共用方式為


在稽核記錄中搜尋電子文件探索活動

提示

新的 Microsoft Purview 入口網站現已提供電子檔探索 (預覽) 。 若要深入瞭解如何使用新的電子檔探索體驗,請參閱 瞭解電子檔探索 (預覽)

Microsoft Purview 電子文件探索 (標準) 和 Microsoft Purview 電子文件探索 (進階) ) 的內容搜尋和電子檔探索相關活動 (會記錄在 Microsoft Purview 合規性入口網站 中,或是執行對應的 PowerShell Cmdlet稽核記錄。 當系統管理員或電子檔探索管理員 (或任何使用者指派的電子檔探索許可權,) 在合規性入口網站中執行下列內容搜尋和電子檔探索 (標準) 工作時,就會記錄事件:

  • 建立和管理電子檔探索 (標準) 和電子檔探索 (進階) 案例。
  • 建立、啟動和編輯內容搜尋。
  • 執行搜尋動作,例如預覽、匯出和刪除搜尋結果。
  • 在 eDiscovery (Premium) 中管理監管人和檢閱集。
  • 設定內容搜尋的許可權篩選。
  • 管理電子檔案探索系統管理員角色。

如需搜尋稽核記錄、所需許可權及導出搜尋結果的詳細資訊,請參閱 搜尋稽核記錄

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

如何搜尋和檢視電子檔探索活動

目前,您必須執行一些特定動作,才能在稽核記錄中檢視電子檔探索活動。 方法如下:

注意事項

在有限的時間內,此傳統電子檔探索體驗也可在新的 Microsoft Purview 入口網站中使用。 在電子檔探索 (預覽) 體驗設定中啟用合規性入口網站傳統電子檔探索體驗,以在新的 Microsoft Purview 入口網站中顯示傳統體驗。

  1. 移至 Microsoft Purview 合規性入口網站,並使用您的公司或學校帳戶登入。

  2. 在合規性入口網站的左側瀏覽窗格中,選取 [ 稽核]

  3. 在 [ 活動 ] 下拉式清單的 [電子檔探索活動 ] 或 [ 電子檔探索] ([進階) 活動] 底下,選取要搜尋的一或多個活動。

    注意事項

    [ 活動 ] 下拉式清單也包含一組名為 eDiscovery Cmdlet 的活動 ,這些活動會從 Cmdlet 稽核記錄傳回記錄。

  4. 選取日期和時間範圍,以顯示該期間內發生的電子檔探索事件。

  5. 在 [ 使用者] 方塊中,選取一或多個要顯示搜尋結果的使用者。 將此方塊保留空白,以傳回所有用戶的專案。

  6. 選取 [搜尋] 以使用您的搜尋準則執行搜尋。

  7. 顯示搜尋結果之後,您可以選取 [篩選結果 ] 來篩選或排序產生的活動記錄。 不幸的是,您無法使用篩選來明確排除特定活動。

  8. 若要檢視活動的詳細數據,請在搜尋結果清單中選取活動記錄。

    [ 詳細數據 ] 飛出頁面隨即顯示,其中包含來自事件記錄的詳細屬性。 若要顯示其他詳細數據,請選 取 [更多資訊]。 如需這些屬性的描述,請參閱 電子檔探索活動的詳細屬性一 節。

  9. 如有需要,您可以將稽核記錄搜尋結果匯出至 CSV 檔案,然後使用 Excel Power Query 功能來格式化和篩選這些記錄。 如需詳細資訊,請參閱匯出、設定及檢視稽核記錄檔的記錄

電子文件探索活動

下表說明當系統管理員或電子檔探索管理員使用合規性入口網站執行電子檔探索相關活動時所記錄之標準) 活動 (內容搜尋和電子檔探索。 當您在此清單中搜尋活動時,可能會傳回在 eDiscovery (Premium) 中執行的某些活動。

注意事項

本節所述的電子檔探索活動提供類似下一節所述的電子檔探索 Cmdlet 活動資訊。 建議您使用本節所述的電子檔探索活動,因為它們會在 30 分鐘內出現在稽核記錄搜尋結果中。 電子檔探索 Cmdlet 活動最多可能需要 24 小時才會出現在稽核記錄搜尋結果中。

易記名稱 作業 對應的 Cmdlet 描述
已將成員新增至電子檔探索案例
CaseMemberAdded
Add-ComplianceCaseMember
使用者已新增為電子檔探索案例的成員。 身為案例的成員,用戶可以根據是否獲指派必要的許可權來執行各種案例相關工作。
已變更內容搜尋
SearchUpdated
Set-ComplianceSearch
現有的內容搜尋已變更。 變更可能包括新增或移除內容位置,或編輯搜尋查詢。
已變更電子檔探索系統管理員成員資格
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
您組織中的電子檔案探索系統管理員清單已變更。 當電子檔探索系統管理員清單取代為一組新使用者時,就會記錄此活動。 如果新增或移除單一使用者,則會記錄 CaseAdminAdded 作業。
已變更電子檔探索案例
CaseUpdated
Set-ComplianceCase
電子檔探索案例已變更。 變更包括關閉開啟的大小寫或重新開啟已關閉的案例。
已變更電子檔探索案例成員資格
CaseMemberUpdated
Update-ComplianceCaseMember
電子檔探索案例的成員資格清單已變更。 當所有成員都以新使用者群組取代時,就會記錄此活動。 如果新增或移除單一成員,則會記錄 CaseMemberAdded 或 CaseMemberRemoved 作業。
已變更搜尋許可權篩選
SearchPermissionUpdated
Set-ComplianceSecurityFilter
搜尋許可權篩選已變更。
已變更電子檔探索案例保留的搜尋查詢
HoldUpdated
Set-CaseHoldRule
已變更與電子檔探索案例相關聯的查詢式保留。 可能的變更包括編輯查詢架構保留的查詢或日期範圍。
下載的內容搜尋預覽專案
PreviewItemDownloaded
不適用
使用者在預覽搜尋結果時選取 [ 下載原始專案 ] 連結) ,將專案下載到其本機計算機 (。
列出的內容搜尋預覽專案
PreviewItemListed
不適用
用戶選取 [預覽搜尋結果 ] 以顯示預覽搜尋結果頁面,其中列出搜尋結果中最多 1,000 個專案。
已建立內容搜尋
SearchCreated
New-ComplianceSearch
已建立新的內容搜尋。
已建立電子檔探索系統管理員
CaseAdminAdded
Add-eDiscoveryCaseAdmin
已將使用者新增為組織中的電子檔探索系統管理員。
已建立電子檔探索案例
CaseAdded
New-ComplianceCase
已建立電子檔探索案例。 建立案例時,您只需要為其命名。 其他與案例相關的工作,例如新增成員、建立保留,以及建立與案例相關聯的內容搜尋,會導致記錄其他事件。
已建立搜尋許可權篩選
SearchPermissionCreated
New-ComplianceSecurityFilter
已建立搜尋許可權篩選。
已建立電子檔探索案例保留的搜尋查詢
HoldCreated
New-CaseHoldRule
已建立與電子檔探索案例相關聯的查詢式保留。
已刪除的內容搜尋
SearchRemoved
Remove-ComplianceSearch
已刪除現有的內容搜尋。
已刪除電子檔案探索系統管理員
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
已從您的組織中刪除電子檔案探索系統管理員。
已刪除電子檔探索案例
CaseRemoved
Remove-ComplianceCase
已刪除電子檔探索案例。 必須先移除與案例相關聯的任何保留,才能刪除案例。
已刪除的搜尋許可權篩選
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
搜尋許可權篩選已刪除。
已刪除電子檔探索案例保留的搜尋查詢
HoldRemoved
Remove-CaseHoldRule
已刪除與電子檔探索案例相關聯的查詢式保留。 從保留中移除查詢通常是刪除保留的結果。 刪除保留或保留查詢時,會釋放保留中的內容位置。
下載的內容搜尋導出
SearchExportDownloaded
不適用
使用者已將內容搜尋的結果下載到其本機計算機。 必須先 起始開始導出內容搜尋 活動,才能下載搜尋結果。
內容搜尋的預覽結果
SearchPreviewed
不適用
用戶已預覽內容搜尋的結果。
內容搜尋的清除結果
SearchResultsPurged
New-ComplianceSearchAction
用戶執行 New-ComplianceSearchAction -Purge 命令來清除內容搜尋的結果。
已移除內容搜尋的分析
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
內容搜尋準備動作 (,以準備刪除進階) ) (電子檔探索的搜尋結果。 如果準備動作不到兩周,則已從 Microsoft Azure 記憶體區域中刪除針對電子檔探索 (進階) 準備的搜尋結果。 如果準備動作早於 2 周,則此事件表示只會刪除對應的準備動作。
已移除內容搜尋的導出
RemovedSearchExported
Remove-ComplianceSearchAction
已刪除內容搜尋導出動作。 如果匯出動作不到兩周,則已上傳至Microsoft Azure 儲存體區域的搜尋結果會遭到刪除。 如果匯出動作早於 2 周,則此事件表示只會刪除對應的匯出動作。
已從電子檔探索案例中移除成員
CaseMemberRemoved
Remove-ComplianceCaseMember
使用者已移除為電子檔探索案例的成員。
已移除內容搜尋的預覽結果
RemovedSearchPreviewed
Remove-ComplianceSearchAction
已刪除內容搜尋預覽動作。
已移除在內容搜尋上執行的清除動作
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
已刪除內容搜尋清除動作。
已移除搜尋報告
SearchReportRemoved
Remove-ComplianceSearchAction
已刪除內容搜尋匯出報表動作。
開始分析內容搜尋
SearchResultsSentToZoom
New-ComplianceSearchAction
已備妥內容搜尋的結果,以便在電子檔探索 (進階) 中進行分析。
已啟動內容搜尋
SearchStarted
Start-ComplianceSearch
已啟動內容搜尋。 當您使用合規性入口網站建立或變更內容搜尋時,會自動啟動搜尋。
開始匯出內容搜尋
SearchExported
New-ComplianceSearchAction
用戶導出內容搜尋的結果。
已啟動導出報表
SearchReport
New-ComplianceSearchAction
用戶導出內容搜尋報表。
已停止的內容搜尋
SearchStopped
Stop-ComplianceSearch
使用者已停止內容搜尋。
(無) CaseViewed Get-ComplianceCase 使用者在合規性入口網站中檢視了 eDiscovery (Standard) 案例。 此事件的稽核記錄包含已檢視的案例名稱。
(無) SearchViewed Get-ComplianceSearch 使用者在合規性入口網站中檢視了內容搜尋,方法是存取 eDiscovery (Standard) 案例中 [搜尋] 索引 卷標上的 搜尋,或在 [內容搜尋 ] 頁面上加以存取。 此事件的稽核記錄包含已檢視之搜尋的身分識別。
(無) ViewedSearchExported Get-ComplianceSearchAction -Export 使用者在合規性入口網站中檢視了內容搜尋導出,方法是存取 [內容搜尋] 頁面上 [導出] 索引卷標上的導出。 當用戶檢視與 eDiscovery (Standard) 案例相關聯的導出時,也會記錄此活動。
(無) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview 使用者已在合規性入口網站中預覽內容搜尋的結果。 當用戶預覽與 eDiscovery (Standard) 案例相關聯的搜尋結果時,也會記錄此活動。

電子文件探索 (進階版) 活動

下表說明在稽核記錄中記錄的 eDiscovery (Premium) 活動。 這些活動可用來協助您追蹤 eDiscovery (Premium) 案例中的活動進度。

易記名稱 作業 描述
已將資料新增至另一個檢閱集 AddWorkingSetQueryToWorkingSet 使用者已將一個檢閱集中的文件新增至不同檢閱集。
已將資料新增至檢閱集 AddQueryToWorkingSet 使用者已將與 eDiscovery (Premium) 案例相關聯之內容搜尋的搜尋結果新增至檢閱集。
已將非 Microsoft 365 的資料新增至檢閱集 AddNonOffice365DataToWorkingSet 使用者已將非 Microsoft 365 的資料新增至檢閱集。
已將修復的文件新增至檢閱集 AddRemediatedData 使用者將已修正索引錯誤的文件上傳至檢閱集。
已分析檢閱集中的資料 RunAlgo 使用者已對檢閱集中的檔執行分析。
已標註檢閱集中的文件 AnnotateDocument 使用者已標註檢閱集中的文件。 標註包含校訂文件中的內容。
比較載入集合 LoadComparisonJob 使用者比較了檢閱集中的兩個不同載入集合。 載入集合會在案例相關內容搜尋中的資料新增至檢閱集後建立。
已將校訂後的文件轉換為 PDF BurnJob 使用者已將檢閱集中所有已校訂的文件轉換為 PDF 檔案。
已建立檢閱集 CreateWorkingSet 使用者已建立檢閱集。
已建立檢閱集搜尋 CreateWorkingSetSearch 使用者已建立搜尋查詢來搜尋檢閱集中的文件。
已建立標籤 CreateTag 使用者已在檢閱集中建立標籤群組。 標籤群組可以包含一個或多個子標籤。 這些標籤可用來標記檢閱集中的文件。
已刪除檢閱集搜尋 DeleteWorkingSetSearch 使用者已刪除檢閱集中的搜尋查詢。
已刪除標籤 DeleteTag 使用者已在檢閱集中刪除標籤或標籤群組。
已下載文件 DownloadDocument 使用者已從檢閱集下載文件。
已編輯標籤 UpdateTag 使用者已變更檢閱集中的標籤。
已從檢閱集匯出文件 ExportJob 使用者已從檢閱集匯出文件。
已修改案例設定 UpdateCaseSettings 使用者已修改案例的設定。 案例設定包括案例資訊、存取權限及控制搜尋和分析行為的設定。
已修改檢閱集搜尋 UpdateWorkingSetSearch 使用者已編輯檢閱集中的搜尋查詢。
已預覽檢閱集搜尋 PreviewWorkingSetSearch 使用者已預覽檢閱集中的搜尋查詢結果。
已修復錯誤的文件 ErrorRemediationJob 使用者已修正包含索引錯誤的檔案。
已標記文件 TagFiles 使用者已標記檢閱集中的文件。
已標記查詢結果 TagJob 使用者已標記檢閱集中所有符合搜尋查詢準則的文件。
已檢視檢閱集中的文件 ViewDocument 使用者已檢視檢閱集中的文件。

eDiscovery Cmdlet 活動

下表列出當系統管理員或使用者使用合規性入口網站或在安全性 & 合規性 PowerShell 中執行對應的 Cmdlet 來執行電子檔探索相關活動時所記錄的 Cmdlet 稽核記錄。 稽核記錄檔記錄中的詳細資訊與本表所列的 Cmdlet 活動和上一節所述的電子檔探索活動不同。

如先前所述,電子檔探索 Cmdlet 活動最多可能需要 24 小時才會出現在稽核記錄搜尋結果中。

提示

下表中 Operation 數據 行中的 Cmdlet 會連結到 TechNet 上對應的 Cmdlet 幫助主題。 移至 Cmdlet 幫助主題,以取得每個 Cmdlet 可用參數的描述。 與 Cmdlet 搭配使用的參數和參數值會包含在所記錄之每個 eDiscovery Cmdlet 活動的稽核記錄專案中。

易記名稱 Cmdlet) (作業 描述
在電子檔探索案例中建立保留
New-CaseHoldPolicy
已針對電子檔探索案例建立保留。 無論是否指定內容來源,都可以建立保留。 如果指定內容來源,則會在稽核記錄專案中加以識別。
已從電子檔探索案例中刪除保留
Remove-CaseHoldPolicy
已刪除與電子檔探索案例相關聯的保留。 刪除保留會釋放保留中的所有內容位置。 刪除保留也會刪除與保留相關聯的案例保留規則 (請參閱下方的 Remove-CaseHoldRule) 。
已變更電子檔探索案例中的保留
Set-CaseHoldPolicy
已變更與電子檔探索相關聯的保留。 可能的變更包括新增或移除內容位置,或關閉 (停用) 保留。
已建立電子檔探索案例保留的搜尋查詢
New-CaseHoldRule
已建立與電子檔探索案例相關聯的查詢式保留。
已刪除電子檔探索案例保留的搜尋查詢
Remove-CaseHoldRule
已刪除與電子檔探索案例相關聯的查詢式保留。 從保留中移除查詢通常是刪除保留的結果。 刪除保留或保留查詢時,會釋放保留中的內容位置。
已變更電子檔探索案例保留的搜尋查詢
Set-CaseHoldRule
已變更與電子檔探索案例相關聯的查詢式保留。 可能的變更包括編輯查詢架構保留的查詢或日期範圍。
已建立電子檔探索案例
New-ComplianceCase
已建立電子檔探索案例。 建立案例時,您只需要為其命名。 其他與案例相關的工作,例如新增成員、建立保留,以及建立與案例相關聯的內容搜尋,會導致記錄其他事件。
已刪除電子檔探索案例
Remove-ComplianceCase
已刪除電子檔探索案例。 必須先移除與案例相關聯的任何保留,才能刪除案例。
已變更電子檔探索案例
Set-ComplianceCase
電子檔探索案例已變更。 變更包括關閉開啟的大小寫或重新開啟已關閉的案例。
已將成員新增至電子檔探索案例
Add-ComplianceCaseMember
使用者已新增為電子檔探索案例的成員。 身為案例的成員,用戶可以根據是否獲指派必要的許可權來執行各種案例相關工作。
已從電子檔探索案例中移除成員
Remove-ComplianceCaseMember
使用者已移除為電子檔探索案例的成員。
已變更電子檔探索案例成員資格
Update-ComplianceCaseMember
電子檔探索案例的成員資格清單已變更。 當所有成員都以新使用者群組取代時,就會記錄此活動。 如果新增或移除單一成員,則會記錄 Add-ComplianceCaseMemberRemove-ComplianceCaseMember 作業。
已建立內容搜尋
New-ComplianceSearch
已建立新的內容搜尋。
已刪除的內容搜尋
Remove-ComplianceSearch
已刪除現有的內容搜尋。
已變更內容搜尋
Set-ComplianceSearch
現有的內容搜尋已變更。 變更可能包括新增或移除搜尋的內容位置,以及編輯搜尋查詢。
已啟動內容搜尋
Start-ComplianceSearch
已啟動內容搜尋。 當您使用合規性入口網站 GUI 建立或變更內容搜尋時,會自動啟動搜尋。 如果您使用 New-ComplianceSearchSet-ComplianceSearch Cmdlet 來建立或變更搜尋,則必須執行 Start-ComplianceSearch Cmdlet 來開始搜尋。
已停止的內容搜尋
Stop-ComplianceSearch
正在執行的內容搜尋已停止。
已建立內容搜尋動作
New-ComplianceSearchAction
已建立內容搜尋動作。 內容搜尋動作包括預覽搜尋結果、導出搜尋結果、準備搜尋結果以在電子檔探索 (進階) 中進行分析,以及永久刪除符合內容搜尋準則的專案。
已刪除的內容搜尋動作
Remove-ComplianceSearchAction
已刪除內容搜尋動作。
已建立搜尋許可權篩選
New-ComplianceSecurityFilter
已建立搜尋許可權篩選。
已刪除的搜尋許可權篩選
Remove-ComplianceSecurityFilter
搜尋許可權篩選已刪除。
已變更搜尋許可權篩選
Set-ComplianceSecurityFilter
搜尋許可權篩選已變更。
已建立電子檔探索系統管理員
Add-eDiscoveryCaseAdmin
已將使用者新增為組織中的電子檔探索系統管理員。
已刪除電子檔案探索系統管理員
Remove-eDiscoveryCaseAdmin
已從您的組織中刪除電子檔案探索系統管理員。
已變更電子檔探索系統管理員成員資格
Update-eDiscoveryCaseAdmin
您組織中的電子檔案探索系統管理員清單已變更。 當電子檔探索系統管理員清單取代為一組新使用者時,就會記錄此活動。 如果新增或移除單一使用者,則會記錄 Add-eDiscoveryCaseAdminRemove-eDiscoveryCaseAdmin 作業。
(無) Get-ComplianceCase
當用戶檢視 eDiscovery (Standard) 或 eDiscovery (Premium) 案例清單時,就會記錄此活動。 當使用者在 eDiscovery (Standard) 中檢視特定案例時,也會記錄此活動。 當用戶檢視特定案例時,稽核記錄會包含已檢視案例的身分識別。 如果使用者只檢視案例清單,稽核記錄就不會包含案例身分識別。
(無) Get-ComplianceSearch 當用戶檢視與電子檔探索 (標準) 案例相關聯的內容搜尋或搜尋清單時,就會記錄此活動。 當用戶檢視特定內容搜尋或檢視與電子檔探索相關聯的特定搜尋時,也會記錄此活動 (標準) 案例。 當用戶檢視特定搜尋時,稽核記錄會包含已檢視之搜尋的身分識別。 如果使用者只檢視搜尋清單,稽核記錄就不會包含搜尋身分識別。
(無) Get-ComplianceSearchAction 當用戶檢視 (的合規性搜尋動作清單,例如匯出、預覽或清除) 或與電子檔探索 (標準) 案例相關聯的動作時,就會記錄此活動。 當用戶檢視特定合規性搜尋動作 (例如匯出) 或檢視與電子檔探索 (標準) 案例相關聯的特定動作時,也會記錄此活動。 當用戶檢視搜尋動作時,稽核記錄會包含已檢視之搜尋動作的身分識別。 如果使用者只檢視動作清單,稽核記錄就不會包含動作身分識別。

電子檔探索活動的詳細屬性

下表描述搜尋結果中所列電子檔探索活動的飛出視窗頁面上所包含的屬性。 當您匯出稽核記錄搜尋結果時,這些屬性也會包含在 CSV 檔案中。 電子檔探索活動的稽核記錄不會包含以下所列的每個詳細屬性。

提示

當您匯出搜尋結果時,CSV 檔案會包含名為 AudtiData 的數據行,其中包含多重值屬性中下表所述的詳細屬性。 您可以使用 Excel 中的 Power Query 功能,將此數據行分割成多個數據行,讓每個屬性都有自己的數據行。 這可讓您排序和篩選其中一或多個屬性。 如需詳細資訊,請 參閱搜尋稽核記錄

屬性 描述
案例
已建立、變更或刪除之電子檔探索案例的身分識別 (GUID) 。
ClientApplication
eDiscovery Cmdlet 活動具有此屬性的 EMC 值。 這表示活動是使用合規性入口網站 GUI 或在 PowerShell 中執行 Cmdlet 來執行。
ClientIP
記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。
ClientRequestId
對於電子檔探索活動,這個屬性通常是空白的。
CmdletVersion
組織中執行之合規性入口網站版本的組建編號。
CreationTime
國際標準時間的日期和時間 (UTC) 電子檔探索活動完成的時間。
EffectiveOrganization
Microsoft 365 組織的名稱。
ExchangeLocations
Exchange Online 包含在內容搜尋中或在電子檔探索案例中保留的信箱。
排除項目
在電子檔探索案例中,從內容搜尋或保留中排除的信箱或網站位置。
ExtendedProperties
內容搜尋、內容搜尋動作或 eDiscovery 案例中保留的其他屬性,例如物件 GUID,以及執行活動時所使用的對應 Cmdlet 和 Cmdlet 參數。
識別碼
報表項目的標識碼。 標識碼可唯一識別稽核記錄專案。
NonPIIParameters
參數清單 (沒有任何值) 與 Operation 屬性中識別的 Cmdlet 搭配使用。 此屬性中列出的參數與 Parameters 屬性中所列的參數相同。
ObjectId
物件的 GUID 或名稱 (例如,內容搜尋或 eDiscovery (Standard) 案例) 由 Operation 屬性中所列的活動所建立、存取、變更或刪除。 此物件也會在稽核記錄搜尋結果的 [專案] 資料行中識別。
ObjectType
使用者建立、刪除或修改的 eDiscovery 物件類型;例如,內容搜尋動作 (預覽、匯出或清除) 、電子檔探索案例或內容搜尋。
作業
對應至已執行之電子檔探索活動的作業名稱。
OrganizationId
Microsoft 365 組織的 GUID。
參數
與對應 Cmdlet 搭配使用的參數名稱和值。
PublicFolderLocations
Exchange Online 中包含在內容搜尋中的公用資料夾位置,或在電子檔探索案例中保留的公用資料夾位置。
查詢
與活動相關聯的搜尋查詢,例如內容搜尋或查詢式保留。
RecordType
記錄所指示的作業類型。 值為 18 表示與 eDiscovery Cmdlet 活動區段中所列活動相關的事件。 值 為 24 表示與 如何搜尋及檢視電子檔探索活動 一節中所列活動相關的事件。
ResultStatus
指出 operation 屬性中指定的動作 () 是否成功。
SecurityComplianceCenterEventType
表示活動是合規性入口網站事件。 此屬性的所有電子檔探索活動都會有 0 的值。
SharepointLocations
內容搜尋中包含或在電子檔探索案例中保留的 SharePoint Online 網站。
StartTime
國際標準時間的日期和時間 (UTC) 電子檔探索活動的啟動時間。
UserId
執行活動 (在 Operation 屬性中指定的使用者) ,導致記錄被記錄。 稽核記錄中也會包含由系統帳戶 (例如 NT AUTHORITY\SYSTEM) 執行的電子檔探索活動記錄。
UserKey
UserId 屬性中識別之使用者的替代標識碼。 針對電子檔探索活動,此屬性的值通常與UserId屬性相同。
UserServicePlan
貴組織所使用的訂用帳戶。 對於電子檔探索活動,這個屬性通常是空白的。
UserType
執行作業的用戶類型。 下列值表示用戶類型。
0 一般使用者。 2 組織中的系統管理員。 3 Microsoft數據中心系統管理員或數據中心系統帳戶。 4 系統帳戶。 5 應用程式。 6 服務主體。
版本
指出記錄的 Operation 屬性) 所識別之活動 (的版本號碼。
工作負載
活動發生所在的服務。 針對電子檔探索活動,此值為 SecurityComplianceCenter