zdarzenia. Aby wyświetlić dodatkowe szczegóły, kliknij pozycję Więcej informacji. Opis tych właściwości można znaleźć w sekcji Szczegółowe właściwości działań zbierania elektronicznych materiałów dowodowych .

  9. W razie potrzeby możesz wyeksportować wyniki wyszukiwania dziennika inspekcji do pliku CSV, a następnie użyć funkcji programu Excel Power Query, aby sformatować i odfiltrować te rekordy. Aby uzyskać więcej informacji, zobacz Eksportowanie, konfigurowanie i wyświetlanie rekordów dziennika inspekcji.

Działania zbierania elektronicznych materiałów dowodowych

W poniższej tabeli opisano działania wyszukiwania zawartości i zbierania elektronicznych materiałów dowodowych (w warstwie Standardowa), które są rejestrowane, gdy administrator lub menedżer zbierania elektronicznych materiałów dowodowych wykonuje działanie związane zbierania elektronicznych materiałów dowodowych przy użyciu portalu zgodności. Niektóre działania wykonywane w ramach zbierania elektronicznych materiałów dowodowych (Premium) mogą być zwracane podczas wyszukiwania działań na tej liście.

Uwaga

Działania zbierania elektronicznych materiałów dowodowych opisane w tej sekcji zawierają podobne informacje do działań cmdlet zbierania elektronicznych materiałów dowodowych opisanych w następnej sekcji. Zalecamy użycie działań zbierania elektronicznych materiałów dowodowych opisanych w tej sekcji, ponieważ będą one wyświetlane w wynikach wyszukiwania dziennika inspekcji w ciągu 30 minut. Wyświetlanie działań cmdlet zbierania elektronicznych materiałów dowodowych w wynikach wyszukiwania dziennika inspekcji może potrwać do 24 godzin.

Przyjazna nazwa Operacja Odpowiednie polecenie cmdlet Opis
Dodano element członkowski do sprawy zbierania elektronicznych materiałów dowodowych
CaseMemberAdded
Add-ComplianceCaseMember
Użytkownik został dodany jako członek sprawy zbierania elektronicznych materiałów dowodowych. Jako członek sprawy użytkownik może wykonywać różne zadania związane z wielkością liter w zależności od tego, czy przypisano im niezbędne uprawnienia.
Zmienione wyszukiwanie zawartości
SearchUpdated
Set-ComplianceSearch
Istniejące wyszukiwanie zawartości zostało zmienione. Zmiany mogą obejmować dodawanie lub usuwanie lokalizacji zawartości lub edytowanie zapytania wyszukiwania.
Zmieniono członkostwo administratora zbierania elektronicznych materiałów dowodowych
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
Lista administratorów zbierania elektronicznych materiałów dowodowych w organizacji została zmieniona. To działanie jest rejestrowane, gdy lista administratorów zbierania elektronicznych materiałów dowodowych zostanie zastąpiona grupą nowych użytkowników. Jeśli jeden użytkownik zostanie dodany lub usunięty, zostanie zarejestrowana operacja CaseAdminAdded.
Zmieniono przypadek zbierania elektronicznych materiałów dowodowych
CaseUpdated
Set-ComplianceCase
Przypadek zbierania elektronicznych materiałów dowodowych został zmieniony. Zmiany obejmują zamknięcie otwartego przypadku lub ponowne otwarcie zamkniętego przypadku.
Zmieniono członkostwo w przypadku zbierania elektronicznych materiałów dowodowych
CaseMemberUpdated
Update-ComplianceCaseMember
Lista członkostwa w sprawie zbierania elektronicznych materiałów dowodowych została zmieniona. To działanie jest rejestrowane, gdy wszyscy członkowie zostaną zastąpieni grupą nowych użytkowników. W przypadku dodania lub usunięcia pojedynczego elementu członkowskiego zarejestrowana jest operacja CaseMemberAdded lub CaseMemberRemoved.
Zmieniony filtr uprawnień wyszukiwania
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Filtr uprawnień wyszukiwania został zmieniony.
Zmieniono zapytanie wyszukiwania dla blokady sprawy zbierania elektronicznych materiałów dowodowych
HoldUpdated
Set-CaseHoldRule
Zmieniono blokadę opartą na zapytaniach skojarzoną ze sprawą zbierania elektronicznych materiałów dowodowych. Możliwe zmiany obejmują edytowanie zapytania lub zakresu dat dla blokady opartej na zapytaniach.
Pobrano element podglądu wyszukiwania zawartości
PreviewItemDownloaded
Nie dotyczy
Użytkownik pobrał element na swój komputer lokalny (klikając link Pobierz oryginalny element ) podczas podglądu wyników wyszukiwania.
Element podglądu wyszukiwania zawartości na liście
PreviewItemListed
nd.
Użytkownik kliknął pozycję Podgląd wyników wyszukiwania , aby wyświetlić stronę wyników wyszukiwania w wersji zapoznawczej, która wyświetla maksymalnie 1000 elementów z wyników wyszukiwania.
Wyświetlony element podglądu wyszukiwania zawartości
PreviewItemRendered
Nie dotyczy
Menedżer zbierania elektronicznych materiałów dowodowych wyświetlił element, klikając go podczas wyświetlania podglądu wyników wyszukiwania.
Utworzone wyszukiwanie zawartości
SearchCreated
New-ComplianceSearch
Utworzono nowe wyszukiwanie zawartości.
Utworzony administrator zbierania elektronicznych materiałów dowodowych
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Użytkownik został dodany jako administrator zbierania elektronicznych materiałów dowodowych w organizacji.
Utworzono przypadek zbierania elektronicznych materiałów dowodowych
CaseAdded
New-ComplianceCase
Utworzono przypadek zbierania elektronicznych materiałów dowodowych. Po utworzeniu sprawy wystarczy nadać mu nazwę. Inne zadania związane z wielkością liter, takie jak dodawanie członków, tworzenie blokad i tworzenie wyszukiwań zawartości skojarzonych ze sprawą, powodują rejestrowanie dodatkowych zdarzeń.
Utworzony filtr uprawnień wyszukiwania
SearchPermissionCreated
New-ComplianceSecurityFilter
Utworzono filtr uprawnień wyszukiwania.
Utworzono zapytanie wyszukiwania dla blokady sprawy zbierania elektronicznych materiałów dowodowych
HoldCreated
New-CaseHoldRule
Utworzono blokadę opartą na zapytaniach skojarzoną ze sprawą zbierania elektronicznych materiałów dowodowych.
Wyszukiwanie usuniętej zawartości
WyszukiwanieRemoved
Remove-ComplianceSearch
Istniejące wyszukiwanie zawartości zostało usunięte.
Usunięty administrator zbierania elektronicznych materiałów dowodowych
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Administrator zbierania elektronicznych materiałów dowodowych został usunięty z twojej organizacji.
Usunięto przypadek zbierania elektronicznych materiałów dowodowych
CaseRemoved
Remove-ComplianceCase
Usunięto przypadek zbierania elektronicznych materiałów dowodowych. Przed usunięciem sprawy należy usunąć wszystkie blokady skojarzone ze sprawą.
Filtr usuniętych uprawnień wyszukiwania
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Usunięto filtr uprawnień wyszukiwania.
Usunięto zapytanie wyszukiwania dla blokady sprawy zbierania elektronicznych materiałów dowodowych
HoldRemoved
Remove-CaseHoldRule
Usunięto blokadę opartą na zapytaniach skojarzoną ze sprawą zbierania elektronicznych materiałów dowodowych. Usunięcie zapytania z blokady jest często wynikiem usunięcia blokady. Po usunięciu blokady lub blokady zostaną zwolnione lokalizacje zawartości, które zostały wstrzymane.
Pobrany eksport wyszukiwania zawartości
SearchExportDownloaded
Nie dotyczy
Użytkownik pobrał wyniki wyszukiwania zawartości na komputerze lokalnym. Przed pobraniem wyników wyszukiwania należy zainicjować rozpoczęty eksport działania wyszukiwania zawartości .
Podgląd wyników wyszukiwania zawartości
SearchPreviewed
Nie dotyczy
Użytkownik wyświetlił podgląd wyników wyszukiwania zawartości.
Przeczyszczane wyniki wyszukiwania zawartości
SearchResultsPurged
New-ComplianceSearchAction
Użytkownik oczyścił wyniki wyszukiwania zawartości, uruchamiając polecenie New-ComplianceSearchAction -Purge .
Usunięto analizę wyszukiwania zawartości
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
Usunięto akcję przygotowywania wyszukiwania zawartości (w celu przygotowania wyników wyszukiwania do zbierania elektronicznych materiałów dowodowych (Premium). Jeśli akcja przygotowania miała mniej niż dwa tygodnie, wyniki wyszukiwania przygotowane do zbierania elektronicznych materiałów dowodowych (Premium) zostały usunięte z obszaru magazynu platformy Microsoft Azure. Jeśli akcja przygotowania była starsza niż 2 tygodnie, to zdarzenie wskazuje, że usunięto tylko odpowiednią akcję przygotowania.
Usunięto eksport wyszukiwania zawartości
RemovedSearchExported
Remove-ComplianceSearchAction
Akcja eksportowania wyszukiwania zawartości została usunięta. Jeśli akcja eksportu miała mniej niż dwa tygodnie, wyniki wyszukiwania przekazane do obszaru magazynu platformy Microsoft Azure zostały usunięte. Jeśli akcja eksportu była starsza niż 2 tygodnie, to zdarzenie wskazuje, że usunięto tylko odpowiednią akcję eksportu.
Usunięto element członkowski ze sprawy zbierania elektronicznych materiałów dowodowych
CaseMemberRemoved
Remove-ComplianceCaseMember
Użytkownik został usunięty jako członek sprawy zbierania elektronicznych materiałów dowodowych.
Usunięto wyniki wyszukiwania zawartości w wersji zapoznawczej
RemovedSearchPreviewed
Remove-ComplianceSearchAction
Akcja wyszukiwania zawartości w wersji zapoznawczej została usunięta.
Usunięto akcję przeczyszczania wykonywaną podczas wyszukiwania zawartości
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Usunięto akcję przeczyszczania wyszukiwania zawartości.
Usunięto raport wyszukiwania
SearchReportRemoved
Remove-ComplianceSearchAction
Usunięto akcję eksportowania raportu wyszukiwania zawartości.
Rozpoczęto analizę wyszukiwania zawartości
SearchResultsSentToZoom
New-ComplianceSearchAction
Wyniki wyszukiwania zawartości zostały przygotowane do analizy w eDiscovery (Premium).
Rozpoczęte wyszukiwanie zawartości
WyszukiwanieStarted
Start-ComplianceSearch
Rozpoczęto wyszukiwanie zawartości. Podczas tworzenia lub zmieniania wyszukiwania zawartości przy użyciu portalu zgodności wyszukiwanie jest uruchamiane automatycznie.
Rozpoczęto eksportowanie wyszukiwania zawartości
SearchExported
New-ComplianceSearchAction
Użytkownik wyeksportował wyniki wyszukiwania zawartości.
Rozpoczęto eksportowanie raportu
SearchReport
New-ComplianceSearchAction
Użytkownik wyeksportował raport wyszukiwania zawartości.
Zatrzymano wyszukiwanie zawartości
SearchStopped
Stop-ComplianceSearch
Użytkownik zatrzymał wyszukiwanie zawartości.
(brak) CaseViewed Get-ComplianceCase Użytkownik wyświetlił przypadek zbierania elektronicznych elektronicznych materiałów dowodowych (Standard) w centrum zgodności. Rekord inspekcji dla tego zdarzenia zawiera nazwę sprawy, która została wyświetlona.
(brak) SearchViewed Get-ComplianceSearch Użytkownik wyświetlił wyszukiwanie zawartości w centrum zgodności, uzyskując dostęp do wyszukiwania na karcie Wyszukiwania w przypadku zbierania elektronicznych materiałów dowodowych (Standardowa) lub uzyskując do niego dostęp na stronie wyszukiwania zawartości . Rekord inspekcji dla tego zdarzenia zawiera tożsamość wyświetlonego wyszukiwania.
(brak) ViewedSearchExported Get-ComplianceSearchAction -Export Użytkownik wyświetlił eksport wyszukiwania zawartości w centrum zgodności, uzyskując dostęp do eksportu na karcie Eksporty na stronie wyszukiwania zawartości . To działanie jest również rejestrowane, gdy użytkownik wyświetli eksport skojarzony ze sprawą zbierania elektronicznych materiałów dowodowych (Standardowa).
(brak) ViewedSearchPreviewed Get-ComplianceSearchAction —wersja zapoznawcza Użytkownik wyświetlił podgląd wyników wyszukiwania zawartości w Centrum zgodności. To działanie jest również rejestrowane, gdy użytkownik wyświetla podgląd wyników wyszukiwania skojarzonego ze sprawą zbierania elektronicznych materiałów dowodowych (Standardowa).

Działania zbierania elektronicznych materiałów dowodowych (Premium)

W poniższej tabeli opisano działania zbierania elektronicznych materiałów dowodowych (Premium) zarejestrowane w dzienniku inspekcji. Te działania mogą służyć do śledzenia postępu działania w przypadku zbierania elektronicznych materiałów dowodowych (Premium).

Przyjazna nazwa Operacja Opis
Dodano dane do innego zestawu przeglądów AddWorkingSetQueryToWorkingSet Użytkownik dodał dokumenty z jednego zestawu przeglądów do innego zestawu przeglądów.
Dodano dane do zestawu przeglądów AddQueryToWorkingSet Użytkownik dodał wyniki wyszukiwania z wyszukiwania zawartości skojarzonego ze sprawą zbierania elektronicznych materiałów dowodowych (Premium) do zestawu przeglądów.
Dodano dane spoza platformy Microsoft 365 do zestawu przeglądów AddNonOffice365DataToWorkingSet Użytkownik dodał dane spoza platformy Microsoft 365 do zestawu przeglądów.
Dodano skorygowane dokumenty do zestawu przeglądów AddRemediatedData Użytkownik przekazuje dokumenty z błędami indeksowania, które zostały naprawione w zestawie przeglądów.
Analizowane dane w zestawie przeglądów RunAlgo Użytkownik przeprowadził analizę dokumentów w zestawie przeglądów.
Dokument z adnotacji w zestawie przeglądów AdnotacjeDocument Użytkownik adnotował dokument w zestawie przeglądów. Adnotacja obejmuje redagowanie zawartości w dokumencie.
Porównywane zestawy obciążeń LoadComparisonJob Użytkownik porównał dwa różne zestawy obciążeń w zestawie przeglądów. Zestaw obciążenia jest wtedy, gdy dane z wyszukiwania zawartości skojarzonego ze sprawą są dodawane do zestawu przeglądów.
Przekonwertowane zredagowane dokumenty na format PDF BurnJob Użytkownik przekonwertował wszystkie zredagowane dokumenty w zestawie przeglądów na pliki PDF.
Utworzony zestaw przeglądów CreateWorkingSet Użytkownik utworzył zestaw przeglądów.
Utworzono wyszukiwanie zestawu przeglądów CreateWorkingSetSearch Użytkownik utworzył zapytanie wyszukiwania, które wyszukuje dokumenty w zestawie przeglądów.
Utworzony tag CreateTag Użytkownik utworzył grupę tagów w zestawie przeglądów. Grupa tagów może zawierać co najmniej jeden tag podrzędny. Tagi te są następnie używane do oznaczania dokumentów w zestawie przeglądów.
Usunięto wyszukiwanie zestawu przeglądów DeleteWorkingSetSearch Użytkownik usunął zapytanie wyszukiwania w zestawie przeglądów.
Usunięty tag DeleteTag Użytkownik usunął tag lub grupę tagów w zestawie przeglądów.
Pobrany dokument PobierzDocument Użytkownik pobrał dokument z zestawu przeglądów.
Edytowany tag UpdateTag Użytkownik zmienił tag w zestawie przeglądów.
Wyeksportowane dokumenty z zestawu przeglądów ExportJob Użytkownik wyeksportował dokumenty z zestawu przeglądów.
Zmodyfikowane ustawienie przypadku UpdateCaseSettings Użytkownik zmodyfikował ustawienia dla sprawy. Ustawienia przypadku obejmują informacje o przypadku, uprawnienia dostępu i ustawienia kontrolujące zachowanie wyszukiwania i analizy.
Zmodyfikowane wyszukiwanie zestawu przeglądów UpdateWorkingSetSearch Użytkownik edytował zapytanie wyszukiwania w zestawie przeglądów.
Wyszukiwanie zestawu przeglądów w wersji zapoznawczej PreviewWorkingSetSearch Użytkownik wyświetlił podgląd wyników zapytania wyszukiwania w zestawie przeglądów.
Skorygowane dokumenty o błędach ErrorRemediationJob Użytkownik naprawia pliki zawierające błędy indeksowania.
Oznakowany dokument TagFiles Użytkownik taguje dokument w zestawie przeglądów.
Otagowane wyniki zapytania TagJob Użytkownik taguje wszystkie dokumenty zgodne z kryteriami zapytania wyszukiwania w zestawie przeglądów.
Wyświetlony dokument w zestawie przeglądów ViewDocument Użytkownik wyświetlił dokument w zestawie przeglądów.

Działania poleceń cmdlet zbierania elektronicznych materiałów dowodowych

Poniższa tabela zawiera listę rekordów dziennika inspekcji poleceń cmdlet, które są rejestrowane, gdy administrator lub użytkownik wykonuje działanie związane zbierania elektronicznych materiałów dowodowych przy użyciu centrum zgodności lub uruchamiając odpowiednie polecenie cmdlet w programie PowerShell security & Compliance. Szczegółowe informacje w rekordzie dziennika inspekcji różnią się w przypadku działań poleceń cmdlet wymienionych w tej tabeli i działań zbierania elektronicznych materiałów dowodowych opisanych w poprzedniej sekcji.

Jak wspomniano wcześniej, może upłynąć do 24 godzin, aby działania poleceń cmdlet zbierania elektronicznych materiałów dowodowych były wyświetlane w wynikach wyszukiwania dziennika inspekcji.

Porada

Polecenia cmdlet w kolumnie Operacja w poniższej tabeli są połączone z odpowiednim tematem pomocy polecenia cmdlet w witrynie TechNet. Przejdź do tematu pomocy polecenia cmdlet, aby uzyskać opis dostępnych parametrów dla każdego polecenia cmdlet. Parametr i wartość parametru, które były używane z poleceniem cmdlet, są uwzględniane we wpisie dziennika inspekcji dla każdego zarejestrowanego działania polecenia cmdlet zbierania elektronicznych materiałów dowodowych.

Przyjazna nazwa Operacja (polecenie cmdlet) Opis
Utworzono blokadę w przypadku zbierania elektronicznych materiałów dowodowych
New-CaseHoldPolicy
Utworzono blokadę dla sprawy zbierania elektronicznych materiałów dowodowych. Blokadę można utworzyć przy użyciu lub bez określania źródła zawartości. Jeśli zostaną określone źródła zawartości, zostaną one zidentyfikowane we wpisie dziennika inspekcji.
Usunięto blokadę ze sprawy zbierania elektronicznych materiałów dowodowych
Remove-CaseHoldPolicy
Usunięto blokadę skojarzoną ze sprawą zbierania elektronicznych materiałów dowodowych. Usunięcie blokady powoduje zwolnienie wszystkich lokalizacji zawartości z blokady. Usunięcie blokady powoduje również usunięcie reguł blokady sprawy skojarzonych z blokadą (zobacz Remove-CaseHoldRule poniżej).
Zmieniono blokadę w przypadku zbierania elektronicznych materiałów dowodowych
Set-CaseHoldPolicy
Wstrzymanie skojarzone zbierania elektronicznych materiałów dowodowych zostało zmienione. Możliwe zmiany obejmują dodawanie lub usuwanie lokalizacji zawartości lub wyłączanie (wyłączanie) blokady.
Utworzono zapytanie wyszukiwania dla blokady sprawy zbierania elektronicznych materiałów dowodowych
New-CaseHoldRule
Utworzono blokadę opartą na zapytaniach skojarzoną ze sprawą zbierania elektronicznych materiałów dowodowych.
Usunięto zapytanie wyszukiwania dla blokady sprawy zbierania elektronicznych materiałów dowodowych
Remove-CaseHoldRule
Usunięto blokadę opartą na zapytaniach skojarzoną ze sprawą zbierania elektronicznych materiałów dowodowych. Usunięcie zapytania z blokady jest często wynikiem usunięcia blokady. Po usunięciu blokady lub blokady zostaną zwolnione lokalizacje zawartości, które zostały wstrzymane.
Zmieniono zapytanie wyszukiwania dla blokady sprawy zbierania elektronicznych materiałów dowodowych
Set-CaseHoldRule
Zmieniono blokadę opartą na zapytaniach skojarzoną ze sprawą zbierania elektronicznych materiałów dowodowych. Możliwe zmiany obejmują edytowanie zapytania lub zakresu dat dla blokady opartej na zapytaniach.
Utworzono przypadek zbierania elektronicznych materiałów dowodowych
New-ComplianceCase
Utworzono przypadek zbierania elektronicznych materiałów dowodowych. Po utworzeniu sprawy wystarczy nadać mu nazwę. Inne zadania związane z wielkością liter, takie jak dodawanie członków, tworzenie blokad i tworzenie wyszukiwań zawartości skojarzonych ze sprawą, powodują rejestrowanie dodatkowych zdarzeń.
Usunięto przypadek zbierania elektronicznych materiałów dowodowych
Remove-ComplianceCase
Usunięto przypadek zbierania elektronicznych materiałów dowodowych. Przed usunięciem sprawy należy usunąć wszystkie blokady skojarzone ze sprawą.
Zmieniono przypadek zbierania elektronicznych materiałów dowodowych
Set-ComplianceCase
Przypadek zbierania elektronicznych materiałów dowodowych został zmieniony. Zmiany obejmują zamknięcie otwartego przypadku lub ponowne otwarcie zamkniętego przypadku.
Dodano element członkowski do sprawy zbierania elektronicznych materiałów dowodowych
Add-ComplianceCaseMember
Użytkownik został dodany jako członek sprawy zbierania elektronicznych materiałów dowodowych. Jako członek sprawy użytkownik może wykonywać różne zadania związane z wielkością liter w zależności od tego, czy przypisano im niezbędne uprawnienia.
Usunięto element członkowski ze sprawy zbierania elektronicznych materiałów dowodowych
Remove-ComplianceCaseMember
Użytkownik został usunięty jako członek sprawy zbierania elektronicznych materiałów dowodowych.
Zmieniono członkostwo w przypadku zbierania elektronicznych materiałów dowodowych
Update-ComplianceCaseMember
Lista członkostwa w sprawie zbierania elektronicznych materiałów dowodowych została zmieniona. To działanie jest rejestrowane, gdy wszyscy członkowie zostaną zastąpieni grupą nowych użytkowników. Jeśli pojedynczy element członkowski zostanie dodany lub usunięty, zostanie zarejestrowana operacja Add-ComplianceCaseMember lub Remove-ComplianceCaseMember .
Utworzone wyszukiwanie zawartości
New-ComplianceSearch
Utworzono nowe wyszukiwanie zawartości.
Wyszukiwanie usuniętej zawartości
Remove-ComplianceSearch
Istniejące wyszukiwanie zawartości zostało usunięte.
Zmienione wyszukiwanie zawartości
Set-ComplianceSearch
Istniejące wyszukiwanie zawartości zostało zmienione. Zmiany mogą obejmować dodawanie lub usuwanie lokalizacji zawartości, które są przeszukiwane, i edytowanie zapytania wyszukiwania.
Rozpoczęte wyszukiwanie zawartości
Start-ComplianceSearch
Rozpoczęto wyszukiwanie zawartości. Podczas tworzenia lub zmieniania wyszukiwania zawartości przy użyciu graficznego interfejsu użytkownika centrum zgodności wyszukiwanie jest uruchamiane automatycznie. Jeśli utworzysz lub zmienisz wyszukiwanie przy użyciu polecenia cmdlet New-ComplianceSearch lub Set-ComplianceSearch , musisz uruchomić polecenie cmdlet Start-ComplianceSearch , aby rozpocząć wyszukiwanie.
Zatrzymano wyszukiwanie zawartości
Stop-ComplianceSearch
Uruchomione wyszukiwanie zawartości zostało zatrzymane.
Akcja wyszukiwania zawartości utworzonej
New-ComplianceSearchAction
Utworzono akcję wyszukiwania zawartości. Akcje wyszukiwania zawartości obejmują wyświetlanie podglądu wyników wyszukiwania, eksportowanie wyników wyszukiwania, przygotowywanie wyników wyszukiwania do analizy w usłudze eDiscovery (Premium) oraz trwałe usuwanie elementów zgodnych z kryteriami wyszukiwania w wyszukiwaniu zawartości.
Akcja wyszukiwania usuniętej zawartości
Remove-ComplianceSearchAction
Akcja wyszukiwania zawartości została usunięta.
Utworzony filtr uprawnień wyszukiwania
New-ComplianceSecurityFilter
Utworzono filtr uprawnień wyszukiwania.
Filtr usuniętych uprawnień wyszukiwania
Remove-ComplianceSecurityFilter
Usunięto filtr uprawnień wyszukiwania.
Zmieniony filtr uprawnień wyszukiwania
Set-ComplianceSecurityFilter
Filtr uprawnień wyszukiwania został zmieniony.
Utworzony administrator zbierania elektronicznych materiałów dowodowych
Add-eDiscoveryCaseAdmin
Użytkownik został dodany jako administrator zbierania elektronicznych materiałów dowodowych w organizacji.
Usunięty administrator zbierania elektronicznych materiałów dowodowych
Remove-eDiscoveryCaseAdmin
Administrator zbierania elektronicznych materiałów dowodowych został usunięty z twojej organizacji.
Zmieniono członkostwo administratora zbierania elektronicznych materiałów dowodowych
Update-eDiscoveryCaseAdmin
Lista administratorów zbierania elektronicznych materiałów dowodowych w organizacji została zmieniona. To działanie jest rejestrowane, gdy lista administratorów zbierania elektronicznych materiałów dowodowych zostanie zastąpiona grupą nowych użytkowników. Jeśli jeden użytkownik zostanie dodany lub usunięty, zostanie zarejestrowana operacja Add-eDiscoveryCaseAdmin lub Remove-eDiscoveryCaseAdmin .
(brak) Get-ComplianceCase
To działanie jest rejestrowane, gdy użytkownik wyświetli listę przypadków zbierania elektronicznych materiałów dowodowych (Standard) lub eDiscovery (Premium). To działanie jest również rejestrowane, gdy użytkownik wyświetli określony przypadek w środowisku zbierania elektronicznych materiałów dowodowych (Standard). Gdy użytkownik wyświetli konkretny przypadek, rekord inspekcji zawiera tożsamość wyświetlonego przypadku. Jeśli użytkownik wyświetlił tylko listę przypadków, rekord inspekcji nie zawiera tożsamości sprawy.
(brak) Get-ComplianceSearch To działanie jest rejestrowane, gdy użytkownik wyświetlił listę wyszukiwań zawartości lub wyszukiwań skojarzonych ze sprawą zbierania elektronicznych materiałów dowodowych (Standardowa). To działanie jest również rejestrowane, gdy użytkownik wyświetla określone wyszukiwanie zawartości lub wyświetla określone wyszukiwanie skojarzone ze sprawą zbierania elektronicznych materiałów dowodowych (Standardowa). Gdy użytkownik wyświetli określone wyszukiwanie, rekord inspekcji zawiera tożsamość wyświetlonego wyszukiwania. Jeśli użytkownik wyświetlił tylko listę wyszukiwań, rekord inspekcji nie zawiera tożsamości wyszukiwania.
(brak) Get-ComplianceSearchAction To działanie jest rejestrowane, gdy użytkownik wyświetlił listę akcji wyszukiwania zgodności (takich jak eksporty, podglądy lub przeczyszczanie) lub akcji skojarzonych ze sprawą zbierania elektronicznych materiałów dowodowych (standardowa). To działanie jest również rejestrowane, gdy użytkownik wyświetla określoną akcję wyszukiwania zgodności (na przykład eksport) lub wyświetla określoną akcję skojarzoną ze sprawą zbierania elektronicznych materiałów dowodowych (Standardowa). Gdy użytkownik wyświetla akcję wyszukiwania, rekord inspekcji zawiera tożsamość wyświetlonej akcji wyszukiwania. Jeśli użytkownik wyświetlił tylko listę akcji, rekord inspekcji nie zawiera tożsamości akcji.

Szczegółowe właściwości działań zbierania elektronicznych materiałów dowodowych

W poniższej tabeli opisano właściwości, które znajdują się na stronie wysuwanej dla działania zbierania elektronicznych materiałów dowodowych wymienionego w wynikach wyszukiwania. Te właściwości są również zawarte w pliku CSV podczas eksportowania wyników wyszukiwania dziennika inspekcji. Rekord dziennika inspekcji dla działania zbierania elektronicznych materiałów dowodowych nie będzie zawierać wszystkich szczegółowych właściwości wymienionych poniżej.

Porada

Podczas eksportowania wyników wyszukiwania plik CSV zawiera kolumnę o nazwie AudtiData, która zawiera szczegółowe właściwości opisane w poniższej tabeli we właściwości wielowartościowej. Możesz użyć funkcji Power Query w programie Excel, aby podzielić tę kolumnę na wiele kolumn, aby każda właściwość miała własną kolumnę. Umożliwi to sortowanie i filtrowanie co najmniej jednej z tych właściwości. Aby uzyskać więcej informacji, zobacz sekcję "Eksportowanie wyników wyszukiwania do pliku" w temacie Wyszukaj dziennik inspekcji.

Właściwość Opis
Przypadku
Tożsamość (GUID) przypadku zbierania elektronicznych materiałów dowodowych, która została utworzona, zmieniona lub usunięta.
ClientApplication
Działania poleceń cmdlet zbierania elektronicznych materiałów dowodowych mają wartość EMC dla tej właściwości. Oznacza to, że działanie zostało wykonane przy użyciu graficznego interfejsu użytkownika centrum zgodności lub uruchomienia polecenia cmdlet w programie PowerShell.
ClientIP
Adres IP urządzenia, które było używane podczas rejestrowania działania. Adres IP jest wyświetlany w formacie adresu IPv4 lub IPv6.
ClientRequestId
W przypadku działań zbierania elektronicznych materiałów dowodowych ta właściwość jest zwykle pusta.
CmdletVersion
Numer kompilacji dla wersji centrum zgodności działającego w organizacji.
CreationTime
Data i godzina w uniwersalnym czasie koordynowanym (UTC) po zakończeniu działania zbierania elektronicznych materiałów dowodowych.
EffectiveOrganization
Nazwa organizacji platformy Microsoft 365.
ExchangeLocations
Skrzynki pocztowe Exchange Online dołączone do wyszukiwania zawartości lub wstrzymane w przypadku zbierania elektronicznych materiałów dowodowych.
Wykluczenia
Skrzynka pocztowa lub lokalizacje witryn, które są wykluczone z wyszukiwania zawartości lub blokady w przypadku zbierania elektronicznych materiałów dowodowych.
Extendedproperties
Dodatkowe właściwości wyszukiwania zawartości, akcja wyszukiwania zawartości lub blokada w przypadku zbierania elektronicznych materiałów dowodowych, takie jak identyfikator GUID obiektu oraz odpowiednie parametry polecenia cmdlet i polecenia cmdlet, które były używane podczas wykonywania działania.
Id
Identyfikator wpisu raportu. Identyfikator jednoznacznie identyfikuje wpis dziennika inspekcji.
NonPIIParameters
Lista parametrów (bez żadnych wartości), które zostały użyte z poleceniem cmdlet zidentyfikowanym we właściwości Operation. Parametry wymienione w tej właściwości są takie same jak parametry wymienione we właściwości Parameters.
Objectid
Identyfikator GUID lub nazwa obiektu (na przykład wyszukiwanie zawartości lub przypadek zbierania elektronicznych materiałów dowodowych (Standardowa), który został utworzony, uzyskiwany, zmieniony lub usunięty przez działanie wymienione we właściwości Operacja. Ten obiekt jest również identyfikowany w kolumnie Element w wynikach wyszukiwania dziennika inspekcji.
Objecttype
Typ obiektu zbierania elektronicznych materiałów dowodowych, który użytkownik utworzył, usunął lub zmodyfikował; na przykład akcja wyszukiwania zawartości (wersja zapoznawcza, eksport lub przeczyszczenie), przypadek zbierania elektronicznych materiałów dowodowych lub wyszukiwanie zawartości.
Operacja
Nazwa operacji odpowiadającej wykonanemu działaniu zbierania elektronicznych materiałów dowodowych.
Identyfikator organizacji
Identyfikator GUID organizacji platformy Microsoft 365.
Parametry
Nazwa i wartość parametrów, które zostały użyte z odpowiednim poleceniem cmdlet.
PublicFolderLocations
Lokalizacje folderów publicznych w Exchange Online, które są uwzględnione w wyszukiwaniu zawartości lub umieszczane w blokadzie w przypadku zbierania elektronicznych materiałów dowodowych.
Kwerendy
Zapytanie wyszukiwania skojarzone z działaniem, takie jak wyszukiwanie zawartości lub blokada oparta na zapytaniach.
Typ rekordu
Typ operacji wskazany przez rekord. Wartość 18 wskazuje zdarzenie związane z działaniem wymienionym w sekcji Działania cmdlet zbierania elektronicznych materiałów dowodowych. Wartość 24 wskazuje zdarzenie związane z działaniem wymienionym w sekcji Jak wyszukiwać i wyświetlać działania zbierania elektronicznych materiałów dowodowych .
ResultStatus
Wskazuje, czy akcja (określona we właściwości Operacja) zakończyła się pomyślnie, czy nie.
SecurityComplianceCenterEventType
Wskazuje, że działanie było zdarzeniem centrum zgodności. Wszystkie działania zbierania elektronicznych materiałów dowodowych będą miały wartość 0 dla tej właściwości.
SharepointLocations
Witryny usługi SharePoint Online uwzględnione w wyszukiwaniu zawartości lub wstrzymane w przypadku zbierania elektronicznych materiałów dowodowych.
Starttime
Data i godzina w uniwersalnym czasie koordynowanym (UTC) rozpoczęcia działania zbierania elektronicznych materiałów dowodowych.
Userid
Użytkownik, który wykonał działanie (określone we właściwości Operation), które spowodowało zarejestrowanie rekordu. Rekordy dotyczące działań zbierania elektronicznych materiałów dowodowych wykonywanych przez konta systemowe (takie jak NT AUTHORITY\SYSTEM) są również uwzględniane w dzienniku inspekcji.
UserKey
Alternatywny identyfikator użytkownika zidentyfikowanego we właściwości UserId. W przypadku działań zbierania elektronicznych materiałów dowodowych wartość tej właściwości jest zwykle taka sama jak właściwość UserId.
UserServicePlan
Subskrypcja używana przez organizację. W przypadku działań zbierania elektronicznych materiałów dowodowych ta właściwość jest zwykle pusta.
Usertype
Typ użytkownika, który wykonał operację. Następujące wartości wskazują typ użytkownika.
0 Zwykły użytkownik. 2 Administrator w organizacji. 3 Konto administratora centrum danych firmy Microsoft lub systemu centrum danych. 4 Konto systemowe. 5 Aplikacja. 6 Jednostka usługi.
Wersja
Wskazuje numer wersji działania (identyfikowanego przez właściwość Operation), które jest rejestrowane.
Obciążenia
Usługa, w której wystąpiło działanie. W przypadku działań zbierania elektronicznych materiałów dowodowych wartość to SecurityComplianceCenter.