Поиск действий обнаружения электронных данных в журнале аудита Office 365

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Действия, связанные с поиском контента и обнаружением электронных данных, которые выполняются через Центр безопасности и соответствия требованиям Office 365 или путем запуска соответствующих командлетов Windows PowerShell, записываются в журнал аудита Office 365. События регистрируются, когда администраторы или администраторы соответствия (либо пользователи, которым назначены разрешения на обнаружение электронных данных) выполняют следующие задачи через Центр безопасности и соответствия требованиям Office 365:

  • создание дел обнаружения электронных данных и управление ими;

  • создание, запуск и редактирование операций поиска контента;

  • выполнение действий поиска контента, таких как предварительный просмотр, экспорт и удаление результатов поиска;

  • настройка фильтрации разрешений для поиска контента;

  • управление ролью администратора обнаружения электронных данных.

Важно : Действия, описанные в этой статье, регистрируются только в результате выполнения задач обнаружения электронных данных через Центр безопасности и соответствия требованиям. Задачи, которые были выполнены с помощью средства обнаружения электронных данных на месте в Exchange Online или в Центре обнаружения электронных данных SharePoint Online, не рассматриваются.

Дополнительные сведения о поиске в журнале аудита Office 365, необходимых для этого разрешениях и экспорте результатов поиска см. в статье Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365.

Поиск и просмотр действий обнаружения электронных данных

Для просмотра действий обнаружения электронных данных в журнале аудита Office 365 нужно выполнить несколько действий. Вот как это делается.

  1. Перейдите по ссылке https://protection.office.com.

  2. Войдите в Office 365 с помощью своей рабочей или учебной учетной записи.

  3. В левой области щелкните пункт Поиск и исследование, а затем выберите пункт Поиск в журнале аудита.

  4. В раскрывающемся списке Действия в разделе Действия eDiscovery щелкните одно или несколько искомых действий. Чтобы найти все действия, связанные с обнаружением электронных данных, щелкните элемент Действия eDiscovery.

    Примечание : Список действий также содержит группа действий с именем вернет записи из журнала аудита командлет eDiscovery командлет действий.

  5. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период.

  6. В поле Пользователи выберите одного или нескольких пользователей, для которых нужно показать результаты. Чтобы получить результаты для всех пользователей, оставьте это поле пустым.

  7. Чтобы выполнить поиск по указанным условиям, нажмите кнопку Поиск.

  8. После отображения результатов поиска можно щелкнуть Фильтрация результатов, чтобы отфильтровать или отсортировать итоговый список записей. К сожалению, с помощью фильтрации невозможно явно исключить определенные действия.

  9. Чтобы просмотреть сведения о действии, щелкните его запись в списке результатов поиска.

    Во всплывающем окне откроется страница Сведения со свойствами, содержащимися в записи о событии. Чтобы посмотреть подробную информацию, щелкните Дополнительные сведения. Описание свойств см. в разделе Дополнительные свойства для действий обнаружения электронных данных.

К началу

Действия, связанные с обнаружением электронных данных

В таблице ниже описаны действия, связанные с поиском содержимого и обнаружением электронных данных, которые регистрируются в журнале, когда администратор или пользователь выполняет связанное с обнаружением электронных данных действие через Центр безопасности и соответствия требованиям или с помощью командлета в удаленной оболочке PowerShell, подключенной к Центру безопасности и соответствия требованиям организации.

Примечание : EDiscovery действий, описанных в этом разделе предоставить одинаковые сведения eDiscovery командлет действий, описанных в следующем разделе. Мы рекомендуем использовать eDiscovery действий, описанных в этом разделе, так как они будут отображаться в результатах поиска журнала аудита в течение 30 минут. Занимает более 24 часов для eDiscovery командлет действий в результатах поиска журнала аудита.

Понятное имя

Операция

Соответствующий командлет

Описание

В дело eDiscovery добавлен участник

CaseMemberAdded

Add-ComplianceCaseMember

Пользователь был добавлен как участник дела обнаружения электронных данных. Такой пользователь сможет выполнять различные задачи, связанные с делом, при наличии соответствующих разрешений.

Изменен поиск контента

SearchUpdated

Set-ComplianceSearch

Поиск контента изменен. К изменениям относятся добавление или удаление расположений контента, а также редактирование поискового запроса.

Изменено членство администратора службы обнаружения электронных данных

CaseAdminUpdated

Update-eDiscoveryCaseAdmin

Список администраторов службы обнаружения электронных данных в вашей организации был изменен. Это действие регистрируется при замене списка администраторов группой новых пользователей. При добавлении или удалении отдельного пользователя регистрируется операция CaseAdminAdded.

Изменено дело eDiscovery

CaseUpdated

Set-ComplianceCase

Изменено дело обнаружения электронных данных. К изменениям относятся закрытие или повторное открытие дела.

Изменено членство дела eDiscovery

CaseMemberUpdated

Update-ComplianceCaseMember

Список участников дела обнаружения электронных данных был изменен. Это действие регистрируется в том случае, когда все участники заменяются группой новых пользователей. При добавлении или удалении отдельного участника регистрируется операция CaseMemberAdded или CaseMemberRemoved.

Изменен фильтр разрешений для поиска

SearchPermissionUpdated

Set-ComplianceSecurityFilter

Фильтр разрешений поиска изменен.

Изменен поисковый запрос для удержания дела eDiscovery

HoldUpdated

Set-CaseHoldRule

Изменено удержание, связанное с делом обнаружения электронных данных и основанное на запросе. К возможным изменениям относятся изменение запроса или диапазона дат удержания.

При поиске контента загружен элемент предварительного просмотра

PreviewItemDownloaded

Н/Д

Пользователь, находясь в режиме просмотра результатов поиска, загрузил элемент просмотра на локальный компьютер (щелкнув ссылку Загрузить исходный элемент).

Отображен элемент предварительного просмотра поиска контента

PreviewItemListed

Н/Д

Пользователь щелкнул Предварительный просмотр результатов поиска, чтобы отобразить страницу результатов поиска, содержащую до 1000 элементов результатов поиска содержимого.

Воспроизведен элемент предварительного просмотра поиска контента

PreviewItemRendered

Н/Д

Диспетчер обнаружения электронных данных просмотрел элемент, щелкнув по нему в результатах поиска.

Создан поиск контента

SearchCreated

New-ComplianceSearch

Создан поиск контента.

Создан администратор службы обнаружения электронных данных

CaseAdminAdded

Add-eDiscoveryCaseAdmin

Пользователь был добавлен в организацию в качестве администратора службы обнаружения электронных данных.

Создано дело eDiscovery

CaseAdded

New-ComplianceCase

Создано дело обнаружения электронных данных. При создании дела достаточно присвоить ему имя. При выполнении других задач, таких как добавление участников, создание удержаний или поиск контента, регистрируются дополнительные события.

Создан фильтр разрешений поиска

SearchPermissionCreated

New-ComplianceSecurityFilter

Создан фильтр разрешений поиска.

Создан поисковый запрос для удержания дела eDiscovery

HoldCreated

New-CaseHoldRule

Создано удержание, связанное с делом обнаружения электронных данных и основанное на запросе.

Удален поиск контента

SearchRemoved

Remove-ComplianceSearch

Поиск контента удален.

Удален администратор службы обнаружения электронных данных

CaseAdminRemoved

Remove-eDiscoveryCaseAdmin

Администратор службы обнаружения электронных данных был удален из вашей организации.

Удалено дело eDiscovery

CaseRemoved

Remove-ComplianceCase

Дело обнаружения электронных данных удалено. Обратите внимание на то, что перед удалением дела необходимо удалить все удержания, связанные с ним.

Удален фильтр разрешений поиска

SearchPermissionRemoved

Remove-ComplianceSecurityFilter

Фильтр разрешений поиска удален.

Удален поисковый запрос для удержания дела eDiscovery

HoldRemoved

Remove-CaseHoldRule

Удалено удержание, связанное с делом обнаружения электронных данных и основанное на запросе. Удаление запроса для удержания часто является результатом удаления самого удержания. При удалении удержания или его запроса освобождаются расположения контента, которые были поставлены на удержание.

Загружены данные поиска контента

SearchResultDownloaded

Н/Д

Пользователь загрузил результаты поиска контента на локальный компьютер. Обратите внимание, что перед тем, как загружать результаты поиска, нужно выполнить действие Начат экспорт результатов поиска контента.

Просмотрены результаты поиска контента

SearchPreviewed

Н/Д

Пользователю были отображены результаты предварительного просмотра поиска контента.

Очищены результаты поиска контента

SearchResultsPurged

New-ComplianceSearchAction

Пользователь очистил результаты поиска контента, выполнив команду New-ComplianceSearchAction -Purge.

Удалены данные анализа поиска контента

RemovedSearchResultsSentToZoom

Remove-ComplianceSearchAction

Действие по подготовке поиска контента (подготовка результатов поиска для Office 365 Advanced eDiscovery) было удалено. Если это действие выполнялось в течение двух последних недель, результаты поиска, подготовленные для Advanced eDiscovery, были удалены из области хранения Microsoft Azure. Если же действие по подготовке выполнялось более двух недель назад, это событие указывает только на то, что соответствующее действие по подготовке было удалено.

Удален экспорт результатов поиска контента

RemovedSearchExported

Remove-ComplianceSearchAction

Действие экспорта результатов поиска контента было удалено. Если действие экспорта выполнялось в течение двух последних недель, результаты поиска, загруженные в область хранения Microsoft Azure, были удалены. Если же действие экспорта выполнялось более двух недель назад, это событие указывает только на то, что соответствующее действие экспорта было удалено.

Из дела eDiscovery удален участник

CaseMemberRemoved

Remove-ComplianceCaseMember

Пользователь был удален из дела обнаружения электронных данных.

Удалены результаты предварительного просмотра поиска контента

RemovedSearchPreviewed

Remove-ComplianceSearchAction

Результаты действия по предварительному просмотру поиска контента были удалены.

Удалено действие очистки результатов поиска контента

RemovedSearchResultsPurged

Remove-ComplianceSearchAction

Действие очистки результатов поиска контента было удалено.

Удален отчет о поиске

SearchReportRemoved

Remove-ComplianceSearchAction

Действие экспорта отчета о результатах поиска контента было удалено.

Начат анализ поиска контента

SearchResultsSentToZoom

New-ComplianceSearchAction

Результаты поиска контента были подготовлены для анализа в Advanced eDiscovery.

Запущен поиск контента

SearchStarted

Start-ComplianceSearch

Поиск контента запущен. Если поиск контента создается или изменяется через Центр безопасности и соответствия требованиям, он запускается автоматически. Если вы создадите или измените его с помощью командлета New-ComplianceSearch или Set-ComplianceSearch, вам потребуется выполнить командлет Start-ComplianceSearch, чтобы запустить поиск.

Начат экспорт результатов поиска контента

SearchExported

New-ComplianceSearchAction

Пользователь экспортировал результаты поиска контента.

Начат экспорт отчета

SearchReport

New-ComplianceSearchAction

Пользователь экспортировал отчет о поиске контента

Поиск контента остановлен

SearchStopped

Stop-ComplianceSearch

Пользователь остановил поиск контента.

К началу

Действия на основе командлетов, связанные с обнаружением электронных данных

В таблице ниже перечислены записи журнала аудита, которые регистрируются, когда администратор или пользователь выполняет связанное с обнаружением электронных данных действие через Центр безопасности и соответствия требованиям или с помощью командлета в удаленной оболочке PowerShell, подключенной к Центру безопасности и соответствия требованиям вашей организации. Обратите внимание, что подробные сведения о действиях на основе командлетов в журнале аудита отличаются от действий, связанных с обнаружением электронных данных, описанных в предыдущем разделе.

Как описанным занимает более 24 часов для eDiscovery командлет действий в результатах поиска журнала аудита.

Совет : Командлеты в столбце операции в приведенной ниже таблице, связываются с соответствующий раздел справки командлет на сайте TechNet. Перейдите к разделу справки командлет описания параметры, доступные для каждого командлета. В журнале аудита для каждого действия командлет eDiscovery, который вошел включены параметра и значение параметра, которые использовались с помощью командлета.

Понятное имя

Операция (командлет)

Описание

Создано удержание в деле eDiscovery

New-CaseHoldPolicy

Для дела обнаружения электронных данных было создано удержание. При создании удержания можно задать источник контента. В таком случае он будет указан в записи журнала аудита.

Удалено удержание в деле eDiscovery

Remove-CaseHoldPolicy

Удержание, связанное с делом обнаружения электронных данных, было удалено. При удалении удержания оно отменяется для всех расположений контента. Удаление удержания также приводит к удалению правил удержания для дел, которые связаны с удержанием (см. Remove-CaseHoldRule ниже).

Изменено удержание в деле eDiscovery

Set-CaseHoldPolicy

Удержание, связанное с делом обнаружения электронных данных, было изменено. К изменениям относятся добавление или удаление расположений контента и отключение удержания.

Создан поисковый запрос для удержания дела eDiscovery

New-CaseHoldRule

Создано удержание, связанное с делом обнаружения электронных данных и основанное на запросе.

Удален поисковый запрос для удержания дела eDiscovery

Remove-CaseHoldRule

Удалено удержание, связанное с делом обнаружения электронных данных и основанное на запросе. Удаление запроса для удержания часто является результатом удаления самого удержания. При удалении удержания или его запроса освобождаются расположения контента, которые были поставлены на удержание.

Изменен поисковый запрос для удержания дела eDiscovery

Set-CaseHoldRule

Изменено удержание, связанное с делом обнаружения электронных данных и основанное на запросе. К возможным изменениям относятся изменение запроса или диапазона дат удержания.

Создано дело eDiscovery

New-ComplianceCase

Создано дело обнаружения электронных данных. При создании дела достаточно присвоить ему имя. При выполнении других задач, таких как добавление участников, создание удержаний или поиск контента, регистрируются дополнительные события.

Удалено дело eDiscovery

Remove-ComplianceCase

Дело обнаружения электронных данных удалено. Обратите внимание на то, что перед удалением дела необходимо удалить все удержания, связанные с ним.

Изменено дело eDiscovery

Set-ComplianceCase

Изменено дело обнаружения электронных данных. К изменениям относятся закрытие или повторное открытие дела.

В дело eDiscovery добавлен участник

Add-ComplianceCaseMember

Пользователь был добавлен как участник дела обнаружения электронных данных. Такой пользователь сможет выполнять различные задачи, связанные с делом, при наличии соответствующих разрешений.

Из дела eDiscovery удален участник

Remove-ComplianceCaseMember

Пользователь был удален из дела обнаружения электронных данных.

Изменено членство дела eDiscovery

Update-ComplianceCaseMember

Список участников дела обнаружения электронных данных был изменен. Это действие регистрируется в том случае, когда все участники заменяются группой новых пользователей. При добавлении или удалении отдельного участника регистрируется операция Add-ComplianceCaseMember или Remove-ComplianceCaseMember.

Создан поиск контента

New-ComplianceSearch

Создан поиск контента.

Удален поиск контента

Remove-ComplianceSearch

Поиск контента удален.

Изменен поиск контента

Set-ComplianceSearch

Поиск контента изменен. К изменениям относятся добавление или удаление расположений контента, в которых выполняется поиск, а также редактирование поискового запроса.

Запущен поиск контента

Start-ComplianceSearch

Поиск контента запущен. Если поиск контента создается или изменяется через Центр безопасности и соответствия требованиям, он запускается автоматически. Если вы создадите или измените его с помощью командлета New-ComplianceSearch или Set-ComplianceSearch, вам потребуется выполнить командлет Start-ComplianceSearch, чтобы запустить поиск.

Поиск контента остановлен

Stop-ComplianceSearch

Поиск контента остановлен.

Создано действие поиска контента

New-ComplianceSearchAction

Создано действие поиска контента. К таким действиям относятся предварительный просмотр результатов поиска, их экспорт или подготовка для анализа в Office 365 Advanced eDiscovery, а также окончательное удаление элементов, которые соответствуют условиям поиска контента.

Удалено действие поиска контента

Remove-ComplianceSearchAction

Действие поиска контента удалено.

Создан фильтр разрешений поиска

New-ComplianceSecurityFilter

Создан фильтр разрешений поиска.

Удален фильтр разрешений поиска

Remove-ComplianceSecurityFilter

Фильтр разрешений поиска удален.

Изменен фильтр разрешений для поиска

Set-ComplianceSecurityFilter

Фильтр разрешений поиска изменен.

Создан администратор службы обнаружения электронных данных

Add-eDiscoveryCaseAdmin

Пользователь был добавлен в вашу организацию в качестве администратора службы обнаружения электронных данных.

Удален администратор службы обнаружения электронных данных

Remove-eDiscoveryCaseAdmin

Администратор службы обнаружения электронных данных был удален из вашей организации.

Изменено членство администратора службы обнаружения электронных данных

Update-eDiscoveryCaseAdmin

Список администраторов службы обнаружения электронных данных в вашей организации был изменен. Это действие регистрируется при замене списка администраторов группой новых пользователей. При добавлении или удалении отдельного пользователя регистрируется операция Add-eDiscoveryCaseAdmin или Remove-eDiscoveryCaseAdmin.

К началу

Дополнительные свойства для действий обнаружения электронных данных

В таблице ниже описаны свойства, которые можно просмотреть по ссылке Дополнительные сведения на странице Сведения для действия обнаружения электронных данных, указанного в результатах поиска. Эти свойства также включаются в CSV-файл при экспорте результатов поиска в журнале аудита. Обратите внимание, что записи журнала аудита для действий обнаружения электронных данных не содержат дополнительных свойств, перечисленных ниже.

Совет : CSV-файл содержит столбец Сведения, в котором перечислены все свойства, описанные в таблице ниже. С помощью функции Power Query в Excel можно разделить этот столбец на несколько столбцов, чтобы для каждого свойства был отдельный столбец. Это позволит выполнять сортировку и фильтрацию по одному или нескольким из этих свойств. Дополнительные сведения см. в разделе "Экспорт результатов поиска в файл" статьи Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365.

Свойство

Описание

Case

Идентификатор (GUID) созданного, измененного или удаленного дела eDiscovery.

ClientApplication

Это свойство имеет значение EMC для всех действий электронного обнаружения данных. Это означает, что действие было выполнено через Центр безопасности и соответствия требованиям или с помощью командлета PowerShell.

ClientIP

IP-адрес устройства, которое использовалось при записи действия в журнал. IP-адрес отображается в формате IPv4 или IPv6.

ClientRequestId

Для действий электронного обнаружения данных это свойство обычно имеет пустое значение.

CmdletVersion

Номер сборки для версии Центра безопасности и соответствия требованиям, которая используется в вашей организации.

CreationTime

Дата и время завершения действия (в формате UTC).

EffectiveOrganization

Название вашей организации Office 365.

ExchangeLocations

Почтовые ящики Exchange Online, включенные в поиск контента либо поставленные на удержание в деле eDiscovery.

Exclusions

Почтовые ящики или местоположения сайтов, исключенные из поиска контента или удержания в деле eDiscovery.

ExtendedProperties

Дополнительные свойства поиска контента, действия поиска контента или удержания в деле eDiscovery, такие как GUID объекта, соответствующий командлет и параметры командлета, использованные при выполнении действия.

ID

Идентификатор записи отчета. Он однозначно определяет запись журнала аудита.

NonPIIParameters

Список параметров (без значений), которые использовались для командлета, указанного в свойстве Operation. Параметры, перечисленные в этом свойстве, совпадают с параметрами свойства Parameters.

ObjectID

GUID или наименование объекта (например, поиска контента или дела eDiscovery), который был создан, изменен или удален действием, указанным в свойстве Operation. Объект можно также определить по столбцу "Элемент" в результатах поиска по журналу аудита.

ObjectType

Тип объекта eDiscovery, созданного, удаленного или измененного пользователем. Таким объектом может быть, например, действие поиска контента (предварительный просмотр, экспорт или очистка результатов), дело eDiscovery или поиск контента.

Operation

Наименование операции, соответствующей выполненному действию электронного обнаружения данных.

OrganizationID

GUID вашей организации Office 365.

Parameters

Имена и значения параметров, использованных при выполнении соответствующего командлета.

PublicFolderLocations

Расположения общих папок Exchange Online, включенных в поиск контента либо поставленных на удержание в деле eDiscovery.

Query

Поисковый запрос, связанный с действием (например, поиском контента или удержанием на основе запроса).

RecordType

Тип операции, указанной в записи. Значение 18 указывает на событие, связанное с действием из раздела Действия на основе командлетов, связанные с обнаружением электронных данных. Значение 24 указывает на событие, связанное с действием из раздела Действия, связанные с обнаружением электронных данных.

ResultStatus

Указывает на то, было ли действие (определяемое свойством Operation) выполнено успешно.

SecurityComplianceCenterEventType

Указывает, что действие было событием Центра безопасности и соответствия требованиям. Это свойство имеет значение 0 для всех действий электронного обнаружения данных.

SharepointLocations

Сайты SharePoint Online, включенные в поиск контента, либо поставленные на удержание в деле eDiscovery.

StartTime

Дата и время начала действия (в формате UTC).

UserID

Пользователь, который выполнил действие (указанное в свойстве Operation), которое привело к добавлению записи в журнал. Обратите внимание на то, что в журнал аудита также добавляются записи для действий, выполняемых системными учетными записями (такими как NT AUTHORITY\SYSTEM).

UserKey

Дополнительный идентификатор пользователя, указанного в свойстве UserId. Для действий обнаружения электронных данных значение этого свойства обычно совпадает со значением свойства UserId.

UserServicePlan

Подписка на Office 365, используемая организацией. Для действий электронного обнаружения данных это свойство обычно имеет пустое значение.

UserType

Тип пользователя, который выполнил операцию. Перечисленные ниже значения указывают на тип пользователя.

0      Обычный пользователь.

2      Администратор организации Office 365.

3      Администратор или системная учетная запись центра обработки данных Майкрософт.

4      Системная учетная запись.

5      Приложение.

6      Субъект-служба.

Version

Номер версии действия (которое определяется свойством Operation).

Workload

Служба Office 365, в которой было выполнено действие. Для действий обнаружения электронных данных это свойство имеет значение SecurityComplianceCenter.

К началу

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×