搜尋 Office 365 稽核記錄中的 eDiscovery 活動

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。

搜尋及 eDiscovery 相關的活動會在Office 365 安全性與合規性中心中執行的內容,或執行對應Windows PowerShell cmdlet 登入Office 365稽核記錄。系統管理員或法規遵循的系統管理員 (或任何已分派的 eDiscovery 權限的使用者) 執行下列內容搜尋和 eDiscovery 相關工作Office 365 安全性與合規性中心中時,會記錄事件:

  • 建立及管理電子文件探索案例

  • 建立、開啟及編輯 [內容搜尋]

  • 執行 [內容搜尋] 動作,例如預覽、匯出及刪除搜尋結果

  • 設定 [內容搜尋] 的權限篩選

  • 管理電子文件探索系統管理員角色

重要: 本文所述的活動是只使用安全性與合規性中心來執行 eDiscovery 工作的結果。使用中的 [就地 eDiscovery 工具Exchange Online或SharePoint Online eDiscovery 中心執行 eDiscovery 工作不會包含在內。

如需有關搜尋Office 365稽核記錄,然後匯出搜尋結果,請參閱的搜尋稽核登入 Office 365 的安全性與規範中心的權限的詳細資訊。

如何搜尋和檢視 eDiscovery 活動

目前,您必須執行幾個特定的動作,才能檢視Office 365稽核記錄中的 eDiscovery 活動。以下是如何。

  1. 移至 https://protection.office.com

  2. 使用公司或學校帳戶登入 Office 365。

  3. 在左窗格中,按一下 [搜尋和調查],然後按一下 [稽核記錄搜尋]。

  4. 在 [活動] 下拉式清單中, eDiscovery 活動] 底下按一下一或多個要搜尋的活動。或者,您可以按一下eDiscovery 活動搜尋所有 eDiscovery 相關的活動。

    附註: [活動] 下拉式清單也包含群組的名稱會傳回記錄 cmdlet 稽核記錄檔中的eDiscovery cmdlet 活動的活動。

  5. 選取要顯示的 eDiscovery 事件發生的期間內的日期和時間範圍。

  6. 在 [使用者] 方塊中,選取要顯示的搜尋結果的一或多位使用者。將此方塊保留為空白,傳回的所有使用者的項目。

  7. 按一下 [搜尋] 以使用您的搜尋準則執行搜尋。

  8. 搜尋結果會顯示後,您可以按一下以篩選或排序結果的活動記錄篩選結果。很抱歉,您無法使用篩選明確排除特定的活動。

  9. 若要檢視活動的詳細資料,請按一下 [活動記錄中的搜尋結果清單中。

    詳細資料飛入] 頁面會顯示包含從事件記錄的詳細的內容。 若要顯示其他詳細資訊,請按一下 [更多的資訊]。如需這些屬性的說明,請參閱 [ eDiscovery 活動詳細的屬性] 區段。

回到頁首

電子文件探索活動

下表說明內容搜尋和 eDiscovery 相關的活動所記錄時,系統管理員或使用者執行 eDiscovery 相關活動使用安全性與合規性中心或執行遠端 PowerShell 中的相對應的 cmdlet已連線至您組織的安全性與合規性中心。

附註: 本節所述的 eDiscovery 活動會提供類似下一節所述的 eDiscovery cmdlet 活動的資訊。我們建議您使用此區段中所述,因為他們便會在 30 分鐘內顯示稽核記錄檔搜尋結果中的 eDiscovery 活動。需要長達 24 小時 ediscovery 稽核記錄檔搜尋結果中顯示的 cmdlet 活動。

易記名稱

作業

相對應的 cmdlet

描述

新增的成員至 eDiscovery 案例

CaseMemberAdded

新增 ComplianceCaseMember

使用者已加入為成員的 eDiscovery 案例。為案例的成員,使用者可以執行各種大小寫相關的工作,取決於是否已指定的必要權限。

變更內容搜尋

SearchUpdated

Set-ComplianceSearch

變更現有的內容搜尋。新增或移除內容的位置或編輯搜尋查詢,可以包含的變更。

變更的 eDiscovery 管理員的成員資格

CaseAdminUpdated

更新 eDiscoveryCaseAdmin

變更您的組織中的 eDiscovery 系統管理員的清單。EDiscovery 系統管理員的清單會取代為新的使用者群組時,會記錄此活動。如果新增或移除一位使用者時,會記錄 CaseAdminAdded 作業。

變更的 eDiscovery 案例

CaseUpdated

設定 ComplianceCase

EDiscovery 案例已變更。變更包括關閉開啟的情況下,或重新開啟關閉的大小寫。

變更的 eDiscovery 案例的成員資格

CaseMemberUpdated

更新 ComplianceCaseMember

已變更 eDiscovery 案例的成員資格清單。所有成員會都取代群組中的新使用者時,會記錄此活動。如果單一成員新增或移除,則會記錄 CaseMemberAdded 或 CaseMemberRemoved 作業。

變更搜尋權限篩選

SearchPermissionUpdated

設定 ComplianceSecurityFilter

變更搜尋權限篩選。

變更的搜尋查詢的 eDiscovery 案例保留

HoldUpdated

設定 CaseHoldRule

變更查詢為基礎的保留 eDiscovery 案例相關聯。可能的變更,包括編輯查詢或查詢為基礎的日期範圍。

下載內容搜尋預覽項目

PreviewItemDownloaded

不適用

使用者下載項目到本機電腦 (藉由按一下 [下載原始項目] 連結) 時預覽搜尋結果。

列在內容搜尋預覽項目

PreviewItemListed

不適用

使用者按一下預覽搜尋結果顯示預覽搜尋結果頁面,其中的內容的搜尋結果的超過 1000 個項目。

檢視內容搜尋預覽項目

PreviewItemRendered

不適用

EDiscovery 管理員預覽搜尋結果時,請按一下該按鈕以檢視項目。

建立內容搜尋

SearchCreated

New-ComplianceSearch

建立新的內容搜尋。

建立的 eDiscovery 管理員

CaseAdminAdded

新增 eDiscoveryCaseAdmin

使用者已新增為組織中的 eDiscovery 系統管理員。

建立的 eDiscovery 案例

CaseAdded

新 ComplianceCase

建立 eDiscovery 案例。建立個案時,您只需要為其命名。新增成員、 建立保留,以及建立記錄其他事件的大小寫結果與相關聯的內容搜尋等其他大小寫相關的工作。

建立搜尋權限篩選

SearchPermissionCreated

新 ComplianceSecurityFilter

建立搜尋權限篩選。

建立的搜尋查詢的 eDiscovery 案例保留

HoldCreated

新 CaseHoldRule

建立查詢為基礎的保留 eDiscovery 案例相關聯。

刪除內容搜尋

SearchRemoved

Remove-ComplianceSearch

現有的內容搜尋已遭刪除。

刪除的 eDiscovery 管理員

CaseAdminRemoved

移除 eDiscoveryCaseAdmin

EDiscovery,從您組織的系統管理員已遭刪除。

刪除的 eDiscovery 案例

CaseRemoved

移除 ComplianceCase

EDiscovery 案例已遭刪除。請注意,有大小寫可以刪除前先移除任何大小寫相關聯的保留。

刪除的搜尋權限篩選

SearchPermissionRemoved

移除 ComplianceSecurityFilter

搜尋權限篩選已遭刪除。

EDiscovery 案例保留已刪除的搜尋查詢

HoldRemoved

移除 CaseHoldRule

已遭刪除查詢為基礎的保留 eDiscovery 案例相關聯。從保留移除查詢,通常會刪除保留的結果。保留或保留查詢會刪除時,會釋放已保留內容的位置。

下載的匯出的內容搜尋

SearchResultDownloaded

不適用

使用者會下載至本機電腦的內容的搜尋結果。請注意,入門匯出內容搜尋的活動初始化之前可以下載搜尋結果。

預覽內容的搜尋結果

SearchPreviewed

不適用

使用者可預覽搜尋結果的內容。

清除內容的搜尋結果

SearchResultsPurged

New-ComplianceSearchAction

使用者執行New-ComplianceSearchAction -Purge命令,以清除搜尋結果的內容。

已移除的分析的內容搜尋

RemovedSearchResultsSentToZoom

移除 ComplianceSearchAction

在內容搜尋準備動作 (準備Office 365 進階電子文件探索搜尋結果) 已遭刪除。如果 [準備] 動作是小於兩週才能完成舊, Microsoft Azure存放區已刪除進階電子文件探索已準備好的搜尋結果。如果 [準備] 動作是超過 2 星期,此事件會指出對應準備動作已遭刪除。

移除的匯出] 的 [內容搜尋

RemovedSearchExported

移除 ComplianceSearchAction

已遭刪除內容搜尋匯出動作。如果 [匯出] 動作是小於兩週才能完成舊,已刪除已上傳至Microsoft Azure存放區的搜尋結果。如果 [匯出] 動作是超過 2 星期,此事件會指出對應匯出動作已遭刪除。

移除的成員,從 [eDiscovery 案例

CaseMemberRemoved

移除 ComplianceCaseMember

使用者已移除 eDiscovery 案例的成員。

移除預覽內容的搜尋結果

RemovedSearchPreviewed

移除 ComplianceSearchAction

已遭刪除內容搜尋預覽動作。

在內容搜尋上執行的移除的清除動作

RemovedSearchResultsPurged

移除 ComplianceSearchAction

已遭刪除內容搜尋清除動作。

移除搜尋報告

SearchReportRemoved

移除 ComplianceSearchAction

已遭刪除巨集指令的報表匯出內容的搜尋。

內容搜尋的使用的分析

SearchResultsSentToZoom

New-ComplianceSearchAction

搜尋結果的內容已準備好的進階電子文件探索分析。

啟動內容搜尋

SearchStarted

Start-ComplianceSearch

已啟動內容的搜尋。當您建立或變更內容的搜尋使用安全性與合規性中心 GUI 時,會自動啟動搜尋]。如果您建立或使用New-ComplianceSearchSet-ComplianceSearch cmdlet 來變更搜尋時,您必須啟動搜尋Start-ComplianceSearch指令程式。

開始的匯出] 的 [內容搜尋

SearchExported

New-ComplianceSearchAction

使用者匯出內容的搜尋結果。

開始的匯出報表

SearchReport

New-ComplianceSearchAction

使用者匯出內容搜尋報告。

停止內容搜尋

SearchStopped

Stop-ComplianceSearch

使用者停止內容的搜尋。

回到頁首

eDiscovery cmdlet 活動

下表列出會記錄時,系統管理員或使用者執行 eDiscovery 相關活動使用安全性與合規性中心或執行遠端 PowerShell 連線至的相對應的 cmdlet cmdlet 稽核記錄您組織的安全性與合規性中心。請注意中的稽核記錄的記錄的詳細的資訊不同此表格中所列的 cmdlet 活動和前一節所述的 eDiscovery 活動。

為先前陳述花達 24 小時的 eDiscovery 稽核記錄檔的搜尋結果中顯示的 cmdlet 活動。

提示: 下表中的 [作業] 欄中的指令程式會連結至 TechNet 上對應的指令程式說明主題。移至每個指令程式可用的參數的描述指令程式說明主題。每個 eDiscovery cmdlet 活動所記錄的稽核記錄項目中包含參數和參數值所使用的指令程式。

易記名稱

作業 (指令程式)

描述

建立的保留在 eDiscovery 案例

新 CaseHoldPolicy

保留被建立 eDiscovery 案例。您可以建立保留,包含或不包含指定的內容來源。如果指定的內容來源,他們會識別出稽核日誌項目中。

刪除的保留從 eDiscovery 案例

移除 CaseHoldPolicy

EDiscovery 案例與相關聯的保留已遭刪除。刪除保留版本的所有從保留內容的位置。刪除保留也會導致刪除保留相關聯的大小寫保留規則 (請參閱Remove-CaseHoldRule下方)。

變更的保留在 eDiscovery 案例

設定 CaseHoldPolicy

EDiscovery 的相關聯的保留已變更。可能的變更,包括新增或移除內容的位置,或關閉 (停用) 保留。

建立的搜尋查詢的 eDiscovery 案例保留

新 CaseHoldRule

建立查詢為基礎的保留 eDiscovery 案例相關聯。

EDiscovery 案例保留已刪除的搜尋查詢

移除 CaseHoldRule

已遭刪除查詢為基礎的保留 eDiscovery 案例相關聯。從保留移除查詢,通常會刪除保留的結果。保留或保留查詢會刪除時,會釋放已保留內容的位置。

變更的搜尋查詢的 eDiscovery 案例保留

設定 CaseHoldRule

變更查詢為基礎的保留 eDiscovery 案例相關聯。可能的變更,包括編輯查詢或查詢為基礎的日期範圍。

建立的 eDiscovery 案例

新 ComplianceCase

建立 eDiscovery 案例。建立個案時,您只需要為其命名。新增成員、 建立保留,以及建立記錄其他事件的大小寫結果與相關聯的內容搜尋等其他大小寫相關的工作。

刪除的 eDiscovery 案例

移除 ComplianceCase

EDiscovery 案例已遭刪除。請注意,有大小寫可以刪除前先移除任何大小寫相關聯的保留。

變更的 eDiscovery 案例

設定 ComplianceCase

EDiscovery 案例已變更。變更包括關閉開啟的情況下,或重新開啟關閉的大小寫。

新增的成員至 eDiscovery 案例

新增 ComplianceCaseMember

使用者已加入為成員的 eDiscovery 案例。為案例的成員,使用者可以執行各種大小寫相關的工作,取決於是否已指定的必要權限。

移除的成員,從 [eDiscovery 案例

移除 ComplianceCaseMember

使用者已移除 eDiscovery 案例的成員。

變更的 eDiscovery 案例的成員資格

更新 ComplianceCaseMember

已變更 eDiscovery 案例的成員資格清單。所有成員會都取代群組中的新使用者時,會記錄此活動。如果單一成員新增或移除,則會記錄Add-ComplianceCaseMemberRemove-ComplianceCaseMember作業。

建立內容搜尋

新 ComplianceSearch

建立新的內容搜尋。

刪除內容搜尋

移除 ComplianceSearch

現有的內容搜尋已遭刪除。

變更內容搜尋

設定 ComplianceSearch

變更現有的內容搜尋。新增或移除內容的位置會搜尋及編輯搜尋查詢,可以包含的變更。

啟動內容搜尋

開始 ComplianceSearch

已啟動內容的搜尋。當您建立或變更內容的搜尋使用安全性與合規性中心 GUI 時,會自動啟動搜尋]。如果您建立或使用New-ComplianceSearchSet-ComplianceSearch cmdlet 來變更搜尋時,您必須啟動搜尋Start-ComplianceSearch指令程式。

停止內容搜尋

停止 ComplianceSearch

停止執行內容搜尋。

建立內容搜尋巨集指令

新 ComplianceSearchAction

建立內容搜尋動作。內容搜尋動作包括預覽搜尋結果、 匯出搜尋結果,準備搜尋結果中Office 365 進階電子文件探索,分析和永久刪除 [符合搜尋條件的內容搜尋的項目。

刪除內容搜尋巨集指令

移除 ComplianceSearchAction

已遭刪除內容搜尋動作。

建立搜尋權限篩選

新 ComplianceSecurityFilter

建立搜尋權限篩選。

刪除的搜尋權限篩選

移除 ComplianceSecurityFilter

搜尋權限篩選已遭刪除。

變更搜尋權限篩選

設定 ComplianceSecurityFilter

變更搜尋權限篩選。

建立的 eDiscovery 管理員

新增 eDiscoveryCaseAdmin

使用者已新增為組織中的 eDiscovery 系統管理員。

刪除的 eDiscovery 管理員

移除 eDiscoveryCaseAdmin

EDiscovery,從您組織的系統管理員已遭刪除。

變更的 eDiscovery 管理員的成員資格

更新 eDiscoveryCaseAdmin

變更您的組織中的 eDiscovery 系統管理員的清單。EDiscovery 系統管理員的清單會取代為新的使用者群組時,會記錄此活動。如果新增或移除一位使用者時,會記錄在Add-eDiscoveryCaseAdminRemove-eDiscoveryCaseAdmin作業。

回到頁首

EDiscovery 活動詳細的內容

下表說明當您按一下搜尋結果清單中的 eDiscovery 活動的詳細資料頁面上的詳細資訊時所包含的屬性。 當您匯出的稽核記錄檔搜尋結果時,這些屬性也包含 CSV 檔案中。請注意 eDiscovery 活動的稽核記錄將不會包含下方所列的每個詳細的屬性。

提示: 當您匯出的搜尋結果時,CSV 檔案會包含資料行名稱的詳細資料,其中包含多重值] 屬性中下表所述的詳細的內容。您可以使用 Excel 中的 [Power Query] 功能來此欄分割成多個資料行,因此每個屬性會有自己的資料欄。這可讓您排序及篩選一或多個這些屬性。如需詳細資訊,請參閱的搜尋稽核登入 Office 365 的安全性與規範中心的 [匯出至檔案的搜尋結果 」 一節。

屬性

描述

案例

建立、 eDiscovery 案例的身分識別 (GUID) 變更或刪除。

ClientApplication

eDiscovery cmdlet 活動有EMC此屬性的值。這表示使用安全性與合規性中心 GUI 或執行 PowerShell cmdlet 來執行的活動。

ClientIP

記錄活動時所使用的裝置之 IP 位址。IP 位址會以 IPv4 或 IPv6 位址格式顯示。

ClientRequestId

EDiscovery 活動,這個屬性會通常是空白的。

CmdletVersion

在您的組織中執行安全性與合規性中心版本建立數字。

CreationTime

日期及時間的國際標準時間 (UTC) 時 eDiscovery 活動完成。

EffectiveOrganization

名稱Office 365組織。

ExchangeLocations

EDiscovery 案例中,按住Exchange Online信箱所包含在內容搜尋,或放上。

排除項目

排除內容的搜尋或在 eDiscovery 案例中的保留的信箱或網站的位置。

ExtendedProperties

將內容從其他屬性搜尋,請在內容搜尋動作,或按住 eDiscovery 案例,例如物件 GUID 和對應的 cmdlet 和時所執行的活動所用的指令程式參數。

Id

報表項目的識別碼。識別碼可唯一識別的稽核記錄項目。

NonPIIParameters

在 [作業] 屬性中識別指令程式所使用的參數 (不含任何值) 的清單。此屬性中列出的參數是相同列在 [參數] 屬性。

ObjectId

GUID 或名稱 (例如,在內容搜尋或 eDiscovery 案例) 的物件建立、 變更或刪除 [作業] 屬性中列出的活動。稽核記錄檔搜尋結果中的項目] 欄中也識別此物件。

Save

使用者建立、 刪除或修改; eDiscovery 物件的類型例如內容搜尋巨集指令 ([預覽]、 [匯出] 或 [清除)、 eDiscovery 案例或內容的搜尋。

作業

對應至 eDiscovery 活動所執行的作業的名稱。

OrganizationId

組織Office 365的 GUID。

參數

名稱和對應的指令程式所使用的參數值。

PublicFolderLocations

EDiscovery 案例中,按住Exchange Online所包含在內容搜尋,或放在公用資料夾位置。

Query

搜尋查詢的活動,例如 [內容搜尋或查詢為基礎的保留與相關聯。

RecordType

記錄所指出的作業的類型。18表示eDiscovery cmdlet 活動一節中列出的活動相關的事件。24表示eDiscovery 活動一節中列出的活動相關的事件。

ResultStatus

表示 (在 [作業] 屬性中指定) 的動作是否已順利完成。

SecurityComplianceCenterEventType

表示活動安全性與合規性中心事件。所有的 eDiscovery 活動會有0此屬性的值。

SharepointLocations

EDiscovery 案例中,按住SharePoint Online網站所包含在內容搜尋,或放上。

開始時間

日期及時間的國際標準時間 (UTC) 啟動 eDiscovery 活動時。

UserId

執行 (在 [作業] 屬性中指定) 而導致記錄的記錄中的活動的使用者。請注意,系統帳戶 (例如 NT AUTHORITY\SYSTEM) 執行 eDiscovery 活動記錄也會包含稽核記錄。

UserKey

替代識別使用者識別碼] 屬性中的使用者識別碼。EDiscovery 活動,此屬性的值通常是相同的使用者識別碼] 屬性。

UserServicePlan

使用您的組織Office 365訂閱。EDiscovery 活動,這個屬性會通常是空白的。

UserType

執行此作業的使用者類型。使用者類型以下列的值表示。

0   :一般使用者。

2   :貴 Office 365 組織的系統管理員。

3   :Microsoft 資料中心的系統管理員或資料中心系統帳戶。

4   :系統帳戶。

5   :應用程式。

6   :服務主體。

版本

指出活動 ([作業] 屬性,識別) 所記錄的版本號碼。

Workload

活動發生Office 365服務。EDiscovery 活動的值是SecurityComplianceCenter

回到頁首

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×