Buscar actividades de eDiscovery en el registro de auditoría
Sugerencia
eDiscovery (versión preliminar) ya está disponible en el nuevo portal de Microsoft Purview. Para obtener más información sobre el uso de la nueva experiencia de exhibición de documentos electrónicos, consulte Información sobre eDiscovery (versión preliminar).
Actividades relacionadas con la búsqueda de contenido y eDiscovery (para Microsoft Purview eDiscovery (Standard) y Microsoft Purview eDiscovery (Premium)) que se realizan en portal de cumplimiento Microsoft Purview o mediante la ejecución de los cmdlets de PowerShell correspondientes se registran en el registro de auditoría. Los eventos se registran cuando los administradores o administradores de exhibición de documentos electrónicos (o los permisos de exhibición de documentos electrónicos asignados por el usuario) realizan las siguientes tareas de búsqueda de contenido y exhibición de contenido (Standard) en el portal de cumplimiento:
- Crear y administrar casos de eDiscovery (Standard) y eDiscovery (Premium).
- Creación, inicio y edición de búsquedas de contenido.
- Realizar acciones de búsqueda, como obtener una vista previa, exportar y eliminar resultados de búsqueda.
- Administración de custodios y conjuntos de revisión en eDiscovery (Premium).
- Configuración del filtrado de permisos para la búsqueda de contenido.
- Administración del rol administrador de eDiscovery.
Para obtener más información sobre cómo buscar en el registro de auditoría, los permisos necesarios y exportar los resultados de búsqueda, consulte Búsqueda en el registro de auditoría.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Búsqueda y visualización de actividades de exhibición de documentos electrónicos
Actualmente, tiene que hacer algunas cosas específicas para ver las actividades de exhibición de documentos electrónicos en el registro de auditoría. A continuación se muestra cómo hacerlo:
Nota:
Por un tiempo limitado, esta experiencia clásica de exhibición de documentos electrónicos también está disponible en el nuevo portal de Microsoft Purview. Habilite la experiencia de exhibición de documentos electrónicos clásica del portal de cumplimiento en la configuración de la experiencia de eDiscovery (versión preliminar) para mostrar la experiencia clásica en el nuevo portal de Microsoft Purview.
Vaya al portal de cumplimiento Microsoft Purview e inicie sesión con su cuenta profesional o educativa.
En el panel de navegación izquierdo del portal de cumplimiento, seleccione Auditar.
En la lista desplegable Actividades , en actividades de exhibición de documentos electrónicos o actividades de exhibición de documentos electrónicos (Premium), seleccione una o varias actividades para buscar.
Nota:
La lista desplegable Actividades también incluye un grupo de actividades denominadas actividades de cmdlet de eDiscovery que devolverán registros del registro de auditoría de cmdlets.
Seleccione un intervalo de fecha y hora para mostrar los eventos de exhibición de documentos electrónicos que se produjeron en ese período.
En el cuadro Usuarios , seleccione uno o varios usuarios para mostrar los resultados de búsqueda. Deje este cuadro en blanco para devolver entradas para todos los usuarios.
Haga clic en Búsqueda para ejecutar la búsqueda mediante sus criterios de búsqueda.
Una vez que se muestran los resultados de la búsqueda, puede seleccionar Filtrar resultados para filtrar u ordenar los registros de actividad resultantes. Desafortunadamente, no puede usar el filtrado para excluir explícitamente determinadas actividades.
Para ver detalles sobre una actividad, seleccione el registro de actividad en la lista de resultados de búsqueda.
Se muestra una página desplegable Detalles que contiene las propiedades detalladas del registro de eventos. Para mostrar detalles adicionales, seleccione Más información. Para obtener una descripción de estas propiedades, vea la sección Propiedades detalladas para actividades de exhibición de documentos electrónicos .
Si lo desea, puede exportar los resultados de la búsqueda de registros de auditoría a un archivo CSV y, a continuación, usar la característica de Power Query de Excel para dar formato y filtrar estos registros. Para más información, consulteExportar, configurar y ver registros de auditoría.
Actividades de eDiscovery
En la tabla siguiente se describen las actividades búsqueda de contenido y exhibición de documentos electrónicos (Standard) que se registran cuando un administrador o administrador de eDiscovery realiza una actividad relacionada con eDiscovery mediante el portal de cumplimiento. Algunas actividades realizadas en eDiscovery (Premium) pueden devolverse al buscar actividades en esta lista.
Nota:
Las actividades de eDiscovery descritas en esta sección proporcionan información similar a las actividades de cmdlet de eDiscovery descritas en la sección siguiente. Se recomienda usar las actividades de exhibición de documentos electrónicos que se describen en esta sección, ya que aparecerán en los resultados de la búsqueda del registro de auditoría en un plazo de 30 minutos. Las actividades de cmdlet de eDiscovery pueden tardar hasta 24 horas en aparecer en los resultados de la búsqueda de registros de auditoría.
Nombre descriptivo | Operación | Cmdlet correspondiente | Descripción |
---|---|---|---|
Se ha agregado un miembro al caso de eDiscovery |
CaseMemberAdded |
Add-ComplianceCaseMember |
Se agregó un usuario como miembro de un caso de exhibición de documentos electrónicos. Como miembro de un caso, un usuario puede realizar varias tareas relacionadas con casos en función de si se le han asignado los permisos necesarios. |
Búsqueda de contenido modificada |
SearchUpdated |
Set-ComplianceSearch |
Se ha cambiado una búsqueda de contenido existente. Los cambios pueden incluir la adición o eliminación de ubicaciones de contenido o la edición de la consulta de búsqueda. |
Se ha cambiado la pertenencia al administrador de eDiscovery |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
Se ha cambiado la lista de administradores de exhibición de documentos electrónicos de la organización. Esta actividad se registra cuando la lista de administradores de exhibición de documentos electrónicos se reemplaza por un grupo de nuevos usuarios. Si se agrega o quita un único usuario, se registra la operación CaseAdminAdded. |
Se ha cambiado el caso de eDiscovery |
CaseUpdated |
Set-ComplianceCase |
Se cambió un caso de eDiscovery. Los cambios incluyen el cierre de un caso abierto o la reapertura de un caso cerrado. |
Se ha cambiado la pertenencia a casos de exhibición de documentos electrónicos |
CaseMemberUpdated |
Update-ComplianceCaseMember |
Se cambió la lista de pertenencia de un caso de exhibición de documentos electrónicos. Esta actividad se registra cuando todos los miembros se reemplazan por un grupo de nuevos usuarios. Si se agrega o quita un solo miembro, se registra la operación CaseMemberAdded o CaseMemberRemoved. |
Filtro de permisos de búsqueda modificado |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
Se ha cambiado un filtro de permisos de búsqueda. |
Se ha cambiado la consulta de búsqueda para la suspensión de mayúsculas y minúsculas de eDiscovery |
HoldUpdated |
Set-CaseHoldRule |
Se cambió una suspensión basada en consultas asociada a un caso de exhibición de documentos electrónicos. Los posibles cambios incluyen la edición de la consulta o el intervalo de fechas para una retención basada en consultas. |
Elemento de vista previa de búsqueda de contenido descargado |
PreviewItemDownloaded |
N/D |
Un usuario descargó un elemento en su equipo local (seleccionando el vínculo Descargar elemento original ) al obtener una vista previa de los resultados de la búsqueda. |
Elemento de vista previa de búsqueda de contenido enumerado |
PreviewItemListed |
N/D |
Un usuario seleccionó Vista previa de los resultados de búsqueda para mostrar la página de resultados de búsqueda de vista previa, que muestra hasta 1000 elementos a partir de los resultados de una búsqueda. |
Búsqueda de contenido creada |
SearchCreated |
New-ComplianceSearch |
Se creó una nueva búsqueda de contenido. |
Administrador de eDiscovery creado |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
Se agregó un usuario como administrador de exhibición de documentos electrónicos en la organización. |
Caso de eDiscovery creado |
CaseAdded |
New-ComplianceCase |
Se creó un caso de eDiscovery. Cuando se crea un caso, solo tiene que darle un nombre. Otras tareas relacionadas con casos, como agregar miembros, crear retenciones y crear búsquedas de contenido asociadas al caso, provocan que se registren eventos adicionales. |
Filtro de permisos de búsqueda creado |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
Se creó un filtro de permisos de búsqueda. |
Consulta de búsqueda creada para la suspensión de casos de eDiscovery |
HoldCreated |
New-CaseHoldRule |
Se creó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. |
Búsqueda de contenido eliminado |
SearchRemoved |
Remove-ComplianceSearch |
Se eliminó una búsqueda de contenido existente. |
Administrador de eDiscovery eliminado |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
Se eliminó un administrador de exhibición de documentos electrónicos de la organización. |
Caso de eDiscovery eliminado |
CaseRemoved |
Remove-ComplianceCase |
Se eliminó un caso de exhibición de documentos electrónicos. Cualquier retención asociada al caso debe quitarse antes de que se pueda eliminar el caso. |
Filtro de permisos de búsqueda eliminados |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
Se eliminó un filtro de permisos de búsqueda. |
Consulta de búsqueda eliminada para la suspensión de casos de eDiscovery |
HoldRemoved |
Remove-CaseHoldRule |
Se eliminó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. La eliminación de la consulta de la suspensión suele ser el resultado de eliminar una suspensión. Cuando se elimina una consulta de suspensión o suspensión, se liberan las ubicaciones de contenido que estaban en espera. |
Exportación descargada de la búsqueda de contenido |
SearchExportDownloaded |
N/D |
Un usuario descargó los resultados de una búsqueda de contenido en su equipo local. Se debe iniciar una exportación iniciada de la actividad de búsqueda de contenido antes de que se puedan descargar los resultados de la búsqueda. |
Resultados en vista previa de la búsqueda de contenido |
SearchPreviewed |
N/D |
Un usuario ha obtenido una vista previa de los resultados de una búsqueda de contenido. |
Resultados purgados de la búsqueda de contenido |
SearchResultsPurged |
New-ComplianceSearchAction |
Un usuario purgue los resultados de una búsqueda de contenido mediante la ejecución del comando New-ComplianceSearchAction -Purge . |
Se ha quitado el análisis de la búsqueda de contenido. |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
Se eliminó una acción de preparación de búsqueda de contenido (para preparar los resultados de búsqueda para eDiscovery (Premium)). Si la acción de preparación tenía menos de dos semanas de antigüedad, los resultados de búsqueda preparados para eDiscovery (Premium) se eliminaron del área de almacenamiento de Microsoft Azure. Si la acción de preparación era anterior a 2 semanas, este evento indica que solo se eliminó la acción de preparación correspondiente. |
Se quitó la exportación de la búsqueda de contenido |
RemovedSearchExported |
Remove-ComplianceSearchAction |
Se eliminó una acción de exportación de búsqueda de contenido. Si la acción de exportación tenía menos de dos semanas de antigüedad, se eliminaron los resultados de búsqueda cargados en el área de almacenamiento de Microsoft Azure. Si la acción de exportación era anterior a 2 semanas, este evento indica que solo se eliminó la acción de exportación correspondiente. |
Se quitó el miembro del caso de eDiscovery |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
Un usuario se quitó como miembro de un caso de exhibición de documentos electrónicos. |
Se han quitado los resultados de la vista previa de la búsqueda de contenido |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
Se eliminó una acción de vista previa de búsqueda de contenido. |
Acción de purga eliminada realizada en la búsqueda de contenido |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
Se eliminó una acción de purga de búsqueda de contenido. |
Informe de búsqueda eliminado |
SearchReportRemoved |
Remove-ComplianceSearchAction |
Se eliminó una acción de informe de exportación de búsqueda de contenido. |
Análisis iniciado de la búsqueda de contenido |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
Los resultados de una búsqueda de contenido se prepararon para su análisis en eDiscovery (Premium). |
Búsqueda de contenido iniciada |
SearchStarted |
Start-ComplianceSearch |
Se inició una búsqueda de contenido. Al crear o cambiar una búsqueda de contenido mediante el portal de cumplimiento, la búsqueda se inicia automáticamente. |
Exportación iniciada de la búsqueda de contenido |
SearchExported |
New-ComplianceSearchAction |
Un usuario exportó los resultados de una búsqueda de contenido. |
Informe de exportación iniciado |
SearchReport |
New-ComplianceSearchAction |
Un usuario exportó un informe de búsqueda de contenido. |
Búsqueda de contenido detenida |
SearchStopped |
Stop-ComplianceSearch |
Un usuario detuvo una búsqueda de contenido. |
(ninguno) | CaseViewed | Get-ComplianceCase | Un usuario ha visto un caso de exhibición de documentos electrónicos (Standard) en el portal de cumplimiento. El registro de auditoría de este evento incluye el nombre del caso que se ha visto. |
(ninguno) | SearchViewed | Get-ComplianceSearch | Un usuario ha visto una búsqueda de contenido en el portal de cumplimiento accediendo a la búsqueda en la pestaña Búsquedas en un caso de exhibición de documentos electrónicos (Standard) o accediendo a ella en la página Búsqueda de contenido. El registro de auditoría de este evento incluye la identidad de la búsqueda que se ha visto. |
(ninguno) | ViewedSearchExported | Get-ComplianceSearchAction -Export | Un usuario ha visto una exportación de búsqueda de contenido en el portal de cumplimiento accediendo a la exportación en la pestaña Exportaciones de la página Búsqueda de contenido . Esta actividad también se registra cuando un usuario ve una exportación asociada a un caso de exhibición de documentos electrónicos (Standard). |
(ninguno) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | Un usuario ha obtenido una vista previa de los resultados de una búsqueda de contenido en el portal de cumplimiento. Esta actividad también se registra cuando un usuario obtiene una vista previa de los resultados de una búsqueda asociada a un caso de exhibición de documentos electrónicos (Standard). |
Actividades de eDiscovery (Premium)
En la tabla siguiente se describen las actividades de eDiscovery (Premium) registradas en el registro de auditoría. Estas actividades se pueden usar para ayudarle a realizar un seguimiento de la progresión de la actividad en un caso de exhibición de documentos electrónicos (Premium).
Nombre descriptivo | Operación | Descripción |
---|---|---|
Agregar datos a otro conjunto de revisión | AddWorkingSetQueryToWorkingSet | El usuario ha agregado documentos de un conjunto de revisiones a un conjunto de revisiones diferente. |
Datos agregados a otro conjunto de revisión | AddQueryToWorkingSet | El usuario agregó los resultados de búsqueda de una búsqueda de contenido asociada a un caso de exhibición de documentos electrónicos (Premium) a un conjunto de revisión. |
Se han agregado datos que no son de Microsoft 365 a un conjunto de revisión | AddNonOffice365DataToWorkingSet | Un usuario ha agregado datos que no son de Microsoft 365 a un conjunto de revisión. |
Documentos corregidos agregados para revisar el conjunto | AddRemediatedData | El usuario carga documentos que tuvieron errores de indexación corregidos para un conjunto de revisiones. |
Datos analizados en el conjunto de revisiones | RunAlgo | El usuario ejecutó análisis en los documentos de un conjunto de revisión. |
Documento anotados en el conjunto de revisiones | AnnotateDocument | El usuario anotó un documento en un conjunto de revisiones. La anotación incluye contenido redactado en un documento. |
Conjuntos de carga comparados | LoadComparisonJob | El usuario comparó dos conjuntos de carga distintos en un conjunto de revisiones. Un conjunto de carga es cuando los datos de una búsqueda de contenido asociados al caso se agregan a un conjunto de revisiones. |
Documentos redactados convertidos en PDF | BurnJob | El usuario convirtió todos los documentos redactados en un conjunto de revisión en archivos PDF. |
Creado el conjunto de revisiones | CreateWorkingSet | El usuario creó un conjunto de revisiones. |
Conjunto de búsqueda de revisiones creado | CreateWorkingSetSearch | El usuario creó una consulta de búsqueda para buscar en los documentos de un conjunto de revisiones. |
Etiqueta creada | CreateTag | El usuario creó un grupo de etiquetas en un conjunto de revisiones. Un grupo de etiquetas puede contener una o más etiquetas pequeñas. Las etiquetas se usan para etiquetar documentos en el conjunto de revisiones. |
Conjunto de búsqueda de revisiones creado | DeleteWorkingSetSearch | El usuario eliminó una consulta de búsqueda en un conjunto de revisiones. |
Etiquetas eliminadas | DeleteTag | El usuario eliminó un grupo de etiquetas en un conjunto de revisiones. |
Documento descargado | DownloadDocument | El usuario ha descargado un documento de un conjunto de revisiones. |
Etiqueta editada | UpdateTag | El usuario cambió una etiqueta en un conjunto de revisiones. |
Documentos exportados desde un conjunto de revisión | ExportJob | Documentos de usuario exportados desde un conjunto de revisión. |
Configuración de carcaza modificados | UpdateCaseSettings | Los usuarios modificaron la configuración de una carcaza. Las opciones de configuración de carcazas incluyen información de casos, permisos de acceso y configuraciones que controlan el comportamiento de búsqueda y análisis. |
Conjunto de búsqueda de revisiones modificado | UpdateWorkingSetSearch | El usuario editó una consulta de búsqueda en un conjunto de revisiones. |
Conjunto de búsqueda de revisiones previstas | PreviewWorkingSetSearch | Usuario obtiene una vista previa de los resultados de una consulta de búsqueda en un conjunto de revisiones. |
Documentos erróneos corregidos | ErrorRemediationJob | El usuario corrige los archivos que contienen errores de escritura.. |
Documento etiquetado | TagFiles | El usuario etiquetó un documento en un conjunto de revisiones. |
Resultados etiquetados de una consulta | TagJob | EL usuario etiqueta todos los documentos que coinciden con los criterios de la consulta de búsqueda en un conjunto de revisiones. |
Documento anotados en el conjunto de revisiones | ViewDocument | El usuario visualizó un documento en un conjunto de revisiones. |
Actividades de cmdlet de eDiscovery
En la tabla siguiente se enumeran los registros de auditoría de cmdlets que se registran cuando un administrador o usuario realiza una actividad relacionada con eDiscovery mediante el portal de cumplimiento o mediante la ejecución del cmdlet correspondiente en PowerShell de seguridad & cumplimiento. La información detallada del registro de auditoría es diferente para las actividades de cmdlet enumeradas en esta tabla y las actividades de exhibición de documentos electrónicos descritas en la sección anterior.
Como se indicó anteriormente, las actividades de cmdlet de eDiscovery pueden tardar hasta 24 horas en aparecer en los resultados de búsqueda del registro de auditoría.
Sugerencia
Los cmdlets de la columna Operation de la tabla siguiente están vinculados al tema de ayuda de cmdlet correspondiente en TechNet. Vaya al tema de ayuda del cmdlet para obtener una descripción de los parámetros disponibles para cada cmdlet. El parámetro y el valor del parámetro que se usaron con un cmdlet se incluyen en la entrada de registro de auditoría para cada actividad de cmdlet de eDiscovery que se registra.
Nombre descriptivo | Operación (cmdlet) | Descripción |
---|---|---|
Suspensión creada en el caso de eDiscovery |
New-CaseHoldPolicy |
Se creó una suspensión para un caso de exhibición de documentos electrónicos. Se puede crear una suspensión con o sin especificar un origen de contenido. Si se especifican orígenes de contenido, se identificarán en la entrada del registro de auditoría. |
Suspensión eliminada del caso de eDiscovery |
Remove-CaseHoldPolicy |
Se eliminó una suspensión asociada a un caso de exhibición de documentos electrónicos. Al eliminar una suspensión, se liberan todas las ubicaciones de contenido de la suspensión. La eliminación de la suspensión también da como resultado la eliminación de las reglas de suspensión de casos asociadas a la suspensión (vea Remove-CaseHoldRule a continuación). |
Se ha cambiado la suspensión en el caso de eDiscovery |
Set-CaseHoldPolicy |
Se ha cambiado una suspensión asociada a una exhibición de documentos electrónicos. Los posibles cambios incluyen agregar o quitar ubicaciones de contenido o desactivar (deshabilitar) la suspensión. |
Consulta de búsqueda creada para la suspensión de casos de eDiscovery |
New-CaseHoldRule |
Se creó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. |
Consulta de búsqueda eliminada para la suspensión de casos de eDiscovery |
Remove-CaseHoldRule |
Se eliminó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. La eliminación de la consulta de la suspensión suele ser el resultado de eliminar una suspensión. Cuando se elimina una consulta de suspensión o suspensión, se liberan las ubicaciones de contenido que estaban en espera. |
Se ha cambiado la consulta de búsqueda para la suspensión de mayúsculas y minúsculas de eDiscovery |
Set-CaseHoldRule |
Se cambió una suspensión basada en consultas asociada a un caso de exhibición de documentos electrónicos. Los posibles cambios incluyen la edición de la consulta o el intervalo de fechas para una retención basada en consultas. |
Caso de eDiscovery creado |
New-ComplianceCase |
Se creó un caso de eDiscovery. Cuando se crea un caso, solo tiene que darle un nombre. Otras tareas relacionadas con casos, como agregar miembros, crear retenciones y crear búsquedas de contenido asociadas al caso, provocan que se registren eventos adicionales. |
Caso de eDiscovery eliminado |
Remove-ComplianceCase |
Se eliminó un caso de exhibición de documentos electrónicos. Cualquier retención asociada al caso debe quitarse antes de que se pueda eliminar el caso. |
Se ha cambiado el caso de eDiscovery |
Set-ComplianceCase |
Se cambió un caso de eDiscovery. Los cambios incluyen el cierre de un caso abierto o la reapertura de un caso cerrado. |
Se ha agregado un miembro al caso de eDiscovery |
Add-ComplianceCaseMember |
Se agregó un usuario como miembro de un caso de exhibición de documentos electrónicos. Como miembro de un caso, un usuario puede realizar varias tareas relacionadas con casos en función de si se le han asignado los permisos necesarios. |
Se quitó el miembro del caso de eDiscovery |
Remove-ComplianceCaseMember |
Un usuario se quitó como miembro de un caso de exhibición de documentos electrónicos. |
Se ha cambiado la pertenencia a casos de exhibición de documentos electrónicos |
Update-ComplianceCaseMember |
Se cambió la lista de pertenencia de un caso de exhibición de documentos electrónicos. Esta actividad se registra cuando todos los miembros se reemplazan por un grupo de nuevos usuarios. Si se agrega o quita un solo miembro, se registra la operación Add-ComplianceCaseMember o Remove-ComplianceCaseMember . |
Búsqueda de contenido creada |
New-ComplianceSearch |
Se creó una nueva búsqueda de contenido. |
Búsqueda de contenido eliminado |
Remove-ComplianceSearch |
Se eliminó una búsqueda de contenido existente. |
Búsqueda de contenido modificada |
Set-ComplianceSearch |
Se ha cambiado una búsqueda de contenido existente. Los cambios pueden incluir la adición o eliminación de ubicaciones de contenido que se buscan y la edición de la consulta de búsqueda. |
Búsqueda de contenido iniciada |
Start-ComplianceSearch |
Se inició una búsqueda de contenido. Al crear o cambiar una búsqueda de contenido mediante la GUI del portal de cumplimiento, la búsqueda se inicia automáticamente. Si crea o cambia una búsqueda mediante el cmdlet New-ComplianceSearch o Set-ComplianceSearch , debe ejecutar el cmdlet Start-ComplianceSearch para iniciar la búsqueda. |
Búsqueda de contenido detenida |
Stop-ComplianceSearch |
Se detuvo una búsqueda de contenido que se estaba ejecutando. |
Acción de búsqueda de contenido creada |
New-ComplianceSearchAction |
Se creó una acción de búsqueda de contenido. Las acciones de búsqueda de contenido incluyen la vista previa de los resultados de búsqueda, la exportación de resultados de búsqueda, la preparación de los resultados de búsqueda para su análisis en eDiscovery (Premium) y la eliminación permanente de elementos que coinciden con los criterios de búsqueda de una búsqueda de contenido. |
Acción de búsqueda de contenido eliminado |
Remove-ComplianceSearchAction |
Se eliminó una acción de búsqueda de contenido. |
Filtro de permisos de búsqueda creado |
New-ComplianceSecurityFilter |
Se creó un filtro de permisos de búsqueda. |
Filtro de permisos de búsqueda eliminados |
Remove-ComplianceSecurityFilter |
Se eliminó un filtro de permisos de búsqueda. |
Filtro de permisos de búsqueda modificado |
Set-ComplianceSecurityFilter |
Se ha cambiado un filtro de permisos de búsqueda. |
Administrador de eDiscovery creado |
Add-eDiscoveryCaseAdmin |
Se agregó un usuario como administrador de exhibición de documentos electrónicos en su organización. |
Administrador de eDiscovery eliminado |
Remove-eDiscoveryCaseAdmin |
Se eliminó un administrador de exhibición de documentos electrónicos de la organización. |
Se ha cambiado la pertenencia al administrador de eDiscovery |
Update-eDiscoveryCaseAdmin |
Se ha cambiado la lista de administradores de exhibición de documentos electrónicos de la organización. Esta actividad se registra cuando la lista de administradores de exhibición de documentos electrónicos se reemplaza por un grupo de nuevos usuarios. Si se agrega o quita un único usuario, se registra la operación Add-eDiscoveryCaseAdmin o Remove-eDiscoveryCaseAdmin . |
(ninguno) |
Get-ComplianceCase |
Esta actividad se registra cuando un usuario ha visto una lista de casos de exhibición de documentos electrónicos (Standard) o eDiscovery (Premium). Esta actividad también se registra cuando un usuario ve un caso específico en eDiscovery (Standard). Cuando un usuario ve un caso específico, el registro de auditoría incluye la identidad del caso que se ha visto. Si el usuario solo ha visto una lista de casos, el registro de auditoría no contiene una identidad de caso. |
(ninguno) | Get-ComplianceSearch | Esta actividad se registra cuando un usuario ha visto una lista de búsquedas de contenido o búsquedas asociadas a un caso de exhibición de documentos electrónicos (Standard). Esta actividad también se registra cuando un usuario ve una búsqueda de contenido específica o ve una búsqueda específica asociada a un caso de exhibición de documentos electrónicos (Standard). Cuando un usuario ve una búsqueda específica, el registro de auditoría incluye la identidad de la búsqueda que se ha visto. Si el usuario solo ha visto una lista de búsquedas, el registro de auditoría no contiene una identidad de búsqueda. |
(ninguno) | Get-ComplianceSearchAction | Esta actividad se registra cuando un usuario ha visto una lista de acciones de búsqueda de cumplimiento (como exportaciones, vistas previas o purgas) o acciones asociadas a un caso de eDiscovery (Standard). Esta actividad también se registra cuando un usuario ve una acción de búsqueda de cumplimiento específica (como una exportación) o ve una acción específica asociada a un caso de exhibición de documentos electrónicos (Standard). Cuando un usuario ve una acción de búsqueda, el registro de auditoría incluye la identidad de la acción de búsqueda que se ha visto. Si el usuario solo ha visto una lista de acciones, el registro de auditoría no contiene una identidad de acción. |
Propiedades detalladas de las actividades de eDiscovery
En la tabla siguiente se describen las propiedades que se incluyen en la página de control flotante de una actividad de exhibición de documentos electrónicos enumerada en los resultados de la búsqueda. Estas propiedades también se incluyen en el archivo CSV al exportar los resultados de la búsqueda de registros de auditoría. Un registro de auditoría para una actividad de exhibición de documentos electrónicos no incluirá todas las propiedades detalladas que se enumeran a continuación.
Sugerencia
Al exportar los resultados de la búsqueda, el archivo CSV contiene una columna denominada AudtiData, que contiene las propiedades detalladas descritas en la tabla siguiente en una propiedad de varios valores. Puede usar la característica Power Query en Excel para dividir esta columna en varias columnas para que cada propiedad tenga su propia columna. Esto le permitirá ordenar y filtrar una o varias de estas propiedades. Para obtener más información, vea Buscar en el registro de auditoría.
Propiedad | Descripción |
---|---|
Case |
Identidad (GUID) del caso de exhibición de documentos electrónicos que se creó, cambió o eliminó. |
ClientApplication |
Las actividades de cmdlet de eDiscovery tienen un valor de EMC para esta propiedad. Esto indica que la actividad se realizó mediante la GUI del portal de cumplimiento o ejecutando el cmdlet en PowerShell. |
ClientIP |
La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. |
ClientRequestId |
En el caso de las actividades de exhibición de documentos electrónicos, esta propiedad suele estar en blanco. |
CmdletVersion |
Número de compilación de la versión del portal de cumplimiento que se ejecuta en su organización. |
CreationTime |
Fecha y hora de la hora universal coordinada (UTC) cuando se completó la actividad de exhibición de documentos electrónicos. |
EffectiveOrganization |
Nombre de la organización de Microsoft 365. |
ExchangeLocations |
Los Exchange Online buzones que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos. |
Exclusiones |
Ubicaciones de buzón o sitio que se excluyen de una búsqueda de contenido o una retención en un caso de exhibición de documentos electrónicos. |
ExtendedProperties |
Propiedades adicionales de una búsqueda de contenido, una acción de búsqueda de contenido o una suspensión en un caso de exhibición de documentos electrónicos, como el GUID del objeto y los parámetros de cmdlet y cmdlet correspondientes que se usaron cuando se realizó la actividad. |
Id |
Identificador de la entrada del informe. El identificador identifica de forma única la entrada del registro de auditoría. |
NonPIIParameters |
Una lista de los parámetros (sin ningún valor) que se usaron con el cmdlet identificado en la propiedad Operation. Los parámetros enumerados en esta propiedad son los mismos que los que aparecen en la propiedad Parameters. |
ObjectId |
GUID o nombre del objeto (por ejemplo, una búsqueda de contenido o un caso de exhibición de documentos electrónicos (Standard) que la actividad enumerada en la propiedad Operation creó, obtuvo acceso, cambió o eliminó. Este objeto también se identifica en la columna Item de los resultados de búsqueda del registro de auditoría. |
ObjectType |
Tipo de objeto eDiscovery que el usuario creó, eliminó o modificó; por ejemplo, una acción de búsqueda de contenido (vista previa, exportación o purga), un caso de exhibición de documentos electrónicos o una búsqueda de contenido. |
Operación |
Nombre de la operación que corresponde a la actividad eDiscovery que se realizó. |
OrganizationId |
GUID de la organización de Microsoft 365. |
Parameters |
Nombre y valor de los parámetros que se usaron con el cmdlet correspondiente. |
PublicFolderLocations |
Las ubicaciones de carpetas públicas de Exchange Online que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos. |
Consulta |
Consulta de búsqueda asociada a la actividad, como una búsqueda de contenido o una retención basada en consultas. |
RecordType |
El tipo de operación indicado por el registro. El valor de 18 indica un evento relacionado con una actividad enumerada en la sección de actividades de cmdlets de eDiscovery . Un valor de 24 indica un evento relacionado con una actividad que se muestra en la sección Búsqueda y visualización de actividades de eDiscovery . |
ResultStatus |
Indica si la acción (especificada en la propiedad Operation) se completó correctamente o no. |
SecurityComplianceCenterEventType |
Indica que la actividad era un evento del portal de cumplimiento. Todas las actividades de eDiscovery tendrán un valor de 0 para esta propiedad. |
SharepointLocations |
Los sitios de SharePoint Online que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos. |
StartTime |
Fecha y hora de la hora universal coordinada (UTC) cuando se inició la actividad de exhibición de documentos electrónicos. |
UserId |
El usuario que realizó la actividad (especificada en la propiedad Operation) que provocó que se registrara el registro. Los registros de la actividad de exhibición de documentos electrónicos realizadas por cuentas del sistema (como NT AUTHORITY\SYSTEM) también se incluyen en el registro de auditoría. |
UserKey |
Un id. alternativo para el usuario identificado en la propiedad id. de usuario. En el caso de las actividades de eDiscovery, el valor de esta propiedad suele ser el mismo que la propiedad UserId. |
UserServicePlan |
La suscripción que usa la organización. En el caso de las actividades de exhibición de documentos electrónicos, esta propiedad suele estar en blanco. |
UserType |
El tipo de usuario que llevó a cabo la operación. Los siguientes valores indican el tipo de usuario. 0 Un usuario normal. 2 Administrador de la organización. 3 Una cuenta de sistema de centro de datos o administrador del centro de datos de Microsoft. 4 Una cuenta del sistema. 5 Una aplicación. 6 Una entidad de servicio. |
Versión |
Indica el número de versión de la actividad (identificada por la propiedad Operation) que se registra. |
Carga de trabajo |
El servicio donde se produjo la actividad. Para las actividades de eDiscovery, el valor es SecurityComplianceCenter. |