在 Office 365 的审核日志电子数据展示活动搜索

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

搜索和Office 365 安全与合规中心中执行电子数据展示相关的活动内容,或通过运行相应Windows PowerShell cmdlet 登录Office 365审核日志。管理员或合规性管理员 (或分配电子数据展示权限的任何用户) 可执行以下内容的搜索和电子数据展示相关任务Office 365 安全与合规中心中时,会记录事件:

  • 创建和管理电子数据展示事例

  • 创建、启动和编辑“内容搜索”

  • 执行“内容搜索”操作,如预览、导出和删除搜索结果

  • 为“内容搜索”配置权限筛选

  • 管理电子数据展示管理员角色

重要: 本文中所述的活动是仅使用安全与合规中心执行电子数据展示任务的结果。通过使用Exchange Online中的就地电子数据展示工具或电子数据展示中心中SharePoint Online执行电子数据展示任务不包括在内。

有关搜索Office 365审核日志,是必需的并且导出搜索结果中,请参阅在 Office 365 安全和合规性中心中的审核日志的搜索的权限的详细信息。

如何搜索和查看电子数据展示活动

目前,您需要执行几个特定操作Office 365审核日志中查看电子数据展示活动。下面介绍了如何。

  1. 转到 https://protection.office.com

  2. 使用工作或学校帐户登录到 Office 365。

  3. 在左窗格中,单击“搜索与调查”,然后单击“审核日志搜索”。

  4. 活动下拉列表中,单击电子数据展示活动,中的搜索的一个或多个活动。或者,您可以单击电子数据展示活动要搜索的所有电子数据展示相关的活动。

    注意: 活动下拉列表还包含一组名为将返回从 cmdlet 审核日志的记录的电子数据展示 cmdlet 活动的活动。

  5. 选择要显示在该时间段内发生的电子数据展示事件的日期和时间范围。

  6. 用户框中,选择要显示的搜索结果的一个或多个用户。将此框留空,若要返回的所有用户的条目。

  7. 单击“搜索”以使用搜索条件运行搜索。

  8. 显示搜索结果之后,您可以单击筛选结果进行筛选或排序结果活动记录。很遗憾,您不能使用筛选显式排除某些活动。

  9. 若要查看有关活动的详细信息,请单击搜索结果列表中的活动记录。

    详细信息飞出页面将显示一个包含事件记录的详细的属性。 若要显示更多详细信息,请单击详细信息。有关这些属性说明,请参阅为电子数据展示活动的详细的属性部分。

返回页首

电子数据展示活动

下表描述了内容搜索和电子数据展示相关的活动时管理员或用户执行电子数据展示相关的活动,通过使用安全与合规中心或远程 PowerShell 中运行相应 cmdlet 所记录已连接到您的组织安全与合规中心。

注意: 本部分中介绍的电子数据展示活动提供类似到下一节中所述的电子数据展示 cmdlet 活动的信息。我们建议您使用本部分中介绍,因为它们将在 30 分钟内显示的审核日志搜索结果中的电子数据展示活动。需要多达 24 小时,电子数据展示 cmdlet 活动审核日志在搜索结果中显示。

友好名称

操作

对应的 cmdlet

说明

添加的成员至电子数据展示案例

CaseMemberAdded

添加 ComplianceCaseMember

用户被添加为电子数据展示事例的成员。作为案例的成员,用户可以执行各种案例相关的任务,具体取决于他们已被分配所必需的权限。

更改内容搜索

SearchUpdated

Set-ComplianceSearch

现有的内容搜索已更改。更改可以包括添加或删除内容的位置或编辑搜索查询。

更改电子数据展示管理员成员资格

CaseAdminUpdated

更新 eDiscoveryCaseAdmin

在您的组织的管理员电子数据展示列表已更改。当电子数据展示管理员的列表替换为新用户的一组记录此活动。如果添加或删除单个用户时,将记录 CaseAdminAdded 操作。

更改电子数据展示事例

CaseUpdated

设置 ComplianceCase

电子数据展示事例已更改。更改包括关闭打开的大小写或重新打开已关闭的大小写。

更改电子数据展示事例的成员身份

CaseMemberUpdated

更新 ComplianceCaseMember

电子数据展示事例的成员身份列表已更改。当所有成员都替换为新用户的一组记录此活动。如果添加或删除单个成员时,将记录 CaseMemberAdded 或 CaseMemberRemoved 操作。

更改搜索权限筛选器

SearchPermissionUpdated

设置 ComplianceSecurityFilter

搜索权限筛选器已更改。

电子数据展示事例保留的已更改的搜索查询

HoldUpdated

设置 CaseHoldRule

基于查询的保留与电子数据展示事例关联已更改。可能发生的更改包括编辑查询或按住的基于查询的日期范围。

下载内容搜索预览项目

PreviewItemDownloaded

N/A

用户下载项目到其本地计算机 (单击下载原件链接) 时搜索结果预览。

内容搜索预览项列出

PreviewItemListed

N/A

用户可单击以显示列表的内容的搜索结果中的多达 1000 个项目的预览搜索结果页面预览搜索结果

查看内容搜索预览项目

PreviewItemRendered

N/A

电子数据展示管理器查看搜索结果预览时,请单击该项目。

创建内容搜索

SearchCreated

New-ComplianceSearch

创建新的内容搜索。

创建电子数据展示管理员

CaseAdminAdded

添加 eDiscoveryCaseAdmin

用户被添加为组织中电子数据展示管理员。

创建电子数据展示事例

CaseAdded

新 ComplianceCase

创建电子数据展示事例。创建事例时,您只需为其指定名称。其他案例相关的任务,如添加成员、 创建保留,以及创建记录的其他事件中的大小写结果与关联的内容搜索。

创建搜索权限筛选器

SearchPermissionCreated

新 ComplianceSecurityFilter

创建搜索权限筛选器。

电子数据展示事例保留的创建的搜索查询

HoldCreated

新 CaseHoldRule

已创建基于查询的保留与电子数据展示事例相关联。

已删除的内容搜索

SearchRemoved

Remove-ComplianceSearch

现有的内容搜索已被删除。

已删除电子数据展示管理员

CaseAdminRemoved

删除 eDiscoveryCaseAdmin

电子数据展示管理员已从您的组织中删除。

已删除电子数据展示事例

CaseRemoved

删除 ComplianceCase

已删除电子数据展示事例。请注意,与案例关联的任何保留已被删除之前可以删除这种情况。

删除的搜索权限筛选器

SearchPermissionRemoved

删除 ComplianceSecurityFilter

搜索权限筛选器已被删除。

电子数据展示事例保留的已删除的搜索查询

HoldRemoved

删除 CaseHoldRule

与电子数据展示事例相关联的基于查询的保留已被删除。从保留中删除查询通常是用于删除保留的结果。保留或保留查询将被删除时, 发布内容已暂停的位置。

下载的导出的内容搜索

SearchResultDownloaded

N/A

用户将下载到其本地计算机的内容的搜索结果。请注意,入门导出的内容搜索的活动可以下载搜索结果之前启动。

预览的内容搜索结果

SearchPreviewed

N/A

用户预览内容的搜索的结果。

清除的搜索结果的内容

SearchResultsPurged

New-ComplianceSearchAction

用户通过运行New-ComplianceSearchAction -Purge命令清除搜索结果的内容。

删除的分析的内容搜索

RemovedSearchResultsSentToZoom

删除 ComplianceSearchAction

内容搜索准备操作 (搜索结果为准备Office 365 高级电子数据展示) 已被删除。如果准备操作小于两周时间, Microsoft Azure存储区域中删除已准备高级电子数据展示的搜索结果。如果准备操作超过 2 周,此事件表示仅相应的准备操作被删除。

删除的导出的内容搜索

RemovedSearchExported

删除 ComplianceSearchAction

已删除的内容搜索导出操作。如果导出操作小于两周时间,已删除的搜索结果中已上载到Microsoft Azure存储区。如果导出操作超过 2 周,此事件表示仅对应的导出操作的已被删除。

从电子数据展示事例的删除的成员

CaseMemberRemoved

删除 ComplianceCaseMember

用户已删除电子数据展示事例的成员。

删除内容的搜索结果预览

RemovedSearchPreviewed

删除 ComplianceSearchAction

已删除的内容搜索预览操作。

删除的清除操作执行内容搜索

RemovedSearchResultsPurged

删除 ComplianceSearchAction

内容搜索清除操作已被删除。

删除搜索报告

SearchReportRemoved

删除 ComplianceSearchAction

内容搜索导出操作已删除的报表。

开始的分析的内容搜索

SearchResultsSentToZoom

New-ComplianceSearchAction

内容搜索结果中高级电子数据展示分析准备。

启动内容搜索

SearchStarted

Start-ComplianceSearch

启动内容搜索。当您创建或使用安全与合规中心 GUI 更改内容的搜索时,会自动启动搜索。如果您创建或更改使用New-ComplianceSearchSet-ComplianceSearch cmdlet 的搜索条件,您需要运行Start-ComplianceSearch cmdlet 以启动搜索。

开始的导出的内容搜索

SearchExported

New-ComplianceSearchAction

用户导出内容的搜索结果。

开始的导出报表

SearchReport

New-ComplianceSearchAction

用户导出内容搜索报告。

停止内容搜索

SearchStopped

Stop-ComplianceSearch

用户停止内容搜索。

返回页首

电子数据展示 cmdlet 活动

下表列出了 cmdlet 审核日志记录时管理员或用户执行电子数据展示相关的活动,通过使用安全与合规中心或连接到的远程 PowerShell 中运行相应 cmdlet 所记录您组织的安全与合规中心。请注意,在审核日志记录的详细的信息不同,此表中列出的 cmdlet 活动和上一节中所述的电子数据展示活动。

如前面所述,需要多达 24 小时,为电子数据展示 cmdlet 活动的审核日志搜索结果中显示。

提示: 下表中的操作列中的 cmdlet 链接到 TechNet 上的相应 cmdlet 帮助主题。转到 cmdlet 帮助主题中可用的每个 cmdlet 的参数的说明。参数和已使用 cmdlet 的参数值包括在每个记录的电子数据展示 cmdlet 活动的审核日志条目。

友好名称

操作 (cmdlet)

说明

创建的保留在电子数据展示事例

新 CaseHoldPolicy

为电子数据展示案例创建一个保留。带或不带指定内容源,则可以创建一个保留。如果指定了内容源,它们将被标识审核日志条目中。

从电子数据展示事例的已删除的保留

删除 CaseHoldPolicy

与电子数据展示事例保留已被删除。删除保留释放所有从保留内容的位置。删除保留也会导致删除与该保留关联的大小写保持规则 (请参阅Remove-CaseHoldRule下面)。

更改的保留在电子数据展示事例

设置 CaseHoldPolicy

与电子数据展示相关联的保留已更改。可能更改包括添加或删除内容的位置或关闭 (禁用) 保留。

电子数据展示事例保留的创建的搜索查询

新 CaseHoldRule

已创建基于查询的保留与电子数据展示事例相关联。

电子数据展示事例保留的已删除的搜索查询

删除 CaseHoldRule

与电子数据展示事例相关联的基于查询的保留已被删除。从保留中删除查询通常是用于删除保留的结果。保留或保留查询将被删除时, 发布内容已暂停的位置。

电子数据展示事例保留的已更改的搜索查询

设置 CaseHoldRule

基于查询的保留与电子数据展示事例关联已更改。可能发生的更改包括编辑查询或按住的基于查询的日期范围。

创建电子数据展示事例

新 ComplianceCase

创建电子数据展示事例。创建事例时,您只需为其指定名称。其他案例相关的任务,如添加成员、 创建保留,以及创建记录的其他事件中的大小写结果与关联的内容搜索。

已删除电子数据展示事例

删除 ComplianceCase

已删除电子数据展示事例。请注意,与案例关联的任何保留已被删除之前可以删除这种情况。

更改电子数据展示事例

设置 ComplianceCase

电子数据展示事例已更改。更改包括关闭打开的大小写或重新打开已关闭的大小写。

添加的成员至电子数据展示案例

添加 ComplianceCaseMember

用户被添加为电子数据展示事例的成员。作为案例的成员,用户可以执行各种案例相关的任务,具体取决于他们已被分配所必需的权限。

从电子数据展示事例的删除的成员

删除 ComplianceCaseMember

用户已删除电子数据展示事例的成员。

更改电子数据展示事例的成员身份

更新 ComplianceCaseMember

电子数据展示事例的成员身份列表已更改。当所有成员都替换为新用户的一组记录此活动。如果添加或删除单个成员时,将记录Add-ComplianceCaseMemberRemove-ComplianceCaseMember操作。

创建内容搜索

新 ComplianceSearch

创建新的内容搜索。

已删除的内容搜索

删除 ComplianceSearch

现有的内容搜索已被删除。

更改内容搜索

设置 ComplianceSearch

现有的内容搜索已更改。更改可以包括添加或删除搜索的内容的位置和编辑搜索查询。

启动内容搜索

开始 ComplianceSearch

启动内容搜索。当您创建或使用安全与合规中心 GUI 更改内容的搜索时,会自动启动搜索。如果您创建或更改使用New-ComplianceSearchSet-ComplianceSearch cmdlet 的搜索条件,您需要运行Start-ComplianceSearch cmdlet 以启动搜索。

停止内容搜索

停止 ComplianceSearch

已停止运行内容搜索。

创建内容搜索操作

新 ComplianceSearchAction

已创建的内容搜索操作。内容搜索操作包括预览搜索结果、 导出搜索结果、 准备分析Office 365 高级电子数据展示,在搜索结果和永久删除内容搜索的搜索条件相匹配的项目。

已删除的内容搜索操作

删除 ComplianceSearchAction

已删除的内容搜索操作。

创建搜索权限筛选器

新 ComplianceSecurityFilter

创建搜索权限筛选器。

删除的搜索权限筛选器

删除 ComplianceSecurityFilter

搜索权限筛选器已被删除。

更改搜索权限筛选器

设置 ComplianceSecurityFilter

搜索权限筛选器已更改。

创建电子数据展示管理员

添加 eDiscoveryCaseAdmin

用户被添加为您的组织中电子数据展示管理员。

已删除电子数据展示管理员

删除 eDiscoveryCaseAdmin

电子数据展示管理员已从您的组织中删除。

更改电子数据展示管理员成员资格

更新 eDiscoveryCaseAdmin

在您的组织的管理员电子数据展示列表已更改。当电子数据展示管理员的列表替换为新用户的一组记录此活动。如果添加或删除单个用户时,将记录Add-eDiscoveryCaseAdminRemove-eDiscoveryCaseAdmin操作。

返回页首

电子数据展示活动的详细的属性

下表介绍了当您单击搜索结果中列出的电子数据展示活动的详细信息页面上的详细信息所包含的属性。 导出审核日志搜索结果时,这些属性也会包括在 CSV 文件。注意为电子数据展示活动的审核日志记录,将不会包括下面列出的每个详细的属性。

提示: 导出搜索结果时,CSV 文件包含名为详细信息,其中包含详细的属性下表中的多值属性中所述的列。您可以使用 Excel 中的 Power Query 功能将此列拆分为多个列,以便每个属性都将具有其自己的列。这允许您进行排序和筛选的一个或多个属性。有关详细信息,请参阅的搜索审核日志在 Office 365 安全和合规性中心中的"导出到文件的搜索结果"部分。

属性

说明

情况

已创建、 更改或删除的电子数据展示事例标识 (GUID)。

ClientApplication

电子数据展示 cmdlet 活动有EMC的此属性的值。这表示通过使用安全与合规中心 GUI 或 PowerShell 中运行该 cmdlet 已执行的活动。

ClientIP

记录活动时所用设备的 IP 地址。IP 地址显示为 IPv4 或 IPv6 地址格式。

ClientRequestId

对于电子数据展示活动,此属性是通常为空。

CmdletVersion

版本安全与合规中心运行您的组织中的版本号。

CreationTime

日期和时间在协调世界时 (UTC) 时电子数据展示活动的完成。

EffectiveOrganization

名称Office 365组织。

ExchangeLocations

在电子数据展示事例按住Exchange Online邮箱的内容搜索中包括或放入。

排除

从内容搜索或在电子数据展示事例保留排除邮箱或网站的位置。

ExtendedProperties

从内容的附加属性进行搜索内容搜索操作,或保留在电子数据展示案例,如对象 GUID,对应的 cmdlet 和执行活动时所使用的 cmdlet 参数。

ID

报告项目的 ID。ID 唯一标识审核日志条目。

NonPIIParameters

用于标识操作属性中的 cmdlet 的参数 (不带任何值) 的列表。此属性中列出的参数是在参数属性中列出的相同。

对象 Id

GUID 或对象 (例如,内容搜索或电子数据展示事例),创建的名称,被更改或删除操作属性中列出的活动。审核日志搜索结果中的项目列中,也将标识此对象。

对象类型

对象类型的电子数据展示的用户创建、 删除或修改;例如内容搜索操作 (预览、 导出或清除)、 电子数据展示案例或内容搜索。

操作

对应于电子数据展示活动所执行的操作的名称。

组织 Id

您的组织Office 365的 GUID。

参数

名称和已使用与对应的 cmdlet 的参数的值。

PublicFolderLocations

在电子数据展示事例按住Exchange Online内容搜索中包括或置于的公用文件夹的位置。

Query

搜索查询与活动,如内容搜索或基于查询的保留关联。

RecordType

记录由指定的操作的类型。值为18指示电子数据展示 cmdlet 活动部分中列出的活动相关的事件。值为24指示电子数据展示活动部分中列出的活动相关的事件。

ResultStatus

指示 (在操作属性中指定) 的操作是成功还是失败。

SecurityComplianceCenterEventType

表明活动安全与合规中心事件。电子数据展示的所有活动都必须为0 ,此属性的值。

SharepointLocations

SharePoint Online网站的内容搜索中包括或置于保留在电子数据展示事例。

开始时间

日期和时间在协调世界时 (UTC) 的电子数据展示活动启动时。

UserId

执行的活动 (在操作属性中指定),导致正在记录的记录的用户。请注意,审核日志中还包含由系统帐户 (如 NT AUTHORITY\SYSTEM) 执行电子数据展示活动的记录。

UserKey

在用户 Id 属性中标识的用户可选 ID。对于电子数据展示活动,此属性的值通常是相同的用户 Id 属性。

UserServicePlan

使用您的组织的Office 365订阅。对于电子数据展示活动,此属性是通常为空。

UserType

执行操作的用户的类型。以下值指示用户类型。

0    常规用户。

2   Office 365 组织中的管理员。

3    Microsoft 数据中心管理员或数据中心系统帐户。

4    系统帐户。

5    应用程序。

6    服务主体。

版本

指示的活动 (标识为操作属性) 的记录的版本号。

工作负荷

Office 365服务活动发生的位置。为电子数据展示活动的值是SecurityComplianceCenter

返回页首

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×