次の方法で共有


監査ログで電子情報開示アクティビティを検索する

ヒント

新しい Microsoft Purview ポータルで電子情報開示 (プレビュー) を使用できるようになりました。 新しい電子情報開示エクスペリエンスの使用の詳細については、「電子 情報開示 (プレビュー)」を参照してください。

Microsoft Purview コンプライアンス ポータルで実行されるコンテンツ検索および電子情報開示関連のアクティビティ (Microsoft Purview eDiscovery (Standard) とMicrosoft Purview eDiscovery (Premium))または、対応する PowerShell コマンドレットを実行すると、監査ログに記録されます。 イベントは、管理者または電子情報開示マネージャー (または電子情報開示アクセス許可が割り当てられたユーザー) がコンプライアンス ポータルで次のコンテンツ検索および電子情報開示 (Standard) タスクを実行すると記録されます。

  • 電子情報開示 (Standard) と電子情報開示 (Premium) ケースの作成と管理。
  • コンテンツ検索の作成、開始、編集。
  • 検索結果のプレビュー、エクスポート、削除などの検索アクションの実行。
  • 電子情報開示 (Premium) でのカストディアンとレビュー セットの管理。
  • コンテンツ検索のアクセス許可フィルターの構成。
  • 電子情報開示管理者ロールの管理。

監査ログの検索、必要なアクセス許可、検索結果のエクスポートの詳細については、「 監査ログの検索」を参照してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。

電子情報開示アクティビティを検索して表示する方法

現在、監査ログに記録された電子情報開示アクティビティを表示するには、いくつかの特定の操作を実行する必要があります。 次の操作を実行してください。

注:

期間限定で、この従来の電子情報開示エクスペリエンスは、新しい Microsoft Purview ポータルでも利用できます。 電子情報開示 (プレビュー) エクスペリエンス設定コンプライアンス ポータルのクラシック電子情報開示エクスペリエンスを有効にして、新しい Microsoft Purview ポータルにクラシック エクスペリエンスを表示します。

  1. Microsoft Purview コンプライアンス ポータルに移動し、職場または学校アカウントを使用してサインインします。

  2. コンプライアンス ポータルの左側のナビゲーション ウィンドウで、[監査] を選択 します

  3. [ アクティビティ ] ドロップダウン リストの [ 電子情報開示アクティビティ ] または [ 電子情報開示 (Premium) アクティビティ] で、検索する 1 つ以上のアクティビティを選択します。

    注:

    [ アクティビティ] ドロップダウン リストには、コマンドレット監査ログからレコードを返す 電子情報開示コマンドレット アクティビティ という名前のアクティビティのグループも含まれています。

  4. 日付と時間の範囲を選択します。その期間内に発生した電子情報開示イベントが表示されます。

  5. [ユーザー] ボックスで、検索結果を表示する 1 人以上のユーザーを選択します。 すべてのユーザーのエントリを返すには、このボックスを空白のままにします。

  6. [検索] を選択して、検索条件を使用して検索を実行します。

  7. 検索結果が表示されたら、[フィルター 結果] を 選択して、結果のアクティビティ レコードをフィルター処理または並べ替えることができます。 残念ながら、フィルターを使用して、特定のアクティビティを明示的に除外することはできません。

  8. アクティビティの詳細を表示するには、検索結果の一覧でアクティビティ レコードを選択します。

    イベント レコードの詳細なプロパティが記載された [詳細] スライド アウト ページが表示されます。 追加の詳細を表示するには、[ 詳細情報] を選択します。 これらのプロパティの説明については、「電子情報開示アクティビティの詳細なプロパティ」セクションを参照してください。

  9. 必要に応じて、監査ログの検索結果を CSV ファイルにエクスポートし、Excel Power Query機能を使用して、これらのレコードの書式設定とフィルター処理を行うことができます。 詳細については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。

電子情報開示アクティビティ

次の表では、管理者または電子情報開示マネージャーがコンプライアンス ポータルを使用して電子情報開示関連のアクティビティを実行したときに記録されるコンテンツ検索および電子情報開示 (Standard) アクティビティについて説明します。 この一覧でアクティビティを検索すると、電子情報開示 (Premium) で実行された一部のアクティビティが返される場合があります。

注:

このセクションに示されている電子情報開示アクティビティは、次のセクションで説明される電子情報開示コマンドレットのアクティビティと同様の情報を示しています。 電子情報開示アクティビティは 30 分以内に監査ログの検索結果に表示されるため、このセクションで示されている電子情報開示アクティビティを使用することをお勧めします。 電子情報開示コマンドレットのアクティビティが監査ログの検索結果に表示されるまでに最大 24 時間かかることがあります。

フレンドリ名 操作名 対応するコマンドレット 説明
電子情報開示ケースにメンバーが追加されました
CaseMemberAdded
Add-ComplianceCaseMember
ユーザーが電子情報開示ケースのメンバーとして追加されました。 ユーザーはケースのメンバーとして、必要なアクセス許可が割り当てられているかどうかに応じて、ケースに関連するさまざまなタスクを実行できます。
コンテンツ検索が変更されました
SearchUpdated
Set-ComplianceSearch
既存のコンテンツの検索が変更されました。 変更としては、コンテンツの場所の追加または削除、検索クエリの編集などがあります。
電子情報開示管理者のメンバーシップが変更されました
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
組織の電子情報開示管理者のリストが変更されました。 このアクティビティは、電子情報開示管理者が新しいユーザーのグループに置き換えられた場合にログに記録されます。 1 人のユーザーが追加または削除されると、CaseAdminAdded の操作がログに記録されます。
電子情報開示ケースが変更されました
CaseUpdated
Set-ComplianceCase
電子情報開示ケースが変更されました。 変更としては、開いているケースを閉じる、閉じたケースを再度開くなどがあります。
電子情報開示ケースのメンバーシップが変更されました
CaseMemberUpdated
Update-ComplianceCaseMember
電子情報開示ケースのメンバーシップ リストが変更されました。 このアクティビティは、すべてのメンバーが新しいユーザーのグループに置き換えられたときにログに記録されます。 単一のメンバーが追加または削除されると、CaseMemberAdded または CaseMemberRemoved 操作がログに記録されます。
検索のアクセス許可フィルターが変更されました
SearchPermissionUpdated
Set-ComplianceSecurityFilter
検索のアクセス許可フィルターが変更されました。
電子情報開示ケースの保留に対する検索クエリが変更されました
HoldUpdated
Set-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が変更されました。 発生する可能性のある変更としては、クエリの編集、クエリベースの保留の日付範囲の編集があります。
コンテンツ検索のプレビュー アイテムがダウンロードされました
PreviewItemDownloaded
該当なし
ユーザーは、検索結果をプレビューするときに ([ 元のアイテムのダウンロード ] リンクを選択して) ローカル コンピューターにアイテムをダウンロードしました。
コンテンツ検索のプレビュー アイテムが一覧されました
PreviewItemListed
該当なし
ユーザーが [プレビュー検索結果 ] を選択してプレビュー検索結果ページを表示し、検索結果から最大 1,000 個の項目を一覧表示します。
コンテンツ検索が作成されました
SearchCreated
New-ComplianceSearch
新しいコンテンツ検索が作成されました。
電子情報開示管理者が作成されました
CaseAdminAdded
Add-eDiscoveryCaseAdmin
ユーザーが、組織の電子情報開示管理者として追加されました。
電子情報開示ケースが作成されました
CaseAdded
New-ComplianceCase
電子情報開示ケースが作成されました。 ケースを作成する際に必要な操作は、名前を付けることだけです。 メンバーの追加、保留の作成、ケースに関連付けられたコンテンツ検索の作成などの他のケース関連のタスクにより、追加のイベントがログに記録されます。
検索のアクセス許可フィルターが作成されました
SearchPermissionCreated
New-ComplianceSecurityFilter
検索のアクセス許可フィルターが作成されました。
電子情報開示ケースの保留に対する検索クエリが作成されました
HoldCreated
New-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が作成されました。
コンテンツ検索が削除されました
SearchRemoved
Remove-ComplianceSearch
既存のコンテンツ検索が削除されました。
電子情報開示管理者が削除されました
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
電子情報開示管理者が組織から削除されました。
電子情報開示ケースが削除されました
CaseRemoved
Remove-ComplianceCase
電子情報開示ケースが削除されました。 ケースを削除する前に、ケースに関連付けられた保留をすべて削除する必要があります。
検索のアクセス許可フィルターが削除されました
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
検索のアクセス許可フィルターが削除されました。
電子情報開示ケースの保留に対する検索クエリが削除されました
HoldRemoved
Remove-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が削除されました。 多くの場合、保留リストからのクエリの削除は、保留を削除した結果として発生します。 保留または保留クエリを削除する場合、保留中だったコンテンツの場所は解放されます。
コンテンツ検索のエクスポートがダウンロードされました
SearchExportDownloaded
該当なし
ユーザーがコンテンツ検索の結果をローカル コンピューターにダウンロードしました。 検索結果をダウンロードするには、コンテンツ検索のエクスポートが開始されましたのアクティビティを開始している必要があります。
コンテンツ検索の結果がプレビューされました
SearchPreviewed
該当なし
ユーザーがコンテンツ検索の結果をプレビューしました。
コンテンツ検索の結果が消去されました
SearchResultsPurged
New-ComplianceSearchAction
ユーザーは 、New-ComplianceSearchAction -Purge コマンドを実行して、コンテンツ検索の結果を消去しました。
コンテンツ検索の分析が削除されました
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
コンテンツ検索準備アクション (電子情報開示 (Premium) の検索結果を準備する) が削除されました。 準備アクションが 2 週間未満の場合は、電子情報開示 (Premium) 用に準備された検索結果が Microsoft Azure ストレージ領域から削除されました。 準備アクションが 2 週間以上経過している場合は、このイベントは、対応する準備アクションのみが削除されたことを示しています。
コンテンツ結果のエクスポートが削除されました
RemovedSearchExported
Remove-ComplianceSearchAction
コンテンツ検索のエクスポート アクションは削除されました。 エクスポート アクションから 2 週間経っていない場合は、Microsoft Azure 記憶域にアップロードされた検索結果は削除されています。 エクスポート アクションが 2 週間以上経過している場合は、このイベントは、対応するエクスポート アクションのみが削除されたことを示しています。
電子情報開示ケースからメンバーが削除されました
CaseMemberRemoved
Remove-ComplianceCaseMember
ユーザーが、電子情報開示ケースのメンバーから削除されました。
コンテンツ検索の結果のプレビューが削除されました
RemovedSearchPreviewed
Remove-ComplianceSearchAction
コンテンツ検索のプレビュー アクションが削除されました。
コンテンツ検索で実行された消去アクションが削除されました
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
コンテンツ検索の消去アクションが削除されました。
検索レポートが削除されました
SearchReportRemoved
Remove-ComplianceSearchAction
コンテンツ検索のエクスポート レポート アクションが削除されました。
コンテンツ検索の分析が開始されました
SearchResultsSentToZoom
New-ComplianceSearchAction
コンテンツ検索の結果は、電子情報開示 (Premium) で分析するために準備されました。
コンテンツ検索が開始されました
SearchStarted
Start-ComplianceSearch
コンテンツ検索が開始されました。 コンプライアンス ポータルを使用してコンテンツ検索を作成または変更すると、検索が自動的に開始されます。
コンテンツ検索のエクスポートが開始されました
SearchExported
New-ComplianceSearchAction
ユーザーがコンテンツ検索の結果をエクスポートしました。
レポートのエクスポートが開始されました
SearchReport
New-ComplianceSearchAction
ユーザーがコンテンツ検索レポートをエクスポートしました。
コンテンツ検索が停止されました
SearchStopped
Stop-ComplianceSearch
ユーザーがコンテンツ検索を停止しました。
(なし) CaseViewed Get-ComplianceCase ユーザーがコンプライアンス ポータルで電子情報開示 (Standard) ケースを表示しました。 このイベントの監査レコードには、表示されたケースの名前が含まれます。
(なし) SearchViewed Get-ComplianceSearch ユーザーがコンプライアンス ポータルでコンテンツ検索を表示した場合は、電子情報開示 (Standard) ケースの [検索] タブの検索にアクセスするか、[コンテンツ検索] ページでアクセスします。 このイベントの監査レコードには、表示された検索の ID が含まれます。
(なし) ViewedSearchExported Get-ComplianceSearchAction -Export ユーザーがコンプライアンス ポータルでコンテンツ検索エクスポートを表示した場合は、[コンテンツ検索] ページの [エクスポート] タブでエクスポートにアクセスします。 このアクティビティは、電子情報開示 (Standard) ケースに関連付けられたエクスポートをユーザーが表示したときにもログに記録されます。
(なし) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview ユーザーがコンプライアンス ポータルでコンテンツ検索の結果をプレビューしました。 このアクティビティは、電子情報開示 (Standard) ケースに関連付けられている検索の結果をユーザーがプレビューしたときにも記録されます。

電子情報開示 (プレミアム) のアクティビティ

次の表では、監査ログに記録される電子情報開示 (Premium) アクティビティについて説明します。 これらのアクティビティを使用すると、電子情報開示 (Premium) ケースでのアクティビティの進行状況を追跡するのに役立ちます。

フレンドリ名 操作名 説明
別のレビュー セットへのデータの追加 AddWorkingSetQueryToWorkingSet ユーザーが、1つのレビュー セットから別のレビュー セットにドキュメントを追加しました。
レビュー セットへのデータの追加 AddQueryToWorkingSet ユーザーは、電子情報開示 (Premium) ケースに関連付けられているコンテンツ検索の検索結果をレビュー セットに追加しました。
Microsoft 365 以外のデータのレビュー セットへの追加 AddNonOffice365DataToWorkingSet ユーザーが、Microsoft 365 以外のデータをレビュー セットに追加しました。
レビュー セットへの修復済みドキュメントの追加 AddRemediatedData ユーザーが、インデックス作成エラーがあったドキュメントを修復したものをレビュー セットにアップロードしました。
レビュー セット内のデータの分析 RunAlgo ユーザーは、レビュー セット内のドキュメントに対して分析を実行しました。
レビュー セット内ドキュメントへの注釈付け AnnotateDocument ユーザーが、レビュー セット内のドキュメントに注釈を付けました。 注釈付けには、ドキュメントのコンテンツの編集が含まれます。
読み込みセットの比較 LoadComparisonJob ユーザーが、レビュー セット内の 2 つの異なる読み込みセットを比較しました。 読み込みセットは、ケースに関連付けられているコンテンツ検索からのデータがレビュー セットに追加されたときに比較されます。
編集されたドキュメントの PDF への変換 BurnJob ユーザーが、レビュー セット内のすべての編集されたドキュメントを PDF ファイルに変換しました。
レビュー セットの作成 CreateWorkingSet ユーザーがレビュー セットを作成しました。
レビュー セット検索の作成 CreateWorkingSetSearch ユーザーが、レビュー セット内のドキュメントを検索する検索クエリを作成しました。
タグの作成 CreateTag ユーザーが、レビュー セット内でタグ グループを作成しました。 タグ グループには、1つまたは複数の子タグを含めることができます。 これらのタグは、レビュー セット内のドキュメントへのタグ付けに使用されます。
レビュー セット検索の削除 DeleteWorkingSetSearch ユーザーが、レビュー セット内の検索クエリを削除しました。
タグの削除 DeleteTag ユーザーが、レビュー セット内のタグまたはタグ グループを削除しました。
ダウンロードしたドキュメント DownloadDocument ユーザーが、レビュー セットからドキュメントをダウンロードしました。
タグの編集 UpdateTag ユーザーが、レビュー セット内のタグを変更しました。
レビュー セットからのドキュメントのエクスポート ExportJob ユーザーが、レビュー セットからドキュメントをエクスポートしました。
ケースの設定の変更 UpdateCaseSettings ユーザーがケースの設定を変更しました。 ケースの設定には、ケース情報、アクセス許可、検索と分析の動作を制御する設定などがあります。
レビュー セット検索の変更 UpdateWorkingSetSearch ユーザーが、レビュー セット内の検索クエリを編集しました。
レビュー セット検索のプレビュー PreviewWorkingSetSearch ユーザーが、レビュー セット内で検索クエリの結果をプレビューしました。
エラー ドキュメントの修復 ErrorRemediationJob ユーザーが、インデックス作成エラーを含むファイルを修正しました。
ドキュメントのタグ付け TagFiles ユーザーが、レビュー セット内のドキュメントにタグを付けました。
クエリ結果のタグ付け TagJob ユーザーが、レビュー セット内の、検索クエリの条件に一致するすべてのドキュメントにタグを付けました。
レビュー セット内ドキュメントの表示 ViewDocument ユーザーが、レビュー セット内のドキュメントを表示しました。

電子情報開示コマンドレットのアクティビティ

次の表に、管理者またはユーザーがコンプライアンス ポータルを使用するか、Security & Compliance PowerShell で対応するコマンドレットを実行して電子情報開示関連のアクティビティを実行したときに記録されるコマンドレット監査ログ レコードの一覧を示します。 監査ログ レコードの詳細情報は、この表に一覧されているコマンドレットのアクティビティとは異なります。電子情報開示アクティビティは、前述のセクションに示されています。

前述のように、電子情報開示コマンドレットのアクティビティが監査ログの検索結果に表示されるまでに最大 24 時間かかることがあります。

ヒント

次の表の「操作」列のコマンドレットは、TechNet の対応するコマンドレットのヘルプ トピックにリンクされています。 各コマンドレットに使用可能なパラメーターの説明については、コマンドレットのヘルプ トピックを参照してください。 コマンドレットで使用されたパラメーターとパラメーター値は、ログに記録された、各電子情報開示コマンドレッド アクティビティの監査ログ エントリに含まれています。

フレンドリ名 操作 (コマンドレット) 説明
電子情報開示ケースで保留が作成されました
New-CaseHoldPolicy
電子情報開示ケースの保留が作成されました。 保留は、コンテンツ ソースを指定してもしなくても作成できます。 コンテンツ ソースを指定すると、監査ログ エントリで識別されます。
電子情報開示ケースから保留が削除されました
Remove-CaseHoldPolicy
電子情報開示ケースに関連付けられた保留が削除されました。 保留を削除すると、コンテンツのすべての場所が保留から解放されます。 また、保留を削除すると、その保留に関連付けられたケースの保留ルールも削除されます (下記の Remove-CaseHoldRule を参照)。
電子情報開示ケースで保留が変更されました
Set-CaseHoldPolicy
電子情報開示ケースに関連付けられた保留が変更されました。 発生する可能性のある変更としては、コンテンツの場所の追加または削除、保留のオフ (無効化) があります。
電子情報開示ケースの保留に対する検索クエリが作成されました
New-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が作成されました。
電子情報開示ケースの保留に対する検索クエリが削除されました
Remove-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が削除されました。 多くの場合、保留リストからのクエリの削除は、保留を削除した結果として発生します。 保留または保留クエリを削除する場合、保留中だったコンテンツの場所は解放されます。
電子情報開示ケースの保留に対する検索クエリが変更されました
Set-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が変更されました。 発生する可能性のある変更としては、クエリの編集、クエリベースの保留の日付範囲の編集があります。
電子情報開示ケースが作成されました
New-ComplianceCase
電子情報開示ケースが作成されました。 ケースを作成する際に必要な操作は、名前を付けることだけです。 メンバーの追加、保留の作成、ケースに関連付けられたコンテンツ検索の作成などの他のケース関連のタスクにより、追加のイベントがログに記録されます。
電子情報開示ケースが削除されました
Remove-ComplianceCase
電子情報開示ケースが削除されました。 ケースを削除する前に、ケースに関連付けられた保留をすべて削除する必要があります。
電子情報開示ケースが変更されました
Set-ComplianceCase
電子情報開示ケースが変更されました。 変更としては、開いているケースを閉じる、閉じたケースを再度開くなどがあります。
電子情報開示ケースにメンバーが追加されました
Add-ComplianceCaseMember
ユーザーが電子情報開示ケースのメンバーとして追加されました。 ユーザーはケースのメンバーとして、必要なアクセス許可が割り当てられているかどうかに応じて、ケースに関連するさまざまなタスクを実行できます。
電子情報開示ケースからメンバーが削除されました
Remove-ComplianceCaseMember
ユーザーが、電子情報開示ケースのメンバーから削除されました。
電子情報開示ケースのメンバーシップが変更されました
Update-ComplianceCaseMember
電子情報開示ケースのメンバーシップ リストが変更されました。 このアクティビティは、すべてのメンバーが新しいユーザーのグループに置き換えられたときにログに記録されます。 1 人のメンバーが追加または削除されると、Add-ComplianceCaseMember または Remove-ComplianceCaseMember 操作がログに記録されます。
コンテンツ検索が作成されました
New-ComplianceSearch
新しいコンテンツ検索が作成されました。
コンテンツ検索が削除されました
Remove-ComplianceSearch
既存のコンテンツ検索が削除されました。
コンテンツ検索が変更されました
Set-ComplianceSearch
既存のコンテンツの検索が変更されました。 変更としては、検索されるコンテンツの場所の追加または削除、検索クエリの編集などがあります。
コンテンツ検索が開始されました
Start-ComplianceSearch
コンテンツ検索が開始されました。 コンプライアンス ポータル GUI を使用してコンテンツ検索を作成または変更すると、検索が自動的に開始されます。 New-ComplianceSearch または Set-ComplianceSearch コマンドレットを使用して検索を作成または変更する場合、Start-ComplianceSearch コマンドレットを実行して検索を開始する必要があります。
コンテンツ検索が停止されました
Stop-ComplianceSearch
実行中だったコンテンツ検索が停止されました。
コンテンツ検索アクションが作成されました
New-ComplianceSearchAction
コンテンツ検索アクションが作成されました。 コンテンツ検索アクションには、検索結果のプレビュー、検索結果のエクスポート、電子情報開示 (Premium) での分析のための検索結果の準備、コンテンツ検索の検索条件に一致するアイテムの完全な削除が含まれます。
コンテンツ検索アクションが削除されました
Remove-ComplianceSearchAction
コンテンツ検索アクションが削除されました。
検索のアクセス許可フィルターが作成されました
New-ComplianceSecurityFilter
検索のアクセス許可フィルターが作成されました。
検索のアクセス許可フィルターが削除されました
Remove-ComplianceSecurityFilter
検索のアクセス許可フィルターが削除されました。
検索のアクセス許可フィルターが変更されました
Set-ComplianceSecurityFilter
検索のアクセス許可フィルターが変更されました。
電子情報開示管理者が作成されました
Add-eDiscoveryCaseAdmin
ユーザーが、組織の電子情報開示管理者として追加されました。
電子情報開示管理者が削除されました
Remove-eDiscoveryCaseAdmin
電子情報開示管理者が組織から削除されました。
電子情報開示管理者のメンバーシップが変更されました
Update-eDiscoveryCaseAdmin
組織の電子情報開示管理者のリストが変更されました。 このアクティビティは、電子情報開示管理者が新しいユーザーのグループに置き換えられた場合にログに記録されます。 1 人のユーザーが追加または削除された場合、Add-eDiscoveryCaseAdmin または Remove-eDiscoveryCaseAdmin 操作がログに記録されます。
(なし) Get-ComplianceCase
このアクティビティは、ユーザーが電子情報開示 (Standard) または電子情報開示 (Premium) ケースの一覧を表示したときに記録されます。 このアクティビティは、ユーザーが電子情報開示 (Standard) で特定のケースを表示したときにもログに記録されます。 ユーザーが特定のケースを表示すると、監査レコードには、表示されたケースの ID が含まれます。 ユーザーがケースの一覧のみを表示した場合、監査レコードにはケース ID は含まれません。
(なし) Get-ComplianceSearch このアクティビティは、ユーザーが電子情報開示 (Standard) ケースに関連付けられているコンテンツ検索または検索の一覧を表示したときに記録されます。 このアクティビティは、ユーザーが特定のコンテンツ検索を表示したり、電子情報開示 (Standard) ケースに関連付けられている特定の検索を表示したりしたときにも記録されます。 ユーザーが特定の検索を表示すると、監査レコードには、表示された検索の ID が含まれます。 ユーザーが検索の一覧のみを表示した場合、監査レコードには検索 ID は含まれません。
(なし) Get-ComplianceSearchAction このアクティビティは、ユーザーがコンプライアンス検索アクションの一覧 (エクスポート、プレビュー、消去など) または電子情報開示 (Standard) ケースに関連付けられているアクションを表示したときに記録されます。 このアクティビティは、ユーザーが特定のコンプライアンス検索アクション (エクスポートなど) を表示したり、電子情報開示 (Standard) ケースに関連付けられている特定のアクションを表示したりしたときにもログに記録されます。 ユーザーが検索アクションを表示すると、監査レコードには、表示された検索アクションの ID が含まれます。 ユーザーがアクションの一覧のみを表示した場合、監査レコードにはアクション ID は含まれません。

電子情報開示アクティビティの詳細なプロパティ

次の表では、検索結果に表示される電子情報開示アクティビティのポップアップ ページに含まれるプロパティについて説明します。 これらのプロパティは、監査ログの検索結果をエクスポートしたときに、CSV ファイルにも含まれます。 電子情報開示アクティビティの監査ログ記録には、以下にリストされている詳細なプロパティがすべて含まれているわけではありません。

ヒント

検索結果をエクスポートすると、CSV ファイルには AudtiData という名前の列が含まれます。この列には、複数値プロパティの次の表で説明されている詳細なプロパティが含まれています。 Excel の Power Query 機能を使用して、この列を複数の列に分割して、プロパティごとに個別の列を設定することができます。 このようにすると、これらの 1 つ以上のプロパティで並べ替えやフィルター処理を行うことができます。 詳細については、「監査ログの検索」を参照してください。

プロパティ 説明
ケース
作成、変更、または削除された電子情報開示ケースの ID (GUID)。
ClientApplication
電子情報開示アクティビティ コマンドレッドは、このプロパティの値が EMC です。 これは、コンプライアンス ポータル GUI を使用するか、PowerShell でコマンドレットを実行してアクティビティが実行されたことを示します。
ClientIP
アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。
ClientRequestId
電子情報開示アクティビティの場合、このプロパティは通常空白です。
CmdletVersion
organizationで実行されているコンプライアンス ポータルのバージョンのビルド番号。
CreationTime
電子情報開示アクティビティが実行されたときの協定世界時 (UTC) の日付と時刻。
EffectiveOrganization
Microsoft 365 organizationの名前。
ExchangeLocations
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている Exchange Online のメールボックス。
Exclusions
コンテンツ検索または電子情報開示ケースの保留から除外されているメールボックスまたはサイトの場所。
ExtendedProperties
アクティビティが実行されたときに使用されたオブジェクト GUID、対応するコマンドレット、コマンドレット パラメーターなど、コンテンツ検索、コンテンツ検索アクション、または電子情報開示ケースの保留の追加プロパティ。
ID
レポート エントリの ID。 ID は、監査ログ エントリを一意に識別します。
NonPIIParameters
Operation プロパティで識別されるコマンドレットで使用されたパラメーターの一覧 (値はリストされません)。 このプロパティにリストされるパラメーターは、Parameters プロパティでリストされるパラメーターと同じです。
ObjectId
Operation プロパティにリストされているアクティビティによって作成、アクセス、変更、または削除されたオブジェクトの GUID または名前 (コンテンツ検索や電子情報開示 (Standard) ケースなど)。 また、このオブジェクトは、監査ログの検索結果のアイテム列でも識別されます。
ObjectType
ユーザーが作成、削除、変更した電子情報開示オブジェクトの種類。たとえば、コンテンツ検索アクション (プレビュー、エクスポート、または消去)、電子情報開示ケース、またはコンテンツ検索。
Operation
実行された電子情報開示アクティビティに対応する操作の名前。
OrganizationId
Microsoft 365 組織の GUID。
パラメーター
対応するコマンドレットで使用されたパラメーターの名前と値。
PublicFolderLocations
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている Exchange Online のパブリック フォルダーの場所。
Query
コンテンツ検索やクエリ ベース保留など、アクティビティに関連付けられた検索クエリ。
RecordType
レコードによって示される操作の種類。 値 18 は、「電子情報開示コマンドレットのアクティビティ」セクションに一覧されているアクティビティに関連するイベントを示しています。 値 24 は、「電子情報開示のアクティビティ」セクションに一覧されているアクティビティに関連するイベントを示しています。
ResultStatus
(Operation プロパティで指定された) アクションが正常に終了したかどうかどうかを示します。
SecurityComplianceCenterEventType
アクティビティがコンプライアンス ポータル イベントであることを示します。 電子情報開示アクティビティはすべて、このプロパティの値が 0 です。
SharepointLocations
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている SharePoint Online サイト。
StartTime
電子情報開示アクティビティが開始されたときの協定世界時 (UTC) の日付と時刻。
UserId
結果としてログ記録されているレコードが生成されたアクティビティ (Operation プロパティで指定された) を実行したユーザー。 システム アカウント (NT AUTHORITY\SYSTEM など) によって実行された電子情報開示アクティビティのレコードも監査ログに含まれます。
UserKey
UserId プロパティで識別されるユーザーの別の ID。 電子情報開示アクティビティの場合、このプロパティの値は通常、UserId プロパティと同じです。
UserServicePlan
organizationによって使用されるサブスクリプション。 電子情報開示アクティビティの場合、このプロパティは通常空白です。
UserType
操作を実行したユーザーの種類。 次の値は、ユーザーの種類を示しています。
0 通常のユーザー。 2 organizationの管理者。 3 Microsoft データセンター管理者またはデータセンター システム アカウント。 4 システム アカウント。 5 アプリケーション。 6 サービス プリンシパル。
バージョン
ログに記録されるアクティビティ (Operation プロパティで識別) のバージョン番号を示します。
Workload
アクティビティが発生したサービス。 電子情報開示アクティビティの場合、この値は、SecurityComplianceCenter です。