Söka efter eDiscovery-aktiviteter i granskningsloggen

Aktiviteter för innehållssökning och eDiscovery-relaterade aktiviteter (för Core eDiscovery och Advanced eDiscovery) som utförs i Microsoft 365 Efterlevnadscenter eller genom att köra motsvarande PowerShell-cmdlets loggas i granskningsloggen. Händelser loggas när administratörer eller eDiscovery-hanterare (eller alla användar tilldelade eDiscovery-behörigheter) utför följande aktiviteter för innehållssökning och bas-eDiscovery i Microsoft 365 Efterlevnadscenter:

  • Skapa och hantera core- Advanced eDiscovery ärenden

  • Skapa, starta och redigera innehållssökningar

  • Utföra sökåtgärder, till exempel förhandsgranska, exportera och ta bort sökresultat

  • Hantera biblioteks- och granskningsuppsättningar i Advanced eDiscovery

  • Konfigurera behörighetsfiltrering för innehållssökning

  • Hantera eDiscovery-administratörsrollen

Mer information om hur du söker i granskningsloggen, vilka behörigheter som krävs och exporterar sökresultat finns i Söka i granskningsloggen i Microsoft 365 Efterlevnadscenter.

Söka efter och visa eDiscovery-aktiviteter

För närvarande behöver du göra några saker för att visa eDiscovery-aktiviteter i granskningsloggen. Gör så här:

  1. Gå till https://compliance.microsoft.com och logga in med ditt arbets- eller skolkonto.

  2. Klicka på Granska i navigeringsrutan till Microsoft 365 Efterlevnadscenter vänster.

  3. I listrutan Aktiviteter under eDiscovery-aktiviteter eller eDiscovery Advanced eDiscovery klickar du på en eller flera aktiviteter att söka efter.

    Anteckning

    Listrutan Aktiviteter innehåller också en grupp aktiviteter med namnet eDiscovery-cmdlet-aktiviteter som returnerar poster från cmdlet-granskningsloggen.

  4. Välj ett datum- och tidsintervall för att visa eDiscovery-händelser som inträffat under perioden.

  5. Välj en eller flera användare som du vill visa sökresultat för i rutan Användare. Lämna rutan tom om du vill returnera poster för alla användare.

  6. Klicka på Sök för att köra sökningen med dina sökvillkor.

  7. När sökresultaten visas kan du klicka på Filtrera resultat för att filtrera eller sortera de resulterande aktivitetsposterna. Tyvärr kan du inte använda filtrering för att uttryckligen utesluta vissa aktiviteter.

  8. Om du vill visa information om en aktivitet klickar du på aktivitetsposten i listan med sökresultat.

    En utfällsida för Information visas med detaljerade egenskaper från händelseposten. Om du vill visa ytterligare information klickar du på Mer information. En beskrivning av dessa egenskaper finns i avsnittet Detaljerade egenskaper för eDiscovery-aktiviteter.

  9. Om du vill kan du exportera granskningsloggens sökresultat till en CSV-fil och sedan använda Power Query Excel för att formatera och filtrera posterna. Mer information finns i Exportera, konfigurera och visa granskningsloggposter.

eDiscovery-aktiviteter

I följande tabell beskrivs de aktiviteter för innehållssökning och bas-eDiscovery som loggas när en administratör eller eDiscovery-hanterare utför en eDiscovery-relaterad aktivitet med hjälp av Microsoft 365 Efterlevnadscenter. Vissa aktiviteter som utförs Advanced eDiscovery kan returneras när du söker efter aktiviteter i den här listan.

Anteckning

De eDiscovery-aktiviteter som beskrivs i det här avsnittet ger liknande information till eDiscovery-cmdlet-aktiviteterna som beskrivs i nästa avsnitt. Vi rekommenderar att du använder de eDiscovery-aktiviteter som beskrivs i det här avsnittet eftersom de visas i granskningsloggens sökresultat inom 30 minuter. Det kan ta upp till 24 timmar innan eDiscovery-cmdlet-aktiviteter visas i granskningsloggens sökresultat.

Visningsnamn Åtgärd Motsvarande cmdlet Beskrivning
Medlem tillagd i eDiscovery-ärende
CaseMemberAdded
Add-ComplianceCaseMember
En användare har lagts till som medlem i ett eDiscovery-ärende. Som medlem i ett ärende kan en användare utföra olika ärenderelaterade uppgifter beroende på om de har tilldelats nödvändiga behörigheter.
Innehållssökning ändrad
SearchUpdated
Set-ComplianceSearch
En befintlig innehållssökning har ändrats. Ändringar kan innefatta att lägga till eller ta bort innehållsplatser eller redigera sökfrågan.
EDiscovery-administratörsmedlemskap ändrades
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
Listan med eDiscovery-administratörer i organisationen har ändrats. Den här aktiviteten loggas när listan med eDiscovery-administratörer ersätts med en grupp med nya användare. Om en enskild användare läggs till eller tas bort loggas åtgärden CaseAdminAdded.
E-dataidentifieringsfall ändrade
CaseUpdated
Set-ComplianceCase
Ett e-dataidentifieringsfall har ändrats. Du kan t.ex. stänga ett öppet ärende eller öppna ett stängt ärende igen.
EDiscovery-ärendemedlemskap ändrades
CaseMemberUpdated
Update-ComplianceCaseMember
Medlemslistan för ett e-dataidentifieringsfall har ändrats. Den här aktiviteten loggas när alla medlemmar ersätts med en grupp med nya användare. Om en enskild medlem läggs till eller tas bort loggas åtgärden CaseMemberAdded eller CaseMemberRemoved.
Filter för ändrade sökbehörigheter
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Ett filter för sökbehörigheter har ändrats.
Ändrad sökfråga för eDiscovery-fall
HoldUpdated
Set-CaseHoldRule
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har ändrats. Bland de möjliga ändringarna går det att redigera frågan eller datumintervallet för ett frågebaserat intervall.
Förhandsgranskningsobjekt för innehållssökning nedladdat
PreviewItemDownloaded
EJ TILLÄMPLIGT
En användare laddade ned ett objekt till sin lokala dator (genom att klicka på länken Ladda ned ursprungligt objekt) när de förhandsgranskar sökresultat.
Förhandsgranskningsobjekt för innehållssökning visas
PreviewItemListed
EJ TILLÄMPLIGT
En användare har klickat på Förhandsgranska sökresultat för att visa sidan med sökresultat för förhandsgranskning, som visar upp till 1 000 objekt från resultatet av en sökning.
Förhandsgranskningsobjekt för innehållssökning visad
PreviewItemRendered
EJ TILLÄMPLIGT
En eDiscovery-hanterare visade ett objekt genom att klicka på det när du förhandsgranskade sökresultat.
Innehållssökning skapad
SearchCreated
New-ComplianceSearch
En ny innehållssökning har skapats.
EDiscovery-administratör skapad
CaseAdminAdded
Add-eDiscoveryCaseAdmin
En användare har lagts till som eDiscovery-administratör i organisationen.
Skapat eDiscovery-fall
CaseAdded
New-ComplianceCase
Ett eDiscovery-ärende har skapats. När ett ärende skapas behöver du bara ge det ett namn. Andra ärenderelaterade uppgifter som att lägga till medlemmar, skapa innehåll som sätts i innehåll och skapa innehållssökningar kopplade till ärendet resulterar i att ytterligare händelser loggas.
Filter för sökbehörighet skapad
SearchPermissionCreated
New-ComplianceSecurityFilter
Ett filter för sökbehörigheter har skapats.
Skapad sökfråga för eDiscovery-fall
HoldCreated
New-CaseHoldRule
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har skapats.
Borttagna innehållssökning
SearchRemoved
Remove-ComplianceSearch
En befintlig innehållssökning har tagits bort.
Borttagna eDiscovery-administratörer
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
En eDiscovery-administratör har tagits bort från din organisation.
Borttagna eDiscovery-fall
CaseRemoved
Remove-ComplianceCase
Ett eDiscovery-ärende har tagits bort. Eventuella väntande ändringar som är kopplade till ärendet måste tas bort innan ärendet kan tas bort.
Filter för borttagna sökbehörigheter
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Ett filter för sökbehörigheter har tagits bort.
Borttagna sökfrågor för eDiscovery-fall
HoldRemoved
Remove-CaseHoldRule
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har tagits bort. Att ta bort frågan från ett behörighets hold är ofta resultatet av att ett hold-objekt tas bort. När en fråga om att hålla på plats eller ett väntande objekt tas bort, frisläpps de innehållsplatser som var på plats.
Hämtad export av innehållssökning
SearchExportDownloaded
EJ TILLÄMPLIGT
En användare har laddat ned resultatet av en innehållssökning till sin lokala dator. En startad export av innehållssökningsaktivitet måste initieras innan sökresultat kan laddas ned.
Förhandsgranskade resultat av innehållssökning
SearchPreviewed
EJ TILLÄMPLIGT
En användare förhandsgranskade resultatet av en innehållssökning.
Bortrensade resultat av innehållssökning
SearchResultsPurged
New-ComplianceSearchAction
En användare rensade resultatet av en innehållssökning genom att köra kommandot New-ComplianceSearchAction -Purge.
Analys av innehållssökning borttagen
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
En förberedelseåtgärd för innehållssökning (för att förbereda sökresultat för Advanced eDiscovery) har tagits bort. Om förberedelseåtgärden var mindre än två veckor gammal togs sökresultaten som förbereddes för Advanced eDiscovery bort från Microsoft Azure-lagringsplatsen. Om förberedelseåtgärden är äldre än 2 veckor anger den här händelsen att endast motsvarande förberedelseåtgärd har tagits bort.
Export av innehållssökning borttagen
RemovedSearchExported
Remove-ComplianceSearchAction
En exportåtgärd för innehållssökning har tagits bort. Om exportåtgärden var mindre än två veckor gammal togs sökresultatet som laddades upp till Microsoft Azure lagringsutrymmet bort. Om exportåtgärden är äldre än 2 veckor anger den här händelsen att endast motsvarande exportåtgärd har tagits bort.
Medlem borttagen från eDiscovery-ärende
CaseMemberRemoved
Remove-ComplianceCaseMember
En användare togs bort som medlem i ett eDiscovery-ärende.
Resultat av innehållssökning borttaget
RemovedSearchPreviewed
Remove-ComplianceSearchAction
En förhandsgranskningsåtgärd för innehållssökning har tagits bort.
Åtgärd för borttagen rensning utförs vid innehållssökning
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
En åtgärd för att rensa innehåll har tagits bort.
Sökrapport borttagen
SearchReportRemoved
Remove-ComplianceSearchAction
En exportrapportåtgärd för innehållssökning har tagits bort.
Startad analys av innehållssökning
SearchResultsSentToZoom
New-ComplianceSearchAction
Resultatet av en innehållssökning förbereddes för analys i Advanced eDiscovery.
Startad innehållssökning
SearchStarted
Start-ComplianceSearch
En innehållssökning startades. När du skapar eller ändrar en innehållssökning med hjälp Microsoft 365 Efterlevnadscenter startas sökningen automatiskt.
Startad export av innehållssökning
SearchExported
New-ComplianceSearchAction
En användare exporterade resultatet av en innehållssökning.
Startad exportrapport
SearchReport
New-ComplianceSearchAction
En användare har exporterat en rapport för innehållssökning.
Stoppad innehållssökning
SearchStopped
Stop-ComplianceSearch
En användare har stoppat en innehållssökning.
(inget) CaseViewed Get-ComplianceCase En användare visade ett grundläggande eDiscovery-ärende i efterlevnadscentret. Granskningsposten för den här händelsen innehåller namnet på det ärende som visades.
(inget) SearchViewed Get-ComplianceSearch En användare har visat en innehållssökning i efterlevnadscentret genom att komma åt sökningen på fliken Sökningar i ett grundläggande eDiscovery-ärende eller komma åt den på sidan Innehållssökning. Granskningsposten för den här händelsen innehåller identiteten för sökningen som visades.
(inget) ViewedSearchExported Get-ComplianceSearchAction -Exportera En användare har visat en export av innehållssökning i efterlevnadscentret genom att öppna exporten på fliken Exportersidan Innehållssökning. Den här aktiviteten loggas också när en användare visar en export som är kopplad till ett Core eDiscovery-ärende.
(inget) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview En användare förhandsgranskade resultatet av en innehållssökning i efterlevnadscentret. Den här aktiviteten loggas också när en användare förhandsgranskar resultatet av en sökning som är kopplad till ett Core eDiscovery-ärende.

Advanced eDiscovery-aktiviteter

I följande tabell beskrivs de Advanced eDiscovery som loggas i granskningsloggen. De här aktiviteterna kan användas för att hjälpa dig att följa upp aktivitetens förlopp i Advanced eDiscovery fall.

Visningsnamn Åtgärd Beskrivning
Lade till data i en annan granskningsuppsättning AddWorkingSetQueryToWorkingSet Användaren har lagt till dokument från en granskningsuppsättning till en annan granskningsuppsättning.
Lade till data att granska uppsättning AddQueryToWorkingSet Användaren lade till sökresultatet från en innehållssökning som associerats med ett Advanced eDiscovery till en granskningsuppsättning.
Lade till icke-Microsoft 365 data att granska uppsättning AddNonOffice365DataToWorkingSet Användaren lade till icke-Microsoft 365 data i en granskningsuppsättning.
Dokument som har åtgärdats för granskningsuppsättning AddRemediatedData Användaren laddar upp dokument som hade indexeringsfel som har åtgärdats med en granskningsuppsättning.
Analyserade data i granskningsuppsättning RunAlgo Användaren körde analys på dokument i en granskningsuppsättning.
Kommenterat dokument i granskningsuppsättning AnnotateDocument Användaren har kommenterat ett dokument i en granskningsuppsättning. Anteckning omfattar att göra om innehåll i ett dokument.
Jämförda belastningsuppsättningar LoadComparhusJob Användaren jämförde två olika inläsningsuppsättningar i en granskningsuppsättning. En inläsningsuppsättning är när data från en innehållssökning som är kopplad till ärendet läggs till i en granskningsuppsättning.
Konverterade dokument som konverterats till PDF Burn Job Användaren har konverterat alla omaktiverade dokument i en granskning som är inställd på PDF-filer.
Granskningsuppsättning skapad CreateWorkingSet Användaren har skapat en granskningsuppsättning.
Sökning i granskningsuppsättning skapad CreateWorkingSetSearch Användaren har skapat en sökfråga som söker i dokument i en granskningsuppsättning.
Skapad tagg CreateTag Användaren skapade en tagggrupp i en granskningsuppsättning. En tagggrupp kan innehålla en eller flera underordnade taggar. De här taggarna används sedan för att tagga dokument i granskningsuppsättningen.
Sökning med en borttagna granskningsuppsättning DeleteWorkingSetSearch Användaren har tagit bort en sökfråga i en granskningsuppsättning.
Borttagna taggar DeleteTag Användaren har tagit bort en tagg eller en tagggrupp i en granskningsuppsättning.
Laddade ned dokument DownloadDocument Användaren har laddat ned ett dokument från en granskningsuppsättning.
Redigerad tagg UpdateTag Användaren ändrade en tagg i en granskningsuppsättning.
Dokument exporterade från granskningsuppsättning ExportJob Användaren exporterade dokument från en uppsättning med granskare.
Inställning för ändrat ärende UpdateCaseSettings Användaren har ändrat inställningarna för ett ärende. Ärendeinställningarna omfattar ärendeinformation, åtkomstbehörigheter och inställningar som styr sök- och analysbeteendet.
Sökning efter ändrad granskningsuppsättning UpdateWorkingSetSearch Användaren har redigerat en sökfråga i en granskningsuppsättning.
Förhandsgranskningsuppsättningssökning för granskad PreviewWorkingSetSearch Användaren förhandsgranskade resultatet av en sökfråga i en granskningsuppsättning.
Åtgärdade feldokument ErrorRemediation Job Användaren åtgärdar filer som innehöll indexeringsfel.
Taggat dokument TagFiles Användaren taggar ett dokument i en granskningsuppsättning.
Taggade resultat för en fråga TagJob Användaren taggar alla dokument som matchar sökfrågans villkor i en granskningsuppsättning.
Dokument som visats i en granskningsuppsättning ViewDocument Användaren har visat ett dokument i en granskningsuppsättning.

eDiscovery-cmdlet-aktiviteter

I följande tabell visas de cmdlet-granskningsloggposter som loggas när en administratör eller användare utför en eDiscovery-relaterad aktivitet med hjälp av efterlevnadscentret eller genom att köra motsvarande cmdlet i Security & Compliance Center PowerShell. Den detaljerade informationen i granskningsloggposten skiljer sig för cmdlet-aktiviteterna som visas i den här tabellen och eDiscovery-aktiviteterna som beskrivs i föregående avsnitt.

Som tidigare nämnts kan det ta upp till 24 timmar innan eDiscovery-cmdlet-aktiviteter visas i granskningsloggens sökresultat.

Tips

Cmdletarna i kolumnen Operation i följande tabell är länkade till motsvarande hjälpavsnitt för cmdlet på TechNet. Gå till cmdlet-hjälpavsnittet för en beskrivning av tillgängliga parametrar för varje cmdlet. Parametern och parametervärdet som användes med en cmdlet ingår i granskningsloggposten för varje eDiscovery-cmdlet-aktivitet som loggas.

Visningsnamn Operation (cmdlet) Beskrivning
Skapat ärende för håll i e-dataidentifieringsfall
New-CaseHoldPolicy
Ett sådant ärende har skapats för ett eDiscovery-ärende. Ett värde kan skapas med eller utan att ange en innehållskälla. Om innehållskällor anges identifieras de i granskningsloggposten.
Borttagna rader från e-dataidentifieringsfall
Remove-CaseHoldPolicy
Ett ärende som är kopplat till ett eDiscovery-ärende har tagits bort. Om du tar bort ett väntande objekt tas alla innehållsplatser bort från platsen. Om du tar bort det här antalet innebär det också att du tar bort reglerna för att hålla ärendet kvar (se Remove-CaseHoldRule nedan).
Ändrat håll för e-dataidentifieringsfall
Set-CaseHoldPolicy
Ett håll som är kopplat till en eDiscovery har ändrats. Möjliga ändringar är att lägga till eller ta bort innehållsplatser eller inaktivera (inaktivera) holden.
Skapad sökfråga för eDiscovery-fall
New-CaseHoldrule
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har skapats.
Borttagna sökfrågor för eDiscovery-fall
Remove-CaseHoldrule
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har tagits bort. Att ta bort frågan från ett behörighets hold är ofta resultatet av att ett hold-objekt tas bort. När en fråga om att hålla på plats eller ett väntande objekt tas bort, frisläpps de innehållsplatser som var på plats.
Ändrad sökfråga för eDiscovery-fall
Set-CaseHoldRule
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har ändrats. Bland de möjliga ändringarna går det att redigera frågan eller datumintervallet för ett frågebaserat intervall.
Skapat eDiscovery-fall
New-ComplianceCase
Ett eDiscovery-ärende har skapats. När ett ärende skapas behöver du bara ge det ett namn. Andra ärenderelaterade uppgifter som att lägga till medlemmar, skapa innehåll som sätts i innehåll och skapa innehållssökningar kopplade till ärendet resulterar i att ytterligare händelser loggas.
Borttagna eDiscovery-fall
Remove-ComplianceCase
Ett eDiscovery-ärende har tagits bort. Eventuella väntande ändringar som är kopplade till ärendet måste tas bort innan ärendet kan tas bort.
E-dataidentifieringsfall ändrade
Set-ComplianceCase
Ett e-dataidentifieringsfall har ändrats. Du kan t.ex. stänga ett öppet ärende eller öppna ett stängt ärende igen.
Medlem tillagd i eDiscovery-ärende
Add-ComplianceCaseMember
En användare har lagts till som medlem i ett eDiscovery-ärende. Som medlem i ett ärende kan en användare utföra olika ärenderelaterade uppgifter beroende på om de har tilldelats nödvändiga behörigheter.
Medlem borttagen från eDiscovery-ärende
Remove-ComplianceCaseMember
En användare togs bort som medlem i ett eDiscovery-ärende.
EDiscovery-ärendemedlemskap ändrades
Update-ComplianceCaseMember
Medlemslistan för ett e-dataidentifieringsfall har ändrats. Den här aktiviteten loggas när alla medlemmar ersätts med en grupp med nya användare. Om en enskild medlem läggs till eller tas bort loggas åtgärden Add-ComplianceCaseMember eller Remove-ComplianceCaseMember.
Innehållssökning skapad
New-ComplianceSearch
En ny innehållssökning har skapats.
Borttagna innehållssökning
Remove-ComplianceSearch
En befintlig innehållssökning har tagits bort.
Innehållssökning ändrad
Set-ComplianceSearch
En befintlig innehållssökning har ändrats. Ändringar kan innefatta att lägga till eller ta bort innehållsplatser som genomsöks och att redigera sökfrågan.
Startad innehållssökning
Start-ComplianceSearch
En innehållssökning startades. När du skapar eller ändrar en innehållssökning med hjälp av guid för efterlevnadscentret startas sökningen automatiskt. Om du skapar eller ändrar en sökning med hjälp av cmdleten New-ComplianceSearch eller Set-ComplianceSearch måste du köra cmdleten Start-ComplianceSearch för att starta sökningen.
Stoppad innehållssökning
Stop-ComplianceSearch
En innehållssökning som kördes stoppades.
Innehållssökningsåtgärd skapad
New-ComplianceSearchAction
En innehållssökningsåtgärd har skapats. Innehållssökningsåtgärder omfattar att förhandsgranska sökresultat, exportera sökresultat, förbereda sökresultat för analys i Advanced eDiscovery och permanent ta bort objekt som matchar sökvillkoren för en innehållssökning.
Sökåtgärden Borttagna innehåll
Remove-ComplianceSearchAction
En innehållssökningsåtgärd har tagits bort.
Filter för sökbehörighet skapad
New-ComplianceSecurityFilter
Ett filter för sökbehörigheter har skapats.
Filter för borttagna sökbehörigheter
Remove-ComplianceSecurityFilter
Ett filter för sökbehörigheter har tagits bort.
Filter för ändrade sökbehörigheter
Set-ComplianceSecurityFilter
Ett filter för sökbehörigheter har ändrats.
EDiscovery-administratör skapad
Add-eDiscoveryCaseAdmin
En användare har lagts till som eDiscovery-administratör i organisationen.
Borttagna eDiscovery-administratörer
Remove-eDiscoveryCaseAdmin
En eDiscovery-administratör har tagits bort från din organisation.
EDiscovery-administratörsmedlemskap ändrades
Update-eDiscoveryCaseAdmin
Listan med eDiscovery-administratörer i organisationen har ändrats. Den här aktiviteten loggas när listan med eDiscovery-administratörer ersätts med en grupp med nya användare. Om en enskild användare läggs till eller tas bort loggas åtgärden Add-eDiscoveryCaseAdmin eller Remove-eDiscoveryCaseAdmin.
(inget) Get-ComplianceCase
Den här aktiviteten loggas när en användare visade en lista över grundläggande eDiscovery eller Advanced eDiscovery fall. Den här aktiviteten loggas också när en användare visar ett visst ärende i Bas-eDiscovery. När en användare visar ett visst ärende innehåller granskningsposten identiteten för det ärende som visades. Om användaren bara visade en lista över ärenden innehåller granskningsposten inte en ärendeidentitet.
(inget) Get-ComplianceSearch Den här aktiviteten loggas när en användare har visat en lista över innehållssökningar eller sökningar kopplade till ett grundläggande eDiscovery-ärende. Den här aktiviteten loggas också när en användare visar en specifik innehållssökning eller visar en specifik sökning som är kopplad till ett Bas-eDiscovery-ärende. När en användare visar en viss sökning innehåller granskningsposten identiteten för den sökning som visades. Om användaren bara visade en lista med sökningar innehåller granskningsposten ingen sökidentitet.
(inget) Get-ComplianceSearchAction Den här aktiviteten loggas när en användare har visat en lista över sökåtgärder för efterlevnad (till exempel exporter, förhandsgranskningar eller rensningar) eller åtgärder som är associerade med ett grundläggande eDiscovery-ärende. Den här aktiviteten loggas också när en användare visar en specifik sökåtgärd för efterlevnad (till exempel en export) eller visar en specifik åtgärd som är kopplad till ett Bas-eDiscovery-ärende. När en användare visar en sökåtgärd innehåller granskningsposten identiteten för den sökåtgärd som visades. Om användaren bara visade en lista med åtgärder innehåller granskningsposten inte en åtgärdsidentitet.

Detaljerade egenskaper för eDiscovery-aktiviteter

I följande tabell beskrivs egenskaperna som finns på den utfällande sidan för en eDiscovery-aktivitet som visas i sökresultatet. De här egenskaperna ingår också i CSV-filen när du exporterar granskningsloggens sökresultat. En granskningsloggpost för en eDiscovery-aktivitet innehåller inte varje detaljerad egenskap som anges nedan.

Tips

När du exporterar sökresultaten innehåller CSV-filen en kolumn med namnet AudtiData, som innehåller de detaljerade egenskaper som beskrivs i följande tabell i en flervärdesegenskap. Du kan använda Power Query-funktionen i Excel för att dela upp kolumnen i flera kolumner så att varje egenskap har en egen kolumn. Då kan du sortera och filtrera efter en eller flera av de här egenskaperna. Mer information finns i avsnittet "Exportera sökresultatet till en fil" i Söka i granskningsloggen.

Egenskap Beskrivning
Ärende
Identiteten (GUID) för eDiscovery-ärendet som skapades, ändrades eller togs bort.
ClientApplication
eDiscovery-cmdlet-aktiviteter har värdet EMC för den här egenskapen. Det här anger aktiviteten som utfördes med hjälp av GUI för efterlevnadscenter eller genom att köra cmdleten i PowerShell.
ClientIP
IP-adressen för den enhet som användes när aktiviteten loggades. IP-adressen visas i IPv4- eller IPv6-adressformat.
ClientRequestId
För eDiscovery-aktiviteter är den här egenskapen vanligtvis tom.
CmdletVersion
Versionsnumret för den version av efterlevnadscentret som körs i organisationen.
CreationTime
Datum och tid i UTC (Coordinated Universal Time) när eDiscovery-aktiviteten slutfördes.
EffectiveOrganization
Namnet på Microsoft 365-organisationen.
ExchangeLocations
I Exchange Online postlådor som ingår i en innehållssökning eller som har satts i ett e-dataidentifieringsfall.
Undantag
Postlådor eller webbplatsplatser som undantas från en innehållssökning eller ett undantag i ett eDiscovery-ärende.
ExtendedProperties
Ytterligare egenskaper från en innehållssökning, en åtgärd för innehållssökning eller håll kvar i ett eDiscovery-ärende, till exempel objekt-GUID och motsvarande cmdlet och cmdlet-parametrar som användes när aktiviteten utfördes.
ID
ID för rapportposten. ID:t identifierar granskningsloggposten unikt.
NonPIIParameters
En lista över parametrarna (utan några värden) som användes med cmdleten som identifieras i egenskapen Operation. Parametrarna som visas i den här egenskapen är samma som de som anges i egenskapen Parametrar.
ObjectId
GUID eller namnet på objektet (till exempel en innehållssökning eller ett Core eDiscovery-ärende) som skapades, kom åt, ändrades eller togs bort av aktiviteten som listas i egenskapen Operation. Det här objektet identifieras också i kolumnen Objekt i granskningsloggens sökresultat.
ObjectType
Den typ av eDiscovery-objekt som användaren har skapat, tagit bort eller ändrat. Till exempel en åtgärd för innehållssökning (förhandsgranska, exportera eller rensa), ett eDiscovery-ärende eller en innehållssökning.
Åtgärd
Namnet på åtgärden som motsvarar den eDiscovery-aktivitet som utfördes.
OrganizationId
GUID för din Microsoft 365 organisation.
Parametrar
Namn och värde för parametrarna som användes med motsvarande cmdlet.
PublicFolderLocations
De offentliga mappplatserna i Exchange Online som ingår i en innehållssökning eller som har satts på plats i ett eDiscovery-ärende.
Fråga
Sökfrågan som är kopplad till aktiviteten, till exempel en innehållssökning eller ett frågebaserat väntande.
RecordType
Typen av åtgärd som anges av posten. Värdet för 18 anger en händelse som är relaterad till en aktivitet som listas i avsnittet för eDiscovery-cmdlet-aktiviteter. Värdet 24 anger en händelse relaterad till en aktivitet som listas i avsnittet Så här söker du efter och visar eDiscovery-aktiviteter.
ResultStatus
Anger om åtgärden (som anges i egenskapen Åtgärd) lyckades eller inte.
SecurityComplianceCenterEventType
Anger att aktiviteten var ett efterlevnadscenter. Alla eDiscovery-aktiviteter har värdet 0 för den här egenskapen.
SharepointLocations
I SharePoint onlinewebbplatser som ingår i en innehållssökning eller i ett eDiscovery-ärende.
StartTime
Datum och tid i UTC (Coordinated Universal Time) när eDiscovery-aktiviteten startades.
UserId
Användaren som utförde aktiviteten (anges i operation-egenskapen) som resulterade i att posten loggades. Poster för eDiscovery-aktivitet som utförs av systemkonton (t.ex. NT AUTHORITY\SYSTEM) ingår också i granskningsloggen.
UserKey
Ett alternativt ID för användaren som identifieras i UserId-egenskapen. För eDiscovery-aktiviteter är värdet för den här egenskapen vanligtvis detsamma som egenskapen UserId.
UserServicePlan
Prenumerationen som används av din organisation. För eDiscovery-aktiviteter är den här egenskapen vanligtvis tom.
UserType
Typen av användare som utförde åtgärden. Följande värden anger användartypen.
0 En vanlig användare. 2 En administratör i organisationen. 3 En Microsoft-datacenteradministratör eller ett datacentersystemkonto. 4 Ett systemkonto. 5 Ett program. 6 Ett huvudnamn för en tjänst.
Version
Anger versionsnumret för aktiviteten (identifieras av egenskapen Operation) som har loggats.
Arbetsbelastning
Tjänsten där aktiviteten inträffade. För eDiscovery-aktiviteter är värdet SecurityComplianceCenter.