Suchen nach eDiscovery-Aktivitäten im Office 365-Überwachungsprotokoll

Wichtig :  Dieser Artikel wurde maschinell übersetzt. Bitte beachten Sie den Haftungsausschluss. Die englische Version des Artikels ist als Referenz hier verfügbar: hier.

Mit der Inhaltssuche und mit eDiscovery zusammenhängende Aktivitäten, die im Office 365 Security & Compliance Center oder durch Ausführen der entsprechenden Windows PowerShell-Cmdlets durchgeführt werden, werden im Office 365-Überwachungsprotokoll protokolliert. Ereignisse werden protokolliert, wenn Administratoren oder Complianceadministratoren (oder Benutzer mit eDiscovery-Berechtigungen) im Office 365 Security & Compliance Center die folgenden mit der Inhaltssuche und mit eDiscovery zusammenhängenden Aufgaben ausführen:

  • Erstellen und Verwalten von eDiscovery-Fällen

  • Erstellen, Starten und Bearbeiten von Inhaltssuchen

  • Durchführen von Aktionen bei der Inhaltssuche, wie Vorschau, Exportieren und Löschen von Suchergebnissen

  • Konfigurieren von Berechtigungsfiltern für die Inhaltssuche

  • Verwalten der eDiscovery-Administratorrolle

Wichtig : Die in diesem Artikel beschriebenen Aktivitäten sind nur das Ergebnis der eDiscovery-Aufgaben, die mit dem Security & Compliance Center ausgeführt werden. Mithilfe des In-Situ-eDiscovery-Tools in Exchange Online oder mit dem eDiscovery Center in SharePoint Online ausgeführte eDiscovery-Aufgaben werden hier nicht berücksichtigt.

Weitere Informationen zum Durchsuchen des Office 365Überwachungsprotokolls, zu den erforderlichen Berechtigungen und zum Exportieren von Suchergebnissen finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center.

Suchen nach und Anzeigen von eDiscovery-Aktivitäten

Aktuell müssen Sie einige bestimmte Aktionen ausführen, um eDiscovery-Aktivitäten im Office 365-Überwachungsprotokoll anzeigen zu können. Gehen Sie dazu wie folgt vor:

  1. Wechseln Sie zu https://protection.office.com.

  2. Melden Sie sich bei Office 365 mit Ihrem Geschäfts- oder Schul- oder Unikonto an.

  3. Klicken Sie im linken Bereich auf Suche und Untersuchung, und klicken Sie dann auf Überwachungsprotokollsuche.

  4. Klicken Sie in der Dropdownliste Aktivitäten unter eDiscovery-Aktivitäten auf eine oder mehrere Aktivitäten, nach denen gesucht werden soll. Alternativ können Sie auf eDiscovery-Aktivitäten klicken, um nach allen mit eDiscovery zusammenhängenden Aktivitäten zu suchen.

    Hinweis : Die Aktivitäten Dropdown-Liste enthält darüber hinaus eine Gruppe von Aktivitäten, die mit dem Namen eDiscovery-Cmdlet Aktivitäten, die Einträge aus dem Überwachungsprotokoll Cmdlet zurückgibt.

  5. Wählen Sie einen Datums- und Uhrzeitbereich aus, um die eDiscovery-Ereignisse anzuzeigen, die innerhalb dieses Zeitraums aufgetreten sind.

  6. Wählen Sie im Feld Benutzer mindestens einen Benutzer aus, für den Suchergebnisse angezeigt werden sollen. Lassen Sie dieses Feld leer, um Einträge für alle Benutzer zurückzugeben.

  7. Klicken Sie auf Suchen, um die Suche anhand der Suchkriterien auszuführen.

  8. Wenn die Suchergebnisse angezeigt werden, können Sie auf Ergebnisse filtern klicken, um die resultierenden Aktivitätseinträge zu filtern oder zu sortieren. Leider können Sie die Filterung nicht verwenden, um bestimmte Aktivitäten ausdrücklich auszuschließen.

  9. Zum Anzeigen von Details zu einer Aktivität klicken Sie in der Liste der Suchergebnisse auf den entsprechenden Aktivitätseintrag.

    Daraufhin wird die Flyoutseite Details mit detaillierten Eigenschaften des Ereigniseintrags angezeigt. Zum Anzeigen weiterer Details klicken Sie auf Weitere Informationen. Eine Beschreibung dieser Eigenschaften finden Sie im Abschnitt Detaillierte Eigenschaften für eDiscovery-Aktivitäten.

Seitenanfang

eDiscovery-Aktivitäten

In der folgenden Tabelle werden Aktivitäten im Zusammenhang mit Inhaltssuche und eDiscovery aufgeführt, die protokolliert werden, wenn ein Administrator oder Benutzer eine eDiscovery-bezogene Aktivität mithilfe des Security & Compliance Centers oder durch Ausführen des entsprechenden Cmdlets in der mit dem Security & Compliance Center Ihrer Organisation verbundenen Remote-PowerShell ausführt.

Hinweis : In diesem Abschnitt beschriebenen eDiscovery Aktivitäten bieten ähnliche Informationen wie die eDiscovery-Cmdlet Aktivitäten, die im nächsten Abschnitt beschrieben. Es empfiehlt sich, dass Sie verwenden die eDiscovery-Aktivitäten, die in diesem Abschnitt beschrieben, da sie in den Suchergebnissen von Audit Log innerhalb von 30 Minuten angezeigt werden. Es dauert bis zu 24 Stunden für den eDiscovery Cmdlet Aktivitäten Audit Log Suchergebnisse angezeigt werden sollen.

Anzeigename

Vorgang

Entsprechendes Cmdlet

Beschreibung

Added member to eDiscovery case

CaseMemberAdded

Add-ComplianceCaseMember

Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben abhängig davon ausführen, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.

Changed content search

SearchUpdated

Set-ComplianceSearch

Eine vorhandene Inhaltssuche wurde geändert. Mögliche Änderungen umfassen das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Bearbeiten der Suchabfrage.

Changed eDiscovery administrator membership

CaseAdminUpdated

Update-eDiscoveryCaseAdmin

Die Liste der eDiscovery-Administratoren in Ihrer Organisation wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wird nur ein einzelner Benutzer hinzugefügt oder entfernt, dann wird der Vorgang CaseAdminAdded protokolliert.

Changed eDiscovery case

CaseUpdated

Set-ComplianceCase

Ein eDiscovery-Fall wurde geändert. Änderungen umfassen das Schließen eines offenen Falls oder das erneute Öffnen eines geschlossenen Falls.

Changed eDiscovery case membership

CaseMemberUpdated

Update-ComplianceCaseMember

Die Liste der Mitglieder eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wird nur ein Mitglied hinzugefügt oder entfernt, dann wird der Vorgang CaseMemberAdded bzw. CaseMemberRemoved protokolliert.

Changed search permissions filter

SearchPermissionUpdated

Set-ComplianceSecurityFilter

Ein Filter für Suchberechtigungen wurde geändert.

Changed search query for eDiscovery case hold

HoldUpdated

Set-CaseHoldRule

Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.

Content search preview item downloaded

PreviewItemDownloaded

N/V

Ein Benutzer hat bei der Vorschau von Suchergebnissen ein Element auf den lokalen Computer heruntergeladen (durch Klicken auf den Link Ursprüngliches Element herunterladen).

Content search preview item listed

PreviewItemListed

N/V

Ein Benutzer hat auf Vorschau der Suchergebnisse geklickt, um die Vorschau der Suchergebnisseite anzuzeigen, auf der bis zu 1000 Elemente aus den Ergebnissen einer Inhaltssuche aufgeführt sind.

Content search preview item viewed

PreviewItemRendered

N/V

Ein eDiscovery-Manager hat bei der Vorschau von Suchergebnissen ein Element durch Klicken darauf angezeigt.

Created content search

SearchCreated

New-ComplianceSearch

Es wurde eine neue Inhaltssuche erstellt.

Created eDiscovery administrator

CaseAdminAdded

Add-eDiscoveryCaseAdmin

Ein Benutzer wurde als eDiscovery-Administrator in der Organisation hinzugefügt.

Created eDiscovery case

CaseAdded

New-ComplianceCase

Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen zuweisen. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen zur Protokollierung weiterer Ereignisse.

Created search permissions filter

SearchPermissionCreated

New-ComplianceSecurityFilter

Es wurde ein Filter für Suchberechtigungen erstellt.

Created search query for eDiscovery case hold

HoldCreated

New-CaseHoldRule

Es wurde ein abfragebasierter Haltebereich erstellt, der einem eDiscovery-Fall zugeordnet ist.

Deleted content search

SearchRemoved

Remove-ComplianceSearch

Eine vorhandene Inhaltssuche wurde gelöscht.

Deleted eDiscovery administrator

CaseAdminRemoved

Remove-eDiscoveryCaseAdmin

Ein eDiscovery-Administrator wurde aus Ihrer Organisation gelöscht.

Deleted eDiscovery case

CaseRemoved

Remove-ComplianceCase

Ein eDiscovery-Fall wurde gelöscht. Beachten Sie, dass alle dem Fall zugeordneten Haltebereiche entfernt werden müssen, bevor der Fall gelöscht werden kann.

Deleted search permissions filter

SearchPermissionRemoved

Remove-ComplianceSecurityFilter

Ein Filter für Suchberechtigungen wurde gelöscht.

Deleted search query for eDiscovery case hold

HoldRemoved

Remove-CaseHoldRule

Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Haltebereich ist häufig das Ergebnis des Löschens eines Haltebereichs. Wenn ein Haltebereich oder eine Haltebereichabfrage gelöscht wird, erfolgt die Freigabe der gesperrten Inhaltsspeicherorte.

Downloaded export of content search

SearchResultDownloaded

N/V

Ein Benutzer hat die Ergebnisse einer Inhaltssuche auf den lokalen Computer heruntergeladen. Beachten Sie, dass eine Aktivität vom Typ Started export of content search eingeleitet werden muss, bevor Suchergebnisse heruntergeladen werden können.

Previewed results of content search

SearchPreviewed

N/V

Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche angezeigt.

Purged results of content search

SearchResultsPurged

New-ComplianceSearchAction

Ein Benutzer hat die Ergebnisse einer Inhaltssuche durch Ausführen des Befehls New-ComplianceSearchAction -Purge entfernt.

Removed analysis of content search

RemovedSearchResultsSentToZoom

Remove-ComplianceSearchAction

Eine Aktion zum Vorbereiten der Inhaltssuche (zum Vorbereiten der Suchergebnisse für Erweiterte eDiscovery in Office 365) wurde gelöscht. Wenn die Vorbereitungsaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die für Erweiterte eDiscovery vorbereitet wurden, aus dem Microsoft Azure-Speicherbereich gelöscht. Wenn die Vorbereitungsaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Vorbereitungsaktion gelöscht wurde.

Removed export of content search

RemovedSearchExported

Remove-ComplianceSearchAction

Eine Exportaktion für die Inhaltssuche wurde gelöscht. Wenn die Exportaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die in den Microsoft Azure-Speicherbereich hochgeladen wurden, gelöscht. Wenn die Exportaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Exportaktion gelöscht wurde.

Removed member from eDiscovery case

CaseMemberRemoved

Remove-ComplianceCaseMember

Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt.

Removed preview results of content search

RemovedSearchPreviewed

Remove-ComplianceSearchAction

Eine Vorschauaktion für die Inhaltssuche wurde gelöscht.

Removed purge action performed on content search

RemovedSearchResultsPurged

Remove-ComplianceSearchAction

Eine Löschaktion für die Inhaltssuche wurde gelöscht.

Removed search report

SearchReportRemoved

Remove-ComplianceSearchAction

Eine Aktion zum Exportieren eines Berichts für die Inhaltssuche wurde gelöscht.

Started analysis of content search

SearchResultsSentToZoom

New-ComplianceSearchAction

Die Ergebnisse einer Inhaltssuche wurden für die Analyse in Erweiterte eDiscovery vorbereitet.

Started content search

SearchStarted

Start-ComplianceSearch

Eine Inhaltssuche wurde gestartet. Wenn Sie die Benutzeroberfläche des Security & Compliance Centers zum Erstellen oder Ändern einer Inhaltssuche verwenden, wird die Suche automatisch gestartet. Wenn Sie das Cmdlet New-ComplianceSearch oder Set-ComplianceSearch zum Erstellen oder Ändern einer Suche verwenden, müssen Sie das Cmdlet Start-ComplianceSearch ausführen, um die Suche zu starten.

Started export of content search

SearchExported

New-ComplianceSearchAction

Ein Benutzer hat die Ergebnisse einer Inhaltssuche exportiert.

Started export report

SearchReport

New-ComplianceSearchAction

Ein Benutzer hat einen Bericht für die Inhaltssuche exportiert.

Stopped content search

SearchStopped

Stop-ComplianceSearch

Ein Benutzer hat eine Inhaltssuche angehalten.

Seitenanfang

eDiscovery-Cmdlet-Aktivitäten

In der folgenden Tabelle sind die Einträge im Cmdlet-Überwachungsprotokoll aufgeführt, die protokolliert werden, wenn ein Administrator oder Benutzer eine eDiscovery-bezogene Aktivität mithilfe des Security & Compliance Centers oder durch Ausführen des entsprechenden Cmdlets in der mit dem Security & Compliance Center Ihrer Organisation verbundenen Remote-PowerShell ausführt. Beachten Sie, dass die detaillierten Informationen im Überwachungsprotokolleintrag für die in dieser Tabelle aufgeführten Cmdlet-Aktivitäten und die im vorherigen Abschnitt beschriebenen eDiscovery-Aktivitäten unterschiedlich sind.

Wie zuvor erwähnt benötigen sie bis zu 24 Stunden für eDiscovery-Cmdlet Aktivitäten in den Audit Log-Suchergebnissen angezeigt werden.

Tipp : Die Cmdlets in der Spalte Vorgang in der folgenden Tabelle sind mit den entsprechenden Cmdlet Hilfethema auf TechNet verknüpft. Wechseln Sie zum Hilfethema Cmdlet für eine Beschreibung der verfügbaren Parameter für jedes Cmdlet. Der Parameter und der Parameterwert, die mit einem Cmdlet verwendet wurden sind in der Log Überwachungseintrag für jede eDiscovery-Cmdlet Aktivität enthalten, die angemeldet ist.

Anzeigename

Vorgang (Cmdlet)

Beschreibung

Created hold in eDiscovery case

New-CaseHoldPolicy

Es wurde ein Haltebereich für einen eDiscovery-Fall erstellt. Ein Haltebereich kann mit oder ohne Angabe einer Inhaltsquelle erstellt werden. Wenn Inhaltsquellen angegeben sind, werden sie im Überwachungsprotokolleintrag identifiziert.

Deleted hold from eDiscovery case

Remove-CaseHoldPolicy

Ein Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Durch Löschen eines Haltebereichs werden alle Inhaltsspeicherorte aus dem Haltebereich freigegeben. Das Löschen des Haltebereichs führt auch dazu, dass die dem Haltebereich zugeordneten Fallspeicherregeln gelöscht werden (siehe Remove-CaseHoldRule unten).

Changed hold in eDiscovery case

Set-CaseHoldPolicy

Ein Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Deaktivieren des Haltebereichs.

Created search query for eDiscovery case hold

New-CaseHoldRule

Es wurde ein abfragebasierter Haltebereich erstellt, der einem eDiscovery-Fall zugeordnet ist.

Deleted search query for eDiscovery case hold

Remove-CaseHoldRule

Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Haltebereich ist häufig das Ergebnis des Löschens eines Haltebereichs. Wenn ein Haltebereich oder eine Haltebereichabfrage gelöscht wird, erfolgt die Freigabe der gesperrten Inhaltsspeicherorte.

Changed search query for eDiscovery case hold

Set-CaseHoldRule

Ein abfragebasierter Haltebereich, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.

Created eDiscovery case

New-ComplianceCase

Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen zuweisen. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen zur Protokollierung weiterer Ereignisse.

Deleted eDiscovery case

Remove-ComplianceCase

Ein eDiscovery-Fall wurde gelöscht. Beachten Sie, dass alle dem Fall zugeordneten Haltebereiche entfernt werden müssen, bevor der Fall gelöscht werden kann.

Changed eDiscovery case

Set-ComplianceCase

Ein eDiscovery-Fall wurde geändert. Änderungen umfassen das Schließen eines offenen Falls oder das erneute Öffnen eines geschlossenen Falls.

Added member to eDiscovery case

Add-ComplianceCaseMember

Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben abhängig davon ausführen, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.

Removed member from eDiscovery case

Remove-ComplianceCaseMember

Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt.

Changed eDiscovery case membership

Update-ComplianceCaseMember

Die Liste der Mitglieder eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wird nur ein Mitglied hinzugefügt oder entfernt, dann wird der Vorgang Add-ComplianceCaseMember bzw. Remove-ComplianceCaseMember protokolliert.

Created content search

New-ComplianceSearch

Es wurde eine neue Inhaltssuche erstellt.

Deleted content search

Remove-ComplianceSearch

Eine vorhandene Inhaltssuche wurde gelöscht.

Changed content search

Set-ComplianceSearch

Eine vorhandene Inhaltssuche wurde geändert. Mögliche Änderungen umfassen das Hinzufügen oder Entfernen von Inhaltsspeicherorten, die durchsucht werden, und das Bearbeiten der Suchabfrage.

Started content search

Start-ComplianceSearch

Eine Inhaltssuche wurde gestartet. Wenn Sie die Benutzeroberfläche des Security & Compliance Centers zum Erstellen oder Ändern einer Inhaltssuche verwenden, wird die Suche automatisch gestartet. Wenn Sie das Cmdlet New-ComplianceSearch oder Set-ComplianceSearch zum Erstellen oder Ändern einer Suche verwenden, müssen Sie das Cmdlet Start-ComplianceSearch ausführen, um die Suche zu starten.

Stopped content search

Stop-ComplianceSearch

Eine Inhaltssuche wurde während der Ausführung beendet.

Created content search action

New-ComplianceSearchAction

Es wurde eine Inhaltssuchaktion erstellt. Inhaltssuchaktionen umfassen das Anzeigen einer Vorschau der Suchergebnisse, das Exportieren von Suchergebnissen, das Vorbereiten von Suchergebnissen für die Analyse in Erweiterte eDiscovery in Office 365 sowie das endgültige Löschen von Elementen, die den Suchkriterien einer Inhaltssuche entsprechen.

Deleted content search action

Remove-ComplianceSearchAction

Eine Inhaltssuchaktion wurde gelöscht.

Created search permissions filter

New-ComplianceSecurityFilter

Es wurde ein Filter für Suchberechtigungen erstellt.

Deleted search permissions filter

Remove-ComplianceSecurityFilter

Ein Filter für Suchberechtigungen wurde gelöscht.

Changed search permissions filter

Set-ComplianceSecurityFilter

Ein Filter für Suchberechtigungen wurde geändert.

Created eDiscovery administrator

Add-eDiscoveryCaseAdmin

Ein Benutzer wurde als eDiscovery-Administrator in Ihrer Organisation hinzugefügt.

Deleted eDiscovery administrator

Remove-eDiscoveryCaseAdmin

Ein eDiscovery-Administrator wurde aus Ihrer Organisation gelöscht.

Changed eDiscovery administrator membership

Update-eDiscoveryCaseAdmin

Die Liste der eDiscovery-Administratoren in Ihrer Organisation wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wird nur ein einzelner Benutzer hinzugefügt oder entfernt, dann wird der Vorgang Add-eDiscoveryCaseAdmin bzw. Remove-eDiscoveryCaseAdmin protokolliert.

Seitenanfang

Detaillierte Eigenschaften für eDiscovery-Aktivitäten

In der folgenden Tabelle sind die Eigenschaften beschrieben, die einbezogen werden, wenn Sie auf der Seite Details für eine in den Suchergebnissen aufgelistete eDiscovery-Aktivität auf Weitere Informationen klicken. Diese Eigenschaften werden beim Exportieren der Suchergebnisse des Überwachungsprotokolls auch in der CSV-Datei gespeichert. Beachten Sie dass ein Überwachungsprotokolleintrag für eine eDiscovery-Aktivität nicht jede der aufgeführten detaillierten Eigenschaften enthält.

Tipp : Wenn Sie die Suchergebnisse exportieren, enthält die CSV-Datei eine Spalte namens Detail mit den in der folgenden Tabelle beschriebenen detaillierten Eigenschaften in einer mehrwertigen Eigenschaft. Sie können in Excel das Feature Power Query verwenden, um diese Spalte in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Dadurch können Sie nach einer oder mehreren dieser Eigenschaften sortieren und filtern. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center im Abschnitt "Exportieren der Suchergebnisse in eine Datei".

Eigenschaft

Beschreibung

Case

Die Identität (GUID) für den eDiscovery-Fall, der erstellt, geändert oder gelöscht wurde.

ClientApplication

eDiscovery-Cmdlet-Aktivitäten weisen für diese Eigenschaft den Wert EMC auf. Damit wird angegeben, dass die Aktivität über die Benutzeroberfläche des Security & Compliance Centers oder durch Ausführen des Cmdlets in PowerShell ausgeführt wurde.

ClientIP

Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird entweder im Format IPv4 oder im Format IPv6 angezeigt.

ClientRequestId

Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.

CmdletVersion

Die Buildnummer der in Ihrer Organisation ausgeführten Security & Compliance Center-Version.

CreationTime

Das Datum und die Uhrzeit in koordinierter Weltzeit (Coordinated Universal Time, UTC), an dem/zu der die eDiscovery-Aktivität abgeschlossen wurde.

EffectiveOrganization

Der Name Ihrer Office 365-Organisation.

ExchangeLocations

Die Exchange Online-Postfächer, die in eine Inhaltssuche eingeschlossen oder in einem eDiscovery-Fall in einem Haltebereich platzieren werden.

Exclusions

Postfächer oder Websitespeicherorte, die aus einer Inhaltssuche oder in einem eDiscovery-Fall aus einem Haltebereich ausgeschlossen werden.

ExtendedProperties

Zusätzliche Eigenschaften aus einer Inhaltssuche, einer Inhaltssuche-Aktion oder einem Haltebereich in einem eDiscovery-Fall, z. B. die Objekt-GUID und das entsprechenden Cmdlet sowie die Cmdlet-Parameter, die verwendet wurden, als die Aktivität ausgeführt wurde.

Id

Die ID des Berichtseintrags. Mit dieser ID wird der Überwachungsprotokolleintrag eindeutig identifiziert.

NonPIIParameters

Eine Liste der Parameter (ohne Werte), die mit dem in der Eigenschaft "Operation" bezeichneten Cmdlet verwendet wurden. Die in dieser Eigenschaft aufgelisteten Parameter entsprechen den in der Eigenschaft "Parameters" aufgelisteten Parametern.

ObjectId

Die GUID oder der Name des Objekts (z. B. eine Inhaltssuche oder ein eDiscovery-Fall), das von der in der Eigenschaft "Operation" aufgeführten Aktivität erstellt, geändert oder gelöscht wurde. Dieses Objekt ist auch in der Spalte "Item" in den Suchergebnissen des Überwachungsprotokolls angegeben.

ObjectType

Die Art des eDiscovery-Objekts, das der Benutzer erstellt, gelöscht oder geändert hat, z. B. eine Inhaltssuche-Aktion (Vorschau, Exportieren oder Löschen), ein eDiscovery-Fall oder eine Inhaltssuche.

Operation

Der Name des Vorgangs, der der eDiscovery-Aktivität entspricht, die durchgeführt wurde.

OrganizationId

Die GUID für Ihre Office 365-Organisation.

Parameters

Der Name und der Wert für die Parameter, die mit dem entsprechenden Cmdlet verwendet wurden.

PublicFolderLocations

Die Speicherorte für öffentliche Ordner in Exchange Online, die in eine Inhaltssuche eingeschlossen oder in einem eDiscovery-Fall in einem Haltebereich platziert werden.

Query

Die Suchabfrage, die der Aktivität zugeordnet ist, z. B. eine Inhaltssuche oder ein abfragebasierter Haltebereich.

RecordType

Der vom Datensatz angegebene Vorgangstyp. Der Wert 18 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt eDiscovery-Cmdlet-Aktivitäten aufgeführt ist. Der Wert 24 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt eDiscovery-Aktivitäten aufgeführt ist.

ResultStatus

Gibt an, ob die (in der Eigenschaft "Operation" angegebene) Aktion erfolgreich war.

SecurityComplianceCenterEventType

Gibt an, dass es sich bei der Aktivität um ein Security & Compliance Center-Ereignis handelt. Alle eDiscovery-Aktivitäten weisen für diese Eigenschaft den Wert 0 auf.

SharepointLocations

Die SharePoint Online-Websites, die in eine Inhaltssuche eingeschlossen oder in einem eDiscovery-Fall in einem Haltebereich platziert werden.

StartTime

Das Datum und die Uhrzeit in koordinierter Weltzeit (Coordinated Universal Time, UTC), an dem/zu der die eDiscovery-Aktivität gestartet wurde.

UserId

Der Benutzer der die (in der Eigenschaft "Operation" angegebene) Aktivität ausgeführt hat, die zu dem Eintrag im Überwachungsprotokoll geführt hat. Beachten Sie, dass eDiscovery-Aktivitäten, die von Systemkonten (wie NT AUTHORITY\SYSTEM) ausgeführt werden, ebenfalls im Überwachungsprotokoll enthalten sind.

UserKey

Eine alternative ID für den in der Eigenschaft "UserId" angegebenen Benutzer. Bei eDiscovery-Aktivitäten entspricht der Wert für diese Eigenschaft in der Regel der Eigenschaft "UserId".

UserServicePlan

Das von Ihrer Organisation verwendete Office 365-Abonnement. Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.

UserType

Der Typ des Benutzers, der den Vorgang ausgeführt hat. Die folgende Werte geben den Benutzertyp an.

0      Ein normaler Benutzer.

2      Ein Administrator in Ihrer Office 365-Organisation.

3      Ein Administrator in einem Microsoft-Rechenzentrum oder ein Systemkonto eines Rechenzentrums.

4      Ein Systemkonto.

5      Eine Anwendung.

6      Ein Dienstprinzipal.

Version

Gibt die Versionsnummer der (in der Eigenschaft "Operation" bezeichneten) Aktivität an, die protokolliert wird.

Workload

Der Office 365-Dienst, in dem die Aktivität stattgefunden hat. Bei eDiscovery-Aktivitäten lautet der Wert SecurityComplianceCenter.

Seitenanfang

Hinweis : Haftungsausschluss für maschinelle Übersetzungen: Dieser Artikel wurde mithilfe eines Computersystems und ohne jegliche Bearbeitung durch Personen übersetzt. Microsoft bietet solche maschinellen Übersetzungen als Hilfestellung für Benutzer ohne Englischkenntnisse an, damit Sie von den Informationen zu Produkten, Diensten und Technologien von Microsoft profitieren können. Da es sich bei diesem Artikel um eine maschinelle Übersetzung handelt, enthält er möglicherweise Fehler in Bezug auf (Fach-)Terminologie, Syntax und/oder Grammatik.

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×