在审核日志中搜索电子数据展示活动

提示

电子数据展示 (预览) 现已在新的 Microsoft Purview 门户中提供。 若要详细了解如何使用新的电子数据展示体验,请参阅 了解电子数据展示 (预览版)

Microsoft Purview 电子数据展示 (Standard) 和 Microsoft Purview 电子数据展示 (高级版) ) (的内容搜索和电子数据展示相关活动Microsoft Purview 合规门户或运行相应的 PowerShell cmdlet 将记录在审核日志中。 当管理员或电子数据展示管理员 (或任何用户分配的电子数据展示权限) 在合规性门户中执行以下内容搜索和电子数据展示 (标准) 任务时,将记录事件:

  • 创建和管理 (标准版) 电子数据展示和电子数据展示 (高级版) 案例。
  • 创建、启动和编辑内容搜索。
  • 执行搜索操作,例如预览、导出和删除搜索结果。
  • 管理电子数据展示 (Premium) 中的保管人和审阅集。
  • 为内容搜索配置权限筛选。
  • 管理电子数据展示管理员角色。

有关搜索审核日志、所需权限和导出搜索结果的详细信息,请参阅 搜索审核日志

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

如何搜索和查看电子数据展示活动

目前,必须执行一些特定操作才能在审核日志中查看电子数据展示活动。 操作步骤如下:

注意

在有限的时间内,新的 Microsoft Purview 门户中也提供了此经典电子数据展示体验。 在电子数据展示 (预览版中启用合规性门户经典电子数据展示体验) 体验设置,以便在新的 Microsoft Purview 门户中显示经典体验。

  1. 转到Microsoft Purview 合规门户并使用工作或学校帐户登录。

  2. 在合规性门户的左侧导航窗格中,选择“ 审核”。

  3. “活动” 下拉列表中,在 “电子数据展示活动 ”或“ 电子数据展示 (高级) 活动”下,选择要搜索的一个或多个活动。

    注意

    活动” 下拉列表还包括一组名为 “电子数据展示 cmdlet 活动”的活动 ,这些活动将从 cmdlet 审核日志中返回记录。

  4. 选择日期和时间范围以显示在该时间段内发生的电子数据展示事件。

  5. 在“ 用户 ”框中,选择要显示其搜索结果的一个或多个用户。 将此框留空可返回所有用户的条目。

  6. 选择“搜索”以使用搜索条件运行搜索。

  7. 显示搜索结果后,可以选择“ 筛选结果 ”,对生成的活动记录进行筛选或排序。 遗憾的是,不能使用筛选来显式排除某些活动。

  8. 若要查看有关活动的详细信息,请在搜索结果列表中选择活动记录。

    将显示 “详细信息 ”浮出页,其中包含事件记录中的详细属性。 若要显示其他详细信息,请选择“ 详细信息”。 有关这些属性的说明,请参阅 电子数据展示活动的详细属性 部分。

  9. 如果需要,可以将审核日志搜索结果导出到 CSV 文件,然后使用 Excel Power Query 功能设置和筛选这些记录的格式。 有关详细信息,请参阅导出、配置和查看审核日志记录

电子数据展示活动

下表描述了当管理员或电子数据展示管理员使用合规性门户执行与电子数据展示相关的活动时记录的内容搜索和电子数据展示 (Standard) 活动。 在此列表中搜索活动时,可能会返回电子数据展示 (Premium) 中执行的某些活动。

注意

本节中所述的电子数据展示活动提供了与下一部分所述的电子数据展示 cmdlet 活动类似的信息。 建议使用本部分所述的电子数据展示活动,因为它们将在 30 分钟内显示在审核日志搜索结果中。 电子数据展示 cmdlet 活动可能需要长达 24 小时才能显示在审核日志搜索结果中。

友好名称 操作 相应的 cmdlet 说明
向电子数据展示案例添加了成员
CaseMemberAdded
Add-ComplianceCaseMember
用户已添加为电子数据展示案例的成员。 作为案例的成员,用户可以执行各种与案例相关的任务,具体取决于他们是否已获得必要的权限。
更改了内容搜索
SearchUpdated
Set-ComplianceSearch
现有内容搜索已更改。 更改可能包括添加或删除内容位置或编辑搜索查询。
已更改电子数据展示管理员成员身份
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
组织中电子数据展示管理员的列表已更改。 当电子数据展示管理员列表替换为一组新用户时,将记录此活动。 如果添加或删除单个用户,则会记录 CaseAdminAdded 操作。
已更改电子数据展示大小写
CaseUpdated
Set-ComplianceCase
电子数据展示事例已更改。 更改包括关闭未结案例或重新打开已结案。
已更改电子数据展示案例成员身份
CaseMemberUpdated
Update-ComplianceCaseMember
电子数据展示事例的成员身份列表已更改。 当将所有成员替换为一组新用户时,将记录此活动。 如果添加或删除了单个成员,则会记录 CaseMemberAdded 或 CaseMemberRemoved 操作。
更改了搜索权限筛选器
SearchPermissionUpdated
Set-ComplianceSecurityFilter
搜索权限筛选器已更改。
更改了电子数据展示事例保留的搜索查询
HoldUpdated
Set-CaseHoldRule
与电子数据展示事例关联的基于查询的保留已更改。 可能的更改包括编辑基于查询的保留的查询或日期范围。
下载的内容搜索预览项
PreviewItemDownloaded
不适用
用户在预览搜索结果时选择“ 下载原始项目 ”链接) , (将项目下载到其本地计算机。
列出的内容搜索预览项
PreviewItemListed
不适用
用户选择了 “预览搜索结果 ”以显示预览搜索结果页面,其中最多列出了搜索结果中的 1,000 个项目。
已创建内容搜索
SearchCreated
New-ComplianceSearch
已创建新的内容搜索。
已创建电子数据展示管理员
CaseAdminAdded
Add-eDiscoveryCaseAdmin
用户被添加为组织中的电子数据展示管理员。
已创建电子数据展示案例
CaseAdded
New-ComplianceCase
已创建电子数据展示事例。 创建事例时,只需为其指定一个名称。 其他与案例相关的任务(例如添加成员、创建保留和创建与案例关联的内容搜索)会导致记录其他事件。
已创建搜索权限筛选器
SearchPermissionCreated
New-ComplianceSecurityFilter
已创建搜索权限筛选器。
为电子数据展示保留创建了搜索查询
HoldCreated
New-CaseHoldRule
已创建与电子数据展示事例关联的基于查询的保留。
已删除的内容搜索
SearchRemoved
Remove-ComplianceSearch
删除了现有内容搜索。
已删除电子数据展示管理员
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
电子数据展示管理员已从组织中删除。
已删除电子数据展示案例
CaseRemoved
Remove-ComplianceCase
已删除电子数据展示案例。 在删除案例之前,必须删除与案例关联的任何保留。
已删除的搜索权限筛选器
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
已删除搜索权限筛选器。
已删除电子数据展示事例保留的搜索查询
HoldRemoved
Remove-CaseHoldRule
已删除与电子数据展示事例关联的基于查询的保留。 从保留中删除查询通常是删除保留的结果。 删除保留或保留查询时,将释放保留的内容位置。
下载的内容搜索导出
SearchExportDownloaded
不适用
用户已将内容搜索的结果下载到其本地计算机。 必须先启动 内容搜索活动的“开始导出 ”,然后才能下载搜索结果。
内容搜索的预览结果
SearchPreviewed
不适用
用户预览了内容搜索结果。
内容搜索的已清除结果
SearchResultsPurged
New-ComplianceSearchAction
用户通过运行 New-ComplianceSearchAction -Purge 命令清除内容搜索结果。
删除了内容搜索分析
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
删除了为电子数据展示准备搜索结果 (内容搜索准备操作, (Premium) ) 。 如果准备操作不到两周,则为电子数据展示 (高级版) 准备的搜索结果将从 Microsoft Azure 存储区域中删除。 如果准备操作超过 2 周,则此事件指示仅删除了相应的准备操作。
删除了内容搜索的导出
RemovedSearchExported
Remove-ComplianceSearchAction
内容搜索导出操作已删除。 如果导出操作不到两周,则会删除上传到 Azure 存储区域的搜索结果Microsoft。 如果导出操作超过 2 周,则此事件指示仅删除了相应的导出操作。
从电子数据展示案例中删除成员
CaseMemberRemoved
Remove-ComplianceCaseMember
用户作为电子数据展示案例的成员被删除。
删除了内容搜索的预览结果
RemovedSearchPreviewed
Remove-ComplianceSearchAction
内容搜索预览操作已删除。
删除了对内容搜索执行的清除操作
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
删除了内容搜索清除操作。
删除了搜索报表
SearchReportRemoved
Remove-ComplianceSearchAction
内容搜索导出报表操作已删除。
开始对内容搜索进行分析
SearchResultsSentToZoom
New-ComplianceSearchAction
内容搜索结果已准备好在电子数据展示 (Premium) 进行分析。
已启动内容搜索
SearchStarted
Start-ComplianceSearch
内容搜索已启动。 使用合规性门户创建或更改内容搜索时,将自动启动搜索。
开始导出内容搜索
SearchExported
New-ComplianceSearchAction
用户导出了内容搜索结果。
已启动导出报表
SearchReport
New-ComplianceSearchAction
用户导出了内容搜索报表。
已停止内容搜索
SearchStopped
Stop-ComplianceSearch
用户停止了内容搜索。
(无) CaseViewed Get-ComplianceCase 用户在合规性门户中查看了电子数据展示 (标准) 案例。 此事件的审核记录包括查看的案例的名称。
(无) SearchViewed Get-ComplianceSearch 用户通过在电子数据展示 (标准版) 案例中的“ 搜索 ”选项卡上访问搜索,或者在“内容搜索”页上访问该搜索,在合规性门户中查看了 内容搜索 。 此事件的审核记录包括查看的搜索的标识。
(无) ViewedSearchExported Get-ComplianceSearchAction -Export 用户通过在内容搜索页上 的“导出 ”选项卡上访问导出,在合规性门户中查看了 内容搜索导出 。 当用户查看与电子数据展示 (标准) 事例关联的导出时,也会记录此活动。
(无) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview 用户在合规性门户中预览了内容搜索结果。 当用户预览与电子数据展示 (标准) 事例关联的搜索结果时,也会记录此活动。

电子数据展示(高级版)活动

下表描述了在审核日志中记录的电子数据展示 (Premium) 活动。 这些活动可用于帮助你跟踪电子数据展示 (Premium) 案例中的活动进度。

友好名称 操作 说明
已将数据添加到另一审阅集 AddWorkingSetQueryToWorkingSet 用户已将文档从一个审阅集添加到另一审阅集。
已将数据添加到审阅集 AddQueryToWorkingSet 用户将与电子数据展示 (Premium) 事例关联的内容搜索的搜索结果添加到审阅集。
已将非 Microsoft 365 数据添加到审阅集 AddNonOffice365DataToWorkingSet 用户已将非 Microsoft 365 数据添加到审阅集。
已将修正的文档添加到审阅集 AddRemediatedData 用户上传了文档,这些文档具有已在审阅集中修复的索引错误。
已分析审阅集中的数据 RunAlgo 用户对审阅集中的文档运行了分析。
已批注审阅集中的文档 AnnotateDocument 用户已批注审阅集中的文档。 批注包含文档中的编修内容。
已比较加载集 LoadComparisonJob 用户已对审阅集中的两个不同加载集进行比较。 将与案例关联的内容搜索中的数据添加到审阅集时需要使用加载集。
已将编修文档转换为 PDF BurnJob 用户已将审阅集中的所有编修文档转换为 PDF 文件。
已创建审阅集 CreateWorkingSet 用户已创建审阅集。
已创建审阅集搜索 CreateWorkingSetSearch 用户已创建用于在审阅集中搜索文档的搜索查询。
已创建标记 CreateTag 用户已在审阅集中创建标记组。 标记组可以包含一个或多个子标记。 这些标记随后用于标记审阅集中的文档。
已删除审阅集搜索 DeleteWorkingSetSearch 用户已删除审阅集中的搜索查询。
已删除标记 DeleteTag 用户已删除审阅集中的标记或标记组。
已下载文档 DownloadDocument 用户从审阅集下载了文档。
已编辑标记 UpdateTag 用户已更改审阅集中的标记。
已从审阅集导出文档 ExportJob 用户已从审阅集导出文档。
已修改案例设置 UpdateCaseSettings 用户已修改案例设置。 案例设置包括控制搜索和分析行为的案例信息、访问权限和设置。
已修改审阅集搜索 UpdateWorkingSetSearch 用户已编辑审阅集中的搜索查询。
已预览审阅集搜索 PreviewWorkingSetSearch 用户已预览审阅集中的搜索查询结果。
已修正错误文档 ErrorRemediationJob 用户修复了包含索引错误的文件。
已标记文档 TagFiles 用户标记审阅集中的文档。
已标记查询结果 TagJob 用户标记与审阅集中的搜索查询条件相匹配的所有文档。
已查看审阅集中的文档 ViewDocument 用户已查看审阅集中的文档。

电子数据展示 cmdlet 活动

下表列出了管理员或用户使用合规性门户或通过在安全性 & 合规性 PowerShell 中运行相应的 cmdlet 来执行电子数据展示相关活动时记录的 cmdlet 审核日志记录。 对于此表中列出的 cmdlet 活动和上一部分所述的电子数据展示活动,审核日志记录中的详细信息是不同的。

如前所述,最长可能需要 24 小时,电子数据展示 cmdlet 活动才会显示在审核日志搜索结果中。

提示

下表中 “操作” 列中的 cmdlet 链接到 TechNet 上的相应 cmdlet 帮助主题。 转到 cmdlet 帮助主题,了解每个 cmdlet 的可用参数的说明。 与 cmdlet 一起使用的参数和参数值包含在记录的每个电子数据展示 cmdlet 活动的审核日志条目中。

友好名称 操作 (cmdlet) 说明
在电子数据展示案例中创建保留
New-CaseHoldPolicy
已为电子数据展示案例创建保留。 可以使用或不指定内容源来创建保留。 如果指定了内容源,则会在审核日志条目中标识它们。
从电子数据展示案例中删除了保留
Remove-CaseHoldPolicy
已删除与电子数据展示案例关联的保留。 删除保留会释放保留中的所有内容位置。 删除保留还会导致删除与保留关联的保留规则 (请参阅下面的 Remove-CaseHoldRule) 。
在电子数据展示案例中更改了保留
Set-CaseHoldPolicy
与电子数据展示关联的保留已更改。 可能的更改包括添加或删除内容位置,或关闭 (禁用) 保留。
为电子数据展示保留创建了搜索查询
New-CaseHoldRule
已创建与电子数据展示事例关联的基于查询的保留。
已删除电子数据展示事例保留的搜索查询
Remove-CaseHoldRule
已删除与电子数据展示事例关联的基于查询的保留。 从保留中删除查询通常是删除保留的结果。 删除保留或保留查询时,将释放保留的内容位置。
更改了电子数据展示事例保留的搜索查询
Set-CaseHoldRule
与电子数据展示事例关联的基于查询的保留已更改。 可能的更改包括编辑基于查询的保留的查询或日期范围。
已创建电子数据展示案例
New-ComplianceCase
已创建电子数据展示事例。 创建事例时,只需为其指定一个名称。 其他与案例相关的任务(例如添加成员、创建保留和创建与案例关联的内容搜索)会导致记录其他事件。
已删除电子数据展示案例
Remove-ComplianceCase
已删除电子数据展示案例。 在删除案例之前,必须删除与案例关联的任何保留。
已更改电子数据展示大小写
Set-ComplianceCase
电子数据展示事例已更改。 更改包括关闭未结案例或重新打开已结案。
向电子数据展示案例添加了成员
Add-ComplianceCaseMember
用户已添加为电子数据展示案例的成员。 作为案例的成员,用户可以执行各种与案例相关的任务,具体取决于他们是否已获得必要的权限。
从电子数据展示案例中删除成员
Remove-ComplianceCaseMember
用户作为电子数据展示案例的成员被删除。
已更改电子数据展示案例成员身份
Update-ComplianceCaseMember
电子数据展示事例的成员身份列表已更改。 当将所有成员替换为一组新用户时,将记录此活动。 如果添加或删除了单个成员,则会记录 Add-ComplianceCaseMemberRemove-ComplianceCaseMember 操作。
已创建内容搜索
New-ComplianceSearch
已创建新的内容搜索。
已删除的内容搜索
Remove-ComplianceSearch
删除了现有内容搜索。
更改了内容搜索
Set-ComplianceSearch
现有内容搜索已更改。 更改可能包括添加或删除搜索的内容位置以及编辑搜索查询。
已启动内容搜索
Start-ComplianceSearch
内容搜索已启动。 使用合规性门户 GUI 创建或更改内容搜索时,将自动启动搜索。 如果使用 New-ComplianceSearchSet-ComplianceSearch cmdlet 创建或更改搜索,则必须运行 Start-ComplianceSearch cmdlet 才能开始搜索。
已停止内容搜索
Stop-ComplianceSearch
正在运行的内容搜索已停止。
已创建内容搜索操作
New-ComplianceSearchAction
已创建内容搜索操作。 内容搜索操作包括预览搜索结果、导出搜索结果、准备在电子数据展示 (Premium) 中进行分析的搜索结果,以及永久删除与内容搜索的搜索条件匹配的项目。
已删除内容搜索操作
Remove-ComplianceSearchAction
内容搜索操作已删除。
已创建搜索权限筛选器
New-ComplianceSecurityFilter
已创建搜索权限筛选器。
已删除的搜索权限筛选器
Remove-ComplianceSecurityFilter
已删除搜索权限筛选器。
更改了搜索权限筛选器
Set-ComplianceSecurityFilter
搜索权限筛选器已更改。
已创建电子数据展示管理员
Add-eDiscoveryCaseAdmin
用户已添加为组织中的电子数据展示管理员。
已删除电子数据展示管理员
Remove-eDiscoveryCaseAdmin
电子数据展示管理员已从组织中删除。
已更改电子数据展示管理员成员身份
Update-eDiscoveryCaseAdmin
组织中电子数据展示管理员的列表已更改。 当电子数据展示管理员列表替换为一组新用户时,将记录此活动。 如果添加或删除了单个用户,则会记录 Add-eDiscoveryCaseAdminRemove-eDiscoveryCaseAdmin 操作。
(无) Get-ComplianceCase
当用户查看电子数据展示列表 (标准) 或电子数据展示 (高级) 事例时,将记录此活动。 当用户在电子数据展示 (标准) 中查看特定案例时,也会记录此活动。 当用户查看特定案例时,审核记录包括已查看案例的标识。 如果用户仅查看案例列表,则审核记录不包含案例标识。
(无) Get-ComplianceSearch 当用户查看与电子数据展示关联的内容搜索列表或搜索列表时,将记录此活动 (标准) 案例。 当用户查看特定内容搜索或查看与电子数据展示关联的特定搜索 (标准) 案例时,也会记录此活动。 当用户查看特定搜索时,审核记录包括已查看的搜索的标识。 如果用户仅查看了搜索列表,则审核记录不包含搜索标识。
(无) Get-ComplianceSearchAction 当用户查看符合性搜索操作列表 ((例如导出、预览或清除) 或与电子数据展示 (标准) 案例关联的操作)时,将记录此活动。 当用户查看特定合规性搜索操作 ((如导出) )或查看与电子数据展示 (标准) 事例关联的特定操作时,也会记录此活动。 当用户查看搜索操作时,审核记录包括已查看的搜索操作的标识。 如果用户仅查看了操作列表,则审核记录不包含操作标识。

电子数据展示活动的详细属性

下表描述了搜索结果中列出的电子数据展示活动的浮出控件页上包含的属性。 导出审核日志搜索结果时,这些属性也会包含在 CSV 文件中。 电子数据展示活动的审核日志记录不包括下面列出的每个详细属性。

提示

导出搜索结果时,CSV 文件包含名为 AudtiData 的列,该列包含下表所述的多值属性的详细属性。 可以使用 Excel 中的Power Query功能将此列拆分为多个列,以便每个属性都有自己的列。 这样,就可以对这些属性中的一个或多个属性进行排序和筛选。 有关详细信息,请参阅 搜索审核日志

属性 说明
情况
标识 (已创建、更改或删除的电子数据展示事例的 GUID) 。
ClientApplication
电子数据展示 cmdlet 活动具有此属性的 “EMC ”值。 这表示活动是通过使用合规性门户 GUI 或在 PowerShell 中运行 cmdlet 执行的。
ClientIP
记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。
ClientRequestId
对于电子数据展示活动,此属性通常为空白。
CmdletVersion
组织中运行的合规性门户版本的内部版本号。
CreationTime
协调世界时 (UTC 中的日期和时间) 电子数据展示活动完成时。
EffectiveOrganization
Microsoft 365 组织的名称。
ExchangeLocations
Exchange Online包含在内容搜索中或在电子数据展示案例中处于保留状态的邮箱。
排除项
在电子数据展示案例中,从内容搜索或保留中排除的邮箱或站点位置。
ExtendedProperties
内容搜索、内容搜索操作或电子数据展示案例中保留的其他属性,例如对象 GUID 以及执行活动时使用的相应 cmdlet 和 cmdlet 参数。
Id
报表条目的 ID。 ID 唯一标识审核日志条目。
NonPIIParameters
参数列表 (,其中没有任何值) 与 Operation 属性中标识的 cmdlet 一起使用。 此属性中列出的参数与 Parameters 属性中列出的参数相同。
ObjectId
对象的 GUID 或名称 (例如,由 Operation 属性中列出的活动创建、访问、更改或删除的内容搜索或电子数据展示 (Standard) 事例) 。 此对象也在审核日志搜索结果的“项”列中标识。
ObjectType
用户创建、删除或修改的电子数据展示对象的类型;例如,内容搜索操作 (预览、导出或清除) 、电子数据展示事例或内容搜索。
操作
与已执行的电子数据展示活动对应的操作的名称。
OrganizationId
Microsoft 365 组织的 GUID。
参数
与相应的 cmdlet 一起使用的参数的名称和值。
PublicFolderLocations
Exchange Online中的公用文件夹位置,这些文件夹位置包含在内容搜索中或在电子数据展示事例中处于保留状态。
查询
与活动关联的搜索查询,例如内容搜索或基于查询的保留。
RecordType
记录指示的操作类型。 值 18 表示与 电子数据展示 cmdlet 活动 部分中列出的活动相关的事件。 值为 24 表示与 如何搜索和查看电子数据展示 活动部分中列出的活动相关的事件。
ResultStatus
指示操作(在 Operation 属性中指定)成功还是失败。
SecurityComplianceCenterEventType
指示活动是合规性门户事件。 对于此属性,所有电子数据展示活动的值为 0
SharepointLocations
包含在内容搜索中或在电子数据展示案例中处于保留状态的 SharePoint Online 网站。
StartTime
协调世界时 (UTC) 启动电子数据展示活动的日期和时间。
UserID
执行活动的用户 (操作属性) 中指定的,导致记录记录。 审核日志中还包括由系统帐户 ((例如 NT AUTHORITY\SYSTEM) )执行的电子数据展示活动的记录。
UserKey
UserID 属性中标识的用户的备选 ID。 对于电子数据展示活动,此属性的值通常与 UserId 属性相同。
UserServicePlan
组织使用的订阅。 对于电子数据展示活动,此属性通常为空白。
UserType
执行操作的用户类型。 以下值指示用户类型。
0 普通用户。 2 组织中的管理员。 3 Microsoft数据中心管理员或数据中心系统帐户。 4 系统帐户。 5 应用程序。 6 服务主体。
版本
指示由记录的 Operation 属性) 标识的活动 (版本号。
Workload
发生活动的服务。 对于电子数据展示活动,值为 SecurityComplianceCenter