Suchen nach eDiscovery-Aktivitäten im Überwachungsprotokoll
Inhalts Search- und eDiscovery-bezogene Aktivitäten (für Microsoft Purview-eDiscovery (Standard) und Microsoft Purview-eDiscovery (Premium)), die in Microsoft Purview-Complianceportal oder durch Ausführen der entsprechenden PowerShell-Cmdlets werden im Überwachungsprotokoll protokolliert. Ereignisse werden protokolliert, wenn Administratoren oder eDiscovery-Manager (oder benutzerseitig zugewiesene eDiscovery-Berechtigungen) im Complianceportal die folgenden Aufgaben für inhaltsbezogene Search und eDiscovery (Standard) ausführen:
- Erstellen und Verwalten von eDiscovery -Fällen (Standard) und eDiscovery (Premium).
- Erstellen, Starten und Bearbeiten von Inhaltssuchen.
- Ausführen von Suchaktionen, z. B. Vorschau, Exportieren und Löschen von Suchergebnissen.
- Verwalten von Verwahrern und Überprüfungssätzen in eDiscovery (Premium).
- Konfigurieren der Berechtigungsfilterung für die Inhaltssuche.
- Verwalten der Rolle "eDiscovery-Administrator".
Weitere Informationen zum Durchsuchen des Überwachungsprotokolls, der erforderlichen Berechtigungen und zum Exportieren von Suchergebnissen finden Sie unter Search überwachungsprotokoll.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Suchen und Anzeigen von eDiscovery-Aktivitäten
Derzeit müssen Sie einige bestimmte Schritte ausführen, um eDiscovery-Aktivitäten im Überwachungsprotokoll anzuzeigen. Die gehen so:
Wechseln Sie zum Microsoft Purview-Complianceportal, und melden Sie sich mit Ihrem Geschäfts-, Schul- oder Unikonto an.
Wählen Sie im linken Navigationsbereich des Complianceportals Die Option Überwachen aus.
Wählen Sie in der Dropdownliste Aktivitäten unter eDiscovery-Aktivitäten oder eDiscovery (Premium)-Aktivitäten eine oder mehrere Aktivitäten aus, nach der gesucht werden soll.
Hinweis
Die Dropdownliste Aktivitäten enthält auch eine Gruppe von Aktivitäten namens eDiscovery-Cmdlet-Aktivitäten , die Datensätze aus dem Cmdlet-Überwachungsprotokoll zurückgeben.
Wählen Sie einen Datums- und Uhrzeitbereich aus, um eDiscovery-Ereignisse anzuzeigen, die innerhalb dieses Zeitraums aufgetreten sind.
Wählen Sie im Feld Benutzer einen oder mehrere Benutzer aus, für die Suchergebnisse angezeigt werden sollen. Lassen Sie dieses Feld leer, um Einträge für alle Benutzer zurückzugeben.
Wählen Sie Suchen aus, um die Suche mit Ihren Suchkriterien auszuführen.
Nachdem die Suchergebnisse angezeigt wurden, können Sie Ergebnisse filtern auswählen, um die resultierenden Aktivitätsdatensätze zu filtern oder zu sortieren. Leider können Sie die Filterung nicht verwenden, um bestimmte Aktivitäten explizit auszuschließen.
Um Details zu einer Aktivität anzuzeigen, wählen Sie den Aktivitätsdatensatz in der Liste der Suchergebnisse aus.
Es wird eine Flyoutseite details angezeigt, die die detaillierten Eigenschaften aus dem Ereignisdatensatz enthält. Um weitere Details anzuzeigen, wählen Sie Weitere Informationen aus. Eine Beschreibung dieser Eigenschaften finden Sie im Abschnitt Detaillierte Eigenschaften für eDiscovery-Aktivitäten .
Falls gewünscht, können Sie die Überwachungsprotokollsuchergebnisse in eine CSV-Datei exportieren und diese Datensätze dann mithilfe der Excel-Power Query-Funktion formatieren und filtern. Weitere Informationen finden Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.
eDiscovery-Aktivitäten
In der folgenden Tabelle werden die Aktivitäten content Search und eDiscovery (Standard) beschrieben, die protokolliert werden, wenn ein Administrator oder eDiscovery-Manager eine eDiscovery-bezogene Aktivität über das Complianceportal ausführt. Einige Aktivitäten, die in eDiscovery (Premium) ausgeführt werden, werden möglicherweise zurückgegeben, wenn Sie in dieser Liste nach Aktivitäten suchen.
Hinweis
Die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten bieten ähnliche Informationen wie die im nächsten Abschnitt beschriebenen eDiscovery-Cmdlet-Aktivitäten. Es wird empfohlen, die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten zu verwenden, da sie innerhalb von 30 Minuten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden. Es kann bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.
| Anzeigename | Vorgang | Entsprechendes Cmdlet | Beschreibung |
|---|---|---|---|
| Mitglied zum eDiscovery-Fall hinzugefügt |
CaseMemberAdded |
Add-ComplianceCaseMember |
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden. |
| Inhaltssuche geändert |
SearchUpdated |
Set-ComplianceSearch |
Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Bearbeiten der Suchabfrage umfassen. |
| Geänderte eDiscovery-Administratormitgliedschaft |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
Die Liste der eDiscovery-Administratoren in Ihrem organization wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang CaseAdminAdded protokolliert. |
| eDiscovery-Fall geändert |
CaseUpdated |
Set-ComplianceCase |
Ein eDiscovery-Fall wurde geändert. Zu den Änderungen gehören das Schließen eines offenen Falls oder das erneute Öffnen eines geschlossenen Falls. |
| Geänderte eDiscovery-Fallmitgliedschaft |
CaseMemberUpdated |
Update-ComplianceCaseMember |
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der Vorgang CaseMemberAdded oder CaseMemberRemoved protokolliert. |
| Filter für Suchberechtigungen geändert |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde geändert. |
| Geänderte Suchabfrage für den eDiscovery-Fallspeicher |
HoldUpdated |
Set-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich. |
| Vorschauelement der Inhaltssuche heruntergeladen |
PreviewItemDownloaded |
Nicht zutreffend |
Ein Benutzer hat bei der Vorschau der Suchergebnisse ein Element auf seinen lokalen Computer heruntergeladen (indem er den Link Originalelement herunterladen auswählt). |
| Vorschauelement der Inhaltssuche aufgelistet |
PreviewItemListed |
Nicht zutreffend |
Ein Benutzer hat Suchergebnisse anzeigen ausgewählt, um die Vorschauseite für Suchergebnisse anzuzeigen, auf der bis zu 1.000 Elemente aus den Ergebnissen einer Suche aufgelistet werden. |
| Suche nach erstellten Inhalten |
SucheCreated |
New-ComplianceSearch |
Eine neue Inhaltssuche wurde erstellt. |
| eDiscovery-Administrator erstellt |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
Ein Benutzer wurde im organization als eDiscovery-Administrator hinzugefügt. |
| eDiscovery-Fall erstellt |
CaseAdded |
New-ComplianceCase |
Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden. |
| Suchberechtigungsfilter erstellt |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde erstellt. |
| Suchabfrage für eDiscovery-Fallspeicher erstellt |
HoldCreated |
New-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt. |
| Suche nach gelöschten Inhalten |
SearchRemoved |
Remove-ComplianceSearch |
Eine vorhandene Inhaltssuche wurde gelöscht. |
| eDiscovery-Administrator gelöscht |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
Ein eDiscovery-Administrator wurde aus Ihrem organization gelöscht. |
| eDiscovery-Fall gelöscht |
CaseRemoved |
Remove-ComplianceCase |
Ein eDiscovery-Fall wurde gelöscht. Jeder mit dem Fall verknüpfte Halteraum muss entfernt werden, bevor der Fall gelöscht werden kann. |
| Filter für Suchberechtigungen gelöscht |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde gelöscht. |
| Gelöschte Suchabfrage für eDiscovery-Fallspeicher |
HoldRemoved |
Remove-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Halteraum ist häufig das Ergebnis des Löschens eines Halteraums. Wenn eine Halte- oder Halteabfrage gelöscht wird, werden die Inhaltsspeicherorte, die sich im Halteraum befanden, freigegeben. |
| Heruntergeladener Export der Inhaltssuche |
SearchExportDownloaded |
Nicht zutreffend |
Ein Benutzer hat die Ergebnisse einer Inhaltssuche auf seinen lokalen Computer heruntergeladen. Die Aktivität "Export der Inhaltssuche wurde gestartet" muss initiiert werden, bevor Suchergebnisse heruntergeladen werden können. |
| Ergebnisse der Inhaltssuche in der Vorschau |
SearchPreviewed |
Nicht zutreffend |
Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche angezeigt. |
| Gelöschte Ergebnisse der Inhaltssuche |
SearchResultsPurged |
New-ComplianceSearchAction |
Ein Benutzer hat die Ergebnisse einer Inhaltssuche gelöscht, indem er den Befehl New-ComplianceSearchAction -Purge ausführt. |
| Analyse der Inhaltssuche entfernt |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
Eine Vorbereitungsaktion für die Inhaltssuche (zum Vorbereiten von Suchergebnissen für eDiscovery (Premium)) wurde gelöscht. Wenn die Vorbereitungsaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die für eDiscovery (Premium) vorbereitet wurden, aus dem Microsoft Azure-Speicherbereich gelöscht. Wenn die Vorbereitungsaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Vorbereitungsaktion gelöscht wurde. |
| Export der Inhaltssuche entfernt |
RemovedSearchExported |
Remove-ComplianceSearchAction |
Eine Exportaktion für die Inhaltssuche wurde gelöscht. Wenn die Exportaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die in den Microsoft Azure-Speicherbereich hochgeladen wurden, gelöscht. Wenn die Exportaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Exportaktion gelöscht wurde. |
| Mitglied aus eDiscovery-Fall entfernt |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt. |
| Vorschauergebnisse der Inhaltssuche entfernt |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
Eine Vorschauaktion für die Inhaltssuche wurde gelöscht. |
| Bei der Inhaltssuche ausgeführte Bereinigungsaktion entfernt |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
Eine Aktion zum Löschen der Inhaltssuche wurde gelöscht. |
| Suchbericht entfernt |
SearchReportRemoved |
Remove-ComplianceSearchAction |
Eine Aktion zum Exportieren eines Berichts für die Inhaltssuche wurde gelöscht. |
| Analyse der Inhaltssuche gestartet |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
Die Ergebnisse einer Inhaltssuche wurden für die Analyse in eDiscovery (Premium) vorbereitet. |
| Inhaltssuche gestartet |
SucheStarted |
Start-ComplianceSearch |
Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche über das Complianceportal erstellen oder ändern, wird die Suche automatisch gestartet. |
| Export der Inhaltssuche gestartet |
SearchExported |
New-ComplianceSearchAction |
Ein Benutzer hat die Ergebnisse einer Inhaltssuche exportiert. |
| Exportbericht gestartet |
SearchReport |
New-ComplianceSearchAction |
Ein Benutzer hat einen Bericht zur Inhaltssuche exportiert. |
| Inhaltssuche beendet |
SearchStopped |
Stop-ComplianceSearch |
Ein Benutzer hat eine Inhaltssuche beendet. |
| (kein) | CaseViewed | Get-ComplianceCase | Ein Benutzer hat einen eDiscovery (Standard)-Fall im Complianceportal angezeigt. Der Überwachungsdatensatz für dieses Ereignis enthält den Namen des angezeigten Falls. |
| (kein) | SearchViewed | Get-ComplianceSearch | Ein Benutzer hat eine Inhaltssuche im Complianceportal angezeigt, indem er auf der Registerkarte Suchen in einem eDiscovery (Standard)-Fall auf die Suche zugreift oder auf der Seite inhaltssuche darauf zugreift. Der Überwachungsdatensatz für dieses Ereignis enthält die Identität der angezeigten Suche. |
| (kein) | ViewedSearchExported | Get-ComplianceSearchAction -Export | Ein Benutzer hat einen Export der Inhaltssuche im Complianceportal angezeigt, indem er auf der Seite Inhaltssuche auf der Registerkarte Exporte auf den Export zugreift. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen Export anzeigt, der einem eDiscovery (Standard)-Fall zugeordnet ist. |
| (kein) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche im Complianceportal angezeigt. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine Vorschau der Ergebnisse einer Suche anzeigt, die einem eDiscovery (Standard)-Fall zugeordnet ist. |
eDiscovery (Premium)-Aktivitäten
In der folgenden Tabelle werden die im Überwachungsprotokoll protokollierten eDiscovery -Aktivitäten (Premium) beschrieben. Mithilfe dieser Aktivitäten können Sie den Fortschritt der Aktivität in einem eDiscovery (Premium)-Fall nachverfolgen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Daten zu einem anderen Prüfdateisatz hinzugefügt | AddWorkingSetQueryToWorkingSet | Der Benutzer hat Dokumente eines Prüfdateisatzes einem anderen hinzugefügt. |
| Daten zu einem Prüfdateisatz hinzugefügt | AddQueryToWorkingSet | Der Benutzer hat die Suchergebnisse aus einer Inhaltssuche, die einem eDiscovery (Premium)-Fall zugeordnet ist, einem Überprüfungssatz hinzugefügt. |
| Nicht von Microsoft 365 stammende Daten zu Prüfdateisatz hinzugefügt | AddNonOffice365DataToWorkingSet | Ein Benutzer hat nicht von Microsoft 365 stammende Daten zu einem Prüfdateisatz hinzugefügt. |
| Wiederhergestellte Dokumente zu Prüfdateisatz hinzugefügt | AddRemediatedData | Der Benutzer lädt Dokumente hoch, bei denen Indizierungsfehler aufgetreten sind, die in einem Prüfdateisatz festgehalten worden sind. |
| Daten im Prüfdateisatz analysiert | RunAlgo | Der Benutzer hat Analysen für die Dokumente in einem Überprüfungssatz ausgeführt. |
| Dokument im Prüfdateisatz kommentiert | AnnotateDocument | Ein Benutzer hat ein Dokument in einem Prüfdateisatz kommentiert. „Kommentieren“ umfasst auch das Bearbeiten/Redigieren des Dokuments. |
| Ladesätze verglichen | LoadComparisonJob | Der Benutzer hat zwei verschiedene Ladesätze in einem Prüfdateisatz verglichen. Unter Ladesatz versteht man, dass Daten aus einer Inhaltssuche, die einem Fall zugeordnet sind, einem Prüfdateisatz hinzugefügt werden. |
| Dokumente in PDF-Dateien konvertiert | BurnJob | Der Benutzer hat alle redigierten Dokumente in einem Prüfdateisatz in PDF-Dateien konvertiert. |
| Prüfdateisatz erstellt | CreateWorkingSet | Der Benutzer hat einen Prüfdateisatz erstellt. |
| Prüfdateisatzsuche erstellt | CreateWorkingSetSearch | Der Benutzer hat eine Suchabfrage erstellt, die die Dokumente in einem Prüfdateisatz durchsuchen. |
| Tag erstellt | CreateTag | Ein Benutzer hat eine Tag-Gruppe in einem Prüfdateisatz erstellt. Eine Tag-Gruppe kann ein oder mehrere untergeordnete Tags enthalten. Diese Tags werden dann zum Taggen von Dokumenten im Prüfdateisatz verwendet. |
| Prüfdateisatzsuche gelöscht | DeleteWorkingSetSearch | Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz gelöscht. |
| Tag gelöscht | DeleteTag | Ein Benutzer hat ein Tag oder eine Tag-Gruppe in einem Prüfdateisatz gelöscht. |
| Heruntergeladenes Dokument | DownloadDocument | Ein Benutzer hat ein Dokument aus einem Prüfdateisatz heruntergeladen. |
| Tag bearbeitet | UpdateTag | Ein Benutzer hat ein Tag in einem Prüfdateisatz geändert. |
| Dokumente aus einem Prüfdateisatz exportiert | ExportJob | Der Benutzer hat Dokumente aus einem Prüfdateisatz exportiert. |
| Falleinstellungen geändert | UpdateCaseSettings | Der Benutzer hat die Einstellungen für einen Fall geändert. Die Falleinstellungen umfassen Fallinformationen, Zugriffsberechtigungen und Einstellungen, mit denen das Such- und Analyseverhalten gesteuert werden. |
| Prüfdateisatzsuche geändert | UpdateWorkingSetSearch | Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz geändert. |
| Vorschau einer Prüfdateisatzsuche angezeigt | PreviewWorkingSetSearch | Der Benutzer hat die Ergebnisse einer Suchabfrage in einem Prüfdateisatz in einer Vorschau angezeigt. |
| Fehler in Dokumenten behoben | ErrorRemediationJob | Der Benutzer behebt Dateien mit Indizierungsfehlern. |
| Dokument getaggt | TagFiles | Ein Benutzer hat ein Dokument in einem Prüfdateisatz mit Tags versehen. |
| Ergebnisse einer Abfrage getaggt | TagJob | Ein Benutzer hat alle Dokumente getaggt, die den Kriterien einer Suchabfrage in einem Prüfdateisatz entsprechen. |
| Dokument im Prüfdateisatz angezeigt | ViewDocument | Ein Benutzer hat ein Dokument in einem Prüfdateisatz angezeigt. |
eDiscovery-Cmdlet-Aktivitäten
In der folgenden Tabelle sind die Cmdlet-Überwachungsprotokolldatensätze aufgeführt, die protokolliert werden, wenn ein Administrator oder Benutzer eine eDiscovery-bezogene Aktivität über das Complianceportal oder durch Ausführen des entsprechenden Cmdlets in Security & Compliance PowerShell ausführt. Die ausführlichen Informationen im Überwachungsprotokolldatensatz unterscheiden sich für die in dieser Tabelle aufgeführten Cmdlet-Aktivitäten und die im vorherigen Abschnitt beschriebenen eDiscovery-Aktivitäten.
Wie bereits erwähnt, kann es bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.
Tipp
Die Cmdlets in der Spalte Operation in der folgenden Tabelle sind mit dem entsprechenden Cmdlet-Hilfethema auf TechNet verknüpft. Eine Beschreibung der verfügbaren Parameter für die einzelnen Cmdlets finden Sie im Hilfethema zu Cmdlets. Der Parameter und der Parameterwert, die mit einem Cmdlet verwendet wurden, sind im Überwachungsprotokolleintrag für jede protokollierte eDiscovery-Cmdlet-Aktivität enthalten.
| Anzeigename | Vorgang (Cmdlet) | Beschreibung |
|---|---|---|
| Erstellter Halteraum im eDiscovery-Fall |
New-CaseHoldPolicy |
Für einen eDiscovery-Fall wurde ein Halteraum erstellt. Ein Halteraum kann mit oder ohne Angabe einer Inhaltsquelle erstellt werden. Wenn Inhaltsquellen angegeben sind, werden sie im Überwachungsprotokolleintrag identifiziert. |
| Gelöschter Halteraum aus eDiscovery-Fall |
Remove-CaseHoldPolicy |
Ein Halteraum, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Durch das Löschen eines Halteraums werden alle Inhaltsspeicherorte aus dem Halteraum entfernt. Das Löschen des Halteraums führt auch dazu, dass die dem Halteraum zugeordneten Aufbewahrungsregeln für Groß- und Kleinschreibung gelöscht werden (siehe Remove-CaseHoldRule unten). |
| Geänderter Halteraum im eDiscovery-Fall |
Set-CaseHoldPolicy |
Ein Halteraum, der einer eDiscovery zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Deaktivieren (Deaktivieren) des Halteraums. |
| Suchabfrage für eDiscovery-Fallspeicher erstellt |
New-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt. |
| Gelöschte Suchabfrage für eDiscovery-Fallspeicher |
Remove-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Halteraum ist häufig das Ergebnis des Löschens eines Halteraums. Wenn eine Halte- oder Halteabfrage gelöscht wird, werden die Inhaltsspeicherorte, die sich im Halteraum befanden, freigegeben. |
| Geänderte Suchabfrage für den eDiscovery-Fallspeicher |
Set-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich. |
| eDiscovery-Fall erstellt |
New-ComplianceCase |
Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden. |
| eDiscovery-Fall gelöscht |
Remove-ComplianceCase |
Ein eDiscovery-Fall wurde gelöscht. Jeder mit dem Fall verknüpfte Halteraum muss entfernt werden, bevor der Fall gelöscht werden kann. |
| eDiscovery-Fall geändert |
Set-ComplianceCase |
Ein eDiscovery-Fall wurde geändert. Zu den Änderungen gehören das Schließen eines offenen Falls oder das erneute Öffnen eines geschlossenen Falls. |
| Mitglied zum eDiscovery-Fall hinzugefügt |
Add-ComplianceCaseMember |
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden. |
| Mitglied aus eDiscovery-Fall entfernt |
Remove-ComplianceCaseMember |
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt. |
| Geänderte eDiscovery-Fallmitgliedschaft |
Update-ComplianceCaseMember |
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der Vorgang Add-ComplianceCaseMember oder Remove-ComplianceCaseMember protokolliert. |
| Suche nach erstellten Inhalten |
New-ComplianceSearch |
Eine neue Inhaltssuche wurde erstellt. |
| Suche nach gelöschten Inhalten |
Remove-ComplianceSearch |
Eine vorhandene Inhaltssuche wurde gelöscht. |
| Inhaltssuche geändert |
Set-ComplianceSearch |
Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten, die durchsucht werden, und das Bearbeiten der Suchabfrage umfassen. |
| Inhaltssuche gestartet |
Start-ComplianceSearch |
Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche über die GRAFISCHE Benutzeroberfläche des Complianceportals erstellen oder ändern, wird die Suche automatisch gestartet. Wenn Sie eine Suche mit dem Cmdlet New-ComplianceSearch oder Set-ComplianceSearch erstellen oder ändern, müssen Sie das Cmdlet Start-ComplianceSearch ausführen, um die Suche zu starten. |
| Inhaltssuche beendet |
Stop-ComplianceSearch |
Eine ausgeführte Inhaltssuche wurde beendet. |
| Suchaktion für erstellte Inhalte |
New-ComplianceSearchAction |
Eine Inhaltssuchaktion wurde erstellt. Inhaltssuchaktionen umfassen die Vorschau von Suchergebnissen, das Exportieren von Suchergebnissen, das Vorbereiten von Suchergebnissen für die Analyse in eDiscovery (Premium) und das endgültige Löschen von Elementen, die den Suchkriterien einer Inhaltssuche entsprechen. |
| Gelöschte Inhaltssuchaktion |
Remove-ComplianceSearchAction |
Eine Inhaltssucheaktion wurde gelöscht. |
| Suchberechtigungsfilter erstellt |
New-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde erstellt. |
| Filter für Suchberechtigungen gelöscht |
Remove-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde gelöscht. |
| Filter für Suchberechtigungen geändert |
Set-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde geändert. |
| eDiscovery-Administrator erstellt |
Add-eDiscoveryCaseAdmin |
In Ihrem organization wurde ein Benutzer als eDiscovery-Administrator hinzugefügt. |
| eDiscovery-Administrator gelöscht |
Remove-eDiscoveryCaseAdmin |
Ein eDiscovery-Administrator wurde aus Ihrem organization gelöscht. |
| Geänderte eDiscovery-Administratormitgliedschaft |
Update-eDiscoveryCaseAdmin |
Die Liste der eDiscovery-Administratoren in Ihrem organization wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang Add-eDiscoveryCaseAdmin oder Remove-eDiscoveryCaseAdmin protokolliert. |
| (kein) | Get-ComplianceCase |
Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von eDiscovery -Fällen (Standard) oder eDiscovery (Premium) angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen bestimmten Fall in eDiscovery (Standard) anzeigt. Wenn ein Benutzer einen bestimmten Fall anzeigt, enthält der Überwachungsdatensatz die Identität des angezeigten Falls. Wenn der Benutzer nur eine Liste von Fällen angezeigt hat, enthält der Überwachungsdatensatz keine Fallidentität. |
| (kein) | Get-ComplianceSearch | Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Inhaltssuchen oder Suchvorgängen angezeigt hat, die einem eDiscovery (Standard)-Fall zugeordnet sind. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Inhaltssuche oder eine bestimmte Suche anzeigt, die einem eDiscovery (Standard)-Fall zugeordnet ist. Wenn ein Benutzer eine bestimmte Suche anzeigt, enthält der Überwachungsdatensatz die Identität der angezeigten Suche. Wenn der Benutzer nur eine Liste von Suchvorgängen angezeigt hat, enthält der Überwachungsdatensatz keine Suchidentität. |
| (kein) | Get-ComplianceSearchAction | Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Compliance-Suchaktionen (z. B. Exporte, Vorschauen oder Bereinigungen) oder Aktionen im Zusammenhang mit einem eDiscovery (Standard)-Fall angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Konformitätssuchaktion (z. B. einen Export) oder eine bestimmte Aktion anzeigt, die einem eDiscovery (Standard)-Fall zugeordnet ist. Wenn ein Benutzer eine Suchaktion anzeigt, enthält der Überwachungsdatensatz die Identität der angezeigten Suchaktion. Wenn der Benutzer nur eine Liste von Aktionen angezeigt hat, enthält der Überwachungsdatensatz keine Aktionsidentität. |
Detaillierte Eigenschaften für eDiscovery-Aktivitäten
In der folgenden Tabelle werden die Eigenschaften beschrieben, die auf der Flyoutseite für eine in den Suchergebnissen aufgeführte eDiscovery-Aktivität enthalten sind. Diese Eigenschaften sind auch in der CSV-Datei enthalten, wenn Sie die Überwachungsprotokollsuchergebnisse exportieren. Ein Überwachungsprotokolldatensatz für eine eDiscovery-Aktivität enthält nicht alle unten aufgeführten detaillierten Eigenschaften.
Tipp
Wenn Sie die Suchergebnisse exportieren, enthält die CSV-Datei eine Spalte mit dem Namen AudtiData, die die in der folgenden Tabelle beschriebenen detaillierten Eigenschaften in einer mehrwertigen Eigenschaft enthält. Sie können das feature Power Query in Excel verwenden, um diese Spalte in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Dadurch können Sie eine oder mehrere dieser Eigenschaften sortieren und filtern. Weitere Informationen finden Sie unter Search des Überwachungsprotokolls.
| Eigenschaft | Beschreibung |
|---|---|
| Fall |
Die Identität (GUID) des eDiscovery-Falls, der erstellt, geändert oder gelöscht wurde. |
| ClientApplication |
eDiscovery-Cmdlet-Aktivitäten haben für diese Eigenschaft den Wert EMC . Dies gibt an, dass die Aktivität mithilfe der GUI des Complianceportals oder mithilfe des Cmdlets in PowerShell ausgeführt wurde. |
| ClientIP |
Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. |
| ClientRequestId |
Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer. |
| CmdletVersion |
Die Buildnummer für die Version des Complianceportals, das in Ihrem organization ausgeführt wird. |
| CreationTime |
Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), zu dem die eDiscovery-Aktivität abgeschlossen wurde. |
| EffectiveOrganization |
Der Name des Microsoft 365-organization. |
| ExchangeLocations |
Die Exchange Online Postfächer, die in einer Inhaltssuche enthalten oder in einem eDiscovery-Fall im Haltefeld platziert werden. |
| Ausschlüsse |
Postfach- oder Websitespeicherorte, die in einem eDiscovery-Fall von einer Inhaltssuche oder einem Haltefeld ausgeschlossen sind. |
| ExtendedProperties |
Zusätzliche Eigenschaften aus einer Inhaltssuche, einer Inhaltssucheaktion oder halte in einem eDiscovery-Fall, z. B. die Objekt-GUID und die entsprechenden Cmdlet- und Cmdlet-Parameter, die beim Ausführen der Aktivität verwendet wurden. |
| Id |
Die ID des Berichtseintrags. Die ID identifiziert den Überwachungsprotokolleintrag eindeutig. |
| NonPIIParameters |
Eine Liste der Parameter (ohne Werte), die mit dem cmdlet verwendet wurden, das in der Operation-Eigenschaft angegeben ist. Die in dieser Eigenschaft aufgeführten Parameter sind identisch mit denen, die in der Parameters-Eigenschaft aufgeführt sind. |
| ObjectId |
Die GUID oder der Name des Objekts (z. B. eine Inhaltssuche oder ein eDiscovery (Standard)-Fall), auf das von der in der Operation-Eigenschaft aufgeführten Aktivität erstellt, zugegriffen, geändert oder gelöscht wurde. Dieses Objekt wird auch in der Spalte Item in den Suchergebnissen des Überwachungsprotokolls identifiziert. |
| ObjectType |
Der Typ des eDiscovery-Objekts, das der Benutzer erstellt, gelöscht oder geändert hat; Beispielsweise eine Inhaltssuchaktion (Vorschau, Export oder Bereinigung), ein eDiscovery-Fall oder eine Inhaltssuche. |
| Vorgang |
Der Name des Vorgangs, der der ausgeführten eDiscovery-Aktivität entspricht. |
| OrganizationId |
Die GUID für Ihre Microsoft 365-organization. |
| Parameter |
Der Name und Wert für die Parameter, die mit dem entsprechenden Cmdlet verwendet wurden. |
| PublicFolderLocations |
Die Speicherorte öffentlicher Ordner in Exchange Online, die in einer Inhaltssuche enthalten oder in einem eDiscovery-Fall im Haltefeld platziert werden. |
| Abfrage |
Die der Aktivität zugeordnete Suchabfrage, z. B. eine Inhaltssuche oder ein abfragebasierter Halteraum. |
| RecordType |
Der vom Datensatz angegebene Vorgangstyp. Der Wert 18 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt eDiscovery-Cmdlet-Aktivitäten aufgeführt ist. Der Wert 24 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt Suchen und Anzeigen von eDiscovery-Aktivitäten aufgeführt ist. |
| ResultStatus |
Gibt an, ob die Aktion (in der Eigenschaft "Operation" angegeben) erfolgreich war oder nicht. |
| SecurityComplianceCenterEventType |
Gibt an, dass es sich bei der Aktivität um ein Complianceportalereignis handelt. Alle eDiscovery-Aktivitäten haben für diese Eigenschaft den Wert 0 . |
| SharepointLocations |
Die SharePoint Online-Websites, die in einer Inhaltssuche enthalten sind oder in einem eDiscovery-Fall im Haltefeld platziert werden. |
| StartTime |
Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), als die eDiscovery-Aktivität gestartet wurde. |
| UserId |
Der Benutzer, der die Aktivität ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde. Datensätze für eDiscovery-Aktivitäten, die von Systemkonten (z. B. NT AUTHORITY\SYSTEM) ausgeführt werden, sind ebenfalls im Überwachungsprotokoll enthalten. |
| UserKey |
Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Bei eDiscovery-Aktivitäten ist der Wert für diese Eigenschaft in der Regel mit der UserId-Eigenschaft identisch. |
| UserServicePlan |
Das von Ihrem organization verwendete Abonnement. Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer. |
| UserType |
Der Typ des Benutzers, der den Vorgang ausgeführt hat. Die folgenden Werte geben den Benutzertyp an. 0 Ein normaler Benutzer. 2 Ein Administrator in Ihrem organization. 3 Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto. 4 Ein Systemkonto. 5 Eine Anwendung. 6 Ein Dienstprinzipal. |
| Version |
Gibt die Versionsnummer der aktivität (identifiziert durch die Operation-Eigenschaft) an, die protokolliert wird. |
| Arbeitslast |
Der Dienst, in dem die Aktivität aufgetreten ist. Für eDiscovery-Aktivitäten lautet der Wert SecurityComplianceCenter. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für