Поделиться через


Поиск действий по обнаружению электронных данных в журнале аудита

Совет

Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).

Действия, связанные с поиском контента и обнаружением электронных данных (для Microsoft Purview eDiscovery (стандартный) и Microsoft Purview eDiscovery (премиум)), выполняемые в Портал соответствия требованиям Microsoft Purview или путем выполнения соответствующих командлетов PowerShell регистрируются в журнале аудита. События регистрируются, когда администраторы или менеджеры по обнаружению электронных данных (или любые назначенные пользователем разрешения на обнаружение электронных данных) выполняют следующие задачи поиска контента и обнаружения электронных данных (стандартный) на портале соответствия требованиям:

  • Создание случаев обнаружения электронных данных (standard) и eDiscovery (премиум) и управление ими.
  • Создание, запуск и редактирование поиска контента.
  • Выполнение действий поиска, таких как предварительный просмотр, экспорт и удаление результатов поиска.
  • Управление хранителями и наборами проверки в eDiscovery (премиум).
  • Настройка фильтрации разрешений для поиска контента.
  • Управление ролью администратора обнаружения электронных данных.

Дополнительные сведения о поиске в журнале аудита, необходимых разрешениях и экспорте результатов поиска см. в разделе Поиск в журнале аудита.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Поиск и просмотр действий обнаружения электронных данных

В настоящее время для просмотра действий обнаружения электронных данных в журнале аудита необходимо выполнить несколько конкретных действий. Вот как это сделать:

Примечание.

В течение ограниченного времени этот классический интерфейс обнаружения электронных данных также доступен на новом портале Microsoft Purview. Включите классический интерфейс eDiscovery портала соответствия требованиям в параметрах интерфейса обнаружения электронных данных (предварительная версия) для отображения классического интерфейса на новом портале Microsoft Purview.

  1. Перейдите на Портал соответствия требованиям Microsoft Purview и войдите с помощью рабочей или учебной учетной записи.

  2. В левой области навигации на портале соответствия требованиям выберите Аудит.

  3. В раскрывающемся списке Действия в разделе Действия обнаружения электронных данных или Действия обнаружения электронных данных (премиум) выберите одно или несколько действий для поиска.

    Примечание.

    Раскрывающийся список Действия также содержит группу действий с именем действия командлета eDiscovery , которые будут возвращать записи из журнала аудита командлетов.

  4. Выберите диапазон даты и времени, чтобы отобразить события обнаружения электронных данных, произошедшие в течение этого периода.

  5. В поле Пользователи выберите одного или нескольких пользователей для отображения результатов поиска. Оставьте это поле пустым, чтобы вернуть записи для всех пользователей.

  6. Выберите Поиск , чтобы запустить поиск с использованием ваших критериев поиска.

  7. После отображения результатов поиска можно выбрать Фильтр результатов, чтобы отфильтровать или отсортировать результирующие записи действий. К сожалению, вы не можете использовать фильтрацию для явного исключения определенных действий.

  8. Чтобы просмотреть сведения о действии, выберите запись действия в списке результатов поиска.

    Отобразится всплывающее окно Сведений , содержащее подробные свойства из записи события. Чтобы отобразить дополнительные сведения, выберите Дополнительные сведения. Описание этих свойств см. в разделе Подробные свойства для действий обнаружения электронных данных .

  9. При необходимости можно экспортировать результаты поиска по журналу аудита в CSV-файл, а затем использовать функцию excel Power Query для форматирования и фильтрации этих записей. Дополнительные сведения см. в статье Экспорт, настройка и просмотр записей журнала аудита.

Действия, связанные с обнаружением электронных данных

В следующей таблице описаны действия поиска контента и обнаружения электронных данных (standard), которые регистрируются при выполнении администратором или менеджером eDiscovery действий, связанных с обнаружением электронных данных, с помощью портала соответствия требованиям. Некоторые действия, выполненные в eDiscovery (Премиум), могут возвращаться при поиске действий в этом списке.

Примечание.

Действия обнаружения электронных данных, описанные в этом разделе, содержат аналогичную информацию действиям командлета eDiscovery, описанным в следующем разделе. Мы рекомендуем использовать действия обнаружения электронных данных, описанные в этом разделе, так как они появятся в результатах поиска по журналу аудита в течение 30 минут. Действия командлета eDiscovery могут отображаться в результатах поиска в журнале аудита до 24 часов.

Понятное имя Операция Соответствующий командлет Описание
Добавлен член в дело обнаружения электронных данных
CaseMemberAdded
Add-ComplianceCaseMember
Пользователь был добавлен в качестве участника дела обнаружения электронных данных. Как участник дела пользователь может выполнять различные задачи, связанные с делом, в зависимости от того, назначены ли ему необходимые разрешения.
Изменен поиск содержимого
SearchUpdated
Set-ComplianceSearch
Существующий поиск контента был изменен. Изменения могут включать добавление или удаление расположений содержимого или изменение поискового запроса.
Изменено членство администратора обнаружения электронных данных
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
Список администраторов обнаружения электронных данных в организации был изменен. Это действие регистрируется, когда список администраторов обнаружения электронных данных заменяется группой новых пользователей. При добавлении или удалении одного пользователя регистрируется операция CaseAdminAdded.
Изменен случай обнаружения электронных данных
CaseUpdated
Set-ComplianceCase
Был изменен случай обнаружения электронных данных. Изменения включают закрытие открытого дела или повторное открытие закрытого дела.
Изменено членство в деле обнаружения электронных данных
CaseMemberUpdated
Update-ComplianceCaseMember
Список участников дела обнаружения электронных данных был изменен. Это действие регистрируется, когда все члены заменяются группой новых пользователей. При добавлении или удалении одного элемента регистрируется операция CaseMemberAdded или CaseMemberRemoved.
Изменен фильтр разрешений для поиска
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Изменен фильтр разрешений для поиска.
Изменен поисковый запрос для хранения дела обнаружения электронных данных
HoldUpdated
Set-CaseHoldRule
Удержание на основе запроса, связанное с делом обнаружения электронных данных, было изменено. Возможные изменения включают изменение запроса или диапазона дат для удержания на основе запроса.
Скачан элемент предварительного просмотра поиска контента
PreviewItemСкачать
Недоступно
Пользователь скачал элемент на локальный компьютер (щелкнув ссылку Скачать исходный элемент ) при просмотре результатов поиска.
Элемент предварительного просмотра поиска контента
PreviewItemListed
Недоступно
Пользователь выбрал предварительный просмотр результатов поиска , чтобы отобразить страницу предварительных результатов поиска, на которой перечислены до 1000 элементов из результатов поиска.
Поиск созданного содержимого
SearchCreated
New-ComplianceSearch
Создан новый поиск контента.
Создан администратор обнаружения электронных данных
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Пользователь был добавлен в качестве администратора обнаружения электронных данных в организации.
Созданный случай обнаружения электронных данных
CaseAdded
New-ComplianceCase
Был создан случай обнаружения электронных данных. При создании дела необходимо только присвоить ему имя. Другие задачи, связанные с делом, такие как добавление членов, создание удержаний и создание поиска контента, связанных с делом, приводят к регистрации дополнительных событий.
Фильтр разрешений для созданного поиска
SearchPermissionCreated
New-ComplianceSecurityFilter
Создан фильтр разрешений для поиска.
Созданный поисковый запрос для удержания дела обнаружения электронных данных
HoldCreated
New-CaseHoldRule
Создано удержание на основе запроса, связанное с делом обнаружения электронных данных.
Поиск удаленного содержимого
Поиск Удалено
Remove-ComplianceSearch
Существующий поиск контента удален.
Удаленный администратор обнаружения электронных данных
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Администратор обнаружения электронных данных был удален из вашей организации.
Удаленный случай обнаружения электронных данных
Удаление регистра
Remove-ComplianceCase
Удален случай обнаружения электронных данных. Все удержания, связанные с делом, должны быть удалены, прежде чем дело можно будет удалить.
Фильтр разрешений для удаленного поиска
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Фильтр разрешений для поиска удален.
Удаленный поисковый запрос для удержания дела обнаружения электронных данных
Удержание
Remove-CaseHoldRule
Удалено удержание на основе запроса, связанное с делом обнаружения электронных данных. Удаление запроса из удержания часто является результатом удаления удержания. Когда запрос на удержание или запрос на удержание удаляется, расположения содержимого, которые находились на удержании, освобождаются.
Скачанный экспорт поиска контента
SearchExportDownloaded
Н/Д
Пользователь скачал результаты поиска контента на локальный компьютер. Чтобы скачать результаты поиска, необходимо инициировать запущенный экспорт действия поиска контента .
Предварительные результаты поиска контента
SearchPreviewed
Н/Д
Пользователь просматривает результаты поиска контента.
Очищенные результаты поиска контента
SearchResultsPurged
New-ComplianceSearchAction
Пользователь очистил результаты поиска контента, выполнив команду New-ComplianceSearchAction -Purge .
Удален анализ поиска контента
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
Действие подготовки поиска контента (для подготовки результатов поиска для обнаружения электронных данных (премиум)) было удалено. Если действие подготовки прошло менее двух недель, результаты поиска, подготовленные для обнаружения электронных данных (премиум), были удалены из области хранилища Microsoft Azure. Если действие подготовки было старше 2 недель, то это событие указывает на то, что было удалено только соответствующее действие подготовки.
Удален экспорт поиска контента
RemovedSearchExported
Remove-ComplianceSearchAction
Действие экспорта поиска контента было удалено. Если действие экспорта было менее двух недель назад, результаты поиска, отправленные в область хранения Microsoft Azure, были удалены. Если действие экспорта было старше 2 недель, то это событие указывает на то, что было удалено только соответствующее действие экспорта.
Удаленный член из дела eDiscovery
CaseMemberRemoved
Remove-ComplianceCaseMember
Пользователь был удален как участник дела обнаружения электронных данных.
Удалены результаты предварительного просмотра поиска контента
RemovedSearchPreviewed
Remove-ComplianceSearchAction
Действие предварительного просмотра поиска контента было удалено.
Удалено действие очистки, выполненное при поиске контента
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Удалено действие очистки поиска контента.
Удаленный отчет о поиске
SearchReportRemoved
Remove-ComplianceSearchAction
Действие отчета об экспорте поиска контента было удалено.
Запущен анализ поиска контента
SearchResultsSentToZoom
New-ComplianceSearchAction
Результаты поиска контента были подготовлены для анализа в eDiscovery (Премиум).
Запущен поиск содержимого
SearchStarted
Start-ComplianceSearch
Был запущен поиск содержимого. При создании или изменении поиска контента с помощью портала соответствия требованиям поиск запускается автоматически.
Начало экспорта поиска контента
SearchExported
New-ComplianceSearchAction
Пользователь экспортировал результаты поиска контента.
Отчет о начале экспорта
SearchReport
New-ComplianceSearchAction
Пользователь экспортировал отчет о поиске контента.
Остановлен поиск содержимого
SearchStopped
Stop-ComplianceSearch
Пользователь остановил поиск контента.
(нет) CaseViewed Get-ComplianceCase Пользователь просмотрил дело обнаружения электронных данных (стандартный) на портале соответствия требованиям. Запись аудита для этого события включает имя просматриваемого дела.
(нет) SearchViewed Get-ComplianceSearch Пользователь просматривал поиск контента на портале соответствия требованиям, открыв поиск на вкладке Поиск в случае обнаружения электронных данных (стандартный) или открыв его на странице Поиск контента . Запись аудита для этого события включает удостоверение просматриваемого поиска.
(нет) ПросмотреSearchExported Get-ComplianceSearchAction -Export Пользователь просматривал экспорт поиска контента на портале соответствия требованиям, перейдя к экспорту на вкладке Экспорты на странице Поиск контента . Это действие также регистрируется, когда пользователь просматривает экспорт, связанный с делом обнаружения электронных данных (стандартный).
(нет) Просмотрпоискпределение Get-ComplianceSearchAction -Preview Пользователь просмотрил результаты поиска контента на портале соответствия требованиям. Это действие также регистрируется, когда пользователь просматривает результаты поиска, связанного с делом обнаружения электронных данных (стандартный).

Действия обнаружения электронных данных (премиум)

В следующей таблице описаны действия обнаружения электронных данных (premium), зарегистрированные в журнале аудита. Эти действия можно использовать для отслеживания хода выполнения действий в случае обнаружения электронных данных (премиум).

Понятное имя Операция Описание
Добавлены данные в другой набор для проверки AddWorkingSetQueryToWorkingSet Пользователь добавил документы из одного набора для проверки в другой.
Добавлены данные в набор для проверки AddQueryToWorkingSet Пользователь добавил результаты поиска из поиска контента, связанного с делом eDiscovery (Премиум), в набор для проверки.
Добавлены данные Microsoft 365 для просмотра. AddNonOffice365DataToWorkingSet Пользователь добавил данные Microsoft 365 в набор обзоров.
Добавлены исправленные документы в набор для проверки AddRemediatedData Пользователь отправляет документы с ошибками индексирования, исправленными для набора проверки.
Проанализированы данные в наборе для проверки RunAlgo Пользователь выполнил аналитику документов в наборе для проверки.
К документу в наборе для проверки добавлены заметки AnnotateDocument Пользователь добавил заметки к документу в наборе для проверки. Добавление заметок включает правку содержимого в документе.
Сравнены загруженные наборы LoadComparisonJob Пользователь сравнил два разных загруженных набора в наборе для проверки. Загруженный набор — это добавление в набор для проверки данных из средства поиска контента, связанных с делом.
Преобразованы документы со сделанными купюрами в PDF BurnJob Пользователь преобразует все документы с купюрами в наборе для проверки в PDF-файлы.
Создан набор для проверки CreateWorkingSet Пользователь создал набор для проверки.
Создан поиск в наборе для проверки CreateWorkingSetSearch Пользователь создал поисковый запрос, выполняющий поиск документов в наборе для проверки.
Создан тег CreateTag Пользователь создал группу тегов в наборе для проверки. Группа тегов может содержать один или несколько дочерних тегов. Эти теги затем используются для пометки документов в наборе для проверки.
Удален поиск в наборе для проверки DeleteWorkingSetSearch Пользователь удалил поисковый запрос в наборе для проверки.
Удален тег DeleteTag Пользователь удалил тег или группу тегов в наборе для проверки.
Скачан документ DownloadDocument Пользователь скачал документ из набора для проверки.
Изменен тег UpdateTag Пользователь изменил тег в наборе для проверки.
Экспортированы документы из набора для проверки ExportJob Пользователь экспортировал документы из набора для проверки.
Изменены параметры дела UpdateCaseSettings Пользователь изменил параметры дела. Параметры дела включают сведения о деле, разрешения на доступ и параметры, управляющие поведением поиска и анализа.
Изменен поиск в наборе для проверки UpdateWorkingSetSearch Пользователь изменил поисковый запрос в наборе для проверки.
Предварительно просмотрен поиск в наборе для проверки PreviewWorkingSetSearch Пользователь предварительно просмотрел результаты поискового запроса в наборе для проверки.
Исправлены документы с ошибками ErrorRemediationJob Пользователь исправляет файлы, содержащие ошибки индексирования.
Документ помечен тегом TagFiles Пользователь пометил тегом документ в наборе для проверки.
Результаты запроса помечены тегом TagJob Пользователь помечает все документы, удовлетворяющие условиям поискового запроса в наборе для проверки.
Просмотрен документ в наборе для проверки ViewDocument Пользователь просмотрел документ в наборе для проверки.

Действия командлетов eDiscovery

В следующей таблице перечислены записи журнала аудита командлетов, которые регистрируются при выполнении администратором или пользователем действий, связанных с обнаружением электронных данных, с помощью портала соответствия требованиям или при выполнении соответствующего командлета в PowerShell для обеспечения соответствия требованиям безопасности &. Подробные сведения в записи журнала аудита отличаются для действий командлетов, перечисленных в этой таблице, и действий обнаружения электронных данных, описанных в предыдущем разделе.

Как упоминалось ранее, действия командлета eDiscovery могут отображаться в результатах поиска в журнале аудита до 24 часов.

Совет

Командлеты в столбце Operation в следующей таблице связаны с соответствующим разделом справки по командлетам в TechNet. Описание доступных параметров для каждого командлета см. в разделе справки по командлетам. Параметр и значение параметра, которые использовались с командлетом, включаются в запись журнала аудита для каждого зарегистрированного действия командлета eDiscovery.

Понятное имя Операция (командлет) Описание
Создано удержание в случае обнаружения электронных данных
New-CaseHoldPolicy
Для дела обнаружения электронных данных создано удержание. Удержание можно создать с указанием источника контента или без нее. Если указаны источники контента, они будут определены в записи журнала аудита.
Удалено удержание из дела обнаружения электронных данных
Remove-CaseHoldPolicy
Удержание, связанное с делом обнаружения электронных данных, удалено. Удаление удержания освобождает все расположения содержимого из удержания. Удаление удержания также приводит к удалению правил удержания дела, связанных с удержанием (см . раздел Remove-CaseHoldRule ниже).
Изменена удержание в случае обнаружения электронных данных
Set-CaseHoldPolicy
Удержание, связанное с обнаружением электронных данных, было изменено. Возможные изменения включают добавление или удаление расположений содержимого или отключение (отключение) удержания.
Созданный поисковый запрос для удержания дела обнаружения электронных данных
New-CaseHoldRule
Создано удержание на основе запроса, связанное с делом обнаружения электронных данных.
Удаленный поисковый запрос для удержания дела обнаружения электронных данных
Remove-CaseHoldRule
Удалено удержание на основе запроса, связанное с делом обнаружения электронных данных. Удаление запроса из удержания часто является результатом удаления удержания. Когда запрос на удержание или запрос на удержание удаляется, расположения содержимого, которые находились на удержании, освобождаются.
Изменен поисковый запрос для хранения дела обнаружения электронных данных
Set-CaseHoldRule
Удержание на основе запроса, связанное с делом обнаружения электронных данных, было изменено. Возможные изменения включают изменение запроса или диапазона дат для удержания на основе запроса.
Созданный случай обнаружения электронных данных
New-ComplianceCase
Был создан случай обнаружения электронных данных. При создании дела необходимо только присвоить ему имя. Другие задачи, связанные с делом, такие как добавление членов, создание удержаний и создание поиска контента, связанных с делом, приводят к регистрации дополнительных событий.
Удаленный случай обнаружения электронных данных
Remove-ComplianceCase
Удален случай обнаружения электронных данных. Все удержания, связанные с делом, должны быть удалены, прежде чем дело можно будет удалить.
Изменен случай обнаружения электронных данных
Set-ComplianceCase
Был изменен случай обнаружения электронных данных. Изменения включают закрытие открытого дела или повторное открытие закрытого дела.
Добавлен член в дело обнаружения электронных данных
Add-ComplianceCaseMember
Пользователь был добавлен в качестве участника дела обнаружения электронных данных. Как участник дела пользователь может выполнять различные задачи, связанные с делом, в зависимости от того, назначены ли ему необходимые разрешения.
Удаленный член из дела eDiscovery
Remove-ComplianceCaseMember
Пользователь был удален как участник дела обнаружения электронных данных.
Изменено членство в деле обнаружения электронных данных
Update-ComplianceCaseMember
Список участников дела обнаружения электронных данных был изменен. Это действие регистрируется, когда все члены заменяются группой новых пользователей. Если добавляется или удаляется один член, регистрируется операция Add-ComplianceCaseMember или Remove-ComplianceCaseMember .
Поиск созданного содержимого
New-ComplianceSearch
Создан новый поиск контента.
Поиск удаленного содержимого
Remove-ComplianceSearch
Существующий поиск контента удален.
Изменен поиск содержимого
Set-ComplianceSearch
Существующий поиск контента был изменен. Изменения могут включать добавление или удаление расположений контента, в которых выполняется поиск, и редактирование поискового запроса.
Запущен поиск содержимого
Start-ComplianceSearch
Был запущен поиск содержимого. При создании или изменении поиска контента с помощью графического интерфейса портала соответствия поиск запускается автоматически. При создании или изменении поиска с помощью командлета New-ComplianceSearch или Set-ComplianceSearch необходимо запустить командлет Start-ComplianceSearch , чтобы начать поиск.
Остановлен поиск содержимого
Stop-ComplianceSearch
Поиск контента, выполняющийся, был остановлен.
Созданное действие поиска контента
New-ComplianceSearchAction
Было создано действие поиска контента. Действия по поиску контента включают предварительный просмотр результатов поиска, экспорт результатов поиска, подготовку результатов поиска для анализа в eDiscovery (премиум) и окончательное удаление элементов, соответствующих условиям поиска контента.
Действие поиска удаленного содержимого
Remove-ComplianceSearchAction
Действие поиска контента было удалено.
Фильтр разрешений для созданного поиска
New-ComplianceSecurityFilter
Создан фильтр разрешений для поиска.
Фильтр разрешений для удаленного поиска
Remove-ComplianceSecurityFilter
Фильтр разрешений для поиска удален.
Изменен фильтр разрешений для поиска
Set-ComplianceSecurityFilter
Изменен фильтр разрешений для поиска.
Создан администратор обнаружения электронных данных
Add-eDiscoveryCaseAdmin
Пользователь был добавлен в качестве администратора обнаружения электронных данных в вашей организации.
Удаленный администратор обнаружения электронных данных
Remove-eDiscoveryCaseAdmin
Администратор обнаружения электронных данных был удален из вашей организации.
Изменено членство администратора обнаружения электронных данных
Update-eDiscoveryCaseAdmin
Список администраторов обнаружения электронных данных в организации был изменен. Это действие регистрируется, когда список администраторов обнаружения электронных данных заменяется группой новых пользователей. Если один пользователь добавлен или удален, регистрируется операция Add-eDiscoveryCaseAdmin или Remove-eDiscoveryCaseAdmin .
(нет) Get-ComplianceCase
Это действие регистрируется, когда пользователь просматривает список случаев обнаружения электронных данных (стандартный) или eDiscovery (премиум). Это действие также регистрируется, когда пользователь просматривает конкретный случай в eDiscovery (стандартный). Когда пользователь просматривает конкретный случай, запись аудита включает удостоверение просматриваемого дела. Если пользователь просматривал только список случаев, запись аудита не содержит идентификатора обращения.
(нет) Get-ComplianceSearch Это действие регистрируется, когда пользователь просматривает список поиска контента или поиска, связанных с делом обнаружения электронных данных (стандартный). Это действие также регистрируется, когда пользователь просматривает определенный поиск контента или конкретный поиск, связанный с делом обнаружения электронных данных (стандартный). Когда пользователь просматривает определенный поиск, запись аудита включает идентификатор просматриваемого поиска. Если пользователь просматривал только список поисковых запросов, запись аудита не содержит идентификатор поиска.
(нет) Get-ComplianceSearchAction Это действие регистрируется, когда пользователь просматривает список действий по поиску соответствия (например, экспорт, предварительные просмотры или очистки) или действий, связанных с делом обнаружения электронных данных (стандартный). Это действие также регистрируется, когда пользователь просматривает определенное действие поиска соответствия (например, экспорт) или просматривает определенное действие, связанное с делом обнаружения электронных данных (standard). Когда пользователь просматривает действие поиска, запись аудита включает удостоверение просматриваемого действия поиска. Если пользователь просматривал только список действий, запись аудита не содержит удостоверение действия.

Подробные свойства для действий обнаружения электронных данных

В следующей таблице описаны свойства, которые включены на всплывающей странице для действия обнаружения электронных данных, указанного в результатах поиска. Эти свойства также включаются в CSV-файл при экспорте результатов поиска в журнале аудита. Запись журнала аудита для действия обнаружения электронных данных не будет включать все подробные свойства, перечисленные ниже.

Совет

При экспорте результатов поиска CSV-файл содержит столбец с именем AudtiData, который содержит подробные свойства, описанные в следующей таблице в свойстве с несколькими значениями. Вы можете использовать функцию Power Query в Excel, чтобы разделить этот столбец на несколько столбцов, чтобы каждое свойство было собственным. Это позволит выполнить сортировку и фильтрацию по одному или нескольким из этих свойств. Дополнительные сведения см. в разделе Поиск в журнале аудита.

Свойство Описание
Ситуация
Удостоверение (GUID) дела обнаружения электронных данных, которое было создано, изменено или удалено.
ClientApplication
Действия командлета eDiscovery имеют значение EMC для этого свойства. Это означает, что действие было выполнено с помощью графического интерфейса портала соответствия требованиям или командлета в PowerShell.
ClientIP
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6.
ClientRequestId
Для действий обнаружения электронных данных это свойство обычно пустое.
CmdletVersion
Номер сборки для версии портала соответствия требованиям, работающего в вашей организации.
CreationTime
Дата и время в формате UTC, когда было завершено действие обнаружения электронных данных.
EffectiveOrganization
Название организации Microsoft 365.
ExchangeLocations
Exchange Online почтовые ящики, включенные в поиск контента или помещенные на удержание в случае обнаружения электронных данных.
Исключения
Расположения почтовых ящиков или сайтов, исключенные из поиска контента или удержания в случае обнаружения электронных данных.
ExtendedProperties
Дополнительные свойства из поиска контента, действия поиска контента или удержания в случае обнаружения электронных данных, такие как GUID объекта и соответствующие параметры командлета и командлета, которые использовались при выполнении действия.
Id
Идентификатор записи отчета. Идентификатор уникально идентифицирует запись журнала аудита.
NonPIIParameters
Список параметров (без каких-либо значений), которые использовались с командлетом, указанным в свойстве Operation. Параметры, перечисленные в этом свойстве, совпадают с параметрами, указанными в свойстве Parameters.
ObjectId
GUID или имя объекта (например, поиск контента или случай обнаружения электронных данных ( стандартный), который был создан, получил доступ, изменен или удален действием, перечисленным в свойстве Operation. Этот объект также идентифицируется в столбце Элемент в результатах поиска по журналу аудита.
ObjectType
Тип объекта eDiscovery, который пользователь создал, удалил или изменил; например, действие поиска контента (предварительный просмотр, экспорт или очистка), дело обнаружения электронных данных или поиск контента.
Operation
Имя операции, которая соответствует выполненной операции обнаружения электронных данных.
OrganizationId
GUID для организации Microsoft 365.
Параметры
Имя и значение параметров, которые использовались с соответствующим командлетом.
PublicFolderLocations
Общедоступные папки находятся в Exchange Online, которые включены в поиск контента или помещены на удержание в случае обнаружения электронных данных.
Запрос
Поисковый запрос, связанный с действием, например поиск контента или удержание на основе запроса.
RecordType
Тип операции, указанный в записи. Значение 18 указывает на событие, связанное с действием, перечисленным в разделе Действия командлета eDiscovery . Значение 24 указывает на событие, связанное с действием, перечисленным в разделе Поиск и просмотр действий обнаружения электронных данных .
ResultStatus
Указывает, успешно ли выполнено действие (указанное в свойстве Operation).
SecurityComplianceCenterEventType
Указывает, что действие было событием портала соответствия. Все действия обнаружения электронных данных будут иметь значение 0 для этого свойства.
SharepointLocations
Сайты SharePoint Online, включенные в поиск контента или помещенные на удержание в случае обнаружения электронных данных.
StartTime
Дата и время в формате UTC, когда было запущено действие обнаружения электронных данных.
UserId
Пользователь, выполнивший действие (указанное в свойстве Operation), которое привело к регистрации записи. Записи о действиях обнаружения электронных данных, выполняемых системными учетными записями (например, NT AUTHORITY\SYSTEM), также включаются в журнал аудита.
UserKey
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Для действий обнаружения электронных данных значение этого свойства обычно совпадает со значением свойства UserId.
UserServicePlan
Подписка, используемая вашей организацией. Для действий обнаружения электронных данных это свойство обычно пустое.
UserType
Тип пользователя, который выполнил операцию. Следующие значения указывают тип пользователя.
0 Обычный пользователь. 2 Администратор в вашей организации. 3 Учетная запись администратора центра обработки данных Майкрософт или системная учетная запись центра обработки данных. 4 Системная учетная запись. 5 Приложение. 6 Субъект-служба.
Версия
Указывает номер версии действия (определяемого свойством Operation), которое регистрируется в журнале.
Workload
Служба, в которой произошло действие. Для действий обнаружения электронных данных значением является SecurityComplianceCenter.