監査ログで電子情報開示アクティビティを検索する
ヒント
新しい Microsoft Purview ポータルで電子情報開示 (プレビュー) を使用できるようになりました。 新しい電子情報開示エクスペリエンスの使用の詳細については、「電子 情報開示 (プレビュー)」を参照してください。
コンテンツ検索および電子情報開示に関連するアクティビティ (Microsoft Purview eDiscovery (Standard) および Microsoft Purview eDiscovery (Premium) の場合)、Microsoft Purview コンプライアンス ポータルまたは対応する PowerShell コマンドレットを実行して実行するは監査ログに記録されます。 イベントは、管理者または電子情報開示マネージャー (または電子情報開示アクセス許可が割り当てられたユーザー) がコンプライアンス ポータルで次のコンテンツ検索および電子情報開示 (標準) タスクを実行すると記録されます。
- 電子情報開示 (Standard) と電子情報開示 (Premium) ケースの作成と管理。
- コンテンツ検索の作成、開始、編集。
- 検索結果のプレビュー、エクスポート、削除などの検索アクションの実行。
- 電子情報開示 (Premium) でのカストディアンとレビュー セットの管理。
- コンテンツ検索のアクセス許可フィルターの構成。
- 電子情報開示管理者ロールの管理。
監査ログの検索、必要なアクセス許可、検索結果のエクスポートの詳細については、「 監査ログの検索」を参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
電子情報開示アクティビティを検索して表示する方法
現在、監査ログに記録された電子情報開示アクティビティを表示するには、いくつかの特定の操作を実行する必要があります。 次の操作を実行してください。
注:
期間限定で、この従来の電子情報開示エクスペリエンスは、新しい Microsoft Purview ポータルでも利用できます。 電子情報開示 (プレビュー) エクスペリエンス設定でコンプライアンス ポータルのクラシック電子情報開示エクスペリエンスを有効にして、新しい Microsoft Purview ポータルにクラシック エクスペリエンスを表示します。
Microsoft Purview コンプライアンス ポータルに移動し、職場または学校アカウントを使用してサインインします。
コンプライアンス ポータルの左側のナビゲーション ウィンドウで、[監査] を選択 します。
[ アクティビティ ] ドロップダウン リストの [ 電子情報開示アクティビティ ] または [ 電子情報開示 (Premium) アクティビティ] で、検索する 1 つ以上のアクティビティを選択します。
注:
[ アクティビティ] ドロップダウン リストには、コマンドレット監査ログからレコードを返す 電子情報開示コマンドレット アクティビティ という名前のアクティビティのグループも含まれています。
日付と時間の範囲を選択します。その期間内に発生した電子情報開示イベントが表示されます。
[ユーザー] ボックスで、検索結果を表示する 1 人以上のユーザーを選択します。 すべてのユーザーのエントリを返すには、このボックスを空白のままにします。
[検索] を選択して、検索条件を使用して検索を実行します。
検索結果が表示されたら、[フィルター 結果] を 選択して、結果のアクティビティ レコードをフィルター処理または並べ替えることができます。 残念ながら、フィルターを使用して、特定のアクティビティを明示的に除外することはできません。
アクティビティの詳細を表示するには、検索結果の一覧でアクティビティ レコードを選択します。
イベント レコードの詳細なプロパティが記載された [詳細] スライド アウト ページが表示されます。 追加の詳細を表示するには、[ 詳細情報] を選択します。 これらのプロパティの説明については、「電子情報開示アクティビティの詳細なプロパティ」セクションを参照してください。
必要に応じて、監査ログの検索結果を CSV ファイルにエクスポートし、Excel Power Query機能を使用して、これらのレコードの書式設定とフィルター処理を行うことができます。 詳細については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。
電子情報開示アクティビティ
次の表では、管理者または電子情報開示マネージャーがコンプライアンス ポータルを使用して電子情報開示関連のアクティビティを実行したときに記録されるコンテンツ検索および電子情報開示 (標準) アクティビティについて説明します。 この一覧でアクティビティを検索すると、電子情報開示 (Premium) で実行された一部のアクティビティが返される場合があります。
注:
このセクションに示されている電子情報開示アクティビティは、次のセクションで説明される電子情報開示コマンドレットのアクティビティと同様の情報を示しています。 電子情報開示アクティビティは 30 分以内に監査ログの検索結果に表示されるため、このセクションで示されている電子情報開示アクティビティを使用することをお勧めします。 電子情報開示コマンドレットのアクティビティが監査ログの検索結果に表示されるまでに最大 24 時間かかることがあります。
| フレンドリ名 | 操作名 | 対応するコマンドレット | 説明 |
|---|---|---|---|
| 電子情報開示ケースにメンバーが追加されました |
CaseMemberAdded |
Add-ComplianceCaseMember |
ユーザーが電子情報開示ケースのメンバーとして追加されました。 ユーザーはケースのメンバーとして、必要なアクセス許可が割り当てられているかどうかに応じて、ケースに関連するさまざまなタスクを実行できます。 |
| コンテンツ検索が変更されました |
SearchUpdated |
Set-ComplianceSearch |
既存のコンテンツの検索が変更されました。 変更としては、コンテンツの場所の追加または削除、検索クエリの編集などがあります。 |
| 電子情報開示管理者のメンバーシップが変更されました |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
組織の電子情報開示管理者のリストが変更されました。 このアクティビティは、電子情報開示管理者が新しいユーザーのグループに置き換えられた場合にログに記録されます。 1 人のユーザーが追加または削除されると、CaseAdminAdded の操作がログに記録されます。 |
| 電子情報開示ケースが変更されました |
CaseUpdated |
Set-ComplianceCase |
電子情報開示ケースが変更されました。 変更としては、開いているケースを閉じる、閉じたケースを再度開くなどがあります。 |
| 電子情報開示ケースのメンバーシップが変更されました |
CaseMemberUpdated |
Update-ComplianceCaseMember |
電子情報開示ケースのメンバーシップ リストが変更されました。 このアクティビティは、すべてのメンバーが新しいユーザーのグループに置き換えられたときにログに記録されます。 単一のメンバーが追加または削除されると、CaseMemberAdded または CaseMemberRemoved 操作がログに記録されます。 |
| 検索のアクセス許可フィルターが変更されました |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
検索のアクセス許可フィルターが変更されました。 |
| 電子情報開示ケースの保留に対する検索クエリが変更されました |
HoldUpdated |
Set-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が変更されました。 発生する可能性のある変更としては、クエリの編集、クエリベースの保留の日付範囲の編集があります。 |
| コンテンツ検索のプレビュー アイテムがダウンロードされました |
PreviewItemDownloaded |
該当なし |
ユーザーは、検索結果をプレビューするときに ([ 元のアイテムのダウンロード ] リンクを選択して) ローカル コンピューターにアイテムをダウンロードしました。 |
| コンテンツ検索のプレビュー アイテムが一覧されました |
PreviewItemListed |
該当なし |
ユーザーが [プレビュー検索結果 ] を選択してプレビュー検索結果ページを表示し、検索結果から最大 1,000 個の項目を一覧表示します。 |
| コンテンツ検索が作成されました |
SearchCreated |
New-ComplianceSearch |
新しいコンテンツ検索が作成されました。 |
| 電子情報開示管理者が作成されました |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
ユーザーが、組織の電子情報開示管理者として追加されました。 |
| 電子情報開示ケースが作成されました |
CaseAdded |
New-ComplianceCase |
電子情報開示ケースが作成されました。 ケースを作成する際に必要な操作は、名前を付けることだけです。 メンバーの追加、保留の作成、ケースに関連付けられたコンテンツ検索の作成などの他のケース関連のタスクにより、追加のイベントがログに記録されます。 |
| 検索のアクセス許可フィルターが作成されました |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
検索のアクセス許可フィルターが作成されました。 |
| 電子情報開示ケースの保留に対する検索クエリが作成されました |
HoldCreated |
New-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が作成されました。 |
| コンテンツ検索が削除されました |
SearchRemoved |
Remove-ComplianceSearch |
既存のコンテンツ検索が削除されました。 |
| 電子情報開示管理者が削除されました |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
電子情報開示管理者が組織から削除されました。 |
| 電子情報開示ケースが削除されました |
CaseRemoved |
Remove-ComplianceCase |
電子情報開示ケースが削除されました。 ケースを削除する前に、ケースに関連付けられた保留をすべて削除する必要があります。 |
| 検索のアクセス許可フィルターが削除されました |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
検索のアクセス許可フィルターが削除されました。 |
| 電子情報開示ケースの保留に対する検索クエリが削除されました |
HoldRemoved |
Remove-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が削除されました。 多くの場合、保留リストからのクエリの削除は、保留を削除した結果として発生します。 保留または保留クエリを削除する場合、保留中だったコンテンツの場所は解放されます。 |
| コンテンツ検索のエクスポートがダウンロードされました |
SearchExportDownloaded |
該当なし |
ユーザーがコンテンツ検索の結果をローカル コンピューターにダウンロードしました。 検索結果をダウンロードするには、コンテンツ検索のエクスポートが開始されましたのアクティビティを開始している必要があります。 |
| コンテンツ検索の結果がプレビューされました |
SearchPreviewed |
該当なし |
ユーザーがコンテンツ検索の結果をプレビューしました。 |
| コンテンツ検索の結果が消去されました |
SearchResultsPurged |
New-ComplianceSearchAction |
ユーザーは 、New-ComplianceSearchAction -Purge コマンドを実行して、コンテンツ検索の結果を消去しました。 |
| コンテンツ検索の分析が削除されました |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
コンテンツ検索準備アクション (電子情報開示 (Premium) の検索結果を準備する) が削除されました。 準備アクションが 2 週間未満の場合は、電子情報開示 (Premium) 用に準備された検索結果が Microsoft Azure ストレージ領域から削除されました。 準備アクションが 2 週間以上経過している場合は、このイベントは、対応する準備アクションのみが削除されたことを示しています。 |
| コンテンツ結果のエクスポートが削除されました |
RemovedSearchExported |
Remove-ComplianceSearchAction |
コンテンツ検索のエクスポート アクションは削除されました。 エクスポート アクションから 2 週間経っていない場合は、Microsoft Azure 記憶域にアップロードされた検索結果は削除されています。 エクスポート アクションが 2 週間以上経過している場合は、このイベントは、対応するエクスポート アクションのみが削除されたことを示しています。 |
| 電子情報開示ケースからメンバーが削除されました |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
ユーザーが、電子情報開示ケースのメンバーから削除されました。 |
| コンテンツ検索の結果のプレビューが削除されました |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
コンテンツ検索のプレビュー アクションが削除されました。 |
| コンテンツ検索で実行された消去アクションが削除されました |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
コンテンツ検索の消去アクションが削除されました。 |
| 検索レポートが削除されました |
SearchReportRemoved |
Remove-ComplianceSearchAction |
コンテンツ検索のエクスポート レポート アクションが削除されました。 |
| コンテンツ検索の分析が開始されました |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
コンテンツ検索の結果は、電子情報開示 (Premium) で分析するために準備されました。 |
| コンテンツ検索が開始されました |
SearchStarted |
Start-ComplianceSearch |
コンテンツ検索が開始されました。 コンプライアンス ポータルを使用してコンテンツ検索を作成または変更すると、検索が自動的に開始されます。 |
| コンテンツ検索のエクスポートが開始されました |
SearchExported |
New-ComplianceSearchAction |
ユーザーがコンテンツ検索の結果をエクスポートしました。 |
| レポートのエクスポートが開始されました |
SearchReport |
New-ComplianceSearchAction |
ユーザーがコンテンツ検索レポートをエクスポートしました。 |
| コンテンツ検索が停止されました |
SearchStopped |
Stop-ComplianceSearch |
ユーザーがコンテンツ検索を停止しました。 |
| (なし) | CaseViewed | Get-ComplianceCase | ユーザーがコンプライアンス ポータルで電子情報開示 (Standard) ケースを表示しました。 このイベントの監査レコードには、表示されたケースの名前が含まれます。 |
| (なし) | SearchViewed | Get-ComplianceSearch | ユーザーがコンプライアンス ポータルでコンテンツ検索を表示した場合は、電子情報開示 (標準) ケースの [ 検索 ] タブで検索にアクセスするか 、コンテンツ検索 ページでアクセスします。 このイベントの監査レコードには、表示された検索の ID が含まれます。 |
| (なし) | ViewedSearchExported | Get-ComplianceSearchAction -Export | ユーザーがコンプライアンス ポータルでコンテンツ検索エクスポートを表示した場合は、[コンテンツ検索] ページの [エクスポート] タブでエクスポートにアクセスします。 このアクティビティは、ユーザーが電子情報開示 (Standard) ケースに関連付けられているエクスポートを表示したときにもログに記録されます。 |
| (なし) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | ユーザーがコンプライアンス ポータルでコンテンツ検索の結果をプレビューしました。 このアクティビティは、電子情報開示 (Standard) ケースに関連付けられている検索の結果をユーザーがプレビューしたときにも記録されます。 |
電子情報開示 (プレミアム) のアクティビティ
次の表では、監査ログに記録される電子情報開示 (Premium) アクティビティについて説明します。 これらのアクティビティを使用すると、電子情報開示 (Premium) ケースでのアクティビティの進行状況を追跡するのに役立ちます。
| フレンドリ名 | 操作名 | 説明 |
|---|---|---|
| 別のレビュー セットへのデータの追加 | AddWorkingSetQueryToWorkingSet | ユーザーが、1つのレビュー セットから別のレビュー セットにドキュメントを追加しました。 |
| レビュー セットへのデータの追加 | AddQueryToWorkingSet | ユーザーは、電子情報開示 (Premium) ケースに関連付けられているコンテンツ検索の検索結果をレビュー セットに追加しました。 |
| Microsoft 365 以外のデータのレビュー セットへの追加 | AddNonOffice365DataToWorkingSet | ユーザーが、Microsoft 365 以外のデータをレビュー セットに追加しました。 |
| レビュー セットへの修復済みドキュメントの追加 | AddRemediatedData | ユーザーが、インデックス作成エラーがあったドキュメントを修復したものをレビュー セットにアップロードしました。 |
| レビュー セット内のデータの分析 | RunAlgo | ユーザーは、レビュー セット内のドキュメントに対して分析を実行しました。 |
| レビュー セット内ドキュメントへの注釈付け | AnnotateDocument | ユーザーが、レビュー セット内のドキュメントに注釈を付けました。 注釈付けには、ドキュメントのコンテンツの編集が含まれます。 |
| 読み込みセットの比較 | LoadComparisonJob | ユーザーが、レビュー セット内の 2 つの異なる読み込みセットを比較しました。 読み込みセットは、ケースに関連付けられているコンテンツ検索からのデータがレビュー セットに追加されたときに比較されます。 |
| 編集されたドキュメントの PDF への変換 | BurnJob | ユーザーが、レビュー セット内のすべての編集されたドキュメントを PDF ファイルに変換しました。 |
| レビュー セットの作成 | CreateWorkingSet | ユーザーがレビュー セットを作成しました。 |
| レビュー セット検索の作成 | CreateWorkingSetSearch | ユーザーが、レビュー セット内のドキュメントを検索する検索クエリを作成しました。 |
| タグの作成 | CreateTag | ユーザーが、レビュー セット内でタグ グループを作成しました。 タグ グループには、1つまたは複数の子タグを含めることができます。 これらのタグは、レビュー セット内のドキュメントへのタグ付けに使用されます。 |
| レビュー セット検索の削除 | DeleteWorkingSetSearch | ユーザーが、レビュー セット内の検索クエリを削除しました。 |
| タグの削除 | DeleteTag | ユーザーが、レビュー セット内のタグまたはタグ グループを削除しました。 |
| ダウンロードしたドキュメント | DownloadDocument | ユーザーが、レビュー セットからドキュメントをダウンロードしました。 |
| タグの編集 | UpdateTag | ユーザーが、レビュー セット内のタグを変更しました。 |
| レビュー セットからのドキュメントのエクスポート | ExportJob | ユーザーが、レビュー セットからドキュメントをエクスポートしました。 |
| ケースの設定の変更 | UpdateCaseSettings | ユーザーがケースの設定を変更しました。 ケースの設定には、ケース情報、アクセス許可、検索と分析の動作を制御する設定などがあります。 |
| レビュー セット検索の変更 | UpdateWorkingSetSearch | ユーザーが、レビュー セット内の検索クエリを編集しました。 |
| レビュー セット検索のプレビュー | PreviewWorkingSetSearch | ユーザーが、レビュー セット内で検索クエリの結果をプレビューしました。 |
| エラー ドキュメントの修復 | ErrorRemediationJob | ユーザーが、インデックス作成エラーを含むファイルを修正しました。 |
| ドキュメントのタグ付け | TagFiles | ユーザーが、レビュー セット内のドキュメントにタグを付けました。 |
| クエリ結果のタグ付け | TagJob | ユーザーが、レビュー セット内の、検索クエリの条件に一致するすべてのドキュメントにタグを付けました。 |
| レビュー セット内ドキュメントの表示 | ViewDocument | ユーザーが、レビュー セット内のドキュメントを表示しました。 |
電子情報開示コマンドレットのアクティビティ
次の表に、管理者またはユーザーがコンプライアンス ポータルを使用するか、Security & Compliance PowerShell で対応するコマンドレットを実行して電子情報開示関連のアクティビティを実行したときに記録されるコマンドレット監査ログ レコードの一覧を示します。 監査ログ レコードの詳細情報は、この表に一覧されているコマンドレットのアクティビティとは異なります。電子情報開示アクティビティは、前述のセクションに示されています。
前述のように、電子情報開示コマンドレットのアクティビティが監査ログの検索結果に表示されるまでに最大 24 時間かかることがあります。
ヒント
次の表の「操作」列のコマンドレットは、TechNet の対応するコマンドレットのヘルプ トピックにリンクされています。 各コマンドレットに使用可能なパラメーターの説明については、コマンドレットのヘルプ トピックを参照してください。 コマンドレットで使用されたパラメーターとパラメーター値は、ログに記録された、各電子情報開示コマンドレッド アクティビティの監査ログ エントリに含まれています。
| フレンドリ名 | 操作 (コマンドレット) | 説明 |
|---|---|---|
| 電子情報開示ケースで保留が作成されました |
New-CaseHoldPolicy |
電子情報開示ケースの保留が作成されました。 保留は、コンテンツ ソースを指定してもしなくても作成できます。 コンテンツ ソースを指定すると、監査ログ エントリで識別されます。 |
| 電子情報開示ケースから保留が削除されました |
Remove-CaseHoldPolicy |
電子情報開示ケースに関連付けられた保留が削除されました。 保留を削除すると、コンテンツのすべての場所が保留から解放されます。 また、保留を削除すると、その保留に関連付けられたケースの保留ルールも削除されます (下記の Remove-CaseHoldRule を参照)。 |
| 電子情報開示ケースで保留が変更されました |
Set-CaseHoldPolicy |
電子情報開示ケースに関連付けられた保留が変更されました。 発生する可能性のある変更としては、コンテンツの場所の追加または削除、保留のオフ (無効化) があります。 |
| 電子情報開示ケースの保留に対する検索クエリが作成されました |
New-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が作成されました。 |
| 電子情報開示ケースの保留に対する検索クエリが削除されました |
Remove-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が削除されました。 多くの場合、保留リストからのクエリの削除は、保留を削除した結果として発生します。 保留または保留クエリを削除する場合、保留中だったコンテンツの場所は解放されます。 |
| 電子情報開示ケースの保留に対する検索クエリが変更されました |
Set-CaseHoldRule |
電子情報開示ケースに関連付けられたクエリベースの保留が変更されました。 発生する可能性のある変更としては、クエリの編集、クエリベースの保留の日付範囲の編集があります。 |
| 電子情報開示ケースが作成されました |
New-ComplianceCase |
電子情報開示ケースが作成されました。 ケースを作成する際に必要な操作は、名前を付けることだけです。 メンバーの追加、保留の作成、ケースに関連付けられたコンテンツ検索の作成などの他のケース関連のタスクにより、追加のイベントがログに記録されます。 |
| 電子情報開示ケースが削除されました |
Remove-ComplianceCase |
電子情報開示ケースが削除されました。 ケースを削除する前に、ケースに関連付けられた保留をすべて削除する必要があります。 |
| 電子情報開示ケースが変更されました |
Set-ComplianceCase |
電子情報開示ケースが変更されました。 変更としては、開いているケースを閉じる、閉じたケースを再度開くなどがあります。 |
| 電子情報開示ケースにメンバーが追加されました |
Add-ComplianceCaseMember |
ユーザーが電子情報開示ケースのメンバーとして追加されました。 ユーザーはケースのメンバーとして、必要なアクセス許可が割り当てられているかどうかに応じて、ケースに関連するさまざまなタスクを実行できます。 |
| 電子情報開示ケースからメンバーが削除されました |
Remove-ComplianceCaseMember |
ユーザーが、電子情報開示ケースのメンバーから削除されました。 |
| 電子情報開示ケースのメンバーシップが変更されました |
Update-ComplianceCaseMember |
電子情報開示ケースのメンバーシップ リストが変更されました。 このアクティビティは、すべてのメンバーが新しいユーザーのグループに置き換えられたときにログに記録されます。 1 人のメンバーが追加または削除されると、Add-ComplianceCaseMember または Remove-ComplianceCaseMember 操作がログに記録されます。 |
| コンテンツ検索が作成されました |
New-ComplianceSearch |
新しいコンテンツ検索が作成されました。 |
| コンテンツ検索が削除されました |
Remove-ComplianceSearch |
既存のコンテンツ検索が削除されました。 |
| コンテンツ検索が変更されました |
Set-ComplianceSearch |
既存のコンテンツの検索が変更されました。 変更としては、検索されるコンテンツの場所の追加または削除、検索クエリの編集などがあります。 |
| コンテンツ検索が開始されました |
Start-ComplianceSearch |
コンテンツ検索が開始されました。 コンプライアンス ポータル GUI を使用してコンテンツ検索を作成または変更すると、検索が自動的に開始されます。
New-ComplianceSearch または Set-ComplianceSearch コマンドレットを使用して検索を作成または変更する場合、Start-ComplianceSearch コマンドレットを実行して検索を開始する必要があります。 |
| コンテンツ検索が停止されました |
Stop-ComplianceSearch |
実行中だったコンテンツ検索が停止されました。 |
| コンテンツ検索アクションが作成されました |
New-ComplianceSearchAction |
コンテンツ検索アクションが作成されました。 コンテンツ検索アクションには、検索結果のプレビュー、検索結果のエクスポート、電子情報開示 (Premium) での分析のための検索結果の準備、コンテンツ検索の検索条件に一致するアイテムの完全な削除が含まれます。 |
| コンテンツ検索アクションが削除されました |
Remove-ComplianceSearchAction |
コンテンツ検索アクションが削除されました。 |
| 検索のアクセス許可フィルターが作成されました |
New-ComplianceSecurityFilter |
検索のアクセス許可フィルターが作成されました。 |
| 検索のアクセス許可フィルターが削除されました |
Remove-ComplianceSecurityFilter |
検索のアクセス許可フィルターが削除されました。 |
| 検索のアクセス許可フィルターが変更されました |
Set-ComplianceSecurityFilter |
検索のアクセス許可フィルターが変更されました。 |
| 電子情報開示管理者が作成されました |
Add-eDiscoveryCaseAdmin |
ユーザーが、組織の電子情報開示管理者として追加されました。 |
| 電子情報開示管理者が削除されました |
Remove-eDiscoveryCaseAdmin |
電子情報開示管理者が組織から削除されました。 |
| 電子情報開示管理者のメンバーシップが変更されました |
Update-eDiscoveryCaseAdmin |
組織の電子情報開示管理者のリストが変更されました。 このアクティビティは、電子情報開示管理者が新しいユーザーのグループに置き換えられた場合にログに記録されます。 1 人のユーザーが追加または削除された場合、Add-eDiscoveryCaseAdmin または Remove-eDiscoveryCaseAdmin 操作がログに記録されます。 |
| (なし) |
Get-ComplianceCase |
このアクティビティは、ユーザーが電子情報開示 (Standard) または電子情報開示 (Premium) ケースの一覧を表示したときに記録されます。 このアクティビティは、ユーザーが電子情報開示 (Standard) で特定のケースを表示したときにもログに記録されます。 ユーザーが特定のケースを表示すると、監査レコードには、表示されたケースの ID が含まれます。 ユーザーがケースの一覧のみを表示した場合、監査レコードにはケース ID は含まれません。 |
| (なし) | Get-ComplianceSearch | このアクティビティは、ユーザーが電子情報開示 (Standard) ケースに関連付けられているコンテンツ検索または検索の一覧を表示したときに記録されます。 このアクティビティは、ユーザーが特定のコンテンツ検索を表示したり、電子情報開示 (標準) ケースに関連付けられた特定の検索を表示したりしたときにもログに記録されます。 ユーザーが特定の検索を表示すると、監査レコードには、表示された検索の ID が含まれます。 ユーザーが検索の一覧のみを表示した場合、監査レコードには検索 ID は含まれません。 |
| (なし) | Get-ComplianceSearchAction | このアクティビティは、ユーザーがコンプライアンス検索アクション (エクスポート、プレビュー、消去など) または電子情報開示 (Standard) ケースに関連付けられているアクションの一覧を表示したときに記録されます。 このアクティビティは、ユーザーが特定のコンプライアンス検索アクション (エクスポートなど) を表示したり、電子情報開示 (Standard) ケースに関連付けられた特定のアクションを表示したりしたときにもログに記録されます。 ユーザーが検索アクションを表示すると、監査レコードには、表示された検索アクションの ID が含まれます。 ユーザーがアクションの一覧のみを表示した場合、監査レコードにはアクション ID は含まれません。 |
電子情報開示アクティビティの詳細なプロパティ
次の表では、検索結果に表示される電子情報開示アクティビティのポップアップ ページに含まれるプロパティについて説明します。 これらのプロパティは、監査ログの検索結果をエクスポートしたときに、CSV ファイルにも含まれます。 電子情報開示アクティビティの監査ログ記録には、以下にリストされている詳細なプロパティがすべて含まれているわけではありません。
ヒント
検索結果をエクスポートすると、CSV ファイルには AudtiData という名前の列が含まれます。この列には、複数値プロパティの次の表で説明されている詳細なプロパティが含まれています。 Excel の Power Query 機能を使用して、この列を複数の列に分割して、プロパティごとに個別の列を設定することができます。 このようにすると、これらの 1 つ以上のプロパティで並べ替えやフィルター処理を行うことができます。 詳細については、「監査ログの検索」を参照してください。
| プロパティ | 説明 |
|---|---|
| ケース |
作成、変更、または削除された電子情報開示ケースの ID (GUID)。 |
| ClientApplication |
電子情報開示アクティビティ コマンドレッドは、このプロパティの値が EMC です。 これは、コンプライアンス ポータル GUI を使用するか、PowerShell でコマンドレットを実行してアクティビティが実行されたことを示します。 |
| ClientIP |
アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
| ClientRequestId |
電子情報開示アクティビティの場合、このプロパティは通常空白です。 |
| CmdletVersion |
organizationで実行されているコンプライアンス ポータルのバージョンのビルド番号。 |
| CreationTime |
電子情報開示アクティビティが実行されたときの協定世界時 (UTC) の日付と時刻。 |
| EffectiveOrganization |
Microsoft 365 organizationの名前。 |
| ExchangeLocations |
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている Exchange Online のメールボックス。 |
| Exclusions |
コンテンツ検索または電子情報開示ケースの保留から除外されているメールボックスまたはサイトの場所。 |
| ExtendedProperties |
アクティビティが実行されたときに使用されたオブジェクト GUID、対応するコマンドレット、コマンドレット パラメーターなど、コンテンツ検索、コンテンツ検索アクション、または電子情報開示ケースの保留の追加プロパティ。 |
| ID |
レポート エントリの ID。 ID は、監査ログ エントリを一意に識別します。 |
| NonPIIParameters |
Operation プロパティで識別されるコマンドレットで使用されたパラメーターの一覧 (値はリストされません)。 このプロパティにリストされるパラメーターは、Parameters プロパティでリストされるパラメーターと同じです。 |
| ObjectId |
Operation プロパティに一覧表示されているアクティビティによって作成、アクセス、変更、または削除されたオブジェクトの GUID または名前 (コンテンツ検索や電子情報開示 (標準) ケースなど)。 また、このオブジェクトは、監査ログの検索結果のアイテム列でも識別されます。 |
| ObjectType |
ユーザーが作成、削除、変更した電子情報開示オブジェクトの種類。たとえば、コンテンツ検索アクション (プレビュー、エクスポート、または消去)、電子情報開示ケース、またはコンテンツ検索。 |
| Operation |
実行された電子情報開示アクティビティに対応する操作の名前。 |
| OrganizationId |
Microsoft 365 組織の GUID。 |
| パラメーター |
対応するコマンドレットで使用されたパラメーターの名前と値。 |
| PublicFolderLocations |
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている Exchange Online のパブリック フォルダーの場所。 |
| Query |
コンテンツ検索やクエリ ベース保留など、アクティビティに関連付けられた検索クエリ。 |
| RecordType |
レコードによって示される操作の種類。 値 18 は、「電子情報開示コマンドレットのアクティビティ」セクションに一覧されているアクティビティに関連するイベントを示しています。 値 24 は、「電子情報開示のアクティビティ」セクションに一覧されているアクティビティに関連するイベントを示しています。 |
| ResultStatus |
(Operation プロパティで指定された) アクションが正常に終了したかどうかどうかを示します。 |
| SecurityComplianceCenterEventType |
アクティビティがコンプライアンス ポータル イベントであることを示します。 電子情報開示アクティビティはすべて、このプロパティの値が 0 です。 |
| SharepointLocations |
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている SharePoint Online サイト。 |
| StartTime |
電子情報開示アクティビティが開始されたときの協定世界時 (UTC) の日付と時刻。 |
| UserId |
結果としてログ記録されているレコードが生成されたアクティビティ (Operation プロパティで指定された) を実行したユーザー。 システム アカウント (NT AUTHORITY\SYSTEM など) によって実行された電子情報開示アクティビティのレコードも監査ログに含まれます。 |
| UserKey |
UserId プロパティで識別されるユーザーの別の ID。 電子情報開示アクティビティの場合、このプロパティの値は通常、UserId プロパティと同じです。 |
| UserServicePlan |
organizationによって使用されるサブスクリプション。 電子情報開示アクティビティの場合、このプロパティは通常空白です。 |
| UserType |
操作を実行したユーザーの種類。 次の値は、ユーザーの種類を示しています。 0 通常のユーザー。 2 organizationの管理者。 3 Microsoft データセンター管理者またはデータセンター システム アカウント。 4 システム アカウント。 5 アプリケーション。 6 サービス プリンシパル。 |
| バージョン |
ログに記録されるアクティビティ (Operation プロパティで識別) のバージョン番号を示します。 |
| Workload |
アクティビティが発生したサービス。 電子情報開示アクティビティの場合、この値は、SecurityComplianceCenter です。 |