Cercare le attività di eDiscovery nel log di controllo
Consiglio
eDiscovery (anteprima) è ora disponibile nel nuovo portale di Microsoft Purview. Per altre informazioni sull'uso della nuova esperienza di eDiscovery, vedere Informazioni su eDiscovery (anteprima).
Attività correlate a Ricerca contenuto ed eDiscovery (per Microsoft Purview eDiscovery (Standard) e Microsoft Purview eDiscovery (Premium)) eseguite in Portale di conformità di Microsoft Purview o eseguendo i cmdlet di PowerShell corrispondenti vengono registrati nel log di controllo. Gli eventi vengono registrati quando gli amministratori o i responsabili di eDiscovery (o qualsiasi autorizzazione eDiscovery assegnata dall'utente) eseguono le seguenti attività ricerca contenuto ed eDiscovery (Standard) nel portale di conformità:
- Creazione e gestione di casi di eDiscovery (Standard) ed eDiscovery (Premium).
- Creazione, avvio e modifica di ricerche di contenuto.
- Esecuzione di azioni di ricerca, ad esempio l'anteprima, l'esportazione e l'eliminazione dei risultati della ricerca.
- Gestione dei responsabili e dei set di revisione in eDiscovery (Premium).
- Configurazione del filtro delle autorizzazioni per Ricerca contenuto.
- Gestione del ruolo di amministratore di eDiscovery.
Per altre informazioni sulla ricerca nel log di controllo, sulle autorizzazioni necessarie e sull'esportazione dei risultati della ricerca, vedere Cercare nel log di controllo.
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Come cercare e visualizzare le attività di eDiscovery
Attualmente, è necessario eseguire alcune operazioni specifiche per visualizzare le attività di eDiscovery nel log di controllo. Ecco come:
Nota
Per un periodo di tempo limitato, questa esperienza classica di eDiscovery è disponibile anche nel nuovo portale di Microsoft Purview. Abilitare l'esperienza eDiscovery classica del portale di conformità nelle impostazioni dell'esperienza di eDiscovery (anteprima) per visualizzare l'esperienza classica nel nuovo portale di Microsoft Purview.
Passare alla Portale di conformità di Microsoft Purview e accedere usando l'account aziendale o dell'istituto di istruzione.
Nel riquadro di spostamento a sinistra del portale di conformità selezionare Controlla.
Nell'elenco a discesa Attività selezionare una o più attività da cercare in Attività di eDiscovery o attività eDiscovery (Premium).
Nota
L'elenco a discesa Attività include anche un gruppo di attività denominate attività cmdlet eDiscovery che restituiscono record dal log di controllo dei cmdlet.
Selezionare un intervallo di data e ora per visualizzare gli eventi di eDiscovery che si sono verificati entro tale periodo.
Nella casella Utenti selezionare uno o più utenti per cui visualizzare i risultati della ricerca. Lasciare vuota questa casella per restituire le voci per tutti gli utenti.
Selezionare Cerca per eseguire la ricerca usando i criteri di ricerca.
Dopo aver visualizzato i risultati della ricerca, è possibile selezionare Filtra risultati per filtrare o ordinare i record di attività risultanti. Sfortunatamente, non è possibile usare il filtro per escludere in modo esplicito determinate attività.
Per visualizzare i dettagli di un'attività, selezionare il record attività nell'elenco dei risultati della ricerca.
Viene visualizzata una pagina a comparsa Dettagli che contiene le proprietà dettagliate del record dell'evento. Per visualizzare altri dettagli, selezionare Altre informazioni. Per una descrizione di queste proprietà, vedere la sezione Proprietà dettagliate per le attività di eDiscovery .
Se lo si desidera, è possibile esportare i risultati della ricerca del log di controllo in un file CSV e quindi usare la funzionalità excel Power Query per formattare e filtrare questi record. Per ulteriori informazioni, vedi Esportare, configurare e visualizzare i record del log di audit.
Attività di eDiscovery
Nella tabella seguente vengono descritte le attività ricerca contenuto ed eDiscovery (Standard) registrate quando un amministratore o un manager di eDiscovery esegue un'attività correlata a eDiscovery tramite il portale di conformità. Alcune attività eseguite in eDiscovery (Premium) possono essere restituite quando si cercano attività in questo elenco.
Nota
Le attività di eDiscovery descritte in questa sezione forniscono informazioni simili alle attività del cmdlet eDiscovery descritte nella sezione successiva. È consigliabile usare le attività di eDiscovery descritte in questa sezione perché verranno visualizzate nei risultati della ricerca nel log di controllo entro 30 minuti. La visualizzazione delle attività dei cmdlet di eDiscovery nei risultati della ricerca nel log di controllo può richiedere fino a 24 ore.
Nome descrittivo | Operazione | Cmdlet corrispondente | Descrizione |
---|---|---|---|
Aggiunta di un membro al caso di eDiscovery |
CaseMemberAdded |
Add-ComplianceCaseMember |
Un utente è stato aggiunto come membro di un caso di eDiscovery. Come membro di un caso, un utente può eseguire varie attività correlate ai casi a seconda che gli siano state assegnate le autorizzazioni necessarie. |
Ricerca di contenuto modificata |
SearchUpdated |
Set-ComplianceSearch |
È stata modificata una ricerca di contenuto esistente. Le modifiche possono includere l'aggiunta o la rimozione di percorsi di contenuto o la modifica della query di ricerca. |
Modifica dell'appartenenza dell'amministratore di eDiscovery |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
L'elenco degli amministratori di eDiscovery nell'organizzazione è stato modificato. Questa attività viene registrata quando l'elenco degli amministratori di eDiscovery viene sostituito con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo utente, viene registrata l'operazione CaseAdminAdded. |
Modifica del caso di eDiscovery |
CaseUpdated |
Set-ComplianceCase |
È stato modificato un caso di eDiscovery. Le modifiche includono la chiusura di un caso aperto o la riapertura di un caso chiuso. |
Modifica dell'appartenenza al caso di eDiscovery |
CaseMemberUpdated |
Update-ComplianceCaseMember |
L'elenco di appartenenza di un caso di eDiscovery è stato modificato. Questa attività viene registrata quando tutti i membri vengono sostituiti con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo membro, viene registrata l'operazione CaseMemberAdded o CaseMemberRemoved. |
Filtro delle autorizzazioni di ricerca modificato |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
È stato modificato un filtro delle autorizzazioni di ricerca. |
Modifica della query di ricerca per il blocco di maiuscole/minuscole di eDiscovery |
HoldUpdated |
Set-CaseHoldRule |
È stato modificato un blocco basato su query associato a un caso di eDiscovery. Le possibili modifiche includono la modifica della query o dell'intervallo di date per un blocco basato su query. |
Elemento di anteprima della ricerca contenuto scaricato |
PreviewItemDownloaded |
N/D |
Un utente ha scaricato un elemento nel computer locale (selezionando il collegamento Scarica elemento originale ) durante l'anteprima dei risultati della ricerca. |
Elemento di anteprima della ricerca contenuto elencato |
PreviewItemListed |
N/D |
Un utente ha selezionato Anteprima risultati ricerca per visualizzare la pagina dei risultati della ricerca di anteprima, che elenca fino a 1.000 elementi dai risultati di una ricerca. |
Ricerca contenuto creata |
SearchCreated |
New-ComplianceSearch |
È stata creata una nuova ricerca di contenuto. |
Amministratore di eDiscovery creato |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
Un utente è stato aggiunto come amministratore di eDiscovery nell'organizzazione. |
Creazione di un caso di eDiscovery |
CaseAdded |
New-ComplianceCase |
È stato creato un caso di eDiscovery. Quando viene creato un caso, è sufficiente assegnargli un nome. Altre attività correlate al caso, ad esempio l'aggiunta di membri, la creazione di blocchi e la creazione di ricerche di contenuto associate al caso, comportano la registrazione di eventi aggiuntivi. |
Filtro delle autorizzazioni di ricerca create |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
È stato creato un filtro per le autorizzazioni di ricerca. |
Query di ricerca creata per il blocco di maiuscole e minuscole di eDiscovery |
HoldCreated |
New-CaseHoldRule |
È stato creato un blocco basato su query associato a un caso di eDiscovery. |
Ricerca contenuto eliminato |
SearchRemoved |
Remove-ComplianceSearch |
È stata eliminata una ricerca di contenuto esistente. |
Amministratore di eDiscovery eliminato |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
Un amministratore di eDiscovery è stato eliminato dall'organizzazione. |
Caso di eDiscovery eliminato |
CaseRemoved |
Remove-ComplianceCase |
È stato eliminato un caso di eDiscovery. Qualsiasi blocco associato al caso deve essere rimosso prima che il caso possa essere eliminato. |
Filtro delle autorizzazioni di ricerca eliminate |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
È stato eliminato un filtro delle autorizzazioni di ricerca. |
Query di ricerca eliminata per il blocco di maiuscole e minuscole di eDiscovery |
HoldRemoved |
Remove-CaseHoldRule |
È stato eliminato un blocco basato su query associato a un caso di eDiscovery. La rimozione della query dal blocco è spesso il risultato dell'eliminazione di un blocco. Quando viene eliminata una query di blocco o di blocco, vengono rilasciati i percorsi del contenuto che erano in attesa. |
Esportazione scaricata della ricerca di contenuto |
SearchExportDownloaded |
N/D |
Un utente ha scaricato i risultati di una ricerca di contenuto nel computer locale. È necessario avviare un'esportazione avviata dell'attività di ricerca del contenuto prima di scaricare i risultati della ricerca. |
Risultati in anteprima della ricerca di contenuto |
RicercaAnteprima |
N/D |
Un utente ha visualizzato in anteprima i risultati di una ricerca di contenuto. |
Risultati eliminati della ricerca di contenuto |
SearchResultsPurged |
New-ComplianceSearchAction |
Un utente ha eliminato i risultati di una ricerca contenuto eseguendo il comando New-ComplianceSearchAction -Purge . |
Rimozione dell'analisi della ricerca di contenuto |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
È stata eliminata un'azione di preparazione della ricerca di contenuto (per preparare i risultati della ricerca per eDiscovery (Premium).) Se l'azione di preparazione aveva meno di due settimane, i risultati della ricerca preparati per eDiscovery (Premium) sono stati eliminati dall'area di archiviazione di Microsoft Azure. Se l'azione di preparazione è stata precedente a 2 settimane, questo evento indica che è stata eliminata solo l'azione di preparazione corrispondente. |
Rimozione dell'esportazione della ricerca di contenuto |
RemovedSearchExported |
Remove-ComplianceSearchAction |
Un'azione di esportazione di ricerca contenuto è stata eliminata. Se l'azione di esportazione aveva meno di due settimane, i risultati della ricerca caricati nell'area di archiviazione di Microsoft Azure sono stati eliminati. Se l'azione di esportazione era precedente a 2 settimane, questo evento indica che è stata eliminata solo l'azione di esportazione corrispondente. |
Membro rimosso dal caso eDiscovery |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
Un utente è stato rimosso come membro di un caso di eDiscovery. |
Rimossi i risultati di anteprima della ricerca di contenuto |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
È stata eliminata un'azione di anteprima della ricerca di contenuto. |
Rimozione dell'azione di eliminazione eseguita nella ricerca di contenuto |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
Un'azione di eliminazione della ricerca di contenuto è stata eliminata. |
Rimozione del report di ricerca |
SearchReportRemoved |
Remove-ComplianceSearchAction |
Un'azione di esportazione del report di ricerca contenuto è stata eliminata. |
Analisi avviata della ricerca di contenuto |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
I risultati di una ricerca di contenuto sono stati preparati per l'analisi in eDiscovery (Premium). |
Ricerca contenuto avviata |
SearchStarted |
Start-ComplianceSearch |
È stata avviata una ricerca di contenuto. Quando si crea o si modifica una ricerca di contenuto usando il portale di conformità, la ricerca viene avviata automaticamente. |
Avvio dell'esportazione della ricerca di contenuto |
SearchExported |
New-ComplianceSearchAction |
Un utente ha esportato i risultati di una ricerca di contenuto. |
Report di esportazione avviato |
SearchReport |
New-ComplianceSearchAction |
Un utente ha esportato un report di ricerca contenuto. |
Ricerca contenuto arrestata |
SearchStopped |
Stop-ComplianceSearch |
Un utente ha arrestato una ricerca di contenuto. |
(nessuno) | CaseViewed | Get-ComplianceCase | Un utente ha visualizzato un caso di eDiscovery (Standard) nel portale di conformità. Il record di controllo per questo evento include il nome del caso visualizzato. |
(nessuno) | SearchViewed | Get-ComplianceSearch | Un utente ha visualizzato una ricerca contenuto nel portale di conformità accedendo alla ricerca nella scheda Ricerche in un caso di eDiscovery (Standard) o accedendo ad essa nella pagina Ricerca contenuto. Il record di controllo per questo evento include l'identità della ricerca visualizzata. |
(nessuno) | ViewedSearchExported | Get-ComplianceSearchAction -Export | Un utente ha visualizzato un'esportazione ricerca contenuto nel portale di conformità accedendo all'esportazione nella scheda Esportazioni nella pagina Ricerca contenuto . Questa attività viene registrata anche quando un utente visualizza un'esportazione associata a un caso di eDiscovery (Standard). |
(nessuno) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | Un utente ha visualizzato in anteprima i risultati di una ricerca contenuto nel portale di conformità. Questa attività viene registrata anche quando un utente visualizza in anteprima i risultati di una ricerca associata a un caso di eDiscovery (Standard). |
Attività di eDiscovery (Premium)
Nella tabella seguente vengono descritte le attività di eDiscovery (Premium) registrate nel log di controllo. Queste attività possono essere usate per tenere traccia dell'avanzamento dell'attività in un caso di eDiscovery (Premium).
Nome descrittivo | Operazione | Descrizione |
---|---|---|
Aggiungere dati a un altro insieme da rivedere | AddWorkingSetQueryToWorkingSet | L'utente ha aggiunto i documenti di un insieme da rivedere a un altro insieme da rivedere. |
Aggiunti dati a un insieme da rivedere | AddQueryToWorkingSet | L'utente ha aggiunto i risultati della ricerca da una ricerca di contenuto associata a un caso di eDiscovery (Premium) a un set di revisioni. |
Sono stati aggiunti dati non di Microsoft 365 a un insieme da rivedere | AddNonOffice365DataToWorkingSet | L'utente ha aggiunto dati non di Microsoft 365 a un insieme da rivedere. |
Aggiunta di documenti con correzione a un insieme da rivedere | AddRemediatedData | L'utente carica i documenti con errori di indicizzazione corretti in un insieme da rivedere. |
Dati analizzati nell'insieme da rivedere | RunAlgo | L'utente ha eseguito l'analisi dei documenti in un set di revisione. |
Documento con annotazioni nell'insieme da rivedere | AnnotateDocument | L'utente ha annotato un documento in un insieme da rivedere. L'annotazione include la correzione del contenuto di un documento. |
Set di carichi confrontati | LoadComparisonJob | L'utente ha confrontato due set di carichi diversi in insieme da rivedere. Un set di carichi si verifica quando i dati di una ricerca di contenuto associata al caso vengono aggiunti a un insieme da rivedere. |
Documenti corretti convertiti in PDF | BurnJob | L'utente ha convertito in file PDF tutti i documenti corretti di un insieme da rivedere. |
Creato insieme da rivedere | CreateWorkingSet | L'utente ha creato un insieme da rivedere. |
Ricerca insieme da rivedere creata | CreateWorkingSetSearch | L'utente ha creato una query di ricerca che consente di cercare i documenti in un insieme da rivedere. |
Creato tag | CreateTag | L'utente ha creato un gruppo di tag in un insieme da rivedere. Un gruppo di tag può contenere uno o più tag figlio. Questi tag vengono usati per contrassegnare i documenti nell'insieme da rivedere. |
Ricerca insieme da rivedere eliminata | DeleteWorkingSetSearch | Un utente ha eliminato una query di ricerca in un insieme da rivedere. |
Tag eliminato | DeleteTag | L'utente ha eliminato un tag o un gruppo di tag in un insieme da rivedere. |
Documento scaricato | DownloadDocument | L'utente ha scaricato un documento da un insieme da rivedere. |
Tag modificato | UpdateTag | L'utente ha modificato un tag in un insieme da rivedere. |
Esportati documenti da un insieme da rivedere | ExportJob | L'utente ha esportato dei documenti da un insieme da rivedere. |
Impostazione caso modificata | UpdateCaseSettings | L'utente ha modificato le impostazioni per un caso. Le impostazioni per il caso includono le informazioni sul caso, le autorizzazioni di accesso e le impostazioni che controllano il comportamento di ricerca e analisi. |
Ricerca insieme da rivedere modificata | UpdateWorkingSetSearch | Un utente ha modificato una query di ricerca in un insieme da rivedere. |
Visualizzazione dell'anteprima della ricerca dell'insieme da rivedere | PreviewWorkingSetSearch | Un utente ha visualizzato in anteprima i risultati di una query di ricerca in un insieme da rivedere. |
Corretti i documenti con errori | ErrorRemediationJob | L'utente corregge i file che contengono errori di indicizzazione. |
Documento con tag | TagFiles | L'utente contrassegna un documento in un insieme da rivedere. |
Contrassegnati i risultati di una query | TagJob | Un utente contrassegna tutti i documenti che corrispondono ai criteri della query di ricerca in un insieme da rivedere. |
Documento visualizzato nell'insieme da rivedere | ViewDocument | L'utente ha visualizzato un documento in un insieme da rivedere. |
Attività dei cmdlet di eDiscovery
Nella tabella seguente sono elencati i record del log di controllo dei cmdlet registrati quando un amministratore o un utente esegue un'attività correlata a eDiscovery usando il portale di conformità o eseguendo il cmdlet corrispondente in PowerShell sicurezza & conformità. Le informazioni dettagliate nel record del log di controllo sono diverse per le attività dei cmdlet elencate in questa tabella e per le attività di eDiscovery descritte nella sezione precedente.
Come indicato in precedenza, la visualizzazione delle attività dei cmdlet di eDiscovery nei risultati della ricerca nel log di controllo può richiedere fino a 24 ore.
Consiglio
I cmdlet nella colonna Operazione nella tabella seguente sono collegati all'argomento della Guida corrispondente relativo ai cmdlet in TechNet. Passare all'argomento della Guida del cmdlet per una descrizione dei parametri disponibili per ogni cmdlet. Il parametro e il valore del parametro usati con un cmdlet sono inclusi nella voce del log di controllo per ogni attività del cmdlet eDiscovery registrata.
Nome descrittivo | Operazione (cmdlet) | Descrizione |
---|---|---|
Blocco creato nel caso di eDiscovery |
New-CaseHoldPolicy |
È stato creato un blocco per un caso di eDiscovery. È possibile creare un blocco con o senza specificare un'origine di contenuto. Se vengono specificate origini di contenuto, verranno identificate nella voce del log di controllo. |
Blocco eliminato dal caso di eDiscovery |
Remove-CaseHoldPolicy |
È stato eliminato un blocco associato a un caso di eDiscovery. L'eliminazione di un blocco rilascia tutti i percorsi del contenuto dal blocco. L'eliminazione del blocco comporta anche l'eliminazione delle regole di blocco dei maiuscole e minuscole associate al blocco (vedere Remove-CaseHoldRule di seguito). |
Blocco modificato nel caso di eDiscovery |
Set-CaseHoldPolicy |
È stato modificato un blocco associato a un eDiscovery. Le possibili modifiche includono l'aggiunta o la rimozione di percorsi di contenuto o la disattivazione (disabilitazione) del blocco. |
Query di ricerca creata per il blocco di maiuscole e minuscole di eDiscovery |
New-CaseHoldRule |
È stato creato un blocco basato su query associato a un caso di eDiscovery. |
Query di ricerca eliminata per il blocco di maiuscole e minuscole di eDiscovery |
Remove-CaseHoldRule |
È stato eliminato un blocco basato su query associato a un caso di eDiscovery. La rimozione della query dal blocco è spesso il risultato dell'eliminazione di un blocco. Quando viene eliminata una query di blocco o di blocco, vengono rilasciati i percorsi del contenuto che erano in attesa. |
Modifica della query di ricerca per il blocco di maiuscole/minuscole di eDiscovery |
Set-CaseHoldRule |
È stato modificato un blocco basato su query associato a un caso di eDiscovery. Le possibili modifiche includono la modifica della query o dell'intervallo di date per un blocco basato su query. |
Creazione di un caso di eDiscovery |
New-ComplianceCase |
È stato creato un caso di eDiscovery. Quando viene creato un caso, è sufficiente assegnargli un nome. Altre attività correlate al caso, ad esempio l'aggiunta di membri, la creazione di blocchi e la creazione di ricerche di contenuto associate al caso, comportano la registrazione di eventi aggiuntivi. |
Caso di eDiscovery eliminato |
Remove-ComplianceCase |
È stato eliminato un caso di eDiscovery. Qualsiasi blocco associato al caso deve essere rimosso prima che il caso possa essere eliminato. |
Modifica del caso di eDiscovery |
Set-ComplianceCase |
È stato modificato un caso di eDiscovery. Le modifiche includono la chiusura di un caso aperto o la riapertura di un caso chiuso. |
Aggiunta di un membro al caso di eDiscovery |
Add-ComplianceCaseMember |
Un utente è stato aggiunto come membro di un caso di eDiscovery. Come membro di un caso, un utente può eseguire varie attività correlate ai casi a seconda che gli siano state assegnate le autorizzazioni necessarie. |
Membro rimosso dal caso eDiscovery |
Remove-ComplianceCaseMember |
Un utente è stato rimosso come membro di un caso di eDiscovery. |
Modifica dell'appartenenza al caso di eDiscovery |
Update-ComplianceCaseMember |
L'elenco di appartenenza di un caso di eDiscovery è stato modificato. Questa attività viene registrata quando tutti i membri vengono sostituiti con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo membro, viene registrata l'operazione Add-ComplianceCaseMember o Remove-ComplianceCaseMember . |
Ricerca contenuto creata |
New-ComplianceSearch |
È stata creata una nuova ricerca di contenuto. |
Ricerca contenuto eliminato |
Remove-ComplianceSearch |
È stata eliminata una ricerca di contenuto esistente. |
Ricerca di contenuto modificata |
Set-ComplianceSearch |
È stata modificata una ricerca di contenuto esistente. Le modifiche possono includere l'aggiunta o la rimozione di percorsi di contenuto in cui viene eseguita la ricerca e la modifica della query di ricerca. |
Ricerca contenuto avviata |
Start-ComplianceSearch |
È stata avviata una ricerca di contenuto. Quando si crea o si modifica una ricerca di contenuto usando la GUI del portale di conformità, la ricerca viene avviata automaticamente. Se si crea o si modifica una ricerca usando il cmdlet New-ComplianceSearch o Set-ComplianceSearch , è necessario eseguire il cmdlet Start-ComplianceSearch per avviare la ricerca. |
Ricerca contenuto arrestata |
Stop-ComplianceSearch |
Una ricerca di contenuto in esecuzione è stata arrestata. |
Azione di ricerca contenuto creata |
New-ComplianceSearchAction |
È stata creata un'azione di ricerca del contenuto. Le azioni di ricerca del contenuto includono l'anteprima dei risultati della ricerca, l'esportazione dei risultati della ricerca, la preparazione dei risultati della ricerca per l'analisi in eDiscovery (Premium) e l'eliminazione definitiva di elementi che corrispondono ai criteri di ricerca di una ricerca di contenuto. |
Azione di ricerca contenuto eliminato |
Remove-ComplianceSearchAction |
Un'azione di ricerca contenuto è stata eliminata. |
Filtro delle autorizzazioni di ricerca create |
New-ComplianceSecurityFilter |
È stato creato un filtro per le autorizzazioni di ricerca. |
Filtro delle autorizzazioni di ricerca eliminate |
Remove-ComplianceSecurityFilter |
È stato eliminato un filtro delle autorizzazioni di ricerca. |
Filtro delle autorizzazioni di ricerca modificato |
Set-ComplianceSecurityFilter |
È stato modificato un filtro delle autorizzazioni di ricerca. |
Amministratore di eDiscovery creato |
Add-eDiscoveryCaseAdmin |
Un utente è stato aggiunto come amministratore di eDiscovery nell'organizzazione. |
Amministratore di eDiscovery eliminato |
Remove-eDiscoveryCaseAdmin |
Un amministratore di eDiscovery è stato eliminato dall'organizzazione. |
Modifica dell'appartenenza dell'amministratore di eDiscovery |
Update-eDiscoveryCaseAdmin |
L'elenco degli amministratori di eDiscovery nell'organizzazione è stato modificato. Questa attività viene registrata quando l'elenco degli amministratori di eDiscovery viene sostituito con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo utente, viene registrata l'operazione Add-eDiscoveryCaseAdmin o Remove-eDiscoveryCaseAdmin . |
(nessuno) |
Get-ComplianceCase |
Questa attività viene registrata quando un utente visualizza un elenco di casi di eDiscovery (Standard) o eDiscovery (Premium). Questa attività viene registrata anche quando un utente visualizza un caso specifico in eDiscovery (Standard). Quando un utente visualizza un caso specifico, il record di controllo include l'identità del caso visualizzato. Se l'utente ha visualizzato solo un elenco di casi, il record di controllo non contiene un'identità del caso. |
(nessuno) | Get-ComplianceSearch | Questa attività viene registrata quando un utente visualizza un elenco di ricerche di contenuto o ricerche associate a un caso di eDiscovery (Standard). Questa attività viene registrata anche quando un utente visualizza una ricerca contenuto specifica o visualizza una ricerca specifica associata a un caso di eDiscovery (Standard). Quando un utente visualizza una ricerca specifica, il record di controllo include l'identità della ricerca visualizzata. Se l'utente ha visualizzato solo un elenco di ricerche, il record di controllo non contiene un'identità di ricerca. |
(nessuno) | Get-ComplianceSearchAction | Questa attività viene registrata quando un utente visualizza un elenco di azioni di ricerca di conformità (ad esempio esportazioni, anteprime o ripuliture) o azioni associate a un caso di eDiscovery (Standard). Questa attività viene registrata anche quando un utente visualizza un'azione di ricerca di conformità specifica (ad esempio un'esportazione) o visualizza un'azione specifica associata a un caso di eDiscovery (Standard). Quando un utente visualizza un'azione di ricerca, il record di controllo include l'identità dell'azione di ricerca visualizzata. Se l'utente ha visualizzato solo un elenco di azioni, il record di controllo non contiene un'identità di azione. |
Proprietà dettagliate per le attività di eDiscovery
Nella tabella seguente vengono descritte le proprietà incluse nella pagina a comparsa per un'attività di eDiscovery elencata nei risultati della ricerca. Queste proprietà sono incluse anche nel file CSV quando si esportano i risultati della ricerca nel log di controllo. Un record del log di controllo per un'attività di eDiscovery non includerà tutte le proprietà dettagliate elencate di seguito.
Consiglio
Quando si esportano i risultati della ricerca, il file CSV contiene una colonna denominata AudtiData, che contiene le proprietà dettagliate descritte nella tabella seguente in una proprietà multivalore. È possibile usare la funzionalità Power Query in Excel per suddividere questa colonna in più colonne in modo che ogni proprietà abbia una propria colonna. In questo modo sarà possibile ordinare e filtrare in base a una o più di queste proprietà. Per altre informazioni, vedere Cercare nel log di controllo.
Proprietà | Descrizione |
---|---|
Caso |
Identità (GUID) del caso di eDiscovery creato, modificato o eliminato. |
ClientApplication |
Le attività dei cmdlet di eDiscovery hanno un valore EMC per questa proprietà. Ciò indica che l'attività è stata eseguita usando la GUI del portale di conformità o eseguendo il cmdlet in PowerShell. |
ClientIP |
Indirizzo IP del dispositivo usato durante la registrazione dell'attività. L'indirizzo IP viene visualizzato in formato IPv4 o IPv6. |
ClientRequestId |
Per le attività di eDiscovery, questa proprietà è in genere vuota. |
CmdletVersion |
Numero di build per la versione del portale di conformità in esecuzione nell'organizzazione. |
CreationTime |
Data e ora dell'ora UTC (Coordinated Universal Time) in cui è stata completata l'attività eDiscovery. |
EffectiveOrganization |
Nome dell'organizzazione di Microsoft 365. |
ExchangeLocations |
Il Exchange Online cassette postali incluse in una ricerca di contenuto o sospese in un caso di eDiscovery. |
Esclusioni |
Cassette postali o posizioni del sito escluse da una ricerca di contenuto o da un blocco in un caso di eDiscovery. |
ExtendedProperties |
Proprietà aggiuntive da una ricerca di contenuto, un'azione di ricerca di contenuto o un blocco in un caso di eDiscovery, ad esempio il GUID dell'oggetto e i parametri cmdlet e cmdlet corrispondenti usati quando è stata eseguita l'attività. |
Id |
ID della voce del report. L'ID identifica in modo univoco la voce del log di controllo. |
NonPIIParameters |
Elenco dei parametri (senza valori) usati con il cmdlet identificato nella proprietà Operation. I parametri elencati in questa proprietà sono gli stessi elencati nella proprietà Parameters. |
ObjectId |
GUID o nome dell'oggetto , ad esempio una ricerca contenuto o un caso di eDiscovery (Standard) creato, accessibile, modificato o eliminato dall'attività elencata nella proprietà Operation. Questo oggetto viene identificato anche nella colonna Item nei risultati della ricerca del log di controllo. |
ObjectType |
Tipo di oggetto eDiscovery creato, eliminato o modificato dall'utente; Ad esempio, un'azione di ricerca di contenuto (anteprima, esportazione o eliminazione), un caso di eDiscovery o una ricerca di contenuto. |
Operazione |
Nome dell'operazione che corrisponde all'attività di eDiscovery eseguita. |
OrganizationId |
GUID per l'organizzazione di Microsoft 365. |
Parametri |
Nome e valore per i parametri usati con il cmdlet corrispondente. |
PublicFolderLocations |
I percorsi delle cartelle pubbliche in Exchange Online inclusi in una ricerca di contenuto o messi in attesa in un caso di eDiscovery. |
Query |
Query di ricerca associata all'attività, ad esempio una ricerca di contenuto o un blocco basato su query. |
RecordType |
Tipo di operazione indicato dal record. Il valore 18 indica un evento correlato a un'attività elencata nella sezione attività del cmdlet eDiscovery . Il valore 24 indica un evento correlato a un'attività elencata nella sezione Come cercare e visualizzare le attività di eDiscovery . |
ResultStatus |
Indica se l'azione (specificata nella proprietà Operation) ha avuto esito positivo o meno. |
SecurityComplianceCenterEventType |
Indica che l'attività è un evento del portale di conformità. Tutte le attività di eDiscovery avranno un valore pari a 0 per questa proprietà. |
SharepointLocations |
Siti di SharePoint Online inclusi in una ricerca di contenuto o sospesi in un caso di eDiscovery. |
StartTime |
Data e ora dell'ora UTC (Coordinated Universal Time) in cui è stata avviata l'attività eDiscovery. |
UserId |
L'utente che ha eseguito l'attività (specificata nella proprietà Operation) che ha generato la registrazione del record. Anche i record per l'attività di eDiscovery eseguita dagli account di sistema (ad esempio NT AUTHORITY\SYSTEM) sono inclusi nel log di controllo. |
UserKey |
ID alternativo per l'utente identificato nella proprietà UserId. Per le attività di eDiscovery, il valore di questa proprietà è in genere lo stesso della proprietà UserId. |
UserServicePlan |
Sottoscrizione usata dall'organizzazione. Per le attività di eDiscovery, questa proprietà è in genere vuota. |
Usertype |
Tipo di utente che ha eseguito l'operazione. I valori seguenti indicano il tipo di utente. 0 Un utente normale. 2 Amministratore dell'organizzazione. 3 Un amministratore del data center Microsoft o un account di sistema del data center. 4 Un account di sistema. 5 Un'applicazione. 6 Un'entità servizio. |
Versione |
Indica il numero di versione dell'attività (identificata dalla proprietà Operation) registrata. |
Carico di lavoro |
Servizio in cui si è verificata l'attività. Per le attività di eDiscovery, il valore è SecurityComplianceCenter. |