Söka efter eDiscovery-aktiviteter i granskningsloggen
Innehållssökning och eDiscovery-relaterade aktiviteter (för Microsoft Purview eDiscovery (Standard) och Microsoft Purview eDiscovery (Premium)) som utförs i efterlevnadsportal i Microsoft Purview eller genom att köra motsvarande PowerShell-cmdletar loggas i granskningsloggen. Händelser loggas när administratörer eller eDiscovery-chefer (eller användartilldelade eDiscovery-behörigheter) utför följande uppgifter för innehållssökning och eDiscovery (Standard) i efterlevnadsportalen:
- Skapa och hantera eDiscovery-fall (Standard) och eDiscovery (Premium).
- Skapa, starta och redigera innehållssökningar.
- Utföra sökåtgärder, till exempel förhandsgranska, exportera och ta bort sökresultat.
- Hantera vårdnadshavare och granskningsuppsättningar i eDiscovery (Premium).
- Konfigurera behörighetsfiltrering för innehållssökning.
- Hantera eDiscovery-administratörsrollen.
Mer information om hur du söker i granskningsloggen, vilka behörigheter som krävs och hur du exporterar sökresultat finns i Sök i granskningsloggen i efterlevnadsportalen.
Tips
Om du inte är E5-kund kan du prova alla premiumfunktioner i Microsoft Purview kostnadsfritt. Använd den 90 dagar långa utvärderingsversionen av Purview-lösningar för att utforska hur robusta Purview-funktioner kan hjälpa din organisation att hantera datasäkerhets- och efterlevnadsbehov. Börja nu på efterlevnadsportal i Microsoft Purview utvärderingshubben. Läs mer om registrering och utvärderingsvillkor.
Så här söker du efter och visar eDiscovery-aktiviteter
För närvarande måste du göra några specifika saker för att visa eDiscovery-aktiviteter i granskningsloggen. Gör så här:
Gå till efterlevnadsportal i Microsoft Purview och logga in med ditt arbets- eller skolkonto.
I det vänstra navigeringsfönstret i efterlevnadsportalen väljer du Granska.
I listrutan Aktiviteter under eDiscovery-aktiviteter eller eDiscovery-aktiviteter (Premium) väljer du en eller flera aktiviteter att söka efter.
Obs!
Listrutan Aktiviteter innehåller också en grupp aktiviteter med namnet eDiscovery-cmdlet-aktiviteter som returnerar poster från cmdlet-granskningsloggen.
Välj ett datum- och tidsintervall för att visa eDiscovery-händelser som inträffat inom den perioden.
I rutan Användare väljer du en eller flera användare att visa sökresultat för. Lämna den här rutan tom om du vill returnera poster för alla användare.
Välj Sök för att köra sökningen med hjälp av dina sökvillkor.
När sökresultatet har visats kan du välja Filtrera resultat för att filtrera eller sortera de resulterande aktivitetsposterna. Tyvärr kan du inte använda filtrering för att uttryckligen utesluta vissa aktiviteter.
Om du vill visa information om en aktivitet väljer du aktivitetsposten i listan med sökresultat.
En utfälld informationssida visas som innehåller detaljerade egenskaper från händelseposten. Om du vill visa ytterligare information väljer du Mer information. En beskrivning av dessa egenskaper finns i avsnittet Detaljerade egenskaper för eDiscovery-aktiviteter .
Om du vill kan du exportera sökresultatet för granskningsloggen till en CSV-fil och sedan använda funktionen Excel Power Query för att formatera och filtrera dessa poster. Mer information finns i Exportera, konfigurera och visa granskningsloggposter.
eDiscovery-aktiviteter
I följande tabell beskrivs aktiviteterna Innehållssökning och eDiscovery (Standard) som loggas när en administratör eller eDiscovery-chef utför en eDiscovery-relaterad aktivitet med hjälp av efterlevnadsportalen. Vissa aktiviteter som utförs i eDiscovery (Premium) kan returneras när du söker efter aktiviteter i den här listan.
Obs!
EDiscovery-aktiviteterna som beskrivs i det här avsnittet innehåller liknande information som cmdlet-aktiviteterna eDiscovery som beskrivs i nästa avsnitt. Vi rekommenderar att du använder eDiscovery-aktiviteterna som beskrivs i det här avsnittet eftersom de visas i sökresultaten för granskningsloggen inom 30 minuter. Det kan ta upp till 24 timmar innan eDiscovery-cmdlet-aktiviteter visas i sökresultat för granskningsloggar.
| Visningsnamn | Åtgärd | Motsvarande cmdlet | Beskrivning |
|---|---|---|---|
| Medlem har lagts till i eDiscovery-ärende |
CaseMemberAdded |
Add-ComplianceCaseMember |
En användare har lagts till som medlem i ett eDiscovery-ärende. Som medlem i ett ärende kan en användare utföra olika ärenderelaterade uppgifter beroende på om de har tilldelats nödvändiga behörigheter. |
| Innehållssökning har ändrats |
SearchUpdated |
Set-ComplianceSearch |
En befintlig innehållssökning har ändrats. Ändringar kan vara att lägga till eller ta bort innehållsplatser eller redigera sökfrågan. |
| EDiscovery-administratörsmedlemskap har ändrats |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
Listan över eDiscovery-administratörer i din organisation har ändrats. Den här aktiviteten loggas när listan över eDiscovery-administratörer ersätts med en grupp med nya användare. Om en enskild användare läggs till eller tas bort loggas åtgärden CaseAdminAdded. |
| EDiscovery-ärende har ändrats |
CaseUpdated |
Set-ComplianceCase |
Ett eDiscovery-fall har ändrats. Ändringar omfattar att stänga ett öppet ärende eller öppna ett stängt ärende igen. |
| EDiscovery-ärendemedlemskap har ändrats |
CaseMemberUpdated |
Update-ComplianceCaseMember |
Medlemskapslistan för ett eDiscovery-ärende har ändrats. Den här aktiviteten loggas när alla medlemmar ersätts med en grupp med nya användare. Om en enskild medlem läggs till eller tas bort loggas åtgärden CaseMemberAdded eller CaseMemberRemoved. |
| Filter för ändrade sökbehörigheter |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
Ett sökbehörighetsfilter har ändrats. |
| Ändrad sökfråga för eDiscovery-skiftlägesavspärrning |
HoldUpdated |
Set-CaseHoldRule |
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende har ändrats. Möjliga ändringar omfattar redigering av frågan eller datumintervallet för ett frågebaserat undantag. |
| Förhandsgranskningsobjekt för innehållssökning har laddats ned |
PreviewItemDownloaded |
EJ TILLÄMPLIGT |
En användare laddade ned ett objekt till sin lokala dator (genom att välja länken Ladda ned originalobjekt ) när de förhandsgranskade sökresultaten. |
| Förhandsgranskningsobjekt för innehållssökning visas |
PreviewItemListed |
EJ TILLÄMPLIGT |
En användare valde Förhandsgranska sökresultat för att visa sökresultatsidan för förhandsversionen, som visar upp till 1 000 objekt från resultatet av en sökning. |
| Förhandsgranskningsobjekt för innehållssökning visas |
PreviewItemRendered |
EJ TILLÄMPLIGT |
En eDiscovery-hanterare visade ett objekt genom att välja det när sökresultaten förhandsgranskades. |
| Innehållssökning har skapats |
Sökskapad |
New-ComplianceSearch |
En ny innehållssökning skapades. |
| EDiscovery-administratör har skapats |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
En användare har lagts till som eDiscovery-administratör i organisationen. |
| EDiscovery-ärende har skapats |
CaseAdded |
New-ComplianceCase |
Ett eDiscovery-ärende skapades. När ett ärende skapas behöver du bara ge det ett namn. Andra ärenderelaterade uppgifter som att lägga till medlemmar, skapa undantag och skapa innehållssökningar som är associerade med ärendet resulterar i att ytterligare händelser loggas. |
| Filter för skapade sökbehörigheter |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
Ett sökbehörighetsfilter skapades. |
| Skapad sökfråga för eDiscovery-ärendeundantaget |
HoldCreated |
New-CaseHoldRule |
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende skapades. |
| Borttagen innehållssökning |
SearchRemoved |
Remove-ComplianceSearch |
En befintlig innehållssökning har tagits bort. |
| EDiscovery-administratören har tagits bort |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
En eDiscovery-administratör har tagits bort från din organisation. |
| Borttaget eDiscovery-ärende |
CaseRemoved |
Remove-ComplianceCase |
Ett eDiscovery-ärende togs bort. Alla undantag som är associerade med ärendet måste tas bort innan ärendet kan tas bort. |
| Filter för borttagna sökbehörigheter |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
Ett sökbehörighetsfilter har tagits bort. |
| Borttagen sökfråga för eDiscovery-skiftlägesavspärrning |
HoldRemoved |
Remove-CaseHoldRule |
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende togs bort. Att ta bort frågan från undantaget beror ofta på att ett undantag tas bort. När en hold- eller hold-fråga tas bort släpps de innehållsplatser som var undantagna. |
| Nedladdad export av innehållssökning |
SearchExportDownloaded |
EJ TILLÄMPLIGT |
En användare laddade ned resultatet av en innehållssökning till sin lokala dator. En startad export av innehållssökningsaktivitet måste initieras innan sökresultat kan laddas ned. |
| Förhandsgranskade resultat av innehållssökning |
SökFörhandsvisad |
EJ TILLÄMPLIGT |
En användare förhandsgranskade resultatet av en innehållssökning. |
| Rensade resultat av innehållssökning |
SearchResultsPurged |
New-ComplianceSearchAction |
En användare rensade resultatet av en innehållssökning genom att köra kommandot New-ComplianceSearchAction -Purge . |
| Analys av innehållssökning har tagits bort |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
En förberedelseåtgärd för innehållssökning (för att förbereda sökresultat för eDiscovery (Premium)) har tagits bort. Om förberedelseåtgärden var mindre än två veckor gammal togs sökresultaten som förbereddes för eDiscovery (Premium) bort från Microsoft Azure-lagringsområdet. Om förberedelseåtgärden var äldre än 2 veckor anger den här händelsen att endast motsvarande förberedelseåtgärd har tagits bort. |
| Export av innehållssökning har tagits bort |
RemovedSearchExported |
Remove-ComplianceSearchAction |
En exportåtgärd för innehållssökning har tagits bort. Om exportåtgärden var mindre än två veckor gammal togs sökresultaten som laddades upp till Microsoft Azure-lagringsområdet bort. Om exportåtgärden var äldre än 2 veckor anger den här händelsen att endast motsvarande exportåtgärd har tagits bort. |
| Medlem har tagits bort från eDiscovery-ärende |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
En användare har tagits bort som medlem i ett eDiscovery-ärende. |
| Förhandsgranskningsresultat för innehållssökning har tagits bort |
RemovedSearchFörhandsvisat |
Remove-ComplianceSearchAction |
En förhandsgranskningsåtgärd för innehållssökning har tagits bort. |
| Rensningsåtgärden som utfördes vid innehållssökning har tagits bort |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
En rensningsåtgärd för innehållssökning har tagits bort. |
| Sökrapporten har tagits bort |
SearchReportRemoved |
Remove-ComplianceSearchAction |
En exportrapportåtgärd för innehållssökning har tagits bort. |
| Påbörjad analys av innehållssökning |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
Resultatet av en innehållssökning har förberetts för analys i eDiscovery (Premium). |
| Startad innehållssökning |
SearchStarted |
Start-ComplianceSearch |
En innehållssökning har startats. När du skapar eller ändrar en innehållssökning med hjälp av efterlevnadsportalen startas sökningen automatiskt. |
| Påbörjad export av innehållssökning |
SearchExported |
New-ComplianceSearchAction |
En användare exporterade resultatet av en innehållssökning. |
| Exportrapport har startats |
SearchReport |
New-ComplianceSearchAction |
En användare exporterade en innehållssökningsrapport. |
| Stoppad innehållssökning |
Sök med toppad |
Stop-ComplianceSearch |
En användare stoppade en innehållssökning. |
| (inget) | CaseViewed | Get-ComplianceCase | En användare visade ett eDiscovery-ärende (Standard) i efterlevnadsportalen. Granskningsposten för den här händelsen innehåller namnet på ärendet som visades. |
| (inget) | SearchViewed | Get-ComplianceSearch | En användare visade en innehållssökning i efterlevnadsportalen genom att öppna sökningen på fliken Sökningar i ett eDiscovery-ärende (Standard) eller komma åt den på sidan Innehållssökning . Granskningsposten för den här händelsen innehåller identiteten för sökningen som visades. |
| (inget) | ViewedSearchExported | Get-ComplianceSearchAction -Export | En användare visade en export av innehållssökning i efterlevnadsportalen genom att öppna exporten på fliken Exporter på sidan Innehållssökning . Den här aktiviteten loggas också när en användare visar en export som är associerad med ett eDiscovery-ärende (Standard). |
| (inget) | ViewedSearchFörhandsvisning | Get-ComplianceSearchAction -Preview | En användare förhandsgranskade resultatet av en innehållssökning i efterlevnadsportalen. Den här aktiviteten loggas också när en användare förhandsgranskar resultatet av en sökning som är associerad med ett eDiscovery-ärende (Standard). |
Aktiviteter för eDiscovery (Premium)
I följande tabell beskrivs de eDiscovery-aktiviteter (Premium) som loggas i granskningsloggen. Dessa aktiviteter kan användas för att hjälpa dig att spåra aktivitetsförloppet i ett eDiscovery-fall (Premium).
| Visningsnamn | Åtgärd | Beskrivning |
|---|---|---|
| Data har lagts till i en annan granskningsuppsättning | AddWorkingSetQueryToWorkingSet | Användaren har lagt till dokument från en granskningsuppsättning till en annan granskningsuppsättning. |
| Data som ska granskas har lagts till | AddQueryToWorkingSet | Användaren har lagt till sökresultaten från en innehållssökning som är associerad med ett eDiscovery-ärende (Premium) i en granskningsuppsättning. |
| Icke-Microsoft 365-data har lagts till för granskningsuppsättning | AddNonOffice365DataToWorkingSet | Användaren lade till icke-Microsoft 365-data i en granskningsuppsättning. |
| Åtgärdade dokument har lagts till för granskningsuppsättning | AddRemediatedData | Användaren laddar upp dokument som hade indexeringsfel som korrigerades till en granskningsuppsättning. |
| Analyserade data i granskningsuppsättningen | RunAlgo | Användaren körde analys på dokumenten i en granskningsuppsättning. |
| Kommenterat dokument i granskningsuppsättning | AnnotateDocument | Användaren kommenterade ett dokument i en granskningsuppsättning. Anteckningar innehåller redigerande innehåll i ett dokument. |
| Jämförd belastningsuppsättning | LoadComparisonJob | Användaren jämförde två olika belastningsuppsättningar i en granskningsuppsättning. En belastningsuppsättning är när data från en innehållssökning som är associerad med ärendet läggs till i en granskningsuppsättning. |
| Konverterade redigerade dokument till PDF | BurnJob | Användaren konverterade alla redigerade dokument i en granskningsuppsättning till PDF-filer. |
| Skapad granskningsuppsättning | CreateWorkingSet | Användaren har skapat en granskningsuppsättning. |
| Sökning i granskningsuppsättningen har skapats | CreateWorkingSetSearch | Användaren skapade en sökfråga som söker igenom dokumenten i en granskningsuppsättning. |
| Tagg skapad | CreateTag | Användaren skapade en tagggrupp i en granskningsuppsättning. En tagggrupp kan innehålla en eller flera underordnade taggar. Dessa taggar används sedan för att tagga dokument i granskningsuppsättningen. |
| Borttagen granskningsuppsättningssökning | DeleteWorkingSetSearch | Användaren har tagit bort en sökfråga i en granskningsuppsättning. |
| Borttagen tagg | DeleteTag | Användaren har tagit bort en tagg eller en tagggrupp i en granskningsuppsättning. |
| Nedladdat dokument | DownloadDocument | Användaren laddade ned ett dokument från en granskningsuppsättning. |
| Redigerad tagg | UpdateTag | Användaren ändrade en tagg i en granskningsuppsättning. |
| Exporterade dokument från granskningsuppsättning | Exportjobb | Användaren exporterade dokument från en granskningsuppsättning. |
| Ändrad skiftlägesinställning | UpdateCaseSettings | Användaren ändrade inställningarna för ett ärende. Ärendeinställningar omfattar ärendeinformation, åtkomstbehörigheter och inställningar som styr sök- och analysbeteendet. |
| Ändring av granskningsuppsättningssökning | UpdateWorkingSetSearch | Användaren redigerade en sökfråga i en granskningsuppsättning. |
| Förhandsgranskad sökning i granskningsuppsättningen | PreviewWorkingSetSearch | Användaren förhandsgranskade resultatet av en sökfråga i en granskningsuppsättning. |
| Åtgärdade feldokument | ErrorRemediationJob | Användaren åtgärdar filer som innehöll indexeringsfel. |
| Taggat dokument | TagFiles | Användaren taggar ett dokument i en granskningsuppsättning. |
| Taggade resultat av en fråga | TagJob | Användaren taggar alla dokument som matchar villkoren för sökfrågan i en granskningsuppsättning. |
| Visat dokument i granskningsuppsättning | ViewDocument | Användaren visade ett dokument i en granskningsuppsättning. |
eDiscovery-cmdlet-aktiviteter
I följande tabell visas de cmdlet-granskningsloggposter som loggas när en administratör eller användare utför en eDiscovery-relaterad aktivitet med hjälp av efterlevnadsportalen eller genom att köra motsvarande cmdlet i Security & Compliance PowerShell. Den detaljerade informationen i granskningsloggposten skiljer sig åt för de cmdlet-aktiviteter som anges i den här tabellen och de eDiscovery-aktiviteter som beskrivs i föregående avsnitt.
Som tidigare nämnts kan det ta upp till 24 timmar innan eDiscovery-cmdlet-aktiviteter visas i sökresultatet för granskningsloggen.
Tips
Cmdletarna i kolumnen Operation i följande tabell är länkade till motsvarande cmdlet-hjälpavsnitt på TechNet. Gå till cmdlet-hjälpavsnittet för en beskrivning av tillgängliga parametrar för varje cmdlet. Parametern och parametervärdet som användes med en cmdlet ingår i granskningsloggposten för varje eDiscovery-cmdlet-aktivitet som loggas.
| Visningsnamn | Åtgärd (cmdlet) | Beskrivning |
|---|---|---|
| Undantag skapades i eDiscovery-ärende |
New-CaseHoldPolicy |
Ett undantag skapades för ett eDiscovery-ärende. Ett undantag kan skapas med eller utan att ange en innehållskälla. Om innehållskällor anges identifieras de i granskningsloggposten. |
| Borttaget undantag från eDiscovery-ärende |
Remove-CaseHoldPolicy |
Ett undantag som är associerat med ett eDiscovery-ärende har tagits bort. Om du tar bort ett undantag frigörs alla innehållsplatser från undantaget. Om du tar bort undantaget tas även de undantagsregler som är associerade med undantaget bort (se Remove-CaseHoldRule nedan). |
| Ändrat undantag i eDiscovery-ärende |
Set-CaseHoldPolicy |
Ett undantag som är associerat med en eDiscovery har ändrats. Möjliga ändringar inkluderar att lägga till eller ta bort innehållsplatser eller stänga av (inaktivera) undantaget. |
| Skapad sökfråga för eDiscovery-ärendeundantaget |
New-CaseHoldRule |
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende skapades. |
| Borttagen sökfråga för eDiscovery-skiftlägesavspärrning |
Remove-CaseHoldRule |
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende togs bort. Att ta bort frågan från undantaget beror ofta på att ett undantag tas bort. När en hold- eller hold-fråga tas bort släpps de innehållsplatser som var undantagna. |
| Ändrad sökfråga för eDiscovery-skiftlägesavspärrning |
Set-CaseHoldRule |
Ett frågebaserat undantag som är associerat med ett eDiscovery-ärende har ändrats. Möjliga ändringar omfattar redigering av frågan eller datumintervallet för ett frågebaserat undantag. |
| EDiscovery-ärende har skapats |
New-ComplianceCase |
Ett eDiscovery-ärende skapades. När ett ärende skapas behöver du bara ge det ett namn. Andra ärenderelaterade uppgifter som att lägga till medlemmar, skapa undantag och skapa innehållssökningar som är associerade med ärendet resulterar i att ytterligare händelser loggas. |
| Borttaget eDiscovery-ärende |
Ta bort efterlevnadsfall |
Ett eDiscovery-ärende togs bort. Alla undantag som är associerade med ärendet måste tas bort innan ärendet kan tas bort. |
| EDiscovery-ärende har ändrats |
Set-ComplianceCase |
Ett eDiscovery-fall har ändrats. Ändringar omfattar att stänga ett öppet ärende eller öppna ett stängt ärende igen. |
| Medlem har lagts till i eDiscovery-ärende |
Add-ComplianceCaseMember |
En användare har lagts till som medlem i ett eDiscovery-ärende. Som medlem i ett ärende kan en användare utföra olika ärenderelaterade uppgifter beroende på om de har tilldelats nödvändiga behörigheter. |
| Medlem har tagits bort från eDiscovery-ärende |
Remove-ComplianceCaseMember |
En användare har tagits bort som medlem i ett eDiscovery-ärende. |
| EDiscovery-ärendemedlemskap har ändrats |
Update-ComplianceCaseMember |
Medlemskapslistan för ett eDiscovery-ärende har ändrats. Den här aktiviteten loggas när alla medlemmar ersätts med en grupp med nya användare. Om en enskild medlem läggs till eller tas bort loggas åtgärden Add-ComplianceCaseMember eller Remove-ComplianceCaseMember . |
| Innehållssökning har skapats |
New-ComplianceSearch |
En ny innehållssökning skapades. |
| Borttagen innehållssökning |
Remove-ComplianceSearch |
En befintlig innehållssökning har tagits bort. |
| Innehållssökning har ändrats |
Set-ComplianceSearch |
En befintlig innehållssökning har ändrats. Ändringar kan vara att lägga till eller ta bort innehållsplatser som genomsöks och redigera sökfrågan. |
| Startad innehållssökning |
Start-ComplianceSearch |
En innehållssökning har startats. När du skapar eller ändrar en innehållssökning med hjälp av gränssnittet för efterlevnadsportalen startas sökningen automatiskt. Om du skapar eller ändrar en sökning med hjälp av cmdleten New-ComplianceSearch eller Set-ComplianceSearch måste du köra cmdleten Start-ComplianceSearch för att starta sökningen. |
| Stoppad innehållssökning |
Stop-ComplianceSearch |
En innehållssökning som kördes stoppades. |
| Innehållssökningsåtgärd skapad |
New-ComplianceSearchAction |
En innehållssökningsåtgärd skapades. Innehållssökningsåtgärder omfattar förhandsgranskning av sökresultat, export av sökresultat, förberedelse av sökresultat för analys i eDiscovery (Premium) och permanent borttagning av objekt som matchar sökvillkoren för en innehållssökning. |
| Åtgärd för borttagen innehållssökning |
Remove-ComplianceSearchAction |
En innehållssökningsåtgärd har tagits bort. |
| Filter för skapade sökbehörigheter |
New-ComplianceSecurityFilter |
Ett sökbehörighetsfilter skapades. |
| Filter för borttagna sökbehörigheter |
Remove-ComplianceSecurityFilter |
Ett sökbehörighetsfilter har tagits bort. |
| Filter för ändrade sökbehörigheter |
Set-ComplianceSecurityFilter |
Ett sökbehörighetsfilter har ändrats. |
| EDiscovery-administratör har skapats |
Add-eDiscoveryCaseAdmin |
En användare har lagts till som eDiscovery-administratör i din organisation. |
| EDiscovery-administratören har tagits bort |
Remove-eDiscoveryCaseAdmin |
En eDiscovery-administratör har tagits bort från din organisation. |
| EDiscovery-administratörsmedlemskap har ändrats |
Update-eDiscoveryCaseAdmin |
Listan över eDiscovery-administratörer i din organisation har ändrats. Den här aktiviteten loggas när listan över eDiscovery-administratörer ersätts med en grupp med nya användare. Om en enskild användare läggs till eller tas bort loggas åtgärden Add-eDiscoveryCaseAdmin eller Remove-eDiscoveryCaseAdmin . |
| (inget) | Get-ComplianceCase |
Den här aktiviteten loggas när en användare visar en lista över eDiscovery-fall (Standard) eller eDiscovery (Premium). Den här aktiviteten loggas också när en användare visar ett specifikt fall i eDiscovery (Standard). När en användare visar ett specifikt ärende innehåller granskningsposten identiteten för det ärende som visades. Om användaren bara visade en lista över ärenden innehåller granskningsposten inte någon ärendeidentitet. |
| (inget) | Get-ComplianceSearch | Den här aktiviteten loggas när en användare visar en lista över innehållssökningar eller sökningar som är associerade med ett eDiscovery-ärende (Standard). Den här aktiviteten loggas också när en användare visar en specifik innehållssökning eller visar en specifik sökning som är associerad med ett eDiscovery-ärende (Standard). När en användare visar en specifik sökning innehåller granskningsposten identiteten för sökningen som visades. Om användaren bara visade en lista över sökningar innehåller granskningsposten inte någon sökidentitet. |
| (inget) | Get-ComplianceSearchAction | Den här aktiviteten loggas när en användare visar en lista över åtgärder för efterlevnadssökning (till exempel exporter, förhandsversioner eller rensningar) eller åtgärder som är associerade med ett eDiscovery-ärende (Standard). Den här aktiviteten loggas också när en användare visar en specifik efterlevnadssökningsåtgärd (till exempel en export) eller visar en specifik åtgärd som är associerad med ett eDiscovery-ärende (Standard). När en användare visar en sökåtgärd innehåller granskningsposten identiteten för sökåtgärden som visades. Om användaren bara visade en lista över åtgärder innehåller granskningsposten inte någon åtgärdsidentitet. |
Detaljerade egenskaper för eDiscovery-aktiviteter
I följande tabell beskrivs de egenskaper som ingår på den utfällbara sidan för en eDiscovery-aktivitet som anges i sökresultaten. Dessa egenskaper ingår också i CSV-filen när du exporterar sökresultatet för granskningsloggen. En granskningsloggpost för en eDiscovery-aktivitet innehåller inte alla detaljerade egenskaper som anges nedan.
Tips
När du exporterar sökresultaten innehåller CSV-filen en kolumn med namnet AudtiData, som innehåller de detaljerade egenskaper som beskrivs i följande tabell i en egenskap med flera värden. Du kan använda funktionen Power Query i Excel för att dela upp den här kolumnen i flera kolumner så att varje egenskap har en egen kolumn. På så sätt kan du sortera och filtrera på en eller flera av dessa egenskaper. Mer information finns i avsnittet "Exportera sökresultat till en fil" i Sök i granskningsloggen.
| Egenskap | Beskrivning |
|---|---|
| Fall |
Identiteten (GUID) för eDiscovery-ärendet som skapades, ändrades eller togs bort. |
| ClientApplication |
eDiscovery-cmdlet-aktiviteter har värdet EMC för den här egenskapen. Detta indikerar att aktiviteten utfördes med hjälp av efterlevnadsportalens GUI eller genom att köra cmdleten i PowerShell. |
| ClientIP |
IP-adressen för den enhet som användes när aktiviteten loggades. IP-adressen visas i IPv4- eller IPv6-adressformat. |
| ClientRequestId |
För eDiscovery-aktiviteter är den här egenskapen vanligtvis tom. |
| CmdletVersion |
Versionsnumret för versionen av efterlevnadsportalen som körs i din organisation. |
| CreationTime |
Datum och tid i Coordinated Universal Time (UTC) när eDiscovery-aktiviteten slutfördes. |
| EffectiveOrganization |
Namnet på Microsoft 365-organisationen. |
| ExchangeLocations |
De Exchange Online postlådor som ingår i en innehållssökning eller spärras i ett eDiscovery-ärende. |
| Undantag |
Postlåda eller platsplatser som undantas från en innehållssökning eller ett undantag i ett eDiscovery-ärende. |
| ExtendedProperties |
Ytterligare egenskaper från en innehållssökning, en innehållssökningsåtgärd eller undantag i ett eDiscovery-fall, till exempel objekt-GUID och motsvarande cmdlet- och cmdlet-parametrar som användes när aktiviteten utfördes. |
| Id |
ID för rapportposten. ID:t identifierar posten i granskningsloggen unikt. |
| NonPIIParameters |
En lista över de parametrar (utan några värden) som användes med cmdleten som identifierades i egenskapen Operation. Parametrarna som anges i den här egenskapen är desamma som de som anges i egenskapen Parametrar. |
| Objectid |
GUID eller namnet på objektet (till exempel en innehållssökning eller ett eDiscovery-ärende (Standard) som har skapats, använts, ändrats eller tagits bort av aktiviteten som anges i egenskapen Åtgärd. Det här objektet identifieras också i kolumnen Objekt i sökresultatet för granskningsloggen. |
| ObjectType |
Typen av eDiscovery-objekt som användaren skapade, tog bort eller ändrade. Till exempel en innehållssökningsåtgärd (förhandsversion, export eller rensning), ett eDiscovery-ärende eller en innehållssökning. |
| Åtgärd |
Namnet på den åtgärd som motsvarar den eDiscovery-aktivitet som utfördes. |
| OrganizationId |
GUID för din Microsoft 365-organisation. |
| Parametrar |
Namn och värde för de parametrar som användes med motsvarande cmdlet. |
| PublicFolderLocations |
De gemensamma mappplatserna i Exchange Online som ingår i en innehållssökning eller som har spärrats i ett eDiscovery-ärende. |
| Fråga |
Sökfrågan som är associerad med aktiviteten, till exempel en innehållssökning eller ett frågebaserat undantag. |
| RecordType |
Den typ av åtgärd som anges av posten. Värdet 18 anger en händelse som är relaterad till en aktivitet som anges i avsnittet eDiscovery-cmdlet-aktiviteter . Värdet 24 anger en händelse relaterad till en aktivitet som anges i avsnittet Så här söker du efter och visar eDiscovery-aktiviteter . |
| ResultStatus |
Anger om åtgärden (som anges i egenskapen Operation) lyckades eller inte. |
| SecurityComplianceCenterEventType |
Anger att aktiviteten var en händelse i efterlevnadsportalen. Alla eDiscovery-aktiviteter har värdet 0 för den här egenskapen. |
| SharepointLocations |
SharePoint Online-webbplatser som ingår i en innehållssökning eller spärras i ett eDiscovery-fall. |
| Starttime |
Datum och tid i Coordinated Universal Time (UTC) när eDiscovery-aktiviteten startades. |
| UserId |
Den användare som utförde aktiviteten (anges i egenskapen Åtgärd) som resulterade i att posten loggades. Poster för eDiscovery-aktivitet som utförs av systemkonton (till exempel NT AUTHORITY\SYSTEM) ingår också i granskningsloggen. |
| UserKey |
Ett alternativt ID för användaren som identifieras i egenskapen UserId. För eDiscovery-aktiviteter är värdet för den här egenskapen vanligtvis detsamma som egenskapen UserId. |
| UserServicePlan |
Den prenumeration som används av din organisation. För eDiscovery-aktiviteter är den här egenskapen vanligtvis tom. |
| UserType |
Den typ av användare som utförde åtgärden. Följande värden anger användartypen. 0 En vanlig användare. 2 En administratör i din organisation. 3 Ett Microsoft datacenteradministratör eller datacentersystemkonto. 4 Ett systemkonto. 5 Ett program. 6 Ett huvudnamn för tjänsten. |
| Version |
Anger versionsnumret för aktiviteten (identifieras av egenskapen Operation) som loggas. |
| Arbetsbelastning |
Tjänsten där aktiviteten inträffade. För eDiscovery-aktiviteter är värdet SecurityComplianceCenter. |