Suchen nach eDiscovery-Aktivitäten im ÜberwachungsprotokollSearch for eDiscovery activities in the audit log

Inhaltssuche und eDiscovery-bezogene Aktivitäten (für Core eDiscovery und Advanced eDiscovery), die im Microsoft 365 Compliance Center oder durch Ausführen der entsprechenden PowerShell-Cmdlets ausgeführt werden, werden im Überwachungsprotokoll protokolliert.Content Search and eDiscovery-related activities (for Core eDiscovery and Advanced eDiscovery) that are performed in Microsoft 365 compliance center or by running the corresponding PowerShell cmdlets are logged in the audit log. Ereignisse werden protokolliert, wenn Administratoren oder eDiscovery-Manager (oder ein beliebiger Benutzer, dem eDiscovery-Berechtigungen zugewiesen sind) die folgenden Aufgaben für die Inhaltssuche und core eDiscovery im Microsoft 365 Compliance Center ausführen:Events are logged when administrators or eDiscovery managers (or any user assigned eDiscovery permissions) perform the following Content Search and Core eDiscovery tasks in the Microsoft 365 compliance center:

  • Erstellen und Verwalten von Core- und Advanced eDiscovery FällenCreating and managing Core and Advanced eDiscovery cases

  • Erstellen, Starten und Bearbeiten von InhaltssuchenCreating, starting, and editing Content searches

  • Durchführen von Suchaktionen, z. B. Anzeigen der Vorschau, Exportieren und Löschen von SuchergebnissenPerforming search actions, such as previewing, exporting, and deleting search results

  • Verwalten von Verwahrern und Prüfdateisätzen in Advanced eDiscoveryManaging custodians and review sets in Advanced eDiscovery

  • Konfigurieren der Berechtigungsfilterung für die InhaltssucheConfiguring permissions filtering for Content search

  • Verwalten der eDiscovery-AdministratorrolleManaging the eDiscovery Administrator role

Weitere Informationen zum Durchsuchen des Überwachungsprotokolls, zu den erforderlichen Berechtigungen und zum Exportieren von Suchergebnissen finden Sie unter Durchsuchen des Überwachungsprotokolls im Microsoft 365 Compliance Center.For more information about searching the audit log, the permissions that are required, and exporting search results, see Search the audit log in the Microsoft 365 compliance center.

Suchen und Anzeigen von eDiscovery-AktivitätenHow to search for and view eDiscovery activities

Derzeit müssen Sie einige spezifische Aktionen ausführen, um eDiscovery-Aktivitäten im Überwachungsprotokoll anzuzeigen.Currently, you have to do a few specific things to view eDiscovery activities in the audit log. Die gehen so:Here's how.

  1. Wechseln Sie zu https://compliance.microsoft.com, und melden Sie sich mit Ihrem Arbeits-, Uni- oder Schulkonto an.Go to https://compliance.microsoft.com and sign in using your work or school account.

  2. Klicken Sie im linken Navigationsbereich des Microsoft 365 Compliance Centers auf "Überwachen".In the left navigation pane of the Microsoft 365 compliance center, click Audit.

  3. Klicken Sie in der Dropdownliste "Aktivitäten" unter eDiscovery-Aktivitäten oder Advanced eDiscovery Aktivitäten auf eine oder mehrere Aktivitäten, nach denen gesucht werden soll.In the Activities drop-down list, under eDiscovery activities or Advanced eDiscovery activities, click one or more activities to search for.

    Hinweis

    Die Dropdownliste "Aktivitäten" enthält auch eine Gruppe von Aktivitäten namens eDiscovery-Cmdlet-Aktivitäten, die Datensätze aus dem Cmdlet-Überwachungsprotokoll zurückgeben.The Activities drop-down list also includes a group of activities named eDiscovery cmdlet activities that will return records from the cmdlet audit log.

  4. Wählen Sie einen Datums- und Uhrzeitbereich aus, um eDiscovery-Ereignisse anzuzeigen, die innerhalb dieses Zeitraums aufgetreten sind.Select a date and time range to display eDiscovery events that occurred within that period.

  5. Wählen Sie im Feld "Benutzer" einen oder mehrere Benutzer aus, für die Suchergebnisse angezeigt werden sollen.In the Users box, select one or more users to display search results for. Lassen Sie dieses Feld leer, um Einträge für alle Benutzer zurückzugeben.Leave this box blank to return entries for all users.

  6. Klicken Sie auf Suchen, um die Suche anhand der Suchkriterien auszuführen. Click Search to run the search using your search criteria.

  7. Nachdem die Suchergebnisse angezeigt wurden, können Sie auf "Ergebnisse filtern" klicken, um die resultierenden Aktivitätsdatensätze zu filtern oder zu sortieren.After the search results are displayed, you can click Filter results to filter or sort the resulting activity records. Leider können Sie die Filterung nicht verwenden, um bestimmte Aktivitäten explizit auszuschließen.Unfortunately, you can't use filtering to explicitly exclude certain activities.

  8. Um Details zu einer Aktivität anzuzeigen, klicken Sie auf den Aktivitätsdatensatz in der Liste der Suchergebnisse.To view details about an activity, click the activity record in the list of search results.

    Es wird eine Flyoutseite für Details angezeigt, die die detaillierten Eigenschaften aus dem Ereignisdatensatz enthält.A Details fly out page is displayed that contains the detailed properties from the event record. Klicken Sie auf Weitere Informationen, um weitere Details anzuzeigen.To display additional details, click More information. Eine Beschreibung dieser Eigenschaften finden Sie im Abschnitt "Detaillierte Eigenschaften für eDiscovery-Aktivitäten".For a description of these properties, see the Detailed properties for eDiscovery activities section.

  9. Falls gewünscht, können Sie die Suchergebnisse des Überwachungsprotokolls in eine CSV-Datei exportieren und dann das Power Query-Feature Excel verwenden, um diese Datensätze zu formatieren und zu filtern.If desired, you can export the audit log search results to a CSV file, and then use the Excel Power Query feature to format and filter these records. Weiter Informationen findn Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.For more information, see Export, configure, and view audit log records.

eDiscovery-AktivitäteneDiscovery activities

In der folgenden Tabelle werden die Inhaltssuche- und Core eDiscovery-Aktivitäten beschrieben, die protokolliert werden, wenn ein Administrator oder eDiscovery-Manager eine eDiscovery-bezogene Aktivität mithilfe des Microsoft 365 Compliance Centers ausführt.The following table describes the Content Search and Core eDiscovery activities that are logged when an administrator or eDiscovery manager performs an eDiscovery-related activity using the Microsoft 365 compliance center. Einige in Advanced eDiscovery ausgeführte Aktivitäten werden möglicherweise zurückgegeben, wenn Sie nach Aktivitäten in dieser Liste suchen.Some activities performed in Advanced eDiscovery may be returned when you search for activities in this list.

Hinweis

Die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten enthalten ähnliche Informationen wie die im nächsten Abschnitt beschriebenen eDiscovery-Cmdlet-Aktivitäten.The eDiscovery activities described in this section provide similar information to the eDiscovery cmdlet activities described in the next section. Es wird empfohlen, die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten zu verwenden, da sie innerhalb von 30 Minuten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.We recommend that you use the eDiscovery activities described in this section because they will appear in the audit log search results within 30 minutes. Es kann bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.It may take up to 24 hours for eDiscovery cmdlet activities to appear in audit log search results.

AnzeigenameFriendly name VorgangOperation Entsprechendes CmdletCorresponding cmdlet BeschreibungDescription
Mitglied zu eDiscovery-Fall hinzugefügtAdded member to eDiscovery case
CaseMemberAddedCaseMemberAdded
Add-ComplianceCaseMemberAdd-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt.A user was added as a member of an eDiscovery case. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.As a member of a case, a user can perform various case-related tasks depending on whether they have been assigned the necessary permissions.
Inhaltssuche geändertChanged content search
SearchUpdatedSearchUpdated
Set-ComplianceSearchSet-ComplianceSearch
Eine vorhandene Inhaltssuche wurde geändert.An existing content search was changed. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Bearbeiten der Suchabfrage umfassen.Changes can include adding or removing content locations or editing the search query.
eDiscovery-Administratormitgliedschaft geändertChanged eDiscovery administrator membership
CaseAdminUpdatedCaseAdminUpdated
Update-eDiscoveryCaseAdminUpdate-eDiscoveryCaseAdmin
Die Liste der eDiscovery-Administratoren in Ihrer Organisation wurde geändert.The list of eDiscovery Administrators in your organization was changed. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird.This activity is logged when the list of eDiscovery Administrators is replaced with a group of new users. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der CaseAdminAdded-Vorgang protokolliert.If a single user is added or removed, the CaseAdminAdded operation is logged.
eDiscovery-Fall geändertChanged eDiscovery case
CaseUpdatedCaseUpdated
Set-ComplianceCaseSet-ComplianceCase
Ein eDiscovery-Fall wurde geändert.An eDiscovery case was changed. Zu den Änderungen gehören das Schließen eines geöffneten Falls oder das erneute Öffnen eines geschlossenen Falls.Changes include closing an open case or reopening a closed case.
eDiscovery-Fallmitgliedschaft geändertChanged eDiscovery case membership
CaseMemberUpdatedCaseMemberUpdated
Update-ComplianceCaseMemberUpdate-ComplianceCaseMember
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert.The membership list of an eDiscovery case was changed. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden.This activity is logged when all members are replaced with a group of new users. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der CaseMemberAdded- oder CaseMemberRemoved-Vorgang protokolliert.If a single member is added or removed, CaseMemberAdded or CaseMemberRemoved operation is logged.
Suchberechtigungsfilter geändertChanged search permissions filter
SearchPermissionUpdatedSearchPermissionUpdated
Set-ComplianceSecurityFilterSet-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde geändert.A search permissions filter was changed.
Suchabfrage für eDiscovery-Fallarchiv geändertChanged search query for eDiscovery case hold
HoldUpdatedHoldUpdated
Set-CaseHoldRuleSet-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde geändert.A query-based hold associated with an eDiscovery case was changed. Mögliche Änderungen sind das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.Possible changes include editing the query or date range for a query-based hold.
Vorschauelement der Inhaltssuche heruntergeladenContent search preview item downloaded
PreviewItemDownloadedPreviewItemDownloaded
N/A
Ein Benutzer hat ein Element auf den lokalen Computer heruntergeladen (durch Klicken auf den Link "Ursprüngliches Element herunterladen") bei der Vorschau der Suchergebnisse.A user downloaded an item to their local computer (by clicking the Download original item link) when previewing search results.
Vorschauelement der Inhaltssuche aufgelistetContent search preview item listed
PreviewItemListedPreviewItemListed
N/A
Ein Benutzer hat auf die Suchergebnisse in der Vorschau geklickt, um die Vorschau-Suchergebnisseite anzuzeigen, die bis zu 1.000 Elemente aus den Ergebnissen einer Suche auflistet.A user clicked Preview search results to display the preview search results page, which lists up to 1,000 items from the results of a search.
Vorschauelement der Inhaltssuche angezeigtContent search preview item viewed
PreviewItemRenderedPreviewItemRendered
N/A
Ein eDiscovery-Manager hat ein Element angezeigt, indem er bei der Vorschau der Suchergebnisse darauf geklickt hat.An eDiscovery manager viewed an item by clicking it when previewing search results.
Inhaltssuche erstelltCreated content search
SearchCreatedSearchCreated
New-ComplianceSearchNew-ComplianceSearch
Eine neue Inhaltssuche wurde erstellt.A new content search was created.
eDiscovery-Administrator erstelltCreated eDiscovery administrator
CaseAdminAddedCaseAdminAdded
Add-eDiscoveryCaseAdminAdd-eDiscoveryCaseAdmin
Ein Benutzer wurde in der Organisation als eDiscovery-Administrator hinzugefügt.A user was added as an eDiscovery Administrator in the organization.
eDiscovery-Fall erstelltCreated eDiscovery case
CaseAddedCaseAdded
New-ComplianceCaseNew-ComplianceCase
Ein eDiscovery-Fall wurde erstellt.An eDiscovery case was created. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben.When a case is created, you only have to give it a name. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden.Other case-related tasks such as adding members, creating holds, and creating content searches associated with the case result in additional events being logged.
Suchberechtigungsfilter erstelltCreated search permissions filter
SearchPermissionCreatedSearchPermissionCreated
New-ComplianceSecurityFilterNew-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde erstellt.A search permissions filter was created.
Suchabfrage für eDiscovery-Fallarchivierung erstelltCreated search query for eDiscovery case hold
HoldCreatedHoldCreated
New-CaseHoldRuleNew-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt.A query-based hold associated with an eDiscovery case was created.
Suche nach gelöschten InhaltenDeleted content search
SearchRemovedSearchRemoved
Remove-ComplianceSearchRemove-ComplianceSearch
Eine vorhandene Inhaltssuche wurde gelöscht.An existing content search was deleted.
eDiscovery-Administrator gelöschtDeleted eDiscovery administrator
CaseAdminRemovedCaseAdminRemoved
Remove-eDiscoveryCaseAdminRemove-eDiscoveryCaseAdmin
Ein eDiscovery-Administrator wurde aus Ihrer Organisation gelöscht.An eDiscovery Administrator was deleted from your organization.
eDiscovery-Fall gelöschtDeleted eDiscovery case
CaseRemovedCaseRemoved
Remove-ComplianceCaseRemove-ComplianceCase
Ein eDiscovery-Fall wurde gelöscht.An eDiscovery case was deleted. Jede dem Fall zugeordnete Aufbewahrung muss entfernt werden, bevor der Fall gelöscht werden kann.Any hold associated with the case has to be removed before the case can be deleted.
Filter für gelöschte SuchberechtigungenDeleted search permissions filter
SearchPermissionRemovedSearchPermissionRemoved
Remove-ComplianceSecurityFilterRemove-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde gelöscht.A search permissions filter was deleted.
Gelöschte Suchabfrage für eDiscovery-FallarchivierungDeleted search query for eDiscovery case hold
HoldRemovedHoldRemoved
Remove-CaseHoldRuleRemove-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht.A query-based hold associated with an eDiscovery case was deleted. Das Entfernen der Abfrage aus dem Haltebereich ist häufig das Ergebnis des Löschens eines Haltebereichs.Removing the query from the hold is often the result of deleting a hold. Wenn eine Aufbewahrungs- oder Haltebereichsabfrage gelöscht wird, werden die Speicherorte für inhalte freigegeben, die in der Warteschleife waren.When a hold or a hold query is deleted, the content locations that were on hold are released.
Export der Inhaltssuche heruntergeladenDownloaded export of content search
SearchExportDownloadedSearchExportDownloaded
N/A
Ein Benutzer hat die Ergebnisse einer Inhaltssuche auf den lokalen Computer heruntergeladen.A user downloaded the results of a content search to their local computer. Ein gestarteter Export von Inhaltssuchaktivitäten muss initiiert werden, bevor Suchergebnisse heruntergeladen werden können.A Started export of content search activity has to be initiated before search results can be downloaded.
Ergebnisse der Inhaltssuche in der Vorschau anzeigenPreviewed results of content search
SearchPreviewedSearchPreviewed
N/A
Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche angezeigt.A user previewed the results of a content search.
Gelöschte Ergebnisse der InhaltssuchePurged results of content search
SearchResultsPurgedSearchResultsPurged
New-ComplianceSearchActionNew-ComplianceSearchAction
Ein Benutzer hat die Ergebnisse einer Inhaltssuche gelöscht, indem er den Befehl "New-ComplianceSearchAction -Purge" ausführte.A user purged the results of a Content search by running the New-ComplianceSearchAction -Purge command.
Analyse der Inhaltssuche entferntRemoved analysis of content search
RemovedSearchResultsSentToZoomRemovedSearchResultsSentToZoom
Remove-ComplianceSearchActionRemove-ComplianceSearchAction
Eine Vorbereitungsaktion für die Inhaltssuche (um Suchergebnisse für Advanced eDiscovery vorzubereiten) wurde gelöscht.A content search prepare action (to prepare search results for Advanced eDiscovery) was deleted. Wenn die Vorbereitungsaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die für Advanced eDiscovery vorbereitet wurden, aus dem Microsoft Azure Speicherbereich gelöscht.If the preparation action was less than two weeks old, the search results that were prepared for Advanced eDiscovery were deleted from the Microsoft Azure storage area. Wenn die Vorbereitungsaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Vorbereitungsaktion gelöscht wurde.If the preparation action was older than 2 weeks, then this event indicates that only the corresponding preparation action was deleted.
Export der Inhaltssuche entferntRemoved export of content search
RemovedSearchExportedRemovedSearchExported
Remove-ComplianceSearchActionRemove-ComplianceSearchAction
Eine Exportaktion für die Inhaltssuche wurde gelöscht.A content search export action was deleted. Wenn die Exportaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die in den Microsoft Azure-Speicherbereich hochgeladen wurden, gelöscht.If the export action was less than two weeks old, the search results that were uploaded to the Microsoft Azure storage area were deleted. Wenn die Exportaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Exportaktion gelöscht wurde.If the export action was older than 2 weeks, then this event indicates that only the corresponding export action was deleted.
Mitglied aus eDiscovery-Fall entferntRemoved member from eDiscovery case
CaseMemberRemovedCaseMemberRemoved
Remove-ComplianceCaseMemberRemove-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt.A user was removed as a member of an eDiscovery case.
Vorschauergebnisse der Inhaltssuche entferntRemoved preview results of content search
RemovedSearchPreviewedRemovedSearchPreviewed
Remove-ComplianceSearchActionRemove-ComplianceSearchAction
Eine Vorschauaktion für die Inhaltssuche wurde gelöscht.A content search preview action was deleted.
Bei der Inhaltssuche ausgeführte Bereinigungsaktion entferntRemoved purge action performed on content search
RemovedSearchResultsPurgedRemovedSearchResultsPurged
Remove-ComplianceSearchActionRemove-ComplianceSearchAction
Eine Löschaktion für die Inhaltssuche wurde gelöscht.A content search purge action was deleted.
Suchbericht entferntRemoved search report
SearchReportRemovedSearchReportRemoved
Remove-ComplianceSearchActionRemove-ComplianceSearchAction
Eine Exportberichtsaktion für die Inhaltssuche wurde gelöscht.A content search export report action was deleted.
Analyse der Inhaltssuche gestartetStarted analysis of content search
SearchResultsSentToZoomSearchResultsSentToZoom
New-ComplianceSearchActionNew-ComplianceSearchAction
Die Ergebnisse einer Inhaltssuche wurden für die Analyse in Advanced eDiscovery vorbereitet.The results of a content search were prepared for analysis in Advanced eDiscovery.
Inhaltssuche gestartetStarted content search
SearchStartedSearchStarted
Start-ComplianceSearchStart-ComplianceSearch
Eine Inhaltssuche wurde gestartet.A content search was started. Wenn Sie eine Inhaltssuche mithilfe des Microsoft 365 Compliance Centers erstellen oder ändern, wird die Suche automatisch gestartet.When you create or change a content search by using the Microsoft 365 compliance center, the search is automatically started.
Export der Inhaltssuche gestartetStarted export of content search
SearchExportedSearchExported
New-ComplianceSearchActionNew-ComplianceSearchAction
Ein Benutzer hat die Ergebnisse einer Inhaltssuche exportiert.A user exported the results of a content search.
Bericht "Export gestartet"Started export report
SearchReportSearchReport
New-ComplianceSearchActionNew-ComplianceSearchAction
Ein Benutzer hat einen Bericht zur Inhaltssuche exportiert.A user exported a content search report.
Beendete InhaltssucheStopped content search
SearchStoppedSearchStopped
Stop-ComplianceSearchStop-ComplianceSearch
Ein Benutzer hat eine Inhaltssuche beendet.A user stopped a content search.
(keine)(none) CaseViewedCaseViewed Get-ComplianceCaseGet-ComplianceCase Ein Benutzer hat einen Core eDiscovery-Fall im Compliance Center angezeigt.A user viewed a Core eDiscovery case in the compliance center. Der Überwachungsdatensatz für dieses Ereignis enthält den Namen des angezeigten Falls.The audit record for this event includes the name of the case that was viewed.
(keine)(none) SearchViewedSearchViewed Get-ComplianceSearchGet-ComplianceSearch Ein Benutzer hat eine Inhaltssuche im Compliance Center angezeigt, indem er auf die Suche auf der Registerkarte "Suchen" in einem Core eDiscovery-Fall oder auf der Seite "Inhaltssuche" darauf zugreift.A user viewed a Content search in the compliance center by accessing the search on the Searches tab in a Core eDiscovery case or accessing it on the Content search page. Der Überwachungsdatensatz für dieses Ereignis enthält die Identität der Suche, die angezeigt wurde.The audit record for this event includes the identity of the search that was viewed.
(keine)(none) ViewedSearchExportedViewedSearchExported Get-ComplianceSearchAction -ExportGet-ComplianceSearchAction -Export Ein Benutzer hat einen Export der Inhaltssuche im Compliance Center angezeigt, indem er auf der Registerkarte "Exporte" auf der Seite "Inhaltssuche" auf den Export zugreift.A user viewed a Content search export in the compliance center by accessing the export on the Exports tab on the Content search page. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen Export anzeigt, der einem Core eDiscovery-Fall zugeordnet ist.This activity is also logged when a user views an export associated with a Core eDiscovery case.
(keine)(none) ViewedSearchPreviewedViewedSearchPreviewed Get-ComplianceSearchAction -PreviewGet-ComplianceSearchAction -Preview Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche im Compliance Center angezeigt.A user previewed the results of a Content search in the compliance center. Diese Aktivität wird auch protokolliert, wenn ein Benutzer die Ergebnisse einer Suche anzeigt, die einem Core eDiscovery-Fall zugeordnet ist.This activity is also logged when a user previews the results of a search associated with a Core eDiscovery case.

Advanced eDiscovery-AktivitätenAdvanced eDiscovery activities

In der folgenden Tabelle werden die Advanced eDiscovery im Überwachungsprotokoll protokollierten Aktivitäten beschrieben.The following table describes the Advanced eDiscovery activities logged in the audit log. Diese Aktivitäten können verwendet werden, um den Fortschritt der Aktivität in einem Advanced eDiscovery Fall nachzuverfolgen.These activities can be used to help you track the progression of activity in an Advanced eDiscovery case.

AnzeigenameFriendly name VorgangOperation BeschreibungDescription
Daten zu einem anderen Prüfdateisatz hinzugefügtAdded data to another review set AddWorkingSetQueryToWorkingSetAddWorkingSetQueryToWorkingSet Der Benutzer hat Dokumente eines Prüfdateisatzes einem anderen hinzugefügt.User added documents from one review set to a different review set.
Daten zu einem Prüfdateisatz hinzugefügtAdded data to review set AddQueryToWorkingSetAddQueryToWorkingSet Der Benutzer hat die Suchergebnisse einer Inhaltssuche, die einem Advanced eDiscovery-Fall zugeordnet sind, einem Prüfdateisatz zugeordnet.User added the search results from a content search associated with an Advanced eDiscovery case to a review set.
Nicht von Microsoft 365 stammende Daten zu Prüfdateisatz hinzugefügtAdded non-Microsoft 365 data to review set AddNonOffice365DataToWorkingSetAddNonOffice365DataToWorkingSet Ein Benutzer hat nicht von Microsoft 365 stammende Daten zu einem Prüfdateisatz hinzugefügt.User added non-Microsoft 365 data to a review set.
Wiederhergestellte Dokumente zu Prüfdateisatz hinzugefügtAdded remediated documents to review set AddRemediatedDataAddRemediatedData Der Benutzer lädt Dokumente hoch, bei denen Indizierungsfehler aufgetreten sind, die in einem Prüfdateisatz festgehalten worden sind.User uploads documents that had indexing errors that were fixed to a review set.
Daten im Prüfdateisatz analysiertAnalyzed data in review set RunAlgoRunAlgo Der Benutzer hat eine Analyse der Dokumente in einem Prüfdateisatz durchgeführt.User ran analytics on the documents in a review set.
Dokument im Prüfdateisatz kommentiertAnnotated document in review set AnnotateDocumentAnnotateDocument Ein Benutzer hat ein Dokument in einem Prüfdateisatz kommentiert.User annotated a document in a review set. „Kommentieren“ umfasst auch das Bearbeiten/Redigieren des Dokuments.Annotation includes redacting content in a document.
Ladesätze verglichenCompared load sets LoadComparisonJobLoadComparisonJob Der Benutzer hat zwei verschiedene Ladesätze in einem Prüfdateisatz verglichen.User compared two different load sets in a review set. Unter Ladesatz versteht man, dass Daten aus einer Inhaltssuche, die einem Fall zugeordnet sind, einem Prüfdateisatz hinzugefügt werden.A load set is when data from a content search that associated with the case is added to a review set.
Dokumente in PDF-Dateien konvertiertConverted redacted documents to PDF BurnJobBurnJob Der Benutzer hat alle redigierten Dokumente in einem Prüfdateisatz in PDF-Dateien konvertiert.User converted all the redacted documents in a review set to PDF files.
Prüfdateisatz erstelltCreated review set CreateWorkingSetCreateWorkingSet Der Benutzer hat einen Prüfdateisatz erstellt.User created a review set.
Prüfdateisatzsuche erstelltCreated review set search CreateWorkingSetSearchCreateWorkingSetSearch Der Benutzer hat eine Suchabfrage erstellt, die die Dokumente in einem Prüfdateisatz durchsuchen.User created a search query that searches the documents in a review set.
Tag erstelltCreated tag CreateTagCreateTag Ein Benutzer hat eine Tag-Gruppe in einem Prüfdateisatz erstellt.User created a tag group in a review set. Eine Tag-Gruppe kann ein oder mehrere untergeordnete Tags enthalten.A tag group can contain one or more child tags. Diese Tags werden dann zum Taggen von Dokumenten im Prüfdateisatz verwendet.These tags are then used to tag documents in the review set.
Prüfdateisatzsuche gelöschtDeleted review set search DeleteWorkingSetSearchDeleteWorkingSetSearch Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz gelöscht.User deleted a search query in a review set.
Tag gelöschtDeleted tag DeleteTagDeleteTag Ein Benutzer hat ein Tag oder eine Tag-Gruppe in einem Prüfdateisatz gelöscht.User deleted a tag or a tag group in a review set.
Heruntergeladenes DokumentDownloaded document DownloadDocumentDownloadDocument Ein Benutzer hat ein Dokument aus einem Prüfdateisatz heruntergeladen.User downloaded a document from a review set.
Tag bearbeitetEdited tag UpdateTagUpdateTag Ein Benutzer hat ein Tag in einem Prüfdateisatz geändert.User changed a tag in a review set.
Dokumente aus einem Prüfdateisatz exportiertExported documents from review set ExportJobExportJob Der Benutzer hat Dokumente aus einem Prüfdateisatz exportiert.User exported documents from a review set.
Falleinstellungen geändertModified case setting UpdateCaseSettingsUpdateCaseSettings Der Benutzer hat die Einstellungen für einen Fall geändert.User modified the settings for a case. Die Falleinstellungen umfassen Fallinformationen, Zugriffsberechtigungen und Einstellungen, mit denen das Such- und Analyseverhalten gesteuert werden.Case settings include case information, access permissions, and settings that control search and analytics behavior.
Prüfdateisatzsuche geändertModified review set search UpdateWorkingSetSearchUpdateWorkingSetSearch Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz geändert.User edited a search query in a review set.
Vorschau einer Prüfdateisatzsuche angezeigtPreviewed review set search PreviewWorkingSetSearchPreviewWorkingSetSearch Der Benutzer hat die Ergebnisse einer Suchabfrage in einem Prüfdateisatz in einer Vorschau angezeigt.User previewed the results of a search query in a review set.
Fehler in Dokumenten behobenRemediated error documents ErrorRemediationJobErrorRemediationJob Der Benutzer behebt Dateien mit Indizierungsfehlern.User fixes files that contained indexing errors.
Dokument getaggtTagged document TagFilesTagFiles Ein Benutzer hat ein Dokument in einem Prüfdateisatz mit Tags versehen.User tags a document in a review set.
Ergebnisse einer Abfrage getaggtTagged results of a query TagJobTagJob Ein Benutzer hat alle Dokumente getaggt, die den Kriterien einer Suchabfrage in einem Prüfdateisatz entsprechen.User tags all of the documents that match the criteria of search query in a review set.
Dokument im Prüfdateisatz angezeigtViewed document in review set ViewDocumentViewDocument Ein Benutzer hat ein Dokument in einem Prüfdateisatz angezeigt.User viewed a document in a review set.

eDiscovery-Cmdlet-AktivitäteneDiscovery cmdlet activities

In der folgenden Tabelle sind die Cmdlet-Überwachungsprotokolleinträge aufgeführt, die protokolliert werden, wenn ein Administrator oder Benutzer eine eDiscovery-bezogene Aktivität mithilfe des Compliance Centers oder durch Ausführen des entsprechenden Cmdlets in Security & Compliance Center PowerShell ausführt.The following table lists the cmdlet audit log records that are logged when an administrator or user performs an eDiscovery-related activity by using the compliance center or by running the corresponding cmdlet in Security & Compliance Center PowerShell. Die detaillierten Informationen im Überwachungsprotokolleintrag unterscheiden sich für die in dieser Tabelle aufgeführten Cmdlet-Aktivitäten und die im vorherigen Abschnitt beschriebenen eDiscovery-Aktivitäten.The detailed information in the audit log record is different for the cmdlet activities listed in this table and the eDiscovery activities described in the previous section.

Wie bereits erwähnt, kann es bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.As previously stated, it may take up to 24 hours for eDiscovery cmdlet activities to appear in the audit log search results.

Tipp

Die Cmdlets in der Spalte "Operation" in der folgenden Tabelle sind mit dem entsprechenden Hilfethema zum Cmdlet auf TechNet verknüpft.The cmdlets in the Operation column in the following table are linked to the corresponding cmdlet help topic on TechNet. Im Hilfethema zum Cmdlet finden Sie eine Beschreibung der verfügbaren Parameter für jedes Cmdlet.Go to the cmdlet help topic for a description of the available parameters for each cmdlet. Der Parameter und der Parameterwert, die mit einem Cmdlet verwendet wurden, sind im Überwachungsprotokolleintrag für jede protokollierte eDiscovery-Cmdlet-Aktivität enthalten.The parameter and the parameter value that were used with a cmdlet are included in the audit log entry for each eDiscovery cmdlet activity that's logged.

AnzeigenameFriendly name Operation (Cmdlet)Operation (cmdlet) BeschreibungDescription
Aufbewahrung im eDiscovery-Fall erstelltCreated hold in eDiscovery case
New-CaseHoldPolicyNew-CaseHoldPolicy
Für einen eDiscovery-Fall wurde eine Aufbewahrung erstellt.A hold was created for an eDiscovery case. Ein Haltebereich kann mit oder ohne Angabe einer Inhaltsquelle erstellt werden.A hold can be created with or without specifying a content source. Wenn Inhaltsquellen angegeben werden, werden sie im Überwachungsprotokolleintrag identifiziert.If content sources are specified, they'll be identified in the audit log entry.
Aufbewahrung von eDiscovery-Fall gelöschtDeleted hold from eDiscovery case
Remove-CaseHoldPolicyRemove-CaseHoldPolicy
Ein Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht.A hold that is associated with an eDiscovery case was deleted. Beim Löschen eines Haltebereichs werden alle Inhaltsspeicherorte aus dem Haltebereich entfernt.Deleting a hold releases all of the content locations from the hold. Das Löschen des Haltebereichs führt auch zum Löschen der Fall-Halteregeln, die dem Haltebereich zugeordnet sind (siehe "Remove-CaseHoldRule" weiter unten).Deleting the hold also results in deleting the case hold rules associated with the hold (see Remove-CaseHoldRule below).
Haltebereich in eDiscovery-Fall geändertChanged hold in eDiscovery case
Set-CaseHoldPolicySet-CaseHoldPolicy
Ein Haltebereich, der einer eDiscovery zugeordnet ist, wurde geändert.A hold that is associated with an eDiscovery was changed. Mögliche Änderungen sind das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Deaktivieren (Deaktivieren) des Haltebereichs.Possible changes include adding or removing content locations or turning off (disabling) the hold.
Suchabfrage für eDiscovery-Fallarchivierung erstelltCreated search query for eDiscovery case hold
New-CaseHoldRuleNew-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt.A query-based hold associated with an eDiscovery case was created.
Gelöschte Suchabfrage für eDiscovery-FallarchivierungDeleted search query for eDiscovery case hold
Remove-CaseHoldRuleRemove-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht.A query-based hold associated with an eDiscovery case was deleted. Das Entfernen der Abfrage aus dem Haltebereich ist häufig das Ergebnis des Löschens eines Haltebereichs.Removing the query from the hold is often the result of deleting a hold. Wenn eine Aufbewahrungs- oder Haltebereichsabfrage gelöscht wird, werden die Speicherorte für inhalte freigegeben, die in der Warteschleife waren.When a hold or a hold query is deleted, the content locations that were on hold are released.
Suchabfrage für eDiscovery-Fallarchiv geändertChanged search query for eDiscovery case hold
Set-CaseHoldRuleSet-CaseHoldRule
Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde geändert.A query-based hold associated with an eDiscovery case was changed. Mögliche Änderungen sind das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.Possible changes include editing the query or date range for a query-based hold.
eDiscovery-Fall erstelltCreated eDiscovery case
New-ComplianceCaseNew-ComplianceCase
Ein eDiscovery-Fall wurde erstellt.An eDiscovery case was created. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben.When a case is created, you only have to give it a name. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden.Other case-related tasks such as adding members, creating holds, and creating content searches associated with the case result in additional events being logged.
eDiscovery-Fall gelöschtDeleted eDiscovery case
Remove-ComplianceCaseRemove-ComplianceCase
Ein eDiscovery-Fall wurde gelöscht.An eDiscovery case was deleted. Jede dem Fall zugeordnete Aufbewahrung muss entfernt werden, bevor der Fall gelöscht werden kann.Any hold associated with the case has to be removed before the case can be deleted.
eDiscovery-Fall geändertChanged eDiscovery case
Set-ComplianceCaseSet-ComplianceCase
Ein eDiscovery-Fall wurde geändert.An eDiscovery case was changed. Zu den Änderungen gehören das Schließen eines geöffneten Falls oder das erneute Öffnen eines geschlossenen Falls.Changes include closing an open case or reopening a closed case.
Mitglied zu eDiscovery-Fall hinzugefügtAdded member to eDiscovery case
Add-ComplianceCaseMemberAdd-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt.A user was added as a member of an eDiscovery case. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.As a member of a case, a user can perform various case-related tasks depending on whether they have been assigned the necessary permissions.
Mitglied aus eDiscovery-Fall entferntRemoved member from eDiscovery case
Remove-ComplianceCaseMemberRemove-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt.A user was removed as a member of an eDiscovery case.
eDiscovery-Fallmitgliedschaft geändertChanged eDiscovery case membership
Update-ComplianceCaseMemberUpdate-ComplianceCaseMember
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert.The membership list of an eDiscovery case was changed. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden.This activity is logged when all members are replaced with a group of new users. Wenn ein einzelnes Mitglied hinzugefügt oder entfernt wird, wird der Vorgang "Add-ComplianceCaseMember" oder "Remove-ComplianceCaseMember" protokolliert.If a single member is added or removed, the Add-ComplianceCaseMember or Remove-ComplianceCaseMember operation is logged.
Inhaltssuche erstelltCreated content search
New-ComplianceSearchNew-ComplianceSearch
Eine neue Inhaltssuche wurde erstellt.A new content search was created.
Suche nach gelöschten InhaltenDeleted content search
Remove-ComplianceSearchRemove-ComplianceSearch
Eine vorhandene Inhaltssuche wurde gelöscht.An existing content search was deleted.
Inhaltssuche geändertChanged content search
Set-ComplianceSearchSet-ComplianceSearch
Eine vorhandene Inhaltssuche wurde geändert.An existing content search was changed. Zu den Änderungen gehören das Hinzufügen oder Entfernen von Inhaltsspeicherorten, die durchsucht werden, und das Bearbeiten der Suchabfrage.Changes can include adding or removing content locations that are searched and editing the search query.
Inhaltssuche gestartetStarted content search
Start-ComplianceSearchStart-ComplianceSearch
Eine Inhaltssuche wurde gestartet.A content search was started. Wenn Sie eine Inhaltssuche mithilfe der Compliance Center-GUI erstellen oder ändern, wird die Suche automatisch gestartet.When you create or change a content search by using the compliance center GUI, the search is automatically started. Wenn Sie eine Suche mithilfe des Cmdlets "New-ComplianceSearch" oder "Set-ComplianceSearch" erstellen oder ändern, müssen Sie das Cmdlet "Start-ComplianceSearch" ausführen, um die Suche zu starten.If you create or change a search by using the New-ComplianceSearch or Set-ComplianceSearch cmdlet, you have to run the Start-ComplianceSearch cmdlet to start the search.
Beendete InhaltssucheStopped content search
Stop-ComplianceSearchStop-ComplianceSearch
Eine Inhaltssuche, die ausgeführt wurde, wurde beendet.A content search that was running was stopped.
Aktion "Inhaltssuche erstellt"Created content search action
New-ComplianceSearchActionNew-ComplianceSearchAction
Es wurde eine Inhaltssuche-Aktion erstellt.A content search action was created. Zu den Inhaltssuchaktionen gehören das Anzeigen der Vorschau von Suchergebnissen, das Exportieren von Suchergebnissen, das Vorbereiten von Suchergebnissen für die Analyse in Advanced eDiscovery und das dauerhafte Löschen von Elementen, die den Suchkriterien einer Inhaltssuche entsprechen.Content search actions include previewing search results, exporting search results, preparing search results for analysis in Advanced eDiscovery, and permanently deleting items that match the search criteria of a content search.
Suchaktion für gelöschte InhalteDeleted content search action
Remove-ComplianceSearchActionRemove-ComplianceSearchAction
Eine Inhaltssuche wurde gelöscht.A content search action was deleted.
Suchberechtigungsfilter erstelltCreated search permissions filter
New-ComplianceSecurityFilterNew-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde erstellt.A search permissions filter was created.
Filter für gelöschte SuchberechtigungenDeleted search permissions filter
Remove-ComplianceSecurityFilterRemove-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde gelöscht.A search permissions filter was deleted.
Suchberechtigungsfilter geändertChanged search permissions filter
Set-ComplianceSecurityFilterSet-ComplianceSecurityFilter
Ein Suchberechtigungsfilter wurde geändert.A search permissions filter was changed.
eDiscovery-Administrator erstelltCreated eDiscovery administrator
Add-eDiscoveryCaseAdminAdd-eDiscoveryCaseAdmin
Ein Benutzer wurde in Ihrer Organisation als eDiscovery-Administrator hinzugefügt.A user was added as an eDiscovery Administrator in your organization.
eDiscovery-Administrator gelöschtDeleted eDiscovery administrator
Remove-eDiscoveryCaseAdminRemove-eDiscoveryCaseAdmin
Ein eDiscovery-Administrator wurde aus Ihrer Organisation gelöscht.An eDiscovery Administrator was deleted from your organization.
eDiscovery-Administratormitgliedschaft geändertChanged eDiscovery administrator membership
Update-eDiscoveryCaseAdminUpdate-eDiscoveryCaseAdmin
Die Liste der eDiscovery-Administratoren in Ihrer Organisation wurde geändert.The list of eDiscovery Administrators in your organization was changed. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird.This activity is logged when the list of eDiscovery Administrators is replaced with a group of new users. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang "Add-eDiscoveryCaseAdmin" oder "Remove-eDiscoveryCaseAdmin" protokolliert.If a single user is added or removed, the Add-eDiscoveryCaseAdmin or Remove-eDiscoveryCaseAdmin operation is logged.
(keine)(none) Get-ComplianceCaseGet-ComplianceCase
Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Core eDiscovery- oder Advanced eDiscovery Fällen angezeigt hat.This activity is logged when a user viewed a list of Core eDiscovery or Advanced eDiscovery cases. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen bestimmten Fall in Core eDiscovery anzeigt.This activity is also logged when a user views a specific case in Core eDiscovery. Wenn ein Benutzer einen bestimmten Fall anzeigt, enthält der Überwachungsdatensatz die Identität des angezeigten Falls.When a user views a specific case, the audit record includes the identity of the case that was viewed. Wenn der Benutzer nur eine Liste von Fällen angezeigt hat, enthält der Überwachungsdatensatz keine Fallidentität.If the user only viewed a list of cases, the audit record doesn't contain a case identity.
(keine)(none) Get-ComplianceSearchGet-ComplianceSearch Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste der Inhaltssuchen oder sucht, die einem Core eDiscovery-Fall zugeordnet sind.This activity is logged when a user viewed a list of Content searches or searches associated with a Core eDiscovery case. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Inhaltssuche anzeigt oder eine bestimmte Suche anzeigt, die einem Core eDiscovery-Fall zugeordnet ist.This activity is also logged when a user views a specific Content search or views a specific search associated with a Core eDiscovery case. Wenn ein Benutzer eine bestimmte Suche anzeigt, enthält der Überwachungsdatensatz die Identität der Suche, die angezeigt wurde.When a user views a specific search, the audit record includes the identity of the search that was viewed. Wenn der Benutzer nur eine Liste von Suchvorgängen angezeigt hat, enthält der Überwachungsdatensatz keine Suchidentität.If the user only viewed a list of searches, the audit record doesn't contain a search identity.
(keine)(none) Get-ComplianceSearchActionGet-ComplianceSearchAction Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste der Compliance-Suchaktionen (z. B. Exporte, Vorschauen oder Löschvorgänge) oder Aktionen im Zusammenhang mit einem Core eDiscovery-Fall anzeigt.This activity is logged when a user viewed a list of compliance search actions (such as exports, previews, or purges) or actions associated with a Core eDiscovery case. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Compliance-Suchaktion (z. B. einen Export) anzeigt oder eine bestimmte Aktion anzeigt, die einem Core eDiscovery-Fall zugeordnet ist.This activity is also logged when a user views a specific compliance search action (such as an export) or views a specific action associated with a Core eDiscovery case. Wenn ein Benutzer eine Suchaktion anzeigt, enthält der Überwachungsdatensatz die Identität der Suchaktion, die angezeigt wurde.When a user views a search action, the audit record includes the identity of the search action that was viewed. Wenn der Benutzer nur eine Liste von Aktionen angezeigt hat, enthält der Überwachungsdatensatz keine Aktionsidentität.If the user only viewed a list of actions, the audit record doesn't contain an action identity.

Detaillierte Eigenschaften für eDiscovery-AktivitätenDetailed properties for eDiscovery activities

In der folgenden Tabelle werden die Eigenschaften beschrieben, die enthalten sind, wenn Sie auf der Seite "Details" auf weitere Informationen für eine eDiscovery-Aktivität klicken, die in den Suchergebnissen aufgeführt ist.The following table describes the properties that are included when you click More information on the Details page for an eDiscovery activity listed in the search results. Diese Eigenschaften sind auch in der CSV-Datei enthalten, wenn Sie die Suchergebnisse des Überwachungsprotokolls exportieren.These properties are also included in the CSV file when you export the audit log search results. Ein Überwachungsprotokolleintrag für eine eDiscovery-Aktivität enthält nicht jede unten aufgeführte detaillierte Eigenschaft.An audit log record for an eDiscovery activity won't include every detailed property listed below.

Tipp

Wenn Sie die Suchergebnisse exportieren, enthält die CSV-Datei eine Spalte mit dem Namen "Detail", die die in der folgenden Tabelle beschriebenen detaillierten Eigenschaften in einer mehrwertigen Eigenschaft enthält.When you export the search results, the CSV file contains a column named Detail, which contains the detailed properties described in the following table in a multi-value property. Sie können das Power Query-Feature in Excel verwenden, um diese Spalte in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt.You can use the Power Query feature in Excel to split this column into multiple columns so that each property will have its own column. Auf diese Weise können Sie nach einer oder mehreren dieser Eigenschaften sortieren und filtern.This will let you sort and filter on one or more of these properties. Weitere Informationen finden Sie im Abschnitt "Exportieren der Suchergebnisse in eine Datei" im Abschnitt "Durchsuchen des Überwachungsprotokolls".For more information, see the "Export the search results to a file" section in Search the audit log.

EigenschaftProperty BeschreibungDescription
FallCase
Die Identität (GUID) des eDiscovery-Falls, der erstellt, geändert oder gelöscht wurde.The identity (GUID) of the eDiscovery case that was created, changed, or deleted.
ClientApplicationClientApplication
eDiscovery-Cmdlet-Aktivitäten weisen für diese Eigenschaft den Wert EMC auf.eDiscovery cmdlet activities have a value of EMC for this property. Dies gibt an, dass die Aktivität mithilfe der Compliance Center-GUI oder dem Ausführen des Cmdlets in PowerShell ausgeführt wurde.This indicates the activity was performed by using the compliance center GUI or running the cmdlet in PowerShell.
ClientIPClientIP
Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde.The IP address of the device that was used when the activity was logged. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.The IP address is displayed in either an IPv4 or IPv6 address format.
ClientRequestIdClientRequestId
Für eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.For eDiscovery activities, this property is typically blank.
CmdletVersionCmdletVersion
Die Buildnummer für die Version des Compliance Centers, das in Ihrer Organisation ausgeführt wird.The build number for the version of the compliance center running in your organization.
CreationTimeCreationTime
Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), zu der die eDiscovery-Aktivität abgeschlossen wurde.The date and time in Coordinated Universal Time (UTC) when the eDiscovery activity was completed.
EffectiveOrganizationEffectiveOrganization
Der Name der Microsoft 365-Organisation.The name of the Microsoft 365 organization.
ExchangeLocationsExchangeLocations
Die Exchange Online Postfächer, die in einer Inhaltssuche enthalten sind oder in einem eDiscovery-Fall aufbewahrt werden.The Exchange Online mailboxes that are included in a content search or placed on hold in an eDiscovery case.
AusschlüsseExclusions
Postfach- oder Websitespeicherorte, die von einer Inhaltssuche oder einem Haltebereich in einem eDiscovery-Fall ausgeschlossen sind.Mailbox or site locations that are excluded from a content search or a hold in an eDiscovery case.
ExtendedPropertiesExtendedProperties
Zusätzliche Eigenschaften aus einer Inhaltssuche, einer Inhaltssucheaktion oder einer Aufbewahrung in einem eDiscovery-Fall, z. B. die Objekt-GUID und die entsprechenden Cmdlet- und Cmdlet-Parameter, die bei der Ausführung der Aktivität verwendet wurden.Additional properties from a content search, a content search action, or hold in an eDiscovery case, such as the object GUID and the corresponding cmdlet and cmdlet parameters that were used when the activity was performed.
IdId
Die ID des Berichtseintrags.The ID of the report entry. Die ID identifiziert den Überwachungsprotokolleintrag eindeutig.The ID uniquely identifies the audit log entry.
NonPIIParametersNonPIIParameters
Eine Liste der Parameter (ohne Werte), die mit dem in der Operation-Eigenschaft identifizierten Cmdlet verwendet wurden.A list of the parameters (without any values) that were used with the cmdlet identified in the Operation property. Die in dieser Eigenschaft aufgeführten Parameter sind identisch mit den parametern, die in der Parameters-Eigenschaft aufgeführt sind.The parameters listed in this property are the same as those listed in the Parameters property.
ObjectIdObjectId
Die GUID oder der Name des Objekts (z. B. eine Inhaltssuche oder ein Core eDiscovery-Fall), die von der in der Operation -Eigenschaft aufgelisteten Aktivität erstellt, aufgerufen, geändert oder gelöscht wurde.The GUID or name of the object (for example, a Content search or a Core eDiscovery case) that was created, accessed, changed, or deleted by the activity listed in the Operation property. Dieses Objekt wird auch in der Spalte "Element" in den Suchergebnissen des Überwachungsprotokolls identifiziert.This object is also identified in the Item column in the audit log search results.
ObjectTypeObjectType
Der Typ des eDiscovery-Objekts, das der Benutzer erstellt, gelöscht oder geändert hat; Beispielsweise eine Inhaltssuche (Vorschau, Export oder Bereinigung), ein eDiscovery-Fall oder eine Inhaltssuche.The type of eDiscovery object that the user created, deleted, or modified; for example, a content search action (preview, export, or purge), an eDiscovery case, or a content search.
VorgangOperation
Der Name des Vorgangs, der der eDiscovery-Aktivität entspricht, die ausgeführt wurde.The name of the operation that corresponds to the eDiscovery activity that was performed.
OrganizationIdOrganizationId
Die GUID für Ihre Microsoft 365 Organisation.The GUID for your Microsoft 365 organization.
ParameterParameters
Der Name und Wert für die Parameter, die mit dem entsprechenden Cmdlet verwendet wurden.The name and value for the parameters that were used with the corresponding cmdlet.
PublicFolderLocationsPublicFolderLocations
Die Speicherorte öffentlicher Ordner in Exchange Online, die in einer Inhaltssuche enthalten sind oder in einem eDiscovery-Fall aufbewahrt werden.The public folder locations in Exchange Online that are included in a content search or placed on hold in an eDiscovery case.
AbfrageQuery
Die der Aktivität zugeordnete Suchabfrage, z. B. eine Inhaltssuche oder eine abfragebasierte Aufbewahrung.The search query associated with the activity, such as a content search or a query-based hold.
RecordTypeRecordType
Der vom Datensatz angegebene Vorgangstyp.The type of operation indicated by the record. Der Wert 18 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt "eDiscovery-Cmdlet-Aktivitäten" aufgeführt ist.The value of 18 indicates an event related to an activity listed in the eDiscovery cmdlet activities section. Der Wert 24 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt "Suchen und Anzeigen von eDiscovery-Aktivitäten" aufgeführt ist.A value of 24 indicates an event related to an activity listed in the How to search for and view eDiscovery activities section.
ResultStatusResultStatus
Gibt an, ob die Aktion (in der Eigenschaft "Operation" angegeben) erfolgreich war oder nicht.Indicates whether the action (specified in the Operation property) was successful or not.
SecurityComplianceCenterEventTypeSecurityComplianceCenterEventType
Gibt an, dass die Aktivität ein Compliance Center-Ereignis war.Indicates that the activity was a compliance center event. Alle eDiscovery-Aktivitäten haben den Wert 0 für diese Eigenschaft.All eDiscovery activities will have a value of 0 for this property.
SharepointLocationsSharepointLocations
Die SharePoint Onlinewebsites, die in einer Inhaltssuche enthalten sind oder in einem eDiscovery-Fall aufbewahrt werden.The SharePoint Online sites that are included in a content search or placed on hold in an eDiscovery case.
StartTimeStartTime
Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), zu der die eDiscovery-Aktivität gestartet wurde.The date and time in Coordinated Universal Time (UTC) when the eDiscovery activity was started.
UserIdUserId
Der Benutzer, der die (in der Operation-Eigenschaft angegebene) Aktivität ausgeführt hat, die zum Protokollieren des Datensatzes geführt hat.The user who performed the activity (specified in the Operation property) that resulted in the record being logged. Datensätze für eDiscovery-Aktivitäten, die von Systemkonten (z. B. NT AUTHORITY\SYSTEM) ausgeführt werden, sind ebenfalls im Überwachungsprotokoll enthalten.Records for eDiscovery activity performed by system accounts (such as NT AUTHORITY\SYSTEM) are also included in the audit log.
UserKeyUserKey
Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer.An alternative ID for the user identified in the UserId property. Bei eDiscovery-Aktivitäten ist der Wert für diese Eigenschaft in der Regel identisch mit der UserId-Eigenschaft.For eDiscovery activities, the value for this property is typically the same as the UserId property.
UserServicePlanUserServicePlan
Das von Ihrer Organisation verwendete Abonnement.The subscription used by your organization. Für eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.For eDiscovery activities, this property is typically blank.
UserTypeUserType
Der Typ des Benutzers, der den Vorgang ausgeführt hat.The type of user that performed the operation. Die folgenden Werte geben den Benutzertyp an.The following values indicate the user type.
0 Ein normaler Benutzer.0 A regular user. 2 Ein Administrator in Ihrer Organisation.2 An administrator in your organization. 3 Ein Microsoft-Rechenzentrumsadministrator- oder -Rechenzentrumssystemkonto.3 A Microsoft datacenter administrator or datacenter system account. 4 Ein Systemkonto.4 A system account. 5 Eine Anwendung.5 An application. 6 Ein Dienstprinzipal.6 A service principal.
VersionVersion
Gibt die Versionsnummer der protokollierten Aktivität an (identifiziert durch die Operation-Eigenschaft).Indicates the version number of the activity (identified by the Operation property) that's logged.
ArbeitslastWorkload
Der Dienst, in dem die Aktivität aufgetreten ist.The service where the activity occurred. Für eDiscovery-Aktivitäten ist der Wert SecurityComplianceCenter.For eDiscovery activities, the value is SecurityComplianceCenter.