Søg efter eDiscovery-aktiviteter i overvågningsloggen

Bemærk

Microsoft 365 overholdelse af angivne standarder kaldes nu Microsoft Purview, og løsningerne inden for overholdelsesområdet er blevet omdøbt. Du kan få flere oplysninger om Microsoft Purview i blogmeddelelsen.

Indholdssøgning og eDiscovery-relaterede aktiviteter (for Microsoft Purview eDiscovery (Standard) og Microsoft Purview eDiscovery (Premium)), der udføres i Microsoft Purview-compliance-portal eller ved at køre de tilsvarende PowerShell-cmdlet'er, er logført i overvågningsloggen. Hændelser logføres, når administratorer eller eDiscovery-ledere (eller alle brugere, der har fået tildelt eDiscovery-tilladelser), udfører følgende indholdssøgnings- og eDiscovery-opgaver (Standard) på overholdelsesportalen:

  • Oprettelse og administration af sager med eDiscovery (Standard) og eDiscovery (Premium)

  • Oprettelse, start og redigering af indholdssøgninger

  • Udførelse af søgehandlinger, f.eks. visning, eksport og sletning af søgeresultater

  • Administration af tilsynsførende og korrektursæt i eDiscovery (Premium)

  • Konfiguration af filtrering af tilladelser til indholdssøgning

  • Administration af rollen eDiscovery-administrator

Du kan finde flere oplysninger om søgning i overvågningsloggen, de nødvendige tilladelser og eksport af søgeresultater under Søg i overvågningsloggen på overholdelsesportalen.

Sådan søger og får du vist eDiscovery-aktiviteter

I øjeblikket skal du gøre et par specifikke ting for at få vist eDiscovery-aktiviteter i overvågningsloggen. Sådan gør du.

  1. Gå til , https://compliance.microsoft.com og log på med din arbejds- eller skolekonto.

  2. Klik på Overvåg i navigationsruden til venstre på overholdelsesportalen.

  3. Klik på en eller flere aktiviteter, du vil søge efter, under eDiscovery-aktiviteter eller eDiscovery-aktiviteter (Premium) på rullelisten Aktiviteter.

    Bemærk

    Rullelisten Aktiviteter indeholder også en gruppe aktiviteter med navnet eDiscovery-cmdlet-aktiviteter , der returnerer poster fra cmdlet-overvågningsloggen.

  4. Vælg et dato- og klokkeslætsinterval for at få vist eDiscovery-hændelser, der fandt sted inden for den pågældende periode.

  5. I feltet Brugere skal du vælge en eller flere brugere, der skal vises søgeresultater for. Lad dette felt være tomt for at returnere poster for alle brugere.

  6. Klik på Søg for at køre søgningen ved hjælp af dine søgekriterier.

  7. Når søgeresultaterne vises, kan du klikke på Filtrer resultater for at filtrere eller sortere de resulterende aktivitetsposter. Du kan desværre ikke bruge filtrering til eksplicit at udelade visse aktiviteter.

  8. Hvis du vil have vist oplysninger om en aktivitet, skal du klikke på aktivitetsposten på listen over søgeresultater.

    Siden Detaljer vises, der indeholder de detaljerede egenskaber fra hændelsesposten. Klik på Flere oplysninger for at få vist flere oplysninger. Du kan finde en beskrivelse af disse egenskaber i afsnittet Detaljerede egenskaber for eDiscovery-aktiviteter .

  9. Hvis du vil, kan du eksportere søgeresultaterne i overvågningsloggen til en CSV-fil og derefter bruge funktionen Excel Power Query til at formatere og filtrere disse poster. Du kan finde flere oplysninger under Eksportér, konfigurer og få vist overvågningslogposter.

eDiscovery-aktiviteter

I følgende tabel beskrives de indholdssøgnings- og eDiscovery-aktiviteter (Standard), der logføres, når en administrator eller eDiscovery-leder udfører en eDiscovery-relateret aktivitet ved hjælp af overholdelsesportalen. Nogle aktiviteter, der udføres i eDiscovery (Premium), returneres muligvis, når du søger efter aktiviteter på denne liste.

Bemærk

De eDiscovery-aktiviteter, der er beskrevet i dette afsnit, indeholder lignende oplysninger som de eDiscovery-cmdlet-aktiviteter, der er beskrevet i næste afsnit. Vi anbefaler, at du bruger de eDiscovery-aktiviteter, der er beskrevet i dette afsnit, fordi de vises i søgeresultaterne i overvågningsloggen inden for 30 minutter. Det kan tage op til 24 timer, før eDiscovery-cmdlet-aktiviteter vises i søgeresultaterne i overvågningsloggen.

Fuldt navn Drift Tilsvarende cmdlet Beskrivelse
Føjede medlem til eDiscovery-sag
CaseMemberAdded
Add-ComplianceCaseMember
En bruger blev tilføjet som medlem af en eDiscovery-sag. Som medlem af en sag kan en bruger udføre forskellige sagsrelaterede opgaver, afhængigt af om brugeren har fået tildelt de nødvendige tilladelser.
Ændret indholdssøgning
SearchUpdated
Set-ComplianceSearch
En eksisterende indholdssøgning blev ændret. Ændringer kan omfatte tilføjelse eller fjernelse af indholdsplaceringer eller redigering af søgeforespørgslen.
Har ændret eDiscovery-administratormedlemskab
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
Listen over eDiscovery-administratorer i din organisation blev ændret. Denne aktivitet logføres, når listen over eDiscovery-administratorer erstattes med en gruppe nye brugere. Hvis en enkelt bruger tilføjes eller fjernes, logføres handlingen CaseAdminAdded.
Ændrede eDiscovery-sag
CaseUpdated
Set-ComplianceCase
En eDiscovery-sag blev ændret. Ændringerne omfatter lukning af en åben sag eller genåbning af en lukket sag.
Har ændret eDiscovery-sagsmedlemskab
CaseMemberUpdated
Update-ComplianceCaseMember
Medlemskabslisten for en eDiscovery-sag blev ændret. Denne aktivitet logføres, når alle medlemmer erstattes med en gruppe nye brugere. Hvis et enkelt medlem tilføjes eller fjernes, logføres handlingen CaseMemberAdded eller CaseMemberRemoved.
Ændrede filteret for søgetilladelser
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Et filter for søgetilladelser blev ændret.
Ændrede søgeforespørgslen for eDiscovery-sag i venteposition
HoldUpdated
Set-CaseHoldRule
En forespørgselsbaseret venteposition, der er knyttet til en eDiscovery-sag, blev ændret. Mulige ændringer omfatter redigering af forespørgslen eller datointervallet for en forespørgselsbaseret venteposition.
Eksempelelementet til indholdssøgning er downloadet
PreviewItemDownloaded
NIELSEN
En bruger har downloadet et element til sin lokale computer (ved at klikke på linket Download oprindeligt element ), når søgeresultaterne vises.
Visningselement for indholdssøgning angivet
PreviewItemListed
NIELSEN
En bruger har klikket på Vis søgeresultater for at få vist siden med eksempelsøgeresultater, som viser op til 1.000 elementer fra resultaterne af en søgning.
Visning af eksempelelement til indholdssøgning
PreviewItemRendered
NIELSEN
En eDiscovery-leder fik vist et element ved at klikke på det, når søgeresultaterne vises.
Oprettelse af indholdssøgning
Søgeoprettelse
New-ComplianceSearch
Der blev oprettet en ny indholdssøgning.
Oprettede eDiscovery-administrator
CaseAdminAdded
Tilføj eDiscoveryCaseAdmin
En bruger blev tilføjet som eDiscovery-administrator i organisationen.
Oprettede eDiscovery-sag
CaseAdded
New-ComplianceCase
Der blev oprettet en eDiscovery-sag. Når der oprettes en sag, skal du kun give den et navn. Andre sagsrelaterede opgaver, f.eks. tilføjelse af medlemmer, oprettelse af ventepositioner og oprettelse af indholdssøgninger, der er knyttet til sagen, medfører, at der logføres yderligere hændelser.
Oprettede filter for søgetilladelser
SearchPermissionCreated
New-ComplianceSecurityFilter
Der blev oprettet et filter for søgetilladelser.
Oprettede søgeforespørgsel for eDiscovery-sag i venteposition
Ventepositionen er blevet genoprettet
New-CaseHoldRule
Der blev oprettet en forespørgselsbaseret venteposition, der er knyttet til en eDiscovery-sag.
Slettede indholdssøgning
SearchRemoved
Remove-ComplianceSearch
En eksisterende indholdssøgning blev slettet.
Slettede eDiscovery-administrator
CaseAdminRemoved
Fjern eDiscoveryCaseAdmin
En eDiscovery-administrator blev slettet fra din organisation.
Slettede eDiscovery-sag
Sagflytning
Remove-ComplianceCase
En eDiscovery-sag blev slettet. Alle ventepositioner, der er knyttet til sagen, skal fjernes, før sagen kan slettes.
Filter for slettede søgetilladelser
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Et filter for søgetilladelser blev slettet.
Slettede søgeforespørgsel for eDiscovery-sag i venteposition
Ventepositionflytning
Remove-CaseHoldRule
En forespørgselsbaseret venteposition, der er knyttet til en eDiscovery-sag, blev slettet. Hvis du fjerner forespørgslen fra ventepositionen, er det ofte resultatet af at slette en venteposition. Når en ventepositions- eller ventepositionsforespørgsel slettes, frigives de indholdsplaceringer, der var i venteposition.
Downloadet eksport af indholdssøgning
SearchExportDownloaded
NIELSEN
En bruger har downloadet resultaterne af en indholdssøgning til deres lokale computer. En startet eksport af indholdssøgningsaktivitet skal startes, før søgeresultaterne kan downloades.
Resultater af indholdssøgning, der er forhåndsvist
Søgning er gennemset
NIELSEN
En bruger har forhåndsvist resultaterne af en indholdssøgning.
Slettede resultater af indholdssøgning
SearchResultsPurged
New-ComplianceSearchAction
En bruger fjernede resultaterne af en indholdssøgning ved at køre kommandoen New-ComplianceSearchAction -Purge .
Fjernet analyse af indholdssøgning
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
En forberedelseshandling for indholdssøgning (til forberedelse af søgeresultater til eDiscovery (Premium)) blev slettet. Hvis forberedelseshandlingen var mindre end to uger gammel, blev de søgeresultater, der blev forberedt til eDiscovery (Premium), slettet fra Microsoft Azure lagerområde. Hvis forberedelseshandlingen var ældre end 2 uger, angiver denne hændelse, at det kun er den tilsvarende forberedelseshandling, der blev slettet.
Eksport af indholdssøgning er fjernet
RemovedSearchExported
Remove-ComplianceSearchAction
En eksporthandling for indholdssøgning blev slettet. Hvis eksporthandlingen var mindre end to uger gammel, blev de søgeresultater, der blev overført til Microsoft Azure lagerområde, slettet. Hvis eksporthandlingen var ældre end 2 uger, angiver denne hændelse, at det kun er den tilsvarende eksporthandling, der blev slettet.
Fjernede medlem fra eDiscovery-sag
CaseMemberRemoved
Remove-ComplianceCaseMember
En bruger blev fjernet som medlem af en eDiscovery-sag.
Fjernede eksempelresultaterne af indholdssøgningen
RemovedSearchPreviewed
Remove-ComplianceSearchAction
En visningshandling for indholdssøgning blev slettet.
Fjernede den slettede handling, der blev udført på indholdssøgning
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
En handling til sletning af indholdssøgning blev slettet.
Fjernede søgerapport
SearchReportRemoved
Remove-ComplianceSearchAction
En eksportrapporthandling for indholdssøgning blev slettet.
Startet analyse af indholdssøgning
SearchResultsSentToZoom
New-ComplianceSearchAction
Resultaterne af en indholdssøgning blev forberedt til analyse i eDiscovery (Premium).
Indholdssøgning er startet
Søg, der erstartet
Start-ComplianceSearch
En indholdssøgning blev startet. Når du opretter eller ændrer en indholdssøgning ved hjælp af overholdelsesportalen, startes søgningen automatisk.
Begyndte eksport af indholdssøgning
Søg eksporteret
New-ComplianceSearchAction
En bruger eksporterede resultaterne af en indholdssøgning.
Begyndte at eksportere rapporten
SearchReport
New-ComplianceSearchAction
En bruger eksporterede en indholdssøgningsrapport.
Stoppede indholdssøgning
SearchStopped
Stop-ComplianceSearch
En bruger har stoppet en indholdssøgning.
(ingen) CaseViewed Get-ComplianceCase En bruger fik vist en eDiscovery-sag (Standard) i Overholdelsescenter. Overvågningsposten for denne hændelse indeholder navnet på den sag, der blev vist.
(ingen) SearchViewed Get-ComplianceSearch En bruger fik vist en indholdssøgning i Overholdelsescenter ved at få adgang til søgningen under fanen Søgninger i en eDiscovery(Standard)-sag eller ved at få adgang til den på siden indholdssøgning . Overvågningsposten for denne hændelse indeholder id'et for den søgning, der blev vist.
(ingen) ViewedSearchExported Get-ComplianceSearchAction -Eksportér En bruger fik vist en eksport af indholdssøgning i Overholdelsescenter ved at få adgang til eksporten under fanen Eksportersiden Indholdssøgning . Denne aktivitet logføres også, når en bruger får vist en eksport, der er knyttet til en eDiscovery-sag (Standard).
(ingen) ViewedSearchPreviewed Get-ComplianceSearchAction – eksempelvisning En bruger har forhåndsvist resultaterne af en indholdssøgning i Overholdelsescenter. Denne aktivitet logføres også, når en bruger får vist resultaterne af en søgning, der er knyttet til en eDiscovery-sag (Standard).

eDiscovery-aktiviteter (Premium)

I følgende tabel beskrives de eDiscovery-aktiviteter (Premium), der logføres i overvågningsloggen. Disse aktiviteter kan bruges til at hjælpe dig med at spore forløbet af aktiviteter i en eDiscovery-sag (Premium).

Fuldt navn Drift Beskrivelse
Data er føjet til et andet korrektursæt AddWorkingSetQueryToWorkingSet Brugeren har føjet dokumenter fra ét korrektursæt til et andet korrektursæt.
Tilføjede data til gennemsynssættet AddQueryToWorkingSet Brugeren har føjet søgeresultaterne fra en indholdssøgning, der er knyttet til en eDiscovery-sag (Premium), til et korrektursæt.
Tilføjede data, der ikke Microsoft 365, for at gennemse sættet AddNonOffice365DataToWorkingSet Brugeren føjede ikke-Microsoft 365 data til et korrektursæt.
Tilføjede afhjælpede dokumenter for at gennemse sættet AddRemediatedData Brugeren overfører dokumenter, der havde indekseringsfejl, som var rettet til et korrektursæt.
Analyserede data i korrektursæt RunAlgo Brugeren kørte analyser på dokumenterne i et korrektursæt.
Anmærkede dokumenter i korrektursæt Anmærkdokument Brugeren anmærkede et dokument i et korrektursæt. Anmærkning omfatter ændring af indhold i et dokument.
Sammenlignede indlæsningssæt LoadComparisonJob Brugeren sammenlignede to forskellige indlæsningssæt i et korrektursæt. Et indlæsningssæt er, når data fra en indholdssøgning, der er knyttet til sagen, føjes til et korrektursæt.
Konverterede redigerede dokumenter til PDF BurnJob Brugeren konverterede alle de redigerede dokumenter i et korrektursæt til PDF-filer.
Oprettede korrektursæt Opretarbejdssæt Brugeren har oprettet et korrektursæt.
Oprettelse af søgning i gennemsynssæt CreateWorkingSetSearch Brugeren har oprettet en søgeforespørgsel, der søger i dokumenterne i et korrektursæt.
Oprettet mærke CreateTag Brugeren har oprettet en kodegruppe i et korrektursæt. En kodegruppe kan indeholde en eller flere underordnede mærker. Disse mærker bruges derefter til at mærke dokumenter i korrektursættet.
Slettede søgning i gennemsynssæt DeleteWorkingSetSearch Brugeren slettede en søgeforespørgsel i et korrektursæt.
Slettet mærke DeleteTag Brugeren slettede et mærke eller en kodegruppe i et korrektursæt.
Downloadet dokument DownloadDocument Brugeren har downloadet et dokument fra et korrektursæt.
Mærket Redigeret UpdateTag Brugeren har ændret et mærke i et korrektursæt.
Eksporterede dokumenter fra korrektursæt Eksportjob Brugeren eksporterede dokumenter fra et korrektursæt.
Indstilling for ændret sag UpdateCaseSettings Brugeren ændrede indstillingerne for en sag. Sagsindstillinger omfatter sagsoplysninger, adgangstilladelser og indstillinger, der styrer søge- og analysefunktionsmåden.
Ændret søgning i gennemsynssæt UpdateWorkingSetSearch Brugeren redigerede en søgeforespørgsel i et korrektursæt.
Søgning i gennemset sæt PreviewWorkingSetSearch Brugeren har forhåndsvist resultaterne af en søgeforespørgsel i et korrektursæt.
Afhjælpede fejldokumenter ErrorRemediationJob Brugeren retter filer, der indeholdt indekseringsfejl.
Markeret dokument TagFiles Brugeren mærker et dokument i et korrektursæt.
Mærkede resultater af en forespørgsel TagJob Brugeren mærker alle de dokumenter, der opfylder kriterierne for søgeforespørgslen i et gennemsynssæt.
Fik vist dokumentet i korrektursæt ViewDocument Brugeren fik vist et dokument i et korrektursæt.

eDiscovery-cmdlet-aktiviteter

I følgende tabel vises de cmdlet-overvågningslogposter, der logføres, når en administrator eller bruger udfører en eDiscovery-relateret aktivitet ved hjælp af overholdelsescenter eller ved at køre den tilsvarende cmdlet i Security & Compliance Center PowerShell. De detaljerede oplysninger i overvågningslogposten er forskellige for de cmdlet-aktiviteter, der er angivet i denne tabel, og de eDiscovery-aktiviteter, der er beskrevet i det forrige afsnit.

Som tidligere nævnt kan det tage op til 24 timer, før eDiscovery-cmdlet-aktiviteter vises i søgeresultaterne i overvågningsloggen.

Tip

Cmdlet'erne i kolonnen Operation i følgende tabel er sammenkædet med det tilsvarende emne i Hjælp-cmdlet'en på TechNet. Gå til emnet i Hjælp-cmdlet'en for at få en beskrivelse af de tilgængelige parametre for hver cmdlet. Parameteren og parameterværdien, der blev brugt sammen med en cmdlet, er inkluderet i posten i overvågningsloggen for hver eDiscovery-cmdlet-aktivitet, der er logført.

Fuldt navn Handling (cmdlet) Beskrivelse
Oprettede venteposition i eDiscovery-sag
New-CaseHoldPolicy
Der blev oprettet en venteposition for en eDiscovery-sag. Der kan oprettes en venteposition med eller uden at angive en indholdskilde. Hvis der er angivet indholdskilder, identificeres de i posten i overvågningsloggen.
Slettede venteposition fra eDiscovery-sag
Remove-CaseHoldPolicy
En venteposition, der er knyttet til en eDiscovery-sag, blev slettet. Hvis du sletter en venteposition, frigives alle indholdsplaceringer fra ventepositionen. Sletning af ventepositionen resulterer også i sletning af de regler for sags venteposition, der er knyttet til ventepositionen (se Fjern-CaseHoldRule nedenfor).
Ændret venteposition i eDiscovery-sag
Set-CaseHoldPolicy
En venteposition, der er knyttet til en eDiscovery, blev ændret. Mulige ændringer omfatter tilføjelse eller fjernelse af indholdsplaceringer eller deaktivering af ventepositionen.
Oprettede søgeforespørgsel for eDiscovery-sag i venteposition
Ny-CaseHoldRule
Der blev oprettet en forespørgselsbaseret venteposition, der er knyttet til en eDiscovery-sag.
Slettede søgeforespørgsel for eDiscovery-sag i venteposition
Fjern-CaseHoldRule
En forespørgselsbaseret venteposition, der er knyttet til en eDiscovery-sag, blev slettet. Hvis du fjerner forespørgslen fra ventepositionen, er det ofte resultatet af at slette en venteposition. Når en ventepositions- eller ventepositionsforespørgsel slettes, frigives de indholdsplaceringer, der var i venteposition.
Ændrede søgeforespørgslen for eDiscovery-sag i venteposition
Set-CaseHoldRule
En forespørgselsbaseret venteposition, der er knyttet til en eDiscovery-sag, blev ændret. Mulige ændringer omfatter redigering af forespørgslen eller datointervallet for en forespørgselsbaseret venteposition.
Oprettede eDiscovery-sag
Sag om ny overholdelse
Der blev oprettet en eDiscovery-sag. Når der oprettes en sag, skal du kun give den et navn. Andre sagsrelaterede opgaver, f.eks. tilføjelse af medlemmer, oprettelse af ventepositioner og oprettelse af indholdssøgninger, der er knyttet til sagen, medfører, at der logføres yderligere hændelser.
Slettede eDiscovery-sag
Fjern overholdelse af regler og standarderCase
En eDiscovery-sag blev slettet. Alle ventepositioner, der er knyttet til sagen, skal fjernes, før sagen kan slettes.
Ændrede eDiscovery-sag
Set-ComplianceCase
En eDiscovery-sag blev ændret. Ændringerne omfatter lukning af en åben sag eller genåbning af en lukket sag.
Føjede medlem til eDiscovery-sag
Add-ComplianceCaseMember
En bruger blev tilføjet som medlem af en eDiscovery-sag. Som medlem af en sag kan en bruger udføre forskellige sagsrelaterede opgaver, afhængigt af om brugeren har fået tildelt de nødvendige tilladelser.
Fjernede medlem fra eDiscovery-sag
Remove-ComplianceCaseMember
En bruger blev fjernet som medlem af en eDiscovery-sag.
Har ændret eDiscovery-sagsmedlemskab
Update-ComplianceCaseMember
Medlemskabslisten for en eDiscovery-sag blev ændret. Denne aktivitet logføres, når alle medlemmer erstattes med en gruppe nye brugere. Hvis et enkelt medlem tilføjes eller fjernes, logføres handlingen Add-ComplianceCaseMember eller Remove-ComplianceCaseMember .
Oprettelse af indholdssøgning
Nyt overholdelsessøg
Der blev oprettet en ny indholdssøgning.
Slettede indholdssøgning
Remove-ComplianceSearch
En eksisterende indholdssøgning blev slettet.
Ændret indholdssøgning
Set-ComplianceSearch
En eksisterende indholdssøgning blev ændret. Ændringer kan omfatte tilføjelse eller fjernelse af indholdsplaceringer, der søges i, og redigering af søgeforespørgslen.
Indholdssøgning er startet
Start-ComplianceSearch
En indholdssøgning blev startet. Når du opretter eller ændrer en indholdssøgning ved hjælp af GUI for Overholdelsescenter, startes søgningen automatisk. Hvis du opretter eller ændrer en søgning ved hjælp af New-ComplianceSearch - eller Set-ComplianceSearch-cmdlet'en , skal du køre Start-ComplianceSearch-cmdlet'en for at starte søgningen.
Stoppede indholdssøgning
Stop-ComplianceSearch
En indholdssøgning, der kørte, blev stoppet.
Handlingen Oprettet indholdssøgning
New-ComplianceSearchAction
Der blev oprettet en indholdssøgningshandling. Handlinger til indholdssøgning omfatter visning af søgeresultater, eksport af søgeresultater, forberedelse af søgeresultater til analyse i eDiscovery (Premium) og permanent sletning af elementer, der opfylder søgekriterierne i en indholdssøgning.
Slettede indholdssøgningshandling
Remove-ComplianceSearchAction
En indholdssøgningshandling blev slettet.
Oprettede filter for søgetilladelser
New-ComplianceSecurityFilter
Der blev oprettet et filter for søgetilladelser.
Filter for slettede søgetilladelser
Remove-ComplianceSecurityFilter
Et filter for søgetilladelser blev slettet.
Ændrede filteret for søgetilladelser
Set-ComplianceSecurityFilter
Et filter for søgetilladelser blev ændret.
Oprettede eDiscovery-administrator
Tilføj eDiscoveryCaseAdmin
En bruger blev tilføjet som eDiscovery-administrator i din organisation.
Slettede eDiscovery-administrator
Fjern eDiscoveryCaseAdmin
En eDiscovery-administrator blev slettet fra din organisation.
Har ændret eDiscovery-administratormedlemskab
Update-eDiscoveryCaseAdmin
Listen over eDiscovery-administratorer i din organisation blev ændret. Denne aktivitet logføres, når listen over eDiscovery-administratorer erstattes med en gruppe nye brugere. Hvis en enkelt bruger tilføjes eller fjernes, logføres handlingen Add-eDiscoveryCaseAdmin eller Remove-eDiscoveryCaseAdmin .
(ingen) Get-ComplianceCase
Denne aktivitet logføres, når en bruger får vist en liste over sager med eDiscovery (Standard) eller eDiscovery (Premium). Denne aktivitet logføres også, når en bruger får vist en bestemt sag i eDiscovery (Standard). Når en bruger får vist en bestemt sag, indeholder overvågningsposten id'et for den sag, der blev vist. Hvis brugeren kun fik vist en liste over sager, indeholder overvågningsposten ikke en sagsidentitet.
(ingen) Get-ComplianceSearch Denne aktivitet logføres, når en bruger får vist en liste over indholdssøgninger eller søgninger, der er knyttet til en eDiscovery-sag (Standard). Denne aktivitet logføres også, når en bruger får vist en bestemt indholdssøgning eller får vist en bestemt søgning, der er knyttet til en eDiscovery-sag (Standard). Når en bruger får vist en bestemt søgning, indeholder overvågningsposten identiteten for den søgning, der blev vist. Hvis brugeren kun fik vist en liste over søgninger, indeholder overvågningsposten ikke en søgeidentitet.
(ingen) Get-ComplianceSearchAction Denne aktivitet logføres, når en bruger får vist en liste over søgehandlinger for overholdelse (f.eks. eksporter, prøveversioner eller sletninger) eller handlinger, der er knyttet til en eDiscovery-sag (Standard). Denne aktivitet logføres også, når en bruger får vist en bestemt søgehandling for overholdelse af angivne standarder (f.eks. en eksport) eller får vist en bestemt handling, der er knyttet til en eDiscovery-sag (Standard). Når en bruger får vist en søgehandling, indeholder overvågningsposten identiteten for den søgehandling, der blev vist. Hvis brugeren kun fik vist en liste over handlinger, indeholder overvågningsposten ikke en handlingsidentitet.

Detaljerede egenskaber for eDiscovery-aktiviteter

I følgende tabel beskrives de egenskaber, der er inkluderet på pop op-siden for en eDiscovery-aktivitet, der er angivet i søgeresultaterne. Disse egenskaber er også inkluderet i CSV-filen, når du eksporterer søgeresultaterne i overvågningsloggen. En overvågningslogpost for en eDiscovery-aktivitet indeholder ikke alle de detaljerede egenskaber, der er angivet nedenfor.

Tip

Når du eksporterer søgeresultaterne, indeholder CSV-filen en kolonne med navnet AudtiData, som indeholder de detaljerede egenskaber, der er beskrevet i følgende tabel i en egenskab med flere værdier. Du kan bruge funktionen Power Query i Excel til at opdele denne kolonne i flere kolonner, så hver egenskab har sin egen kolonne. Det giver dig mulighed for at sortere og filtrere på en eller flere af disse egenskaber. Du kan finde flere oplysninger i afsnittet "Eksportér søgeresultaterne til en fil" i Søg i overvågningsloggen.

Ejendom Beskrivelse
Tilfælde
Id'et (GUID) for den eDiscovery-sag, der blev oprettet, ændret eller slettet.
Klientprogram
eDiscovery-cmdlet-aktiviteter har værdien EMC for denne egenskab. Dette angiver, at aktiviteten blev udført ved hjælp af GUI for overholdelsescenter eller kørsel af cmdlet'en i PowerShell.
ClientIP
IP-adressen på den enhed, der blev brugt, da aktiviteten blev logført. IP-adressen vises i enten et IPv4- eller IPv6-adresseformat.
ClientRequestId
Denne egenskab er typisk tom for eDiscovery-aktiviteter.
CmdletVersion
Buildnummeret for den version af Overholdelsescenter, der kører i din organisation.
Oprettelsestid
Den dato og det klokkeslæt i UTC (Coordinated Universal Time), hvor eDiscovery-aktiviteten blev fuldført.
Effektiv organisation
Navnet på Microsoft 365-organisationen.
ExchangeLocations
De Exchange Online postkasser, der er inkluderet i en indholdssøgning eller sat i venteposition i en eDiscovery-sag.
Udeladelser
Postkasser eller webstedsplaceringer, der er udelukket fra en indholdssøgning eller en venteposition i en eDiscovery-sag.
Udvidedeegenskaber
Yderligere egenskaber fra en indholdssøgning, en indholdssøgningshandling eller venteposition i en eDiscovery-sag, f.eks. objekt-GUID og de tilsvarende cmdlet- og cmdlet-parametre, der blev brugt, da aktiviteten blev udført.
Id
Id'et for rapportposten. Id'et identificerer entydigt overvågningslogposten.
Ikke-PIIParameters
En liste over de parametre (uden nogen værdier), der blev brugt sammen med den cmdlet, der er identificeret i egenskaben Operation. De parametre, der er angivet i denne egenskab, er de samme som dem, der er angivet i egenskaben Parametre.
Objectid
OBJEKTETs GUID eller navn (f.eks. en indholdssøgning eller en eDiscovery (Standard)-sag, der blev oprettet, tilgået, ændret eller slettet af den aktivitet, der er angivet i egenskaben Operation. Dette objekt identificeres også i kolonnen Element i søgeresultaterne i overvågningsloggen.
Objecttype
Den type eDiscovery-objekt, som brugeren har oprettet, slettet eller ændret. f.eks. en indholdssøgningshandling (prøveversion, eksport eller fjernelse), en eDiscovery-sag eller en indholdssøgning.
Drift
Navnet på den handling, der svarer til den eDiscovery-aktivitet, der blev udført.
Organisations-id
GUID'et for din Microsoft 365 organisation.
Parametre
Navnet og værdien for de parametre, der blev brugt sammen med den tilsvarende cmdlet.
PublicFolderLocations
De offentlige mappeplaceringer i Exchange Online, der er inkluderet i en indholdssøgning eller sat i venteposition i en eDiscovery-sag.
Forespørgsel
Den søgeforespørgsel, der er knyttet til aktiviteten, f.eks. en indholdssøgning eller en forespørgselsbaseret venteposition.
Posttype
Den type handling, der er angivet af posten. Værdien 18 angiver en hændelse, der er relateret til en aktivitet, der er angivet i afsnittet eDiscovery-cmdletaktiviteter . En værdi på 24 angiver en hændelse, der er relateret til en aktivitet, der er angivet i afsnittet Sådan søger du efter og får vist eDiscovery-aktiviteter .
ResultStatus
Angiver, om handlingen (angivet i egenskaben Operation) lykkedes eller ej.
SecurityComplianceCenterEventType
Angiver, at aktiviteten var en hændelse i overholdelsescenter. Alle eDiscovery-aktiviteter har værdien 0 for denne egenskab.
SharepointLocations
De SharePoint Online-websteder, der er inkluderet i en indholdssøgning eller sat i venteposition i en eDiscovery-sag.
Starttidspunkt
Den dato og det klokkeslæt i UTC (Coordinated Universal Time), hvor eDiscovery-aktiviteten blev startet.
Userid
Den bruger, der udførte den aktivitet (angivet i egenskaben Operation), som resulterede i, at posten blev logført. Poster for eDiscovery-aktivitet, der udføres af systemkonti (f.eks NT AUTHORITY\SYSTEM), medtages også i overvågningsloggen.
UserKey
Et alternativt id for den bruger, der er identificeret i egenskaben UserId. For eDiscovery-aktiviteter er værdien for denne egenskab typisk den samme som egenskaben UserId.
UserServicePlan
Det abonnement, der bruges af din organisation. Denne egenskab er typisk tom for eDiscovery-aktiviteter.
UserType
Den type bruger, der udførte handlingen. Følgende værdier angiver brugertypen.
0 En almindelig bruger. 2 En administrator i din organisation. 3 En Microsoft-datacenteradministrator- eller datacentersystemkonto. 4 En systemkonto. 5 Et program. 6 En tjenesteprincipal.
Version
Angiver versionsnummeret for den aktivitet (identificeret af egenskaben Operation), der er logført.
Arbejdsbyrde
Den tjeneste, hvor aktiviteten fandt sted. For eDiscovery-aktiviteter er værdien SecurityComplianceCenter.