Procurar atividades de descoberta eletrônica no log de auditoria
Atividades relacionadas a Pesquisa e descoberta eletrônica (para Descoberta Eletrônica do Microsoft Purview (Standard) e Descoberta Eletrônica do Microsoft Purview (Premium)) que são executadas em portal de conformidade do Microsoft Purview ou executando os cmdlets correspondentes do PowerShell são registrados no log de auditoria. Os eventos são registrados quando administradores ou gerentes de descoberta eletrônica (ou quaisquer permissões de descoberta eletrônica atribuídas pelo usuário) executam as seguintes tarefas de Pesquisa de conteúdo e descoberta eletrônica (Standard) no portal de conformidade:
- Criando e gerenciando casos de descoberta eletrônica (Standard) e eDiscovery (Premium).
- Criando, iniciando e editando pesquisas de conteúdo.
- Executar ações de pesquisa, como visualizar, exportar e excluir resultados da pesquisa.
- Gerenciando custodiantes e conjuntos de revisão em descoberta eletrônica (Premium).
- Configurando a filtragem de permissões para a pesquisa de conteúdo.
- Gerenciando a função administrador de descoberta eletrônica.
Para obter mais informações sobre como pesquisar o log de auditoria, as permissões necessárias e exportar resultados da pesquisa, consulte Pesquisa log de auditoria.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Como pesquisar e exibir atividades de descoberta eletrônica
Atualmente, você precisa fazer algumas coisas específicas para exibir atividades de descoberta eletrônica no log de auditoria. Veja como.
Acesse o portal de conformidade do Microsoft Purview e entre usando sua conta de trabalho ou de estudante.
No painel de navegação esquerdo do portal de conformidade, selecione Auditoria.
Na lista suspensa Atividades , em atividades de descoberta eletrônica ou atividades de descoberta eletrônica (Premium), selecione uma ou mais atividades para pesquisar.
Observação
A lista suspensa Atividades também inclui um grupo de atividades chamadas atividades de cmdlet de descoberta eletrônica que retornarão registros do log de auditoria do cmdlet.
Selecione um intervalo de data e hora para exibir eventos de descoberta eletrônica que ocorreram nesse período.
Na caixa Usuários , selecione um ou mais usuários para exibir os resultados da pesquisa. Deixe essa caixa em branco para retornar entradas para todos os usuários.
Selecione Pesquisar para executar a pesquisa usando seus critérios de pesquisa.
Depois que os resultados da pesquisa forem exibidos, você pode selecionar Filtrar resultados para filtrar ou classificar os registros de atividade resultantes. Infelizmente, você não pode usar a filtragem para excluir explicitamente determinadas atividades.
Para exibir detalhes sobre uma atividade, selecione o registro de atividades na lista de resultados da pesquisa.
Uma página Desapropriedade de Detalhes é exibida que contém as propriedades detalhadas do registro de eventos. Para exibir detalhes adicionais, selecione Mais informações. Para obter uma descrição dessas propriedades, consulte a seção Propriedades detalhadas para atividades de descoberta eletrônica.
Se desejar, você pode exportar os resultados da pesquisa de log de auditoria para um arquivo CSV e, em seguida, usar o recurso do Excel Power Query para formatar e filtrar esses registros. Para saber mais, confira Exportar, configurar e exibir registros de log de auditoria.
Atividades de Descoberta Eletrônica
A tabela a seguir descreve as atividades Pesquisa e descoberta eletrônica (Standard) que são registradas quando um administrador ou gerente de descoberta eletrônica executa uma atividade relacionada à descoberta eletrônica usando o portal de conformidade. Algumas atividades executadas na descoberta eletrônica (Premium) podem ser retornadas quando você procura atividades nesta lista.
Observação
As atividades de descoberta eletrônica descritas nesta seção fornecem informações semelhantes às atividades de cmdlet de descoberta eletrônica descritas na próxima seção. Recomendamos que você use as atividades de descoberta eletrônica descritas nesta seção porque elas aparecerão nos resultados da pesquisa de log de auditoria dentro de 30 minutos. Pode levar até 24 horas para que as atividades de cmdlet de descoberta eletrônica apareçam nos resultados da pesquisa de log de auditoria.
| Nome amigável | Operação | Cmdlet correspondente | Descrição |
|---|---|---|---|
| Membro adicionado ao caso de descoberta eletrônica |
CaseMember Adicionado |
Add-ComplianceCaseMember |
Um usuário foi adicionado como membro de um caso de descoberta eletrônica. Como membro de um caso, um usuário pode executar várias tarefas relacionadas a casos, dependendo se eles receberam as permissões necessárias. |
| Pesquisa de conteúdo alterada |
SearchUpdated |
Set-ComplianceSearch |
Uma pesquisa de conteúdo existente foi alterada. As alterações podem incluir adicionar ou remover locais de conteúdo ou editar a consulta de pesquisa. |
| Associação de administrador de descoberta eletrônica alterada |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
A lista de administradores de descoberta eletrônica em sua organização foi alterada. Essa atividade é registrada quando a lista de administradores de descoberta eletrônica é substituída por um grupo de novos usuários. Se um único usuário for adicionado ou removido, a operação CaseAdminAdded será registrada. |
| Caso de descoberta eletrônica alterado |
CaseUpdated |
Set-ComplianceCase |
Um caso de descoberta eletrônica foi alterado. As alterações incluem fechar um caso aberto ou reabrir um caso fechado. |
| Associação de casos de descoberta eletrônica alterada |
CaseMemberUpdated |
Update-ComplianceCaseMember |
A lista de membros de um caso de descoberta eletrônica foi alterada. Essa atividade é registrada quando todos os membros são substituídos por um grupo de novos usuários. Se um único membro for adicionado ou removido, a operação CaseMemberAdded ou CaseMemberRemoved será registrada. |
| Filtro de permissões de pesquisa alteradas |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
Um filtro de permissões de pesquisa foi alterado. |
| Consulta de pesquisa alterada para eDiscovery case hold |
HoldUpdated |
Set-CaseHoldRule |
Uma retenção baseada em consulta associada a um caso de descoberta eletrônica foi alterada. As possíveis alterações incluem a edição da consulta ou intervalo de datas para uma retenção baseada em consulta. |
| Item de visualização de pesquisa de conteúdo baixado |
PreviewItemDownloaded |
N/D |
Um usuário baixou um item no computador local (selecionando o link Baixar item original ) ao visualizar os resultados da pesquisa. |
| Item de visualização de pesquisa de conteúdo listado |
PreviewItemListed |
N/D |
Um usuário selecionou os resultados da pesquisa de visualização para exibir a página de resultados da pesquisa prévia, que lista até 1.000 itens dos resultados de uma pesquisa. |
| Pesquisa de conteúdo criada |
SearchCreated |
New-ComplianceSearch |
Uma nova pesquisa de conteúdo foi criada. |
| Administrador de descoberta eletrônica criado |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
Um usuário foi adicionado como administrador de descoberta eletrônica na organização. |
| Caso de descoberta eletrônica criado |
CaseAdded |
New-ComplianceCase |
Um caso de descoberta eletrônica foi criado. Quando um caso é criado, você só precisa dar um nome a ele. Outras tarefas relacionadas a casos, como adicionar membros, criar retenções e criar pesquisas de conteúdo associadas ao caso, resultam em eventos adicionais sendo registrados. |
| Filtro de permissões de pesquisa criados |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
Um filtro de permissões de pesquisa foi criado. |
| Consulta de pesquisa criada para a retenção de casos de descoberta eletrônica |
HoldCreated |
New-CaseHoldRule |
Um hold baseado em consulta associado a um caso de descoberta eletrônica foi criado. |
| Pesquisa de conteúdo excluído |
SearchRemoved |
Remove-ComplianceSearch |
Uma pesquisa de conteúdo existente foi excluída. |
| Administrador de descoberta eletrônica excluído |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
Um administrador de descoberta eletrônica foi excluído da sua organização. |
| Caso de descoberta eletrônica excluído |
CaseRemoved |
Remove-ComplianceCase |
Um caso de descoberta eletrônica foi excluído. Qualquer retenção associada ao caso precisa ser removida antes que o caso possa ser excluído. |
| Filtro de permissões de pesquisa excluídas |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
Um filtro de permissões de pesquisa foi excluído. |
| Consulta de pesquisa excluída para a retenção de caso de descoberta eletrônica |
HoldRemoved |
Remove-CaseHoldRule |
Uma retenção baseada em consulta associada a um caso de descoberta eletrônica foi excluída. A remoção da consulta do porão geralmente é o resultado da exclusão de um porão. Quando uma consulta hold ou hold é excluída, os locais de conteúdo que estavam em espera são liberados. |
| Exportação baixada de pesquisa de conteúdo |
SearchExportDownloaded |
N/D |
Um usuário baixou os resultados de uma pesquisa de conteúdo no computador local. Uma exportação iniciada da atividade de pesquisa de conteúdo precisa ser iniciada antes que os resultados da pesquisa possam ser baixados. |
| Resultados visualizados da pesquisa de conteúdo |
SearchPreviewed |
N/D |
Um usuário visualiza os resultados de uma pesquisa de conteúdo. |
| Resultados limpos da pesquisa de conteúdo |
SearchResultsPurged |
New-ComplianceSearchAction |
Um usuário limpou os resultados de uma pesquisa de conteúdo executando o comando New-ComplianceSearchAction -Purge . |
| Análise removida da pesquisa de conteúdo |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
Uma ação de preparação de pesquisa de conteúdo (para preparar os resultados da pesquisa para descoberta eletrônica (Premium)) foi excluída. Se a ação de preparação tiver menos de duas semanas, os resultados da pesquisa preparados para a descoberta eletrônica (Premium) foram excluídos da área de armazenamento do Microsoft Azure. Se a ação de preparação tiver mais de duas semanas, esse evento indicará que apenas a ação de preparação correspondente foi excluída. |
| Exportação removida de pesquisa de conteúdo |
RemovedSearchExported |
Remove-ComplianceSearchAction |
Uma ação de exportação de pesquisa de conteúdo foi excluída. Se a ação de exportação tiver menos de duas semanas, os resultados da pesquisa carregados na área de armazenamento do Microsoft Azure serão excluídos. Se a ação de exportação tiver mais de duas semanas, esse evento indicará que apenas a ação de exportação correspondente foi excluída. |
| Membro removido do caso de descoberta eletrônica |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
Um usuário foi removido como membro de um caso de descoberta eletrônica. |
| Resultados de visualização removidos da pesquisa de conteúdo |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
Uma ação de visualização de pesquisa de conteúdo foi excluída. |
| Ação de limpeza removida executada na pesquisa de conteúdo |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
Uma ação de limpeza de pesquisa de conteúdo foi excluída. |
| Relatório de pesquisa removido |
SearchReportRemoved |
Remove-ComplianceSearchAction |
Uma ação de relatório de exportação de pesquisa de conteúdo foi excluída. |
| Análise inicial da pesquisa de conteúdo |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
Os resultados de uma pesquisa de conteúdo foram preparados para análise no eDiscovery (Premium). |
| Pesquisa de conteúdo iniciada |
SearchStarted |
Start-ComplianceSearch |
Uma pesquisa de conteúdo foi iniciada. Quando você cria ou altera uma pesquisa de conteúdo usando o portal de conformidade, a pesquisa é iniciada automaticamente. |
| Iniciou a exportação de pesquisa de conteúdo |
SearchExported |
New-ComplianceSearchAction |
Um usuário exportou os resultados de uma pesquisa de conteúdo. |
| Relatório de exportação iniciado |
SearchReport |
New-ComplianceSearchAction |
Um usuário exportou um relatório de pesquisa de conteúdo. |
| Pesquisa de conteúdo interrompida |
SearchStopped |
Stop-ComplianceSearch |
Um usuário interrompeu uma pesquisa de conteúdo. |
| (nenhuma) | CaseViewed | Get-ComplianceCase | Um usuário visualizou um caso de descoberta eletrônica (Standard) no portal de conformidade. O registro de auditoria desse evento inclui o nome do caso que foi exibido. |
| (nenhuma) | SearchViewed | Get-ComplianceSearch | Um usuário visualizou uma pesquisa de conteúdo no portal de conformidade acessando a pesquisa na guia Pesquisas em um caso de descoberta eletrônica (Standard) ou acessando-a na página pesquisa de conteúdo . O registro de auditoria desse evento inclui a identidade da pesquisa exibida. |
| (nenhuma) | ViewedSearchExported | Get-ComplianceSearchAction -Exportar | Um usuário exibiu uma exportação de pesquisa de conteúdo no portal de conformidade acessando a exportação na guia Exportações na página Pesquisa de conteúdo . Essa atividade também é registrada quando um usuário exibe uma exportação associada a um caso de descoberta eletrônica (Standard). |
| (nenhuma) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | Um usuário visualiza os resultados de uma pesquisa de conteúdo no portal de conformidade. Essa atividade também é registrada quando um usuário visualiza os resultados de uma pesquisa associada a um caso de descoberta eletrônica (Standard). |
Atividades de Descoberta Eletrônica (Premium)
A tabela a seguir descreve as atividades de descoberta eletrônica (Premium) registradas no log de auditoria. Essas atividades podem ser usadas para ajudar você a acompanhar a progressão da atividade em um caso de descoberta eletrônica (Premium).
| Nome amigável | Operação | Descrição |
|---|---|---|
| Adicionar dados a outro conjunto de revisão | AddWorkingSetQueryToWorkingSet | O usuário adicionou documentos de uma revisão definida para outro conjunto de revisão. |
| Dados adicionados ao conjunto de revisão | AddQueryToWorkingSet | O usuário adicionou os resultados da pesquisa de uma pesquisa de conteúdo associada a um caso de descoberta eletrônica (Premium) a um conjunto de revisão. |
| Dados que não são da Microsoft 365 adicionados ao conjunto de revisão | AddNonOffice365DataToWorkingSet | Usuário adicionou dados que não são da Microsoft 365 a um conjunto de revisão. |
| Documentos remedidos adicionados ao conjunto de revisão | AddRemediatedData | O usuário carrega documentos com erros de indexação corrigidos em um conjunto de revisão. |
| Dados analisados no conjunto de revisão | RunAlgo | O usuário executou análise nos documentos em um conjunto de revisão. |
| Documento com anotações no conjunto de revisão | AnnotateDocument | O usuário anota um documento em um conjunto de revisão. As anotações incluem a redação de conteúdo em um documento. |
| Conjuntos de carga comparados | LoadComparisonJob | O usuário comparou dois conjuntos de carga diferentes em um conjunto de revisão. Um conjunto de carga é quando os dados de uma pesquisa de conteúdo que estão associados ao caso são adicionados a um conjunto de revisão. |
| Documentos redigidos convertidos em PDF | BurnJob | O usuário converteu todos os documentos redigidos em uma revisão definida como arquivos PDF. |
| Conjunto de revisão criado | CreateWorkingSet | O usuário criou um conjunto de revisão. |
| Pesquisa de conjunto de revisão criada | CreateWorkingSetSearch | O usuário criou uma consulta de pesquisa que procura os documentos em um conjunto de revisão. |
| Marca criada | CreateTag | O usuário criou um grupo de marcas em um conjunto de revisão. Um grupo de marcas pode conter uma ou mais marcas filho. Essas marcas são usadas para marcar documentos no conjunto de revisão. |
| Pesquisa do conjunto de revisão excluído | DeleteWorkingSetSearch | O usuário excluiu uma consulta de pesquisa em um conjunto de revisão. |
| Marca excluída | DeleteTag | O usuário excluiu um grupo de marcas em um conjunto de revisão. |
| Documento baixado | DownloadDocument | O usuário baixou um documento de um conjunto de revisão. |
| Marca editada | UpdateTag | O usuário alterou uma marca em um conjunto de revisão. |
| Documentos exportados do conjunto de revisão | ExportJob | O usuário exporta documentos de um conjunto de revisão. |
| Configuração de caso modificado | UpdateCaseSettings | O usuário modifica as configurações de uma ocorrência. As configurações da ocorrência incluem informações sobre o caso, permissões de acesso e configurações que controlam o comportamento da pesquisa e da análise. |
| Pesquisa do conjunto de revisão modificada | UpdateWorkingSetSearch | O usuário editou uma consulta de pesquisa em um conjunto de revisão. |
| Pesquisa do conjunto de revisão vizualizada | PreviewWorkingSetSearch | O usuário visualizou os resultados de uma consulta de pesquisa em um conjunto de revisão. |
| Documentos de erro corrigidos | ErrorRemediationJob | O usuário corrige os arquivos que contêm erros de indexação. |
| Documento marcado | TagFiles | O usuário marca um documento em um conjunto de revisão. |
| Resultados marcados de uma consulta | TagJob | O usuário marca todos os documentos que correspondem aos critérios da consulta de pesquisa em um conjunto de revisão. |
| Documento exibido no conjunto de revisão | ViewDocument | O usuário visualiza um documento em um conjunto de revisão. |
Atividades de cmdlet de descoberta eletrônica
A tabela a seguir lista os registros de log de auditoria de cmdlet que são registrados quando um administrador ou usuário executa uma atividade relacionada à descoberta eletrônica usando o portal de conformidade ou executando o cmdlet correspondente no PowerShell de Conformidade & segurança. As informações detalhadas no registro de log de auditoria são diferentes para as atividades de cmdlet listadas nesta tabela e as atividades de descoberta eletrônica descritas na seção anterior.
Conforme indicado anteriormente, pode levar até 24 horas para que as atividades de cmdlet de descoberta eletrônica apareçam nos resultados da pesquisa de log de auditoria.
Dica
Os cmdlets na coluna Operação na tabela a seguir estão vinculados ao tópico de ajuda de cmdlet correspondente no TechNet. Acesse o tópico de ajuda do cmdlet para obter uma descrição dos parâmetros disponíveis para cada cmdlet. O parâmetro e o valor do parâmetro usado com um cmdlet estão incluídos na entrada de log de auditoria para cada atividade de cmdlet de descoberta eletrônica registrada.
| Nome amigável | Operação (cmdlet) | Descrição |
|---|---|---|
| Hold criado no caso de descoberta eletrônica |
New-CaseHoldPolicy |
Um porão foi criado para um caso de descoberta eletrônica. Uma retenção pode ser criada com ou sem especificar uma fonte de conteúdo. Se as fontes de conteúdo forem especificadas, elas serão identificadas na entrada do log de auditoria. |
| Retenção excluída do caso de descoberta eletrônica |
Remove-CaseHoldPolicy |
Um porão associado a um caso de descoberta eletrônica foi excluído. Excluir uma retenção libera todos os locais de conteúdo do porão. Excluir a retenção também resulta na exclusão das regras de retenção de caso associadas ao hold (confira Remove-CaseHoldRule abaixo). |
| Retenção alterada no caso de descoberta eletrônica |
Set-CaseHoldPolicy |
Um porão associado a uma descoberta eletrônica foi alterado. As possíveis alterações incluem adicionar ou remover locais de conteúdo ou desativar (desabilitar) o porão. |
| Consulta de pesquisa criada para a retenção de casos de descoberta eletrônica |
New-CaseHoldRule |
Um hold baseado em consulta associado a um caso de descoberta eletrônica foi criado. |
| Consulta de pesquisa excluída para a retenção de caso de descoberta eletrônica |
Remove-CaseHoldRule |
Uma retenção baseada em consulta associada a um caso de descoberta eletrônica foi excluída. A remoção da consulta do porão geralmente é o resultado da exclusão de um porão. Quando uma consulta hold ou hold é excluída, os locais de conteúdo que estavam em espera são liberados. |
| Consulta de pesquisa alterada para eDiscovery case hold |
Set-CaseHoldRule |
Uma retenção baseada em consulta associada a um caso de descoberta eletrônica foi alterada. As possíveis alterações incluem a edição da consulta ou intervalo de datas para uma retenção baseada em consulta. |
| Caso de descoberta eletrônica criado |
New-ComplianceCase |
Um caso de descoberta eletrônica foi criado. Quando um caso é criado, você só precisa dar um nome a ele. Outras tarefas relacionadas a casos, como adicionar membros, criar retenções e criar pesquisas de conteúdo associadas ao caso, resultam em eventos adicionais sendo registrados. |
| Caso de descoberta eletrônica excluído |
Remove-ComplianceCase |
Um caso de descoberta eletrônica foi excluído. Qualquer retenção associada ao caso precisa ser removida antes que o caso possa ser excluído. |
| Caso de descoberta eletrônica alterado |
Set-ComplianceCase |
Um caso de descoberta eletrônica foi alterado. As alterações incluem fechar um caso aberto ou reabrir um caso fechado. |
| Membro adicionado ao caso de descoberta eletrônica |
Add-ComplianceCaseMember |
Um usuário foi adicionado como membro de um caso de descoberta eletrônica. Como membro de um caso, um usuário pode executar várias tarefas relacionadas a casos, dependendo se eles receberam as permissões necessárias. |
| Membro removido do caso de descoberta eletrônica |
Remove-ComplianceCaseMember |
Um usuário foi removido como membro de um caso de descoberta eletrônica. |
| Associação de casos de descoberta eletrônica alterada |
Update-ComplianceCaseMember |
A lista de membros de um caso de descoberta eletrônica foi alterada. Essa atividade é registrada quando todos os membros são substituídos por um grupo de novos usuários. Se um único membro for adicionado ou removido, a operação Add-ComplianceCaseMember ou Remove-ComplianceCaseMember será registrada. |
| Pesquisa de conteúdo criada |
New-ComplianceSearch |
Uma nova pesquisa de conteúdo foi criada. |
| Pesquisa de conteúdo excluído |
Remove-ComplianceSearch |
Uma pesquisa de conteúdo existente foi excluída. |
| Pesquisa de conteúdo alterada |
Set-ComplianceSearch |
Uma pesquisa de conteúdo existente foi alterada. As alterações podem incluir adicionar ou remover locais de conteúdo pesquisados e editar a consulta de pesquisa. |
| Pesquisa de conteúdo iniciada |
Start-ComplianceSearch |
Uma pesquisa de conteúdo foi iniciada. Quando você cria ou altera uma pesquisa de conteúdo usando o GUI do portal de conformidade, a pesquisa é iniciada automaticamente. Se você criar ou alterar uma pesquisa usando o cmdlet New-ComplianceSearch ou Set-ComplianceSearch , você precisará executar o cmdlet Start-ComplianceSearch para iniciar a pesquisa. |
| Pesquisa de conteúdo interrompida |
Stop-ComplianceSearch |
Uma pesquisa de conteúdo que estava em execução foi interrompida. |
| Ação de pesquisa de conteúdo criada |
New-ComplianceSearchAction |
Uma ação de pesquisa de conteúdo foi criada. As ações de pesquisa de conteúdo incluem visualizar resultados da pesquisa, exportar resultados de pesquisa, preparar resultados de pesquisa para análise em descoberta eletrônica (Premium) e excluir itens permanentemente que correspondam aos critérios de pesquisa de uma pesquisa de conteúdo. |
| Ação de pesquisa de conteúdo excluída |
Remove-ComplianceSearchAction |
Uma ação de pesquisa de conteúdo foi excluída. |
| Filtro de permissões de pesquisa criados |
New-ComplianceSecurityFilter |
Um filtro de permissões de pesquisa foi criado. |
| Filtro de permissões de pesquisa excluídas |
Remove-ComplianceSecurityFilter |
Um filtro de permissões de pesquisa foi excluído. |
| Filtro de permissões de pesquisa alteradas |
Set-ComplianceSecurityFilter |
Um filtro de permissões de pesquisa foi alterado. |
| Administrador de descoberta eletrônica criado |
Add-eDiscoveryCaseAdmin |
Um usuário foi adicionado como administrador de descoberta eletrônica em sua organização. |
| Administrador de descoberta eletrônica excluído |
Remove-eDiscoveryCaseAdmin |
Um administrador de descoberta eletrônica foi excluído da sua organização. |
| Associação de administrador de descoberta eletrônica alterada |
Update-eDiscoveryCaseAdmin |
A lista de administradores de descoberta eletrônica em sua organização foi alterada. Essa atividade é registrada quando a lista de administradores de descoberta eletrônica é substituída por um grupo de novos usuários. Se um único usuário for adicionado ou removido, a operação Add-eDiscoveryCaseAdmin ou Remove-eDiscoveryCaseAdmin será registrada. |
| (nenhuma) | Get-ComplianceCase |
Essa atividade é registrada quando um usuário visualiza uma lista de casos de descoberta eletrônica (Standard) ou eDiscovery (Premium). Essa atividade também é registrada quando um usuário exibe um caso específico no eDiscovery (Standard). Quando um usuário exibe um caso específico, o registro de auditoria inclui a identidade do caso exibido. Se o usuário exibisse apenas uma lista de casos, o registro de auditoria não conterá uma identidade de caso. |
| (nenhuma) | Get-ComplianceSearch | Essa atividade é registrada quando um usuário visualiza uma lista de pesquisas ou pesquisas de conteúdo associadas a um caso de descoberta eletrônica (Standard). Essa atividade também é registrada quando um usuário exibe uma pesquisa de conteúdo específica ou exibe uma pesquisa específica associada a um caso de descoberta eletrônica (Standard). Quando um usuário exibe uma pesquisa específica, o registro de auditoria inclui a identidade da pesquisa exibida. Se o usuário exibisse apenas uma lista de pesquisas, o registro de auditoria não conterá uma identidade de pesquisa. |
| (nenhuma) | Get-ComplianceSearchAction | Essa atividade é registrada quando um usuário visualiza uma lista de ações de pesquisa de conformidade (como exportações, visualizações ou limpezas) ou ações associadas a um caso de descoberta eletrônica (Standard). Essa atividade também é registrada quando um usuário exibe uma ação de pesquisa de conformidade específica (como uma exportação) ou exibe uma ação específica associada a um caso de descoberta eletrônica (Standard). Quando um usuário exibe uma ação de pesquisa, o registro de auditoria inclui a identidade da ação de pesquisa exibida. Se o usuário exibisse apenas uma lista de ações, o registro de auditoria não conterá uma identidade de ação. |
Propriedades detalhadas para atividades de descoberta eletrônica
A tabela a seguir descreve as propriedades incluídas na página de sobrevoo para uma atividade de descoberta eletrônica listada nos resultados da pesquisa. Essas propriedades também são incluídas no arquivo CSV quando você exporta os resultados da pesquisa de log de auditoria. Um registro de log de auditoria para uma atividade de descoberta eletrônica não incluirá todas as propriedades detalhadas listadas abaixo.
Dica
Quando você exporta os resultados da pesquisa, o arquivo CSV contém uma coluna chamada AudtiData, que contém as propriedades detalhadas descritas na tabela a seguir em uma propriedade de vários valores. Você pode usar o recurso Power Query no Excel para dividir essa coluna em várias colunas para que cada propriedade tenha sua própria coluna. Isso permitirá classificar e filtrar em uma ou mais dessas propriedades. Para obter mais informações, consulte Pesquisa o log de auditoria.
| Propriedade | Descrição |
|---|---|
| Caso |
A identidade (GUID) do caso de descoberta eletrônica que foi criada, alterada ou excluída. |
| ClientApplication |
As atividades de cmdlet de descoberta eletrônica têm um valor de EMC para essa propriedade. Isso indica que a atividade foi executada usando o gui do portal de conformidade ou executando o cmdlet no PowerShell. |
| ClientIP |
O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
| ClientRequestId |
Para atividades de descoberta eletrônica, essa propriedade normalmente fica em branco. |
| CmdletVersion |
O número de build para a versão do portal de conformidade em execução em sua organização. |
| CreationTime |
A data e a hora em UTC (Tempo Universal Coordenado) quando a atividade de descoberta eletrônica foi concluída. |
| EffectiveOrganization |
O nome da organização do Microsoft 365. |
| ExchangeLocations |
As caixas de correio Exchange Online incluídas em uma pesquisa de conteúdo ou colocadas em espera em um caso de descoberta eletrônica. |
| Exclusões |
Locais de caixa de correio ou site excluídos de uma pesquisa de conteúdo ou de um porão em um caso de descoberta eletrônica. |
| ExtendedProperties |
Propriedades adicionais de uma pesquisa de conteúdo, uma ação de pesquisa de conteúdo ou mantém em um caso de descoberta eletrônica, como o GUID do objeto e os parâmetros de cmdlet e cmdlet correspondentes que foram usados quando a atividade foi executada. |
| Id |
A ID da entrada do relatório. A ID identifica exclusivamente a entrada do log de auditoria. |
| NonPIIParameters |
Uma lista dos parâmetros (sem nenhum valor) que foram usados com o cmdlet identificado na propriedade Operation. Os parâmetros listados nesta propriedade são os mesmos listados na propriedade Parameters. |
| ObjectId |
O GUID ou o nome do objeto (por exemplo, uma pesquisa de conteúdo ou um caso de descoberta eletrônica (Standard) que foi criado, acessado, alterado ou excluído pela atividade listada na propriedade Operação. Esse objeto também é identificado na coluna Item nos resultados da pesquisa de log de auditoria. |
| ObjectType |
O tipo de objeto eDiscovery que o usuário criou, excluiu ou modificou; por exemplo, uma ação de pesquisa de conteúdo (visualização, exportação ou limpeza), um caso de descoberta eletrônica ou uma pesquisa de conteúdo. |
| Operação |
O nome da operação que corresponde à atividade de descoberta eletrônica que foi executada. |
| OrganizationId |
O GUID para sua organização do Microsoft 365. |
| Parâmetros |
O nome e o valor dos parâmetros que foram usados com o cmdlet correspondente. |
| PublicFolderLocations |
Os locais de pasta pública em Exchange Online incluídos em uma pesquisa de conteúdo ou colocados em espera em um caso de descoberta eletrônica. |
| Consultar |
A consulta de pesquisa associada à atividade, como uma pesquisa de conteúdo ou um porão baseado em consulta. |
| RecordType |
O tipo de operação indicado pelo registro. O valor de 18 indica um evento relacionado a uma atividade listada na seção atividades de cmdlet de descoberta eletrônica . Um valor de 24 indica um evento relacionado a uma atividade listada na seção Como pesquisar e exibir atividades de descoberta eletrônica. |
| ResultStatus |
Indica se a ação (especificada na propriedade Operation) foi bem-sucedida ou não. |
| SecurityComplianceCenterEventType |
Indica que a atividade foi um evento do portal de conformidade. Todas as atividades de descoberta eletrônica terão um valor de 0 para essa propriedade. |
| SharepointLocations |
Os sites do SharePoint Online incluídos em uma pesquisa de conteúdo ou colocados em espera em um caso de descoberta eletrônica. |
| StartTime |
A data e a hora em UTC (Horário Universal Coordenado) quando a atividade de descoberta eletrônica foi iniciada. |
| UserId |
O usuário que realizou a atividade (especificada na propriedade Operation) que resultou no registro sendo registrado. Os registros da atividade de descoberta eletrônica executadas por contas do sistema (como NT AUTHORITY\SYSTEM) também estão incluídos no log de auditoria. |
| UserKey |
Uma ID alternativa para o usuário identificado na propriedade UserId. Para atividades de descoberta eletrônica, o valor dessa propriedade normalmente é o mesmo que a propriedade UserId. |
| UserServicePlan |
A assinatura usada pela sua organização. Para atividades de descoberta eletrônica, essa propriedade normalmente fica em branco. |
| UserType |
O tipo de usuário que executou a operação. Os valores a seguir indicam o tipo de usuário. 0 Um usuário regular. 2 Um administrador em sua organização. 3 Uma conta do sistema de datacenter ou administrador do datacenter da Microsoft. 4 Uma conta do sistema. 5 Um aplicativo. 6 Uma entidade de serviço. |
| Versão |
Indica o número de versão da atividade (identificada pela propriedade Operation) registrada. |
| Workload |
O serviço em que a atividade ocorreu. Para atividades de descoberta eletrônica, o valor é SecurityComplianceCenter. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de