Söka efter eDiscovery-aktiviteter i granskningsloggen
Aktiviteter för innehållssökning och eDiscovery-relaterade aktiviteter (för Core eDiscovery och Advanced eDiscovery) som utförs i Microsoft 365 Efterlevnadscenter eller genom att köra motsvarande PowerShell-cmdlets loggas i granskningsloggen. Händelser loggas när administratörer eller eDiscovery-hanterare (eller alla användar tilldelade eDiscovery-behörigheter) utför följande aktiviteter för innehållssökning och bas-eDiscovery i Microsoft 365 Efterlevnadscenter:
Skapa och hantera core- Advanced eDiscovery ärenden
Skapa, starta och redigera innehållssökningar
Utföra sökåtgärder, till exempel förhandsgranska, exportera och ta bort sökresultat
Hantera biblioteks- och granskningsuppsättningar i Advanced eDiscovery
Konfigurera behörighetsfiltrering för innehållssökning
Hantera eDiscovery-administratörsrollen
Mer information om hur du söker i granskningsloggen, vilka behörigheter som krävs och exporterar sökresultat finns i Söka i granskningsloggen i Microsoft 365 Efterlevnadscenter.
Söka efter och visa eDiscovery-aktiviteter
För närvarande behöver du göra några saker för att visa eDiscovery-aktiviteter i granskningsloggen. Gör så här:
Gå till https://compliance.microsoft.com och logga in med ditt arbets- eller skolkonto.
Klicka på Granska i navigeringsrutan till Microsoft 365 Efterlevnadscenter vänster.
I listrutan Aktiviteter under eDiscovery-aktiviteter eller eDiscovery Advanced eDiscovery klickar du på en eller flera aktiviteter att söka efter.
Anteckning
Listrutan Aktiviteter innehåller också en grupp aktiviteter med namnet eDiscovery-cmdlet-aktiviteter som returnerar poster från cmdlet-granskningsloggen.
Välj ett datum- och tidsintervall för att visa eDiscovery-händelser som inträffat under perioden.
Välj en eller flera användare som du vill visa sökresultat för i rutan Användare. Lämna rutan tom om du vill returnera poster för alla användare.
Klicka på Sök för att köra sökningen med dina sökvillkor.
När sökresultaten visas kan du klicka på Filtrera resultat för att filtrera eller sortera de resulterande aktivitetsposterna. Tyvärr kan du inte använda filtrering för att uttryckligen utesluta vissa aktiviteter.
Om du vill visa information om en aktivitet klickar du på aktivitetsposten i listan med sökresultat.
En utfällsida för Information visas med detaljerade egenskaper från händelseposten. Om du vill visa ytterligare information klickar du på Mer information. En beskrivning av dessa egenskaper finns i avsnittet Detaljerade egenskaper för eDiscovery-aktiviteter.
Om du vill kan du exportera granskningsloggens sökresultat till en CSV-fil och sedan använda Power Query Excel för att formatera och filtrera posterna. Mer information finns i Exportera, konfigurera och visa granskningsloggposter.
eDiscovery-aktiviteter
I följande tabell beskrivs de aktiviteter för innehållssökning och bas-eDiscovery som loggas när en administratör eller eDiscovery-hanterare utför en eDiscovery-relaterad aktivitet med hjälp av Microsoft 365 Efterlevnadscenter. Vissa aktiviteter som utförs Advanced eDiscovery kan returneras när du söker efter aktiviteter i den här listan.
Anteckning
De eDiscovery-aktiviteter som beskrivs i det här avsnittet ger liknande information till eDiscovery-cmdlet-aktiviteterna som beskrivs i nästa avsnitt. Vi rekommenderar att du använder de eDiscovery-aktiviteter som beskrivs i det här avsnittet eftersom de visas i granskningsloggens sökresultat inom 30 minuter. Det kan ta upp till 24 timmar innan eDiscovery-cmdlet-aktiviteter visas i granskningsloggens sökresultat.
| Visningsnamn | Åtgärd | Motsvarande cmdlet | Beskrivning |
|---|---|---|---|
| Medlem tillagd i eDiscovery-ärende |
CaseMemberAdded |
Add-ComplianceCaseMember |
En användare har lagts till som medlem i ett eDiscovery-ärende. Som medlem i ett ärende kan en användare utföra olika ärenderelaterade uppgifter beroende på om de har tilldelats nödvändiga behörigheter. |
| Innehållssökning ändrad |
SearchUpdated |
Set-ComplianceSearch |
En befintlig innehållssökning har ändrats. Ändringar kan innefatta att lägga till eller ta bort innehållsplatser eller redigera sökfrågan. |
| EDiscovery-administratörsmedlemskap ändrades |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
Listan med eDiscovery-administratörer i organisationen har ändrats. Den här aktiviteten loggas när listan med eDiscovery-administratörer ersätts med en grupp med nya användare. Om en enskild användare läggs till eller tas bort loggas åtgärden CaseAdminAdded. |
| E-dataidentifieringsfall ändrade |
CaseUpdated |
Set-ComplianceCase |
Ett e-dataidentifieringsfall har ändrats. Du kan t.ex. stänga ett öppet ärende eller öppna ett stängt ärende igen. |
| EDiscovery-ärendemedlemskap ändrades |
CaseMemberUpdated |
Update-ComplianceCaseMember |
Medlemslistan för ett e-dataidentifieringsfall har ändrats. Den här aktiviteten loggas när alla medlemmar ersätts med en grupp med nya användare. Om en enskild medlem läggs till eller tas bort loggas åtgärden CaseMemberAdded eller CaseMemberRemoved. |
| Filter för ändrade sökbehörigheter |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
Ett filter för sökbehörigheter har ändrats. |
| Ändrad sökfråga för eDiscovery-fall |
HoldUpdated |
Set-CaseHoldRule |
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har ändrats. Bland de möjliga ändringarna går det att redigera frågan eller datumintervallet för ett frågebaserat intervall. |
| Förhandsgranskningsobjekt för innehållssökning nedladdat |
PreviewItemDownloaded |
EJ TILLÄMPLIGT |
En användare laddade ned ett objekt till sin lokala dator (genom att klicka på länken Ladda ned ursprungligt objekt) när de förhandsgranskar sökresultat. |
| Förhandsgranskningsobjekt för innehållssökning visas |
PreviewItemListed |
EJ TILLÄMPLIGT |
En användare har klickat på Förhandsgranska sökresultat för att visa sidan med sökresultat för förhandsgranskning, som visar upp till 1 000 objekt från resultatet av en sökning. |
| Förhandsgranskningsobjekt för innehållssökning visad |
PreviewItemRendered |
EJ TILLÄMPLIGT |
En eDiscovery-hanterare visade ett objekt genom att klicka på det när du förhandsgranskade sökresultat. |
| Innehållssökning skapad |
SearchCreated |
New-ComplianceSearch |
En ny innehållssökning har skapats. |
| EDiscovery-administratör skapad |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
En användare har lagts till som eDiscovery-administratör i organisationen. |
| Skapat eDiscovery-fall |
CaseAdded |
New-ComplianceCase |
Ett eDiscovery-ärende har skapats. När ett ärende skapas behöver du bara ge det ett namn. Andra ärenderelaterade uppgifter som att lägga till medlemmar, skapa innehåll som sätts i innehåll och skapa innehållssökningar kopplade till ärendet resulterar i att ytterligare händelser loggas. |
| Filter för sökbehörighet skapad |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
Ett filter för sökbehörigheter har skapats. |
| Skapad sökfråga för eDiscovery-fall |
HoldCreated |
New-CaseHoldRule |
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har skapats. |
| Borttagna innehållssökning |
SearchRemoved |
Remove-ComplianceSearch |
En befintlig innehållssökning har tagits bort. |
| Borttagna eDiscovery-administratörer |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
En eDiscovery-administratör har tagits bort från din organisation. |
| Borttagna eDiscovery-fall |
CaseRemoved |
Remove-ComplianceCase |
Ett eDiscovery-ärende har tagits bort. Eventuella väntande ändringar som är kopplade till ärendet måste tas bort innan ärendet kan tas bort. |
| Filter för borttagna sökbehörigheter |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
Ett filter för sökbehörigheter har tagits bort. |
| Borttagna sökfrågor för eDiscovery-fall |
HoldRemoved |
Remove-CaseHoldRule |
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har tagits bort. Att ta bort frågan från ett behörighets hold är ofta resultatet av att ett hold-objekt tas bort. När en fråga om att hålla på plats eller ett väntande objekt tas bort, frisläpps de innehållsplatser som var på plats. |
| Hämtad export av innehållssökning |
SearchExportDownloaded |
EJ TILLÄMPLIGT |
En användare har laddat ned resultatet av en innehållssökning till sin lokala dator. En startad export av innehållssökningsaktivitet måste initieras innan sökresultat kan laddas ned. |
| Förhandsgranskade resultat av innehållssökning |
SearchPreviewed |
EJ TILLÄMPLIGT |
En användare förhandsgranskade resultatet av en innehållssökning. |
| Bortrensade resultat av innehållssökning |
SearchResultsPurged |
New-ComplianceSearchAction |
En användare rensade resultatet av en innehållssökning genom att köra kommandot New-ComplianceSearchAction -Purge. |
| Analys av innehållssökning borttagen |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
En förberedelseåtgärd för innehållssökning (för att förbereda sökresultat för Advanced eDiscovery) har tagits bort. Om förberedelseåtgärden var mindre än två veckor gammal togs sökresultaten som förbereddes för Advanced eDiscovery bort från Microsoft Azure-lagringsplatsen. Om förberedelseåtgärden är äldre än 2 veckor anger den här händelsen att endast motsvarande förberedelseåtgärd har tagits bort. |
| Export av innehållssökning borttagen |
RemovedSearchExported |
Remove-ComplianceSearchAction |
En exportåtgärd för innehållssökning har tagits bort. Om exportåtgärden var mindre än två veckor gammal togs sökresultatet som laddades upp till Microsoft Azure lagringsutrymmet bort. Om exportåtgärden är äldre än 2 veckor anger den här händelsen att endast motsvarande exportåtgärd har tagits bort. |
| Medlem borttagen från eDiscovery-ärende |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
En användare togs bort som medlem i ett eDiscovery-ärende. |
| Resultat av innehållssökning borttaget |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
En förhandsgranskningsåtgärd för innehållssökning har tagits bort. |
| Åtgärd för borttagen rensning utförs vid innehållssökning |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
En åtgärd för att rensa innehåll har tagits bort. |
| Sökrapport borttagen |
SearchReportRemoved |
Remove-ComplianceSearchAction |
En exportrapportåtgärd för innehållssökning har tagits bort. |
| Startad analys av innehållssökning |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
Resultatet av en innehållssökning förbereddes för analys i Advanced eDiscovery. |
| Startad innehållssökning |
SearchStarted |
Start-ComplianceSearch |
En innehållssökning startades. När du skapar eller ändrar en innehållssökning med hjälp Microsoft 365 Efterlevnadscenter startas sökningen automatiskt. |
| Startad export av innehållssökning |
SearchExported |
New-ComplianceSearchAction |
En användare exporterade resultatet av en innehållssökning. |
| Startad exportrapport |
SearchReport |
New-ComplianceSearchAction |
En användare har exporterat en rapport för innehållssökning. |
| Stoppad innehållssökning |
SearchStopped |
Stop-ComplianceSearch |
En användare har stoppat en innehållssökning. |
| (inget) | CaseViewed | Get-ComplianceCase | En användare visade ett grundläggande eDiscovery-ärende i efterlevnadscentret. Granskningsposten för den här händelsen innehåller namnet på det ärende som visades. |
| (inget) | SearchViewed | Get-ComplianceSearch | En användare har visat en innehållssökning i efterlevnadscentret genom att komma åt sökningen på fliken Sökningar i ett grundläggande eDiscovery-ärende eller komma åt den på sidan Innehållssökning. Granskningsposten för den här händelsen innehåller identiteten för sökningen som visades. |
| (inget) | ViewedSearchExported | Get-ComplianceSearchAction -Exportera | En användare har visat en export av innehållssökning i efterlevnadscentret genom att öppna exporten på fliken Exporter på sidan Innehållssökning. Den här aktiviteten loggas också när en användare visar en export som är kopplad till ett Core eDiscovery-ärende. |
| (inget) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | En användare förhandsgranskade resultatet av en innehållssökning i efterlevnadscentret. Den här aktiviteten loggas också när en användare förhandsgranskar resultatet av en sökning som är kopplad till ett Core eDiscovery-ärende. |
Advanced eDiscovery-aktiviteter
I följande tabell beskrivs de Advanced eDiscovery som loggas i granskningsloggen. De här aktiviteterna kan användas för att hjälpa dig att följa upp aktivitetens förlopp i Advanced eDiscovery fall.
| Visningsnamn | Åtgärd | Beskrivning |
|---|---|---|
| Lade till data i en annan granskningsuppsättning | AddWorkingSetQueryToWorkingSet | Användaren har lagt till dokument från en granskningsuppsättning till en annan granskningsuppsättning. |
| Lade till data att granska uppsättning | AddQueryToWorkingSet | Användaren lade till sökresultatet från en innehållssökning som associerats med ett Advanced eDiscovery till en granskningsuppsättning. |
| Lade till icke-Microsoft 365 data att granska uppsättning | AddNonOffice365DataToWorkingSet | Användaren lade till icke-Microsoft 365 data i en granskningsuppsättning. |
| Dokument som har åtgärdats för granskningsuppsättning | AddRemediatedData | Användaren laddar upp dokument som hade indexeringsfel som har åtgärdats med en granskningsuppsättning. |
| Analyserade data i granskningsuppsättning | RunAlgo | Användaren körde analys på dokument i en granskningsuppsättning. |
| Kommenterat dokument i granskningsuppsättning | AnnotateDocument | Användaren har kommenterat ett dokument i en granskningsuppsättning. Anteckning omfattar att göra om innehåll i ett dokument. |
| Jämförda belastningsuppsättningar | LoadComparhusJob | Användaren jämförde två olika inläsningsuppsättningar i en granskningsuppsättning. En inläsningsuppsättning är när data från en innehållssökning som är kopplad till ärendet läggs till i en granskningsuppsättning. |
| Konverterade dokument som konverterats till PDF | Burn Job | Användaren har konverterat alla omaktiverade dokument i en granskning som är inställd på PDF-filer. |
| Granskningsuppsättning skapad | CreateWorkingSet | Användaren har skapat en granskningsuppsättning. |
| Sökning i granskningsuppsättning skapad | CreateWorkingSetSearch | Användaren har skapat en sökfråga som söker i dokument i en granskningsuppsättning. |
| Skapad tagg | CreateTag | Användaren skapade en tagggrupp i en granskningsuppsättning. En tagggrupp kan innehålla en eller flera underordnade taggar. De här taggarna används sedan för att tagga dokument i granskningsuppsättningen. |
| Sökning med en borttagna granskningsuppsättning | DeleteWorkingSetSearch | Användaren har tagit bort en sökfråga i en granskningsuppsättning. |
| Borttagna taggar | DeleteTag | Användaren har tagit bort en tagg eller en tagggrupp i en granskningsuppsättning. |
| Laddade ned dokument | DownloadDocument | Användaren har laddat ned ett dokument från en granskningsuppsättning. |
| Redigerad tagg | UpdateTag | Användaren ändrade en tagg i en granskningsuppsättning. |
| Dokument exporterade från granskningsuppsättning | ExportJob | Användaren exporterade dokument från en uppsättning med granskare. |
| Inställning för ändrat ärende | UpdateCaseSettings | Användaren har ändrat inställningarna för ett ärende. Ärendeinställningarna omfattar ärendeinformation, åtkomstbehörigheter och inställningar som styr sök- och analysbeteendet. |
| Sökning efter ändrad granskningsuppsättning | UpdateWorkingSetSearch | Användaren har redigerat en sökfråga i en granskningsuppsättning. |
| Förhandsgranskningsuppsättningssökning för granskad | PreviewWorkingSetSearch | Användaren förhandsgranskade resultatet av en sökfråga i en granskningsuppsättning. |
| Åtgärdade feldokument | ErrorRemediation Job | Användaren åtgärdar filer som innehöll indexeringsfel. |
| Taggat dokument | TagFiles | Användaren taggar ett dokument i en granskningsuppsättning. |
| Taggade resultat för en fråga | TagJob | Användaren taggar alla dokument som matchar sökfrågans villkor i en granskningsuppsättning. |
| Dokument som visats i en granskningsuppsättning | ViewDocument | Användaren har visat ett dokument i en granskningsuppsättning. |
eDiscovery-cmdlet-aktiviteter
I följande tabell visas de cmdlet-granskningsloggposter som loggas när en administratör eller användare utför en eDiscovery-relaterad aktivitet med hjälp av efterlevnadscentret eller genom att köra motsvarande cmdlet i Security & Compliance Center PowerShell. Den detaljerade informationen i granskningsloggposten skiljer sig för cmdlet-aktiviteterna som visas i den här tabellen och eDiscovery-aktiviteterna som beskrivs i föregående avsnitt.
Som tidigare nämnts kan det ta upp till 24 timmar innan eDiscovery-cmdlet-aktiviteter visas i granskningsloggens sökresultat.
Tips
Cmdletarna i kolumnen Operation i följande tabell är länkade till motsvarande hjälpavsnitt för cmdlet på TechNet. Gå till cmdlet-hjälpavsnittet för en beskrivning av tillgängliga parametrar för varje cmdlet. Parametern och parametervärdet som användes med en cmdlet ingår i granskningsloggposten för varje eDiscovery-cmdlet-aktivitet som loggas.
| Visningsnamn | Operation (cmdlet) | Beskrivning |
|---|---|---|
| Skapat ärende för håll i e-dataidentifieringsfall |
New-CaseHoldPolicy |
Ett sådant ärende har skapats för ett eDiscovery-ärende. Ett värde kan skapas med eller utan att ange en innehållskälla. Om innehållskällor anges identifieras de i granskningsloggposten. |
| Borttagna rader från e-dataidentifieringsfall |
Remove-CaseHoldPolicy |
Ett ärende som är kopplat till ett eDiscovery-ärende har tagits bort. Om du tar bort ett väntande objekt tas alla innehållsplatser bort från platsen. Om du tar bort det här antalet innebär det också att du tar bort reglerna för att hålla ärendet kvar (se Remove-CaseHoldRule nedan). |
| Ändrat håll för e-dataidentifieringsfall |
Set-CaseHoldPolicy |
Ett håll som är kopplat till en eDiscovery har ändrats. Möjliga ändringar är att lägga till eller ta bort innehållsplatser eller inaktivera (inaktivera) holden. |
| Skapad sökfråga för eDiscovery-fall |
New-CaseHoldrule |
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har skapats. |
| Borttagna sökfrågor för eDiscovery-fall |
Remove-CaseHoldrule |
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har tagits bort. Att ta bort frågan från ett behörighets hold är ofta resultatet av att ett hold-objekt tas bort. När en fråga om att hålla på plats eller ett väntande objekt tas bort, frisläpps de innehållsplatser som var på plats. |
| Ändrad sökfråga för eDiscovery-fall |
Set-CaseHoldRule |
Ett frågebaserat ärende som associerats med ett eDiscovery-ärende har ändrats. Bland de möjliga ändringarna går det att redigera frågan eller datumintervallet för ett frågebaserat intervall. |
| Skapat eDiscovery-fall |
New-ComplianceCase |
Ett eDiscovery-ärende har skapats. När ett ärende skapas behöver du bara ge det ett namn. Andra ärenderelaterade uppgifter som att lägga till medlemmar, skapa innehåll som sätts i innehåll och skapa innehållssökningar kopplade till ärendet resulterar i att ytterligare händelser loggas. |
| Borttagna eDiscovery-fall |
Remove-ComplianceCase |
Ett eDiscovery-ärende har tagits bort. Eventuella väntande ändringar som är kopplade till ärendet måste tas bort innan ärendet kan tas bort. |
| E-dataidentifieringsfall ändrade |
Set-ComplianceCase |
Ett e-dataidentifieringsfall har ändrats. Du kan t.ex. stänga ett öppet ärende eller öppna ett stängt ärende igen. |
| Medlem tillagd i eDiscovery-ärende |
Add-ComplianceCaseMember |
En användare har lagts till som medlem i ett eDiscovery-ärende. Som medlem i ett ärende kan en användare utföra olika ärenderelaterade uppgifter beroende på om de har tilldelats nödvändiga behörigheter. |
| Medlem borttagen från eDiscovery-ärende |
Remove-ComplianceCaseMember |
En användare togs bort som medlem i ett eDiscovery-ärende. |
| EDiscovery-ärendemedlemskap ändrades |
Update-ComplianceCaseMember |
Medlemslistan för ett e-dataidentifieringsfall har ändrats. Den här aktiviteten loggas när alla medlemmar ersätts med en grupp med nya användare. Om en enskild medlem läggs till eller tas bort loggas åtgärden Add-ComplianceCaseMember eller Remove-ComplianceCaseMember. |
| Innehållssökning skapad |
New-ComplianceSearch |
En ny innehållssökning har skapats. |
| Borttagna innehållssökning |
Remove-ComplianceSearch |
En befintlig innehållssökning har tagits bort. |
| Innehållssökning ändrad |
Set-ComplianceSearch |
En befintlig innehållssökning har ändrats. Ändringar kan innefatta att lägga till eller ta bort innehållsplatser som genomsöks och att redigera sökfrågan. |
| Startad innehållssökning |
Start-ComplianceSearch |
En innehållssökning startades. När du skapar eller ändrar en innehållssökning med hjälp av guid för efterlevnadscentret startas sökningen automatiskt. Om du skapar eller ändrar en sökning med hjälp av cmdleten New-ComplianceSearch eller Set-ComplianceSearch måste du köra cmdleten Start-ComplianceSearch för att starta sökningen. |
| Stoppad innehållssökning |
Stop-ComplianceSearch |
En innehållssökning som kördes stoppades. |
| Innehållssökningsåtgärd skapad |
New-ComplianceSearchAction |
En innehållssökningsåtgärd har skapats. Innehållssökningsåtgärder omfattar att förhandsgranska sökresultat, exportera sökresultat, förbereda sökresultat för analys i Advanced eDiscovery och permanent ta bort objekt som matchar sökvillkoren för en innehållssökning. |
| Sökåtgärden Borttagna innehåll |
Remove-ComplianceSearchAction |
En innehållssökningsåtgärd har tagits bort. |
| Filter för sökbehörighet skapad |
New-ComplianceSecurityFilter |
Ett filter för sökbehörigheter har skapats. |
| Filter för borttagna sökbehörigheter |
Remove-ComplianceSecurityFilter |
Ett filter för sökbehörigheter har tagits bort. |
| Filter för ändrade sökbehörigheter |
Set-ComplianceSecurityFilter |
Ett filter för sökbehörigheter har ändrats. |
| EDiscovery-administratör skapad |
Add-eDiscoveryCaseAdmin |
En användare har lagts till som eDiscovery-administratör i organisationen. |
| Borttagna eDiscovery-administratörer |
Remove-eDiscoveryCaseAdmin |
En eDiscovery-administratör har tagits bort från din organisation. |
| EDiscovery-administratörsmedlemskap ändrades |
Update-eDiscoveryCaseAdmin |
Listan med eDiscovery-administratörer i organisationen har ändrats. Den här aktiviteten loggas när listan med eDiscovery-administratörer ersätts med en grupp med nya användare. Om en enskild användare läggs till eller tas bort loggas åtgärden Add-eDiscoveryCaseAdmin eller Remove-eDiscoveryCaseAdmin. |
| (inget) | Get-ComplianceCase |
Den här aktiviteten loggas när en användare visade en lista över grundläggande eDiscovery eller Advanced eDiscovery fall. Den här aktiviteten loggas också när en användare visar ett visst ärende i Bas-eDiscovery. När en användare visar ett visst ärende innehåller granskningsposten identiteten för det ärende som visades. Om användaren bara visade en lista över ärenden innehåller granskningsposten inte en ärendeidentitet. |
| (inget) | Get-ComplianceSearch | Den här aktiviteten loggas när en användare har visat en lista över innehållssökningar eller sökningar kopplade till ett grundläggande eDiscovery-ärende. Den här aktiviteten loggas också när en användare visar en specifik innehållssökning eller visar en specifik sökning som är kopplad till ett Bas-eDiscovery-ärende. När en användare visar en viss sökning innehåller granskningsposten identiteten för den sökning som visades. Om användaren bara visade en lista med sökningar innehåller granskningsposten ingen sökidentitet. |
| (inget) | Get-ComplianceSearchAction | Den här aktiviteten loggas när en användare har visat en lista över sökåtgärder för efterlevnad (till exempel exporter, förhandsgranskningar eller rensningar) eller åtgärder som är associerade med ett grundläggande eDiscovery-ärende. Den här aktiviteten loggas också när en användare visar en specifik sökåtgärd för efterlevnad (till exempel en export) eller visar en specifik åtgärd som är kopplad till ett Bas-eDiscovery-ärende. När en användare visar en sökåtgärd innehåller granskningsposten identiteten för den sökåtgärd som visades. Om användaren bara visade en lista med åtgärder innehåller granskningsposten inte en åtgärdsidentitet. |
Detaljerade egenskaper för eDiscovery-aktiviteter
I följande tabell beskrivs egenskaperna som finns på den utfällande sidan för en eDiscovery-aktivitet som visas i sökresultatet. De här egenskaperna ingår också i CSV-filen när du exporterar granskningsloggens sökresultat. En granskningsloggpost för en eDiscovery-aktivitet innehåller inte varje detaljerad egenskap som anges nedan.
Tips
När du exporterar sökresultaten innehåller CSV-filen en kolumn med namnet AudtiData, som innehåller de detaljerade egenskaper som beskrivs i följande tabell i en flervärdesegenskap. Du kan använda Power Query-funktionen i Excel för att dela upp kolumnen i flera kolumner så att varje egenskap har en egen kolumn. Då kan du sortera och filtrera efter en eller flera av de här egenskaperna. Mer information finns i avsnittet "Exportera sökresultatet till en fil" i Söka i granskningsloggen.
| Egenskap | Beskrivning |
|---|---|
| Ärende |
Identiteten (GUID) för eDiscovery-ärendet som skapades, ändrades eller togs bort. |
| ClientApplication |
eDiscovery-cmdlet-aktiviteter har värdet EMC för den här egenskapen. Det här anger aktiviteten som utfördes med hjälp av GUI för efterlevnadscenter eller genom att köra cmdleten i PowerShell. |
| ClientIP |
IP-adressen för den enhet som användes när aktiviteten loggades. IP-adressen visas i IPv4- eller IPv6-adressformat. |
| ClientRequestId |
För eDiscovery-aktiviteter är den här egenskapen vanligtvis tom. |
| CmdletVersion |
Versionsnumret för den version av efterlevnadscentret som körs i organisationen. |
| CreationTime |
Datum och tid i UTC (Coordinated Universal Time) när eDiscovery-aktiviteten slutfördes. |
| EffectiveOrganization |
Namnet på Microsoft 365-organisationen. |
| ExchangeLocations |
I Exchange Online postlådor som ingår i en innehållssökning eller som har satts i ett e-dataidentifieringsfall. |
| Undantag |
Postlådor eller webbplatsplatser som undantas från en innehållssökning eller ett undantag i ett eDiscovery-ärende. |
| ExtendedProperties |
Ytterligare egenskaper från en innehållssökning, en åtgärd för innehållssökning eller håll kvar i ett eDiscovery-ärende, till exempel objekt-GUID och motsvarande cmdlet och cmdlet-parametrar som användes när aktiviteten utfördes. |
| ID |
ID för rapportposten. ID:t identifierar granskningsloggposten unikt. |
| NonPIIParameters |
En lista över parametrarna (utan några värden) som användes med cmdleten som identifieras i egenskapen Operation. Parametrarna som visas i den här egenskapen är samma som de som anges i egenskapen Parametrar. |
| ObjectId |
GUID eller namnet på objektet (till exempel en innehållssökning eller ett Core eDiscovery-ärende) som skapades, kom åt, ändrades eller togs bort av aktiviteten som listas i egenskapen Operation. Det här objektet identifieras också i kolumnen Objekt i granskningsloggens sökresultat. |
| ObjectType |
Den typ av eDiscovery-objekt som användaren har skapat, tagit bort eller ändrat. Till exempel en åtgärd för innehållssökning (förhandsgranska, exportera eller rensa), ett eDiscovery-ärende eller en innehållssökning. |
| Åtgärd |
Namnet på åtgärden som motsvarar den eDiscovery-aktivitet som utfördes. |
| OrganizationId |
GUID för din Microsoft 365 organisation. |
| Parametrar |
Namn och värde för parametrarna som användes med motsvarande cmdlet. |
| PublicFolderLocations |
De offentliga mappplatserna i Exchange Online som ingår i en innehållssökning eller som har satts på plats i ett eDiscovery-ärende. |
| Fråga |
Sökfrågan som är kopplad till aktiviteten, till exempel en innehållssökning eller ett frågebaserat väntande. |
| RecordType |
Typen av åtgärd som anges av posten. Värdet för 18 anger en händelse som är relaterad till en aktivitet som listas i avsnittet för eDiscovery-cmdlet-aktiviteter. Värdet 24 anger en händelse relaterad till en aktivitet som listas i avsnittet Så här söker du efter och visar eDiscovery-aktiviteter. |
| ResultStatus |
Anger om åtgärden (som anges i egenskapen Åtgärd) lyckades eller inte. |
| SecurityComplianceCenterEventType |
Anger att aktiviteten var ett efterlevnadscenter. Alla eDiscovery-aktiviteter har värdet 0 för den här egenskapen. |
| SharepointLocations |
I SharePoint onlinewebbplatser som ingår i en innehållssökning eller i ett eDiscovery-ärende. |
| StartTime |
Datum och tid i UTC (Coordinated Universal Time) när eDiscovery-aktiviteten startades. |
| UserId |
Användaren som utförde aktiviteten (anges i operation-egenskapen) som resulterade i att posten loggades. Poster för eDiscovery-aktivitet som utförs av systemkonton (t.ex. NT AUTHORITY\SYSTEM) ingår också i granskningsloggen. |
| UserKey |
Ett alternativt ID för användaren som identifieras i UserId-egenskapen. För eDiscovery-aktiviteter är värdet för den här egenskapen vanligtvis detsamma som egenskapen UserId. |
| UserServicePlan |
Prenumerationen som används av din organisation. För eDiscovery-aktiviteter är den här egenskapen vanligtvis tom. |
| UserType |
Typen av användare som utförde åtgärden. Följande värden anger användartypen. 0 En vanlig användare. 2 En administratör i organisationen. 3 En Microsoft-datacenteradministratör eller ett datacentersystemkonto. 4 Ett systemkonto. 5 Ett program. 6 Ett huvudnamn för en tjänst. |
| Version |
Anger versionsnumret för aktiviteten (identifieras av egenskapen Operation) som har loggats. |
| Arbetsbelastning |
Tjänsten där aktiviteten inträffade. För eDiscovery-aktiviteter är värdet SecurityComplianceCenter. |