Suchen nach eDiscovery-Aktivitäten im Überwachungsprotokoll

Hinweis

Microsoft 365 Compliance wird jetzt Microsoft Purview genannt, und die Lösungen im Compliancebereich wurden umbenannt. Weitere Informationen zu Microsoft Purview finden Sie in der Blog-Ankündigung.

Inhaltssuche- und eDiscovery-bezogene Aktivitäten (für Microsoft Purview eDiscovery (Standard) und Microsoft Purview eDiscovery (Premium)), die im Microsoft Purview-Complianceportal oder durch Ausführen der entsprechenden PowerShell-Cmdlets ausgeführt werden, werden im Überwachungsprotokoll protokolliert. Ereignisse werden protokolliert, wenn Administratoren oder eDiscovery-Manager (oder jedem Benutzer zugewiesene eDiscovery-Berechtigungen) die folgenden Aufgaben für die Inhaltssuche und eDiscovery (Standard) im Complianceportal ausführen:

  • Erstellen und Verwalten von eDiscovery-Fällen (Standard) und eDiscovery-Fällen (Premium)

  • Erstellen, Starten und Bearbeiten von Inhaltssuchen

  • Ausführen von Suchaktionen, z. B. Anzeigen einer Vorschau, Exportieren und Löschen von Suchergebnissen

  • Verwalten von Verwahrern und Prüfdateisätzen in eDiscovery (Premium)

  • Konfigurieren der Berechtigungsfilterung für die Inhaltssuche

  • Verwalten der eDiscovery-Administratorrolle

Weitere Informationen zum Durchsuchen des Überwachungsprotokolls, zu den erforderlichen Berechtigungen und zum Exportieren von Suchergebnissen finden Sie unter Durchsuchen des Überwachungsprotokolls im Complianceportal.

Suchen und Anzeigen von eDiscovery-Aktivitäten

Derzeit müssen Sie einige bestimmte Schritte ausführen, um eDiscovery-Aktivitäten im Überwachungsprotokoll anzuzeigen. Die gehen so:

  1. Wechseln Sie zu https://compliance.microsoft.com, und melden Sie sich mit Ihrem Geschäfts-, Schul- oder Unikonto an.

  2. Klicken Sie im linken Navigationsbereich des Complianceportals auf "Überwachen".

  3. Klicken Sie in der Dropdownliste "Aktivitäten" unter eDiscovery-Aktivitäten oder eDiscovery-Aktivitäten (Premium) auf eine oder mehrere Aktivitäten, nach denen gesucht werden soll.

    Hinweis

    Die Dropdownliste "Aktivitäten " enthält auch eine Gruppe von Aktivitäten namens "eDiscovery"-Cmdlet-Aktivitäten , die Datensätze aus dem Cmdlet-Überwachungsprotokoll zurückgeben.

  4. Wählen Sie einen Datums- und Uhrzeitbereich aus, um eDiscovery-Ereignisse anzuzeigen, die innerhalb dieses Zeitraums aufgetreten sind.

  5. Wählen Sie im Feld "Benutzer " einen oder mehrere Benutzer aus, für die Suchergebnisse angezeigt werden sollen. Lassen Sie dieses Feld leer, um Einträge für alle Benutzer zurückzugeben.

  6. Klicken Sie auf Suchen, um die Suche anhand der Suchkriterien auszuführen.

  7. Nachdem die Suchergebnisse angezeigt wurden, können Sie auf " Ergebnisse filtern" klicken, um die resultierenden Aktivitätsdatensätze zu filtern oder zu sortieren. Leider können Sie die Filterung nicht verwenden, um bestimmte Aktivitäten explizit auszuschließen.

  8. Wenn Sie Details zu einer Aktivität anzeigen möchten, klicken Sie in der Liste der Suchergebnisse auf den Aktivitätsdatensatz.

    Es wird eine Detail-Flyoutseite angezeigt, die die detaillierten Eigenschaften aus dem Ereignisdatensatz enthält. Wenn Sie weitere Details anzeigen möchten, klicken Sie auf "Weitere Informationen". Eine Beschreibung dieser Eigenschaften finden Sie im Abschnitt "Detaillierte Eigenschaften für eDiscovery-Aktivitäten ".

  9. Wenn gewünscht, können Sie die Suchergebnisse des Überwachungsprotokolls in eine CSV-Datei exportieren und dann das Feature Excel Power Query verwenden, um diese Datensätze zu formatieren und zu filtern. Weitere Informationen finden Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.

eDiscovery-Aktivitäten

In der folgenden Tabelle werden die Aktivitäten für inhaltssuche und eDiscovery (Standard) beschrieben, die protokolliert werden, wenn ein Administrator oder eDiscovery-Manager eine eDiscovery-bezogene Aktivität über das Complianceportal ausführt. Einige Aktivitäten, die in eDiscovery (Premium) ausgeführt werden, werden möglicherweise zurückgegeben, wenn Sie nach Aktivitäten in dieser Liste suchen.

Hinweis

Die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten enthalten ähnliche Informationen wie die im nächsten Abschnitt beschriebenen eDiscovery-Cmdlet-Aktivitäten. Es wird empfohlen, die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten zu verwenden, da sie innerhalb von 30 Minuten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden. Es kann bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.

Anzeigename Vorgang Entsprechendes Cmdlet Beschreibung
Mitglied zum eDiscovery-Fall hinzugefügt
CaseMemberAdded
Add-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.
Inhaltssuche geändert
SearchUpdated
Set-ComplianceSearch
Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Bearbeiten der Suchabfrage umfassen.
eDiscovery-Administratormitgliedschaft geändert
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
Die Liste der eDiscovery-Administratoren in Ihrer Organisation wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der CaseAdminAdded-Vorgang protokolliert.
eDiscovery-Fall geändert
CaseUpdated
Set-ComplianceCase
Ein eDiscovery-Fall wurde geändert. Änderungen umfassen das Schließen eines geöffneten Falls oder das erneute Öffnen eines geschlossenen Falls.
EDiscovery-Fallmitgliedschaft geändert
CaseMemberUpdated
Update-ComplianceCaseMember
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der Vorgang "CaseMemberAdded" oder "CaseMemberRemoved" protokolliert.
Filter für Suchberechtigungen geändert
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde geändert.
Geänderte Suchabfrage für eDiscovery-Fallarchiv
HoldUpdated
Set-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.
Heruntergeladenes Vorschauelement für die Inhaltssuche
PreviewItemDownloaded
Nicht zutreffend
Ein Benutzer hat bei der Vorschau der Suchergebnisse ein Element auf den lokalen Computer heruntergeladen (indem er auf den Link " Ursprüngliches Element herunterladen ") geklickt hat.
In der Inhaltssuche aufgeführtes Vorschauelement
PreviewItemListed
Nicht zutreffend
Ein Benutzer hat auf die Vorschau der Suchergebnisse geklickt, um die Vorschau-Suchergebnisseite anzuzeigen, auf der bis zu 1.000 Elemente aus den Ergebnissen einer Suche aufgelistet werden.
Angezeigtes Vorschauelement für die Inhaltssuche
PreviewItemRendered
Nicht zutreffend
Ein eDiscovery-Manager hat ein Element angezeigt, indem er bei der Vorschau der Suchergebnisse darauf klickt.
Inhaltssuche erstellt
SearchCreated
New-ComplianceSearch
Eine neue Inhaltssuche wurde erstellt.
Erstellter eDiscovery-Administrator
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Ein Benutzer wurde als eDiscovery-Administrator in der Organisation hinzugefügt.
Erstellter eDiscovery-Fall
CaseAdded
New-ComplianceCase
Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen im Zusammenhang mit dem Fall führen dazu, dass zusätzliche Ereignisse protokolliert werden.
Suchberechtigungsfilter erstellt
SearchPermissionCreated
New-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde erstellt.
Erstellte Suchabfrage für eDiscovery-Fallarchiv
HoldCreated
New-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt.
Inhaltssuche gelöscht
SearchRemoved
Remove-ComplianceSearch
Eine vorhandene Inhaltssuche wurde gelöscht.
Gelöschter eDiscovery-Administrator
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Ein eDiscovery-Administrator wurde aus Ihrer Organisation gelöscht.
Gelöschter eDiscovery-Fall
CaseRemoved
Remove-ComplianceCase
Ein eDiscovery-Fall wurde gelöscht. Alle dem Fall zugeordneten Haltebereichs müssen entfernt werden, bevor der Fall gelöscht werden kann.
Filter für gelöschte Suchberechtigungen
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde gelöscht.
Gelöschte Suchabfrage für eDiscovery-Fallsperre
HoldRemoved
Remove-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Haltebereich ist häufig das Ergebnis des Löschens eines Haltebereichs. Wenn ein Haltebereich oder eine Haltebereichsabfrage gelöscht wird, werden die Inhaltsspeicherorte, die im Haltebereich waren, freigegeben.
Heruntergeladener Export der Inhaltssuche
SearchExportDownloaded
Nicht zutreffend
Ein Benutzer hat die Ergebnisse einer Inhaltssuche auf den lokalen Computer heruntergeladen. Ein gestarteter Export von Inhaltssuchaktivitäten muss initiiert werden, bevor Suchergebnisse heruntergeladen werden können.
Vorschau der Ergebnisse der Inhaltssuche
SearchPreviewed
Nicht zutreffend
Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche angezeigt.
Gelöschte Ergebnisse der Inhaltssuche
SearchResultsPurged
New-ComplianceSearchAction
Ein Benutzer hat die Ergebnisse einer Inhaltssuche gelöscht, indem er den Befehl New-ComplianceSearchAction -Purge ausführte.
Analyse der Inhaltssuche entfernt
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
Eine Vorbereitungsaktion für die Inhaltssuche (zum Vorbereiten von Suchergebnissen für eDiscovery (Premium)) wurde gelöscht. Wenn die Vorbereitungsaktion weniger als zwei Wochen alt war, wurden die suchergebnisse, die für eDiscovery (Premium) vorbereitet wurden, aus dem speicherbereich Microsoft Azure gelöscht. Wenn die Vorbereitungsaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Vorbereitungsaktion gelöscht wurde.
Export der Inhaltssuche entfernt
RemovedSearchExported
Remove-ComplianceSearchAction
Eine Exportaktion für die Inhaltssuche wurde gelöscht. Wenn die Exportaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die in den Microsoft Azure Speicherbereich hochgeladen wurden, gelöscht. Wenn die Exportaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Exportaktion gelöscht wurde.
Mitglied aus eDiscovery-Fall entfernt
CaseMemberRemoved
Remove-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt.
Vorschauergebnisse der Inhaltssuche entfernt
RemovedSearchPreviewed
Remove-ComplianceSearchAction
Eine Vorschauaktion für die Inhaltssuche wurde gelöscht.
Entfernte Bereinigungsaktion, die für die Inhaltssuche ausgeführt wurde
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Eine Aktion zum Löschen der Inhaltssuche wurde gelöscht.
Suchbericht entfernt
SearchReportRemoved
Remove-ComplianceSearchAction
Eine Exportberichtaktion für die Inhaltssuche wurde gelöscht.
Analyse der Inhaltssuche gestartet
SearchResultsSentToZoom
New-ComplianceSearchAction
Die Ergebnisse einer Inhaltssuche wurden für die Analyse in eDiscovery (Premium) vorbereitet.
Inhaltssuche gestartet
SearchStarted
Start-ComplianceSearch
Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche mithilfe des Complianceportals erstellen oder ändern, wird die Suche automatisch gestartet.
Export der Inhaltssuche gestartet
SearchExported
New-ComplianceSearchAction
Ein Benutzer hat die Ergebnisse einer Inhaltssuche exportiert.
Exportbericht gestartet
SearchReport
New-ComplianceSearchAction
Ein Benutzer hat einen Bericht zur Inhaltssuche exportiert.
Inhaltssuche beendet
SearchStopped
Stop-ComplianceSearch
Ein Benutzer hat eine Inhaltssuche beendet.
(kein) CaseViewed Get-ComplianceCase Ein Benutzer hat einen eDiscovery-Fall (Standard) im Compliance Center angezeigt. Der Überwachungsdatensatz für dieses Ereignis enthält den Namen des angezeigten Falls.
(kein) SearchViewed Get-ComplianceSearch Ein Benutzer hat eine Inhaltssuche im Compliance Center angezeigt, indem er in einem eDiscovery-Fall (Standard) auf die Suche auf der Registerkarte "Suchen " oder auf der Seite " Inhaltssuche " darauf zugreift. Der Überwachungsdatensatz für dieses Ereignis enthält die Identität der Suche, die angezeigt wurde.
(kein) ViewedSearchExported Get-ComplianceSearchAction -Export Ein Benutzer hat einen Export der Inhaltssuche im Compliance Center angezeigt, indem er auf der Seite "Inhaltssuche" auf der Registerkarte "Exporte" auf den Export zugreift. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen Export anzeigt, der einem eDiscovery-Fall (Standard) zugeordnet ist.
(kein) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview Ein Benutzer hat die Ergebnisse einer Inhaltssuche im Compliance Center in einer Vorschau angezeigt. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine Vorschau der Ergebnisse einer Suche anzeigt, die einem eDiscovery-Fall (Standard) zugeordnet ist.

eDiscovery (Premium)-Aktivitäten

In der folgenden Tabelle werden die im Überwachungsprotokoll protokollierten eDiscovery-Aktivitäten (Premium) beschrieben. Diese Aktivitäten können verwendet werden, um den Fortschritt von Aktivitäten in einem eDiscovery-Fall (Premium) nachzuverfolgen.

Anzeigename Vorgang Beschreibung
Daten zu einem anderen Prüfdateisatz hinzugefügt AddWorkingSetQueryToWorkingSet Der Benutzer hat Dokumente eines Prüfdateisatzes einem anderen hinzugefügt.
Daten zu einem Prüfdateisatz hinzugefügt AddQueryToWorkingSet Der Benutzer hat die Suchergebnisse aus einer Inhaltssuche, die einem eDiscovery-Fall (Premium) zugeordnet ist, zu einem Prüfdateisatz hinzugefügt.
Nicht von Microsoft 365 stammende Daten zu Prüfdateisatz hinzugefügt AddNonOffice365DataToWorkingSet Ein Benutzer hat nicht von Microsoft 365 stammende Daten zu einem Prüfdateisatz hinzugefügt.
Wiederhergestellte Dokumente zu Prüfdateisatz hinzugefügt AddRemediatedData Der Benutzer lädt Dokumente hoch, bei denen Indizierungsfehler aufgetreten sind, die in einem Prüfdateisatz festgehalten worden sind.
Daten im Prüfdateisatz analysiert RunAlgo Der Benutzer hat eine Analyse der Dokumente in einem Prüfdateisatz durchgeführt.
Dokument im Prüfdateisatz kommentiert AnnotateDocument Ein Benutzer hat ein Dokument in einem Prüfdateisatz kommentiert. „Kommentieren“ umfasst auch das Bearbeiten/Redigieren des Dokuments.
Ladesätze verglichen LoadComparisonJob Der Benutzer hat zwei verschiedene Ladesätze in einem Prüfdateisatz verglichen. Unter Ladesatz versteht man, dass Daten aus einer Inhaltssuche, die einem Fall zugeordnet sind, einem Prüfdateisatz hinzugefügt werden.
Dokumente in PDF-Dateien konvertiert BurnJob Der Benutzer hat alle redigierten Dokumente in einem Prüfdateisatz in PDF-Dateien konvertiert.
Prüfdateisatz erstellt CreateWorkingSet Der Benutzer hat einen Prüfdateisatz erstellt.
Prüfdateisatzsuche erstellt CreateWorkingSetSearch Der Benutzer hat eine Suchabfrage erstellt, die die Dokumente in einem Prüfdateisatz durchsuchen.
Tag erstellt CreateTag Ein Benutzer hat eine Tag-Gruppe in einem Prüfdateisatz erstellt. Eine Tag-Gruppe kann ein oder mehrere untergeordnete Tags enthalten. Diese Tags werden dann zum Taggen von Dokumenten im Prüfdateisatz verwendet.
Prüfdateisatzsuche gelöscht DeleteWorkingSetSearch Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz gelöscht.
Tag gelöscht DeleteTag Ein Benutzer hat ein Tag oder eine Tag-Gruppe in einem Prüfdateisatz gelöscht.
Heruntergeladenes Dokument DownloadDocument Ein Benutzer hat ein Dokument aus einem Prüfdateisatz heruntergeladen.
Tag bearbeitet UpdateTag Ein Benutzer hat ein Tag in einem Prüfdateisatz geändert.
Dokumente aus einem Prüfdateisatz exportiert ExportJob Der Benutzer hat Dokumente aus einem Prüfdateisatz exportiert.
Falleinstellungen geändert UpdateCaseSettings Der Benutzer hat die Einstellungen für einen Fall geändert. Die Falleinstellungen umfassen Fallinformationen, Zugriffsberechtigungen und Einstellungen, mit denen das Such- und Analyseverhalten gesteuert werden.
Prüfdateisatzsuche geändert UpdateWorkingSetSearch Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz geändert.
Vorschau einer Prüfdateisatzsuche angezeigt PreviewWorkingSetSearch Der Benutzer hat die Ergebnisse einer Suchabfrage in einem Prüfdateisatz in einer Vorschau angezeigt.
Fehler in Dokumenten behoben ErrorRemediationJob Der Benutzer behebt Dateien mit Indizierungsfehlern.
Dokument getaggt TagFiles Ein Benutzer hat ein Dokument in einem Prüfdateisatz mit Tags versehen.
Ergebnisse einer Abfrage getaggt TagJob Ein Benutzer hat alle Dokumente getaggt, die den Kriterien einer Suchabfrage in einem Prüfdateisatz entsprechen.
Dokument im Prüfdateisatz angezeigt ViewDocument Ein Benutzer hat ein Dokument in einem Prüfdateisatz angezeigt.

eDiscovery-Cmdlet-Aktivitäten

In der folgenden Tabelle sind die Cmdlet-Überwachungsprotokolldatensätze aufgeführt, die protokolliert werden, wenn ein Administrator oder Benutzer eine eDiscovery-bezogene Aktivität mithilfe des Compliance Centers oder durch Ausführen des entsprechenden Cmdlets in Security & Compliance PowerShell ausführt. Die detaillierten Informationen im Überwachungsprotokolldatensatz unterscheiden sich für die in dieser Tabelle aufgeführten Cmdlet-Aktivitäten und die im vorherigen Abschnitt beschriebenen eDiscovery-Aktivitäten.

Wie bereits erwähnt, kann es bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.

Tipp

Die Cmdlets in der Spalte "Vorgang" in der folgenden Tabelle sind mit dem entsprechenden Cmdlet-Hilfethema auf TechNet verknüpft. Im Hilfethema zum Cmdlet finden Sie eine Beschreibung der verfügbaren Parameter für jedes Cmdlet. Der Parameter und der Parameterwert, die mit einem Cmdlet verwendet wurden, sind im Überwachungsprotokolleintrag für jede protokollierte eDiscovery-Cmdlet-Aktivität enthalten.

Anzeigename Vorgang (Cmdlet) Beschreibung
Erstellter Haltebereich im eDiscovery-Fall
New-CaseHoldPolicy
Für einen eDiscovery-Fall wurde ein Haltebereich erstellt. Ein Haltebereich kann mit oder ohne Angabe einer Inhaltsquelle erstellt werden. Wenn Inhaltsquellen angegeben werden, werden sie im Überwachungsprotokolleintrag identifiziert.
Haltebereich aus eDiscovery-Fall gelöscht
Remove-CaseHoldPolicy
Ein Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Durch das Löschen eines Haltebereichs werden alle Inhaltsspeicherorte aus dem Haltebereich gelöscht. Das Löschen des Haltebereichs führt auch dazu, dass die dem Haltebereich zugeordneten Fallhalteregeln gelöscht werden (siehe Remove-CaseHoldRule unten).
Haltebereich im eDiscovery-Fall geändert
Set-CaseHoldPolicy
Ein Haltebereich, der einer eDiscovery zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Deaktivieren (Deaktivieren) des Haltebereichs.
Erstellte Suchabfrage für eDiscovery-Fallarchiv
New-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt.
Gelöschte Suchabfrage für eDiscovery-Fallsperre
Remove-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Haltebereich ist häufig das Ergebnis des Löschens eines Haltebereichs. Wenn ein Haltebereich oder eine Haltebereichsabfrage gelöscht wird, werden die Inhaltsspeicherorte, die im Haltebereich waren, freigegeben.
Geänderte Suchabfrage für eDiscovery-Fallarchiv
Set-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.
Erstellter eDiscovery-Fall
New-ComplianceCase
Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen im Zusammenhang mit dem Fall führen dazu, dass zusätzliche Ereignisse protokolliert werden.
Gelöschter eDiscovery-Fall
Remove-ComplianceCase
Ein eDiscovery-Fall wurde gelöscht. Alle dem Fall zugeordneten Haltebereichs müssen entfernt werden, bevor der Fall gelöscht werden kann.
eDiscovery-Fall geändert
Set-ComplianceCase
Ein eDiscovery-Fall wurde geändert. Änderungen umfassen das Schließen eines geöffneten Falls oder das erneute Öffnen eines geschlossenen Falls.
Mitglied zum eDiscovery-Fall hinzugefügt
Add-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.
Mitglied aus eDiscovery-Fall entfernt
Remove-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt.
EDiscovery-Fallmitgliedschaft geändert
Update-ComplianceCaseMember
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Mitglied hinzugefügt oder entfernt wird, wird der Add-ComplianceCaseMember - oder Remove-ComplianceCaseMember-Vorgang protokolliert.
Inhaltssuche erstellt
New-ComplianceSearch
Eine neue Inhaltssuche wurde erstellt.
Inhaltssuche gelöscht
Remove-ComplianceSearch
Eine vorhandene Inhaltssuche wurde gelöscht.
Inhaltssuche geändert
Set-ComplianceSearch
Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten, die durchsucht werden, und das Bearbeiten der Suchabfrage umfassen.
Inhaltssuche gestartet
Start-ComplianceSearch
Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche mithilfe der Compliance Center-GUI erstellen oder ändern, wird die Suche automatisch gestartet. Wenn Sie eine Suche mithilfe des Cmdlets New-ComplianceSearch oder Set-ComplianceSearch erstellen oder ändern, müssen Sie das Cmdlet Start-ComplianceSearch ausführen, um die Suche zu starten.
Inhaltssuche beendet
Stop-ComplianceSearch
Eine ausgeführte Inhaltssuche wurde beendet.
Aktion für die Inhaltssuche erstellt
New-ComplianceSearchAction
Eine Inhaltssuchaktion wurde erstellt. Inhaltssuchaktionen umfassen die Vorschau von Suchergebnissen, das Exportieren von Suchergebnissen, das Vorbereiten von Suchergebnissen für die Analyse in eDiscovery (Premium) und das dauerhafte Löschen von Elementen, die den Suchkriterien einer Inhaltssuche entsprechen.
Suchaktion für gelöschte Inhalte
Remove-ComplianceSearchAction
Eine Inhaltssuchaktion wurde gelöscht.
Suchberechtigungsfilter erstellt
New-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde erstellt.
Filter für gelöschte Suchberechtigungen
Remove-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde gelöscht.
Filter für Suchberechtigungen geändert
Set-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde geändert.
Erstellter eDiscovery-Administrator
Add-eDiscoveryCaseAdmin
Ein Benutzer wurde als eDiscovery-Administrator in Ihrer Organisation hinzugefügt.
Gelöschter eDiscovery-Administrator
Remove-eDiscoveryCaseAdmin
Ein eDiscovery-Administrator wurde aus Ihrer Organisation gelöscht.
eDiscovery-Administratormitgliedschaft geändert
Update-eDiscoveryCaseAdmin
Die Liste der eDiscovery-Administratoren in Ihrer Organisation wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang "Add-eDiscoveryCaseAdmin " oder "Remove-eDiscoveryCaseAdmin " protokolliert.
(kein) Get-ComplianceCase
Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von eDiscovery- (Standard)- oder eDiscovery-Fällen (Premium) angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen bestimmten Fall in eDiscovery (Standard) anzeigt. Wenn ein Benutzer einen bestimmten Fall anzeigt, enthält der Überwachungsdatensatz die Identität des angezeigten Falls. Wenn der Benutzer nur eine Liste von Fällen angezeigt hat, enthält der Überwachungsdatensatz keine Fallidentität.
(kein) Get-ComplianceSearch Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Inhaltssuchen oder Suchvorgängen angezeigt hat, die einem eDiscovery-Fall (Standard) zugeordnet sind. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Inhaltssuche anzeigt oder eine bestimmte Suche anzeigt, die einem eDiscovery-Fall (Standard) zugeordnet ist. Wenn ein Benutzer eine bestimmte Suche anzeigt, enthält der Überwachungsdatensatz die Identität der suche, die angezeigt wurde. Wenn der Benutzer nur eine Liste von Suchvorgängen angezeigt hat, enthält der Überwachungsdatensatz keine Suchidentität.
(kein) Get-ComplianceSearchAction Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste der Compliance-Suchaktionen (z. B. Exporte, Vorschauen oder Bereinigungen) oder Aktionen angezeigt hat, die einem eDiscovery-Fall (Standard) zugeordnet sind. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Compliancesuchaktion (z. B. einen Export) oder eine bestimmte Aktion anzeigt, die einem eDiscovery-Fall (Standard) zugeordnet ist. Wenn ein Benutzer eine Suchaktion anzeigt, enthält der Überwachungsdatensatz die Identität der Suchaktion, die angezeigt wurde. Wenn der Benutzer nur eine Liste von Aktionen angezeigt hat, enthält der Überwachungsdatensatz keine Aktionsidentität.

Detaillierte Eigenschaften für eDiscovery-Aktivitäten

In der folgenden Tabelle werden die Eigenschaften beschrieben, die auf der Flyoutseite für eine eDiscovery-Aktivität enthalten sind, die in den Suchergebnissen aufgeführt ist. Diese Eigenschaften sind auch in der CSV-Datei enthalten, wenn Sie die Suchergebnisse des Überwachungsprotokolls exportieren. Ein Überwachungsprotokolleintrag für eine eDiscovery-Aktivität enthält nicht jede unten aufgeführte detaillierte Eigenschaft.

Tipp

Wenn Sie die Suchergebnisse exportieren, enthält die CSV-Datei eine Spalte mit dem Namen AudtiData, die die detaillierten Eigenschaften enthält, die in der folgenden Tabelle in einer mehrwertigen Eigenschaft beschrieben sind. Sie können das Feature Power Query in Excel verwenden, um diese Spalte in mehrere Spalten aufzuteilen, sodass jede Eigenschaft eine eigene Spalte hat. Auf diese Weise können Sie nach einer oder mehreren dieser Eigenschaften sortieren und filtern. Weitere Informationen finden Sie im Abschnitt "Exportieren der Suchergebnisse in eine Datei" im Abschnitt "Durchsuchen des Überwachungsprotokolls".

Eigenschaft Beschreibung
Fall
Die Identität (GUID) des eDiscovery-Falls, der erstellt, geändert oder gelöscht wurde.
ClientApplication
eDiscovery-Cmdlet-Aktivitäten haben einen Wert von EMC für diese Eigenschaft. Dies gibt an, dass die Aktivität mithilfe der Compliance Center-GUI oder der Ausführung des Cmdlets in PowerShell ausgeführt wurde.
ClientIP
Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.
ClientRequestId
Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.
CmdletVersion
Die Buildnummer für die Version des Compliance Centers, das in Ihrer Organisation ausgeführt wird.
CreationTime
Datum und Uhrzeit in UTC (Coordinated Universal Time), zu dem die eDiscovery-Aktivität abgeschlossen wurde.
EffectiveOrganization
Der Name der Microsoft 365-Organisation.
ExchangeLocations
Die Exchange Online Postfächer, die in einer Inhaltssuche enthalten sind oder in einem eDiscovery-Fall in den Haltebereich gesetzt werden.
Ausschlüsse
Postfach- oder Websitespeicherorte, die von einer Inhaltssuche oder einem Haltebereich in einem eDiscovery-Fall ausgeschlossen sind.
ExtendedProperties
Zusätzliche Eigenschaften aus einer Inhaltssuche, einer Inhaltssucheaktion oder einem Haltebereich in einem eDiscovery-Fall, z. B. die Objekt-GUID und die entsprechenden Cmdlet- und Cmdlet-Parameter, die beim Ausführen der Aktivität verwendet wurden.
Id
Die ID des Berichtseintrags. Die ID identifiziert den Überwachungsprotokolleintrag eindeutig.
NonPIIParameters
Eine Liste der Parameter (ohne Werte), die mit dem cmdlet verwendet wurden, das in der Operation-Eigenschaft identifiziert wurde. Die in dieser Eigenschaft aufgeführten Parameter sind mit denen in der Parameters-Eigenschaft identisch.
ObjectId
Die GUID oder der Name des Objekts (z. B. eine Inhaltssuche oder ein eDiscovery-Fall (Standard), die von der in der Eigenschaft "Operation" aufgeführten Aktivität erstellt, aufgerufen, geändert oder gelöscht wurde. Dieses Objekt wird auch in der Spalte "Element" in den Suchergebnissen des Überwachungsprotokolls identifiziert.
ObjectType
Der Typ des eDiscovery-Objekts, das der Benutzer erstellt, gelöscht oder geändert hat; Beispielsweise eine Inhaltssuche (Vorschau, Export oder Bereinigung), ein eDiscovery-Fall oder eine Inhaltssuche.
Vorgang
Der Name des Vorgangs, der der ausgeführten eDiscovery-Aktivität entspricht.
OrganizationId
Die GUID für Ihre Microsoft 365 Organisation.
Parameter
Der Name und Wert für die Parameter, die mit dem entsprechenden Cmdlet verwendet wurden.
PublicFolderLocations
Die Speicherorte des öffentlichen Ordners in Exchange Online, die in einer Inhaltssuche enthalten sind oder in einem eDiscovery-Fall im Haltebereich platziert werden.
Query
Die der Aktivität zugeordnete Suchabfrage, z. B. eine Inhaltssuche oder ein abfragebasierter Haltebereich.
RecordType
Der vom Datensatz angegebene Vorgangstyp. Der Wert 18 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt " eDiscovery-Cmdlet-Aktivitäten " aufgeführt ist. Der Wert 24 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt "Suchen nach und Anzeigen von eDiscovery-Aktivitäten" aufgeführt ist.
ResultStatus
Gibt an, ob die Aktion (in der Eigenschaft "Operation" angegeben) erfolgreich war oder nicht.
SecurityComplianceCenterEventType
Gibt an, dass die Aktivität ein Compliance Center-Ereignis war. Alle eDiscovery-Aktivitäten haben den Wert 0 für diese Eigenschaft.
SharepointLocations
Die SharePoint Onlinewebsites, die in einer Inhaltssuche enthalten sind oder in einem eDiscovery-Fall in den Haltebereich gesetzt werden.
StartTime
Datum und Uhrzeit in UTC (Coordinated Universal Time), zu dem die eDiscovery-Aktivität gestartet wurde.
UserId
Der Benutzer, der die (in der Operation-Eigenschaft angegebene) Aktivität ausgeführt hat, die dazu geführt hat, dass der Datensatz protokolliert wurde. Datensätze für eDiscovery-Aktivitäten, die von Systemkonten (z. B. NT AUTHORITY\SYSTEM) ausgeführt werden, sind ebenfalls im Überwachungsprotokoll enthalten.
UserKey
Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Bei eDiscovery-Aktivitäten ist der Wert für diese Eigenschaft in der Regel mit der UserId-Eigenschaft identisch.
UserServicePlan
Das von Ihrer Organisation verwendete Abonnement. Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.
UserType
Der Typ des Benutzers, der den Vorgang ausgeführt hat. Die folgenden Werte geben den Benutzertyp an.
0 Ein normaler Benutzer. 2 Ein Administrator in Ihrer Organisation. 3 Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto. 4 Ein Systemkonto. 5 Eine Anwendung. 6 Ein Dienstprinzipal.
Version
Gibt die Versionsnummer der (durch die Operation-Eigenschaft identifizierten) Aktivität an, die protokolliert wird.
Arbeitslast
Der Dienst, in dem die Aktivität aufgetreten ist. Für eDiscovery-Aktivitäten lautet der Wert SecurityComplianceCenter.