Söka efter eDiscovery-aktiviteter i granskningsloggen

Innehållssökning och eDiscovery-relaterade aktiviteter (för Microsoft Purview eDiscovery (Standard) och Microsoft Purview eDiscovery (Premium)) som utförs i efterlevnadsportal i Microsoft Purview eller genom att köra motsvarande PowerShell-cmdletar loggas i granskningsloggen. Händelser loggas när administratörer eller eDiscovery-chefer (eller användartilldelade eDiscovery-behörigheter) utför följande uppgifter för innehållssökning och eDiscovery (Standard) i efterlevnadsportalen:

  • Skapa och hantera eDiscovery-fall (Standard) och eDiscovery (Premium).
  • Skapa, starta och redigera innehållssökningar.
  • Utföra sökåtgärder, till exempel förhandsgranska, exportera och ta bort sökresultat.
  • Hantera vårdnadshavare och granskningsuppsättningar i eDiscovery (Premium).
  • Konfigurera behörighetsfiltrering för innehållssökning.
  • Hantera eDiscovery-administratörsrollen.

Mer information om hur du söker i granskningsloggen, vilka behörigheter som krävs och hur du exporterar sökresultat finns i Sök i granskningsloggen i efterlevnadsportalen.

Tips

Om du inte är E5-kund kan du prova alla premiumfunktioner i Microsoft Purview kostnadsfritt. Använd den 90 dagar långa utvärderingsversionen av Purview-lösningar för att utforska hur robusta Purview-funktioner kan hjälpa din organisation att hantera datasäkerhets- och efterlevnadsbehov. Börja nu på efterlevnadsportal i Microsoft Purview utvärderingshubben. Läs mer om registrering och utvärderingsvillkor.

Så här söker du efter och visar eDiscovery-aktiviteter

För närvarande måste du göra några specifika saker för att visa eDiscovery-aktiviteter i granskningsloggen. Gör så här:

  1. Gå till efterlevnadsportal i Microsoft Purview och logga in med ditt arbets- eller skolkonto.

  2. I det vänstra navigeringsfönstret i efterlevnadsportalen väljer du Granska.

  3. I listrutan Aktiviteter under eDiscovery-aktiviteter eller eDiscovery-aktiviteter (Premium) väljer du en eller flera aktiviteter att söka efter.

    Obs!

    Listrutan Aktiviteter innehåller också en grupp aktiviteter med namnet eDiscovery-cmdlet-aktiviteter som returnerar poster från cmdlet-granskningsloggen.

  4. Välj ett datum- och tidsintervall för att visa eDiscovery-händelser som inträffat inom den perioden.

  5. I rutan Användare väljer du en eller flera användare att visa sökresultat för. Lämna den här rutan tom om du vill returnera poster för alla användare.

  6. Välj Sök för att köra sökningen med hjälp av dina sökvillkor.

  7. När sökresultatet har visats kan du välja Filtrera resultat för att filtrera eller sortera de resulterande aktivitetsposterna. Tyvärr kan du inte använda filtrering för att uttryckligen utesluta vissa aktiviteter.

  8. Om du vill visa information om en aktivitet väljer du aktivitetsposten i listan med sökresultat.

    En utfälld informationssida visas som innehåller detaljerade egenskaper från händelseposten. Om du vill visa ytterligare information väljer du Mer information. En beskrivning av dessa egenskaper finns i avsnittet Detaljerade egenskaper för eDiscovery-aktiviteter .

  9. Om du vill kan du exportera sökresultatet för granskningsloggen till en CSV-fil och sedan använda funktionen Excel Power Query för att formatera och filtrera dessa poster. Mer information finns i Exportera, konfigurera och visa granskningsloggposter.

eDiscovery-aktiviteter

I följande tabell beskrivs aktiviteterna Innehållssökning och eDiscovery (Standard) som loggas när en administratör eller eDiscovery-chef utför en eDiscovery-relaterad aktivitet med hjälp av efterlevnadsportalen. Vissa aktiviteter som utförs i eDiscovery (Premium) kan returneras när du söker efter aktiviteter i den här listan.

Obs!

EDiscovery-aktiviteterna som beskrivs i det här avsnittet innehåller liknande information som cmdlet-aktiviteterna eDiscovery som beskrivs i nästa avsnitt. Vi rekommenderar att du använder eDiscovery-aktiviteterna som beskrivs i det här avsnittet eftersom de visas i sökresultaten för granskningsloggen inom 30 minuter. Det kan ta upp till 24 timmar innan eDiscovery-cmdlet-aktiviteter visas i sökresultat för granskningsloggar.

Visningsnamn Åtgärd Motsvarande cmdlet Beskrivning
Medlem har lagts till i eDiscovery-ärende
CaseMemberAdded
Add-ComplianceCaseMember
En användare har lagts till som medlem i ett eDiscovery-ärende. Som medlem i ett ärende kan en användare utföra olika ärenderelaterade uppgifter beroende på om de har tilldelats nödvändiga behörigheter.
Innehållssökning har ändrats
SearchUpdated
Set-ComplianceSearch
En befintlig innehållssökning har ändrats. Ändringar kan vara att lägga till eller ta bort innehållsplatser eller redigera sökfrågan.
EDiscovery-administratörsmedlemskap har ändrats
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
Listan över eDiscovery-administratörer i din organisation har ändrats. Den här aktiviteten loggas när listan över eDiscovery-administratörer ersätts med en grupp med nya användare. Om en enskild användare läggs till eller tas bort loggas åtgärden CaseAdminAdded.
EDiscovery-ärende har ändrats
CaseUpdated
Set-ComplianceCase
Ett eDiscovery-fall har ändrats. Ändringar omfattar att stänga ett öppet ärende eller öppna ett stängt ärende igen.
EDiscovery-ärendemedlemskap har ändrats
CaseMemberUpdated
Update-ComplianceCaseMember
Medlemskapslistan för ett eDiscovery-ärende har ändrats. Den här aktiviteten loggas när alla medlemmar ersätts med en grupp med nya användare. Om en enskild medlem läggs till eller tas bort loggas åtgärden CaseMemberAdded eller CaseMemberRemoved.
Filter för ändrade sökbehörigheter
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Ett sökbehörighetsfilter har ändrats.
Ändrad sökfråga för eDiscovery-skiftlägesavspärrning
HoldUpdated
Set-CaseHoldRule
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende har ändrats. Möjliga ändringar omfattar redigering av frågan eller datumintervallet för ett frågebaserat undantag.
Förhandsgranskningsobjekt för innehållssökning har laddats ned
PreviewItemDownloaded
EJ TILLÄMPLIGT
En användare laddade ned ett objekt till sin lokala dator (genom att välja länken Ladda ned originalobjekt ) när de förhandsgranskade sökresultaten.
Förhandsgranskningsobjekt för innehållssökning visas
PreviewItemListed
EJ TILLÄMPLIGT
En användare valde Förhandsgranska sökresultat för att visa sökresultatsidan för förhandsversionen, som visar upp till 1 000 objekt från resultatet av en sökning.
Förhandsgranskningsobjekt för innehållssökning visas
PreviewItemRendered
EJ TILLÄMPLIGT
En eDiscovery-hanterare visade ett objekt genom att välja det när sökresultaten förhandsgranskades.
Innehållssökning har skapats
Sökskapad
New-ComplianceSearch
En ny innehållssökning skapades.
EDiscovery-administratör har skapats
CaseAdminAdded
Add-eDiscoveryCaseAdmin
En användare har lagts till som eDiscovery-administratör i organisationen.
EDiscovery-ärende har skapats
CaseAdded
New-ComplianceCase
Ett eDiscovery-ärende skapades. När ett ärende skapas behöver du bara ge det ett namn. Andra ärenderelaterade uppgifter som att lägga till medlemmar, skapa undantag och skapa innehållssökningar som är associerade med ärendet resulterar i att ytterligare händelser loggas.
Filter för skapade sökbehörigheter
SearchPermissionCreated
New-ComplianceSecurityFilter
Ett sökbehörighetsfilter skapades.
Skapad sökfråga för eDiscovery-ärendeundantaget
HoldCreated
New-CaseHoldRule
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende skapades.
Borttagen innehållssökning
SearchRemoved
Remove-ComplianceSearch
En befintlig innehållssökning har tagits bort.
EDiscovery-administratören har tagits bort
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
En eDiscovery-administratör har tagits bort från din organisation.
Borttaget eDiscovery-ärende
CaseRemoved
Remove-ComplianceCase
Ett eDiscovery-ärende togs bort. Alla undantag som är associerade med ärendet måste tas bort innan ärendet kan tas bort.
Filter för borttagna sökbehörigheter
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Ett sökbehörighetsfilter har tagits bort.
Borttagen sökfråga för eDiscovery-skiftlägesavspärrning
HoldRemoved
Remove-CaseHoldRule
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende togs bort. Att ta bort frågan från undantaget beror ofta på att ett undantag tas bort. När en hold- eller hold-fråga tas bort släpps de innehållsplatser som var undantagna.
Nedladdad export av innehållssökning
SearchExportDownloaded
EJ TILLÄMPLIGT
En användare laddade ned resultatet av en innehållssökning till sin lokala dator. En startad export av innehållssökningsaktivitet måste initieras innan sökresultat kan laddas ned.
Förhandsgranskade resultat av innehållssökning
SökFörhandsvisad
EJ TILLÄMPLIGT
En användare förhandsgranskade resultatet av en innehållssökning.
Rensade resultat av innehållssökning
SearchResultsPurged
New-ComplianceSearchAction
En användare rensade resultatet av en innehållssökning genom att köra kommandot New-ComplianceSearchAction -Purge .
Analys av innehållssökning har tagits bort
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
En förberedelseåtgärd för innehållssökning (för att förbereda sökresultat för eDiscovery (Premium)) har tagits bort. Om förberedelseåtgärden var mindre än två veckor gammal togs sökresultaten som förbereddes för eDiscovery (Premium) bort från Microsoft Azure-lagringsområdet. Om förberedelseåtgärden var äldre än 2 veckor anger den här händelsen att endast motsvarande förberedelseåtgärd har tagits bort.
Export av innehållssökning har tagits bort
RemovedSearchExported
Remove-ComplianceSearchAction
En exportåtgärd för innehållssökning har tagits bort. Om exportåtgärden var mindre än två veckor gammal togs sökresultaten som laddades upp till Microsoft Azure-lagringsområdet bort. Om exportåtgärden var äldre än 2 veckor anger den här händelsen att endast motsvarande exportåtgärd har tagits bort.
Medlem har tagits bort från eDiscovery-ärende
CaseMemberRemoved
Remove-ComplianceCaseMember
En användare har tagits bort som medlem i ett eDiscovery-ärende.
Förhandsgranskningsresultat för innehållssökning har tagits bort
RemovedSearchFörhandsvisat
Remove-ComplianceSearchAction
En förhandsgranskningsåtgärd för innehållssökning har tagits bort.
Rensningsåtgärden som utfördes vid innehållssökning har tagits bort
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
En rensningsåtgärd för innehållssökning har tagits bort.
Sökrapporten har tagits bort
SearchReportRemoved
Remove-ComplianceSearchAction
En exportrapportåtgärd för innehållssökning har tagits bort.
Påbörjad analys av innehållssökning
SearchResultsSentToZoom
New-ComplianceSearchAction
Resultatet av en innehållssökning har förberetts för analys i eDiscovery (Premium).
Startad innehållssökning
SearchStarted
Start-ComplianceSearch
En innehållssökning har startats. När du skapar eller ändrar en innehållssökning med hjälp av efterlevnadsportalen startas sökningen automatiskt.
Påbörjad export av innehållssökning
SearchExported
New-ComplianceSearchAction
En användare exporterade resultatet av en innehållssökning.
Exportrapport har startats
SearchReport
New-ComplianceSearchAction
En användare exporterade en innehållssökningsrapport.
Stoppad innehållssökning
Sök med toppad
Stop-ComplianceSearch
En användare stoppade en innehållssökning.
(inget) CaseViewed Get-ComplianceCase En användare visade ett eDiscovery-ärende (Standard) i efterlevnadsportalen. Granskningsposten för den här händelsen innehåller namnet på ärendet som visades.
(inget) SearchViewed Get-ComplianceSearch En användare visade en innehållssökning i efterlevnadsportalen genom att öppna sökningen på fliken Sökningar i ett eDiscovery-ärende (Standard) eller komma åt den på sidan Innehållssökning . Granskningsposten för den här händelsen innehåller identiteten för sökningen som visades.
(inget) ViewedSearchExported Get-ComplianceSearchAction -Export En användare visade en export av innehållssökning i efterlevnadsportalen genom att öppna exporten på fliken Exportersidan Innehållssökning . Den här aktiviteten loggas också när en användare visar en export som är associerad med ett eDiscovery-ärende (Standard).
(inget) ViewedSearchFörhandsvisning Get-ComplianceSearchAction -Preview En användare förhandsgranskade resultatet av en innehållssökning i efterlevnadsportalen. Den här aktiviteten loggas också när en användare förhandsgranskar resultatet av en sökning som är associerad med ett eDiscovery-ärende (Standard).

Aktiviteter för eDiscovery (Premium)

I följande tabell beskrivs de eDiscovery-aktiviteter (Premium) som loggas i granskningsloggen. Dessa aktiviteter kan användas för att hjälpa dig att spåra aktivitetsförloppet i ett eDiscovery-fall (Premium).

Visningsnamn Åtgärd Beskrivning
Data har lagts till i en annan granskningsuppsättning AddWorkingSetQueryToWorkingSet Användaren har lagt till dokument från en granskningsuppsättning till en annan granskningsuppsättning.
Data som ska granskas har lagts till AddQueryToWorkingSet Användaren har lagt till sökresultaten från en innehållssökning som är associerad med ett eDiscovery-ärende (Premium) i en granskningsuppsättning.
Icke-Microsoft 365-data har lagts till för granskningsuppsättning AddNonOffice365DataToWorkingSet Användaren lade till icke-Microsoft 365-data i en granskningsuppsättning.
Åtgärdade dokument har lagts till för granskningsuppsättning AddRemediatedData Användaren laddar upp dokument som hade indexeringsfel som korrigerades till en granskningsuppsättning.
Analyserade data i granskningsuppsättningen RunAlgo Användaren körde analys på dokumenten i en granskningsuppsättning.
Kommenterat dokument i granskningsuppsättning AnnotateDocument Användaren kommenterade ett dokument i en granskningsuppsättning. Anteckningar innehåller redigerande innehåll i ett dokument.
Jämförd belastningsuppsättning LoadComparisonJob Användaren jämförde två olika belastningsuppsättningar i en granskningsuppsättning. En belastningsuppsättning är när data från en innehållssökning som är associerad med ärendet läggs till i en granskningsuppsättning.
Konverterade redigerade dokument till PDF BurnJob Användaren konverterade alla redigerade dokument i en granskningsuppsättning till PDF-filer.
Skapad granskningsuppsättning CreateWorkingSet Användaren har skapat en granskningsuppsättning.
Sökning i granskningsuppsättningen har skapats CreateWorkingSetSearch Användaren skapade en sökfråga som söker igenom dokumenten i en granskningsuppsättning.
Tagg skapad CreateTag Användaren skapade en tagggrupp i en granskningsuppsättning. En tagggrupp kan innehålla en eller flera underordnade taggar. Dessa taggar används sedan för att tagga dokument i granskningsuppsättningen.
Borttagen granskningsuppsättningssökning DeleteWorkingSetSearch Användaren har tagit bort en sökfråga i en granskningsuppsättning.
Borttagen tagg DeleteTag Användaren har tagit bort en tagg eller en tagggrupp i en granskningsuppsättning.
Nedladdat dokument DownloadDocument Användaren laddade ned ett dokument från en granskningsuppsättning.
Redigerad tagg UpdateTag Användaren ändrade en tagg i en granskningsuppsättning.
Exporterade dokument från granskningsuppsättning Exportjobb Användaren exporterade dokument från en granskningsuppsättning.
Ändrad skiftlägesinställning UpdateCaseSettings Användaren ändrade inställningarna för ett ärende. Ärendeinställningar omfattar ärendeinformation, åtkomstbehörigheter och inställningar som styr sök- och analysbeteendet.
Ändring av granskningsuppsättningssökning UpdateWorkingSetSearch Användaren redigerade en sökfråga i en granskningsuppsättning.
Förhandsgranskad sökning i granskningsuppsättningen PreviewWorkingSetSearch Användaren förhandsgranskade resultatet av en sökfråga i en granskningsuppsättning.
Åtgärdade feldokument ErrorRemediationJob Användaren åtgärdar filer som innehöll indexeringsfel.
Taggat dokument TagFiles Användaren taggar ett dokument i en granskningsuppsättning.
Taggade resultat av en fråga TagJob Användaren taggar alla dokument som matchar villkoren för sökfrågan i en granskningsuppsättning.
Visat dokument i granskningsuppsättning ViewDocument Användaren visade ett dokument i en granskningsuppsättning.

eDiscovery-cmdlet-aktiviteter

I följande tabell visas de cmdlet-granskningsloggposter som loggas när en administratör eller användare utför en eDiscovery-relaterad aktivitet med hjälp av efterlevnadsportalen eller genom att köra motsvarande cmdlet i Security & Compliance PowerShell. Den detaljerade informationen i granskningsloggposten skiljer sig åt för de cmdlet-aktiviteter som anges i den här tabellen och de eDiscovery-aktiviteter som beskrivs i föregående avsnitt.

Som tidigare nämnts kan det ta upp till 24 timmar innan eDiscovery-cmdlet-aktiviteter visas i sökresultatet för granskningsloggen.

Tips

Cmdletarna i kolumnen Operation i följande tabell är länkade till motsvarande cmdlet-hjälpavsnitt på TechNet. Gå till cmdlet-hjälpavsnittet för en beskrivning av tillgängliga parametrar för varje cmdlet. Parametern och parametervärdet som användes med en cmdlet ingår i granskningsloggposten för varje eDiscovery-cmdlet-aktivitet som loggas.

Visningsnamn Åtgärd (cmdlet) Beskrivning
Undantag skapades i eDiscovery-ärende
New-CaseHoldPolicy
Ett undantag skapades för ett eDiscovery-ärende. Ett undantag kan skapas med eller utan att ange en innehållskälla. Om innehållskällor anges identifieras de i granskningsloggposten.
Borttaget undantag från eDiscovery-ärende
Remove-CaseHoldPolicy
Ett undantag som är associerat med ett eDiscovery-ärende har tagits bort. Om du tar bort ett undantag frigörs alla innehållsplatser från undantaget. Om du tar bort undantaget tas även de undantagsregler som är associerade med undantaget bort (se Remove-CaseHoldRule nedan).
Ändrat undantag i eDiscovery-ärende
Set-CaseHoldPolicy
Ett undantag som är associerat med en eDiscovery har ändrats. Möjliga ändringar inkluderar att lägga till eller ta bort innehållsplatser eller stänga av (inaktivera) undantaget.
Skapad sökfråga för eDiscovery-ärendeundantaget
New-CaseHoldRule
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende skapades.
Borttagen sökfråga för eDiscovery-skiftlägesavspärrning
Remove-CaseHoldRule
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende togs bort. Att ta bort frågan från undantaget beror ofta på att ett undantag tas bort. När en hold- eller hold-fråga tas bort släpps de innehållsplatser som var undantagna.
Ändrad sökfråga för eDiscovery-skiftlägesavspärrning
Set-CaseHoldRule
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende har ändrats. Möjliga ändringar omfattar redigering av frågan eller datumintervallet för ett frågebaserat undantag.
EDiscovery-ärende har skapats
New-ComplianceCase
Ett eDiscovery-ärende skapades. När ett ärende skapas behöver du bara ge det ett namn. Andra ärenderelaterade uppgifter som att lägga till medlemmar, skapa undantag och skapa innehållssökningar som är associerade med ärendet resulterar i att ytterligare händelser loggas.
Borttaget eDiscovery-ärende
Ta bort efterlevnadsfall
Ett eDiscovery-ärende togs bort. Alla undantag som är associerade med ärendet måste tas bort innan ärendet kan tas bort.
EDiscovery-ärende har ändrats
Set-ComplianceCase
Ett eDiscovery-fall har ändrats. Ändringar omfattar att stänga ett öppet ärende eller öppna ett stängt ärende igen.
Medlem har lagts till i eDiscovery-ärende
Add-ComplianceCaseMember
En användare har lagts till som medlem i ett eDiscovery-ärende. Som medlem i ett ärende kan en användare utföra olika ärenderelaterade uppgifter beroende på om de har tilldelats nödvändiga behörigheter.
Medlem har tagits bort från eDiscovery-ärende
Remove-ComplianceCaseMember
En användare har tagits bort som medlem i ett eDiscovery-ärende.
EDiscovery-ärendemedlemskap har ändrats
Update-ComplianceCaseMember
Medlemskapslistan för ett eDiscovery-ärende har ändrats. Den här aktiviteten loggas när alla medlemmar ersätts med en grupp med nya användare. Om en enskild medlem läggs till eller tas bort loggas åtgärden Add-ComplianceCaseMember eller Remove-ComplianceCaseMember .
Innehållssökning har skapats
New-ComplianceSearch
En ny innehållssökning skapades.
Borttagen innehållssökning
Remove-ComplianceSearch
En befintlig innehållssökning har tagits bort.
Innehållssökning har ändrats
Set-ComplianceSearch
En befintlig innehållssökning har ändrats. Ändringar kan vara att lägga till eller ta bort innehållsplatser som genomsöks och redigera sökfrågan.
Startad innehållssökning
Start-ComplianceSearch
En innehållssökning har startats. När du skapar eller ändrar en innehållssökning med hjälp av gränssnittet för efterlevnadsportalen startas sökningen automatiskt. Om du skapar eller ändrar en sökning med hjälp av cmdleten New-ComplianceSearch eller Set-ComplianceSearch måste du köra cmdleten Start-ComplianceSearch för att starta sökningen.
Stoppad innehållssökning
Stop-ComplianceSearch
En innehållssökning som kördes stoppades.
Innehållssökningsåtgärd skapad
New-ComplianceSearchAction
En innehållssökningsåtgärd skapades. Innehållssökningsåtgärder omfattar förhandsgranskning av sökresultat, export av sökresultat, förberedelse av sökresultat för analys i eDiscovery (Premium) och permanent borttagning av objekt som matchar sökvillkoren för en innehållssökning.
Åtgärd för borttagen innehållssökning
Remove-ComplianceSearchAction
En innehållssökningsåtgärd har tagits bort.
Filter för skapade sökbehörigheter
New-ComplianceSecurityFilter
Ett sökbehörighetsfilter skapades.
Filter för borttagna sökbehörigheter
Remove-ComplianceSecurityFilter
Ett sökbehörighetsfilter har tagits bort.
Filter för ändrade sökbehörigheter
Set-ComplianceSecurityFilter
Ett sökbehörighetsfilter har ändrats.
EDiscovery-administratör har skapats
Add-eDiscoveryCaseAdmin
En användare har lagts till som eDiscovery-administratör i din organisation.
EDiscovery-administratören har tagits bort
Remove-eDiscoveryCaseAdmin
En eDiscovery-administratör har tagits bort från din organisation.
EDiscovery-administratörsmedlemskap har ändrats
Update-eDiscoveryCaseAdmin
Listan över eDiscovery-administratörer i din organisation har ändrats. Den här aktiviteten loggas när listan över eDiscovery-administratörer ersätts med en grupp med nya användare. Om en enskild användare läggs till eller tas bort loggas åtgärden Add-eDiscoveryCaseAdmin eller Remove-eDiscoveryCaseAdmin .
(inget) Get-ComplianceCase
Den här aktiviteten loggas när en användare visar en lista över eDiscovery-fall (Standard) eller eDiscovery (Premium). Den här aktiviteten loggas också när en användare visar ett specifikt fall i eDiscovery (Standard). När en användare visar ett specifikt ärende innehåller granskningsposten identiteten för det ärende som visades. Om användaren bara visade en lista över ärenden innehåller granskningsposten inte någon ärendeidentitet.
(inget) Get-ComplianceSearch Den här aktiviteten loggas när en användare visar en lista över innehållssökningar eller sökningar som är associerade med ett eDiscovery-ärende (Standard). Den här aktiviteten loggas också när en användare visar en specifik innehållssökning eller visar en specifik sökning som är associerad med ett eDiscovery-ärende (Standard). När en användare visar en specifik sökning innehåller granskningsposten identiteten för sökningen som visades. Om användaren bara visade en lista över sökningar innehåller granskningsposten inte någon sökidentitet.
(inget) Get-ComplianceSearchAction Den här aktiviteten loggas när en användare visar en lista över åtgärder för efterlevnadssökning (till exempel exporter, förhandsversioner eller rensningar) eller åtgärder som är associerade med ett eDiscovery-ärende (Standard). Den här aktiviteten loggas också när en användare visar en specifik efterlevnadssökningsåtgärd (till exempel en export) eller visar en specifik åtgärd som är associerad med ett eDiscovery-ärende (Standard). När en användare visar en sökåtgärd innehåller granskningsposten identiteten för sökåtgärden som visades. Om användaren bara visade en lista över åtgärder innehåller granskningsposten inte någon åtgärdsidentitet.

Detaljerade egenskaper för eDiscovery-aktiviteter

I följande tabell beskrivs de egenskaper som ingår på den utfällbara sidan för en eDiscovery-aktivitet som anges i sökresultaten. Dessa egenskaper ingår också i CSV-filen när du exporterar sökresultatet för granskningsloggen. En granskningsloggpost för en eDiscovery-aktivitet innehåller inte alla detaljerade egenskaper som anges nedan.

Tips

När du exporterar sökresultaten innehåller CSV-filen en kolumn med namnet AudtiData, som innehåller de detaljerade egenskaper som beskrivs i följande tabell i en egenskap med flera värden. Du kan använda funktionen Power Query i Excel för att dela upp den här kolumnen i flera kolumner så att varje egenskap har en egen kolumn. På så sätt kan du sortera och filtrera på en eller flera av dessa egenskaper. Mer information finns i avsnittet "Exportera sökresultat till en fil" i Sök i granskningsloggen.

Egenskap Beskrivning
Fall
Identiteten (GUID) för eDiscovery-ärendet som skapades, ändrades eller togs bort.
ClientApplication
eDiscovery-cmdlet-aktiviteter har värdet EMC för den här egenskapen. Detta indikerar att aktiviteten utfördes med hjälp av efterlevnadsportalens GUI eller genom att köra cmdleten i PowerShell.
ClientIP
IP-adressen för den enhet som användes när aktiviteten loggades. IP-adressen visas i IPv4- eller IPv6-adressformat.
ClientRequestId
För eDiscovery-aktiviteter är den här egenskapen vanligtvis tom.
CmdletVersion
Versionsnumret för versionen av efterlevnadsportalen som körs i din organisation.
CreationTime
Datum och tid i Coordinated Universal Time (UTC) när eDiscovery-aktiviteten slutfördes.
EffectiveOrganization
Namnet på Microsoft 365-organisationen.
ExchangeLocations
De Exchange Online postlådor som ingår i en innehållssökning eller spärras i ett eDiscovery-ärende.
Undantag
Postlåda eller platsplatser som undantas från en innehållssökning eller ett undantag i ett eDiscovery-ärende.
ExtendedProperties
Ytterligare egenskaper från en innehållssökning, en innehållssökningsåtgärd eller undantag i ett eDiscovery-fall, till exempel objekt-GUID och motsvarande cmdlet- och cmdlet-parametrar som användes när aktiviteten utfördes.
Id
ID för rapportposten. ID:t identifierar posten i granskningsloggen unikt.
NonPIIParameters
En lista över de parametrar (utan några värden) som användes med cmdleten som identifierades i egenskapen Operation. Parametrarna som anges i den här egenskapen är desamma som de som anges i egenskapen Parametrar.
Objectid
GUID eller namnet på objektet (till exempel en innehållssökning eller ett eDiscovery-ärende (Standard) som har skapats, använts, ändrats eller tagits bort av aktiviteten som anges i egenskapen Åtgärd. Det här objektet identifieras också i kolumnen Objekt i sökresultatet för granskningsloggen.
ObjectType
Typen av eDiscovery-objekt som användaren skapade, tog bort eller ändrade. Till exempel en innehållssökningsåtgärd (förhandsversion, export eller rensning), ett eDiscovery-ärende eller en innehållssökning.
Åtgärd
Namnet på den åtgärd som motsvarar den eDiscovery-aktivitet som utfördes.
OrganizationId
GUID för din Microsoft 365-organisation.
Parametrar
Namn och värde för de parametrar som användes med motsvarande cmdlet.
PublicFolderLocations
De gemensamma mappplatserna i Exchange Online som ingår i en innehållssökning eller som har spärrats i ett eDiscovery-ärende.
Fråga
Sökfrågan som är associerad med aktiviteten, till exempel en innehållssökning eller ett frågebaserat undantag.
RecordType
Den typ av åtgärd som anges av posten. Värdet 18 anger en händelse som är relaterad till en aktivitet som anges i avsnittet eDiscovery-cmdlet-aktiviteter . Värdet 24 anger en händelse relaterad till en aktivitet som anges i avsnittet Så här söker du efter och visar eDiscovery-aktiviteter .
ResultStatus
Anger om åtgärden (som anges i egenskapen Operation) lyckades eller inte.
SecurityComplianceCenterEventType
Anger att aktiviteten var en händelse i efterlevnadsportalen. Alla eDiscovery-aktiviteter har värdet 0 för den här egenskapen.
SharepointLocations
SharePoint Online-webbplatser som ingår i en innehållssökning eller spärras i ett eDiscovery-fall.
Starttime
Datum och tid i Coordinated Universal Time (UTC) när eDiscovery-aktiviteten startades.
UserId
Den användare som utförde aktiviteten (anges i egenskapen Åtgärd) som resulterade i att posten loggades. Poster för eDiscovery-aktivitet som utförs av systemkonton (till exempel NT AUTHORITY\SYSTEM) ingår också i granskningsloggen.
UserKey
Ett alternativt ID för användaren som identifieras i egenskapen UserId. För eDiscovery-aktiviteter är värdet för den här egenskapen vanligtvis detsamma som egenskapen UserId.
UserServicePlan
Den prenumeration som används av din organisation. För eDiscovery-aktiviteter är den här egenskapen vanligtvis tom.
UserType
Den typ av användare som utförde åtgärden. Följande värden anger användartypen.
0 En vanlig användare. 2 En administratör i din organisation. 3 Ett Microsoft datacenteradministratör eller datacentersystemkonto. 4 Ett systemkonto. 5 Ett program. 6 Ett huvudnamn för tjänsten.
Version
Anger versionsnumret för aktiviteten (identifieras av egenskapen Operation) som loggas.
Arbetsbelastning
Tjänsten där aktiviteten inträffade. För eDiscovery-aktiviteter är värdet SecurityComplianceCenter.