감사 로그에서 eDiscovery 활동 검색
팁
eDiscovery(미리 보기)는 이제 새 Microsoft Purview 포털에서 사용할 수 있습니다. 새 eDiscovery 환경을 사용하는 방법에 대한 자세한 내용은 eDiscovery에 대한 자세한 정보(미리 보기)를 참조하세요.
Microsoft Purview 규정 준수 포털 또는 해당 PowerShell cmdlet을 실행하여 수행되는 콘텐츠 검색 및 eDiscovery 관련 작업(Microsoft Purview eDiscovery(표준) 및 Microsoft Purview eDiscovery(프리미엄)의 경우) 로그인됩니다. 감사 로그입니다. 이벤트는 관리자 또는 eDiscovery 관리자(또는 사용자가 할당한 eDiscovery 권한)가 규정 준수 포털에서 다음 콘텐츠 검색 및 eDiscovery(표준) 작업을 수행할 때 기록됩니다.
- eDiscovery(표준) 및 eDiscovery(프리미엄) 사례를 만들고 관리합니다.
- 콘텐츠 검색 만들기, 시작 및 편집
- 검색 결과 미리 보기, 내보내기 및 삭제와 같은 검색 작업을 수행합니다.
- eDiscovery(프리미엄)에서 보유자 및 검토 집합 관리.
- 콘텐츠 검색에 대한 권한 필터링 구성
- eDiscovery 관리자 역할 관리.
감사 로그 검색, 필요한 권한 및 검색 결과를 내보내는 방법에 대한 자세한 내용은 감사 로그 검색을 참조하세요.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
eDiscovery 활동을 검색하고 보는 방법
현재 감사 로그에서 eDiscovery 활동을 보려면 몇 가지 특정 작업을 수행해야 합니다. 방법은 다음과 같습니다.
참고
이 클래식 eDiscovery 환경은 제한된 시간 동안 새 Microsoft Purview 포털에서도 사용할 수 있습니다. eDiscovery(미리 보기) 환경 설정에서 준수 포털 클래식 eDiscovery 환경을 사용하도록 설정하여 새 Microsoft Purview 포털에서 클래식 환경을 표시합니다.
Microsoft Purview 규정 준수 포털 이동하여 회사 또는 학교 계정을 사용하여 로그인합니다.
규정 준수 포털의 왼쪽 탐색 창에서 감사를 선택합니다.
활동 드롭다운 목록의 eDiscovery 활동 또는 eDiscovery(프리미엄) 활동에서 검색할 하나 이상의 활동을 선택합니다.
참고
활동 드롭다운 목록에는 cmdlet 감사 로그에서 레코드를 반환하는 eDiscovery cmdlet 작업이라는 활동 그룹도 포함됩니다.
날짜 및 시간 범위를 선택하여 해당 기간 내에 발생한 eDiscovery 이벤트를 표시합니다.
사용자 상자에서 검색 결과를 표시할 사용자를 하나 이상 선택합니다. 모든 사용자에 대한 항목을 반환하려면 이 상자를 비워 둡니다.
검색 기준을 사용하여 검색을 실행하려면 검색을 선택합니다.
검색 결과가 표시되면 결과 필터링 을 선택하여 결과 활동 레코드를 필터링하거나 정렬할 수 있습니다. 아쉽게도 필터링을 사용하여 특정 활동을 명시적으로 제외할 수는 없습니다.
활동에 대한 세부 정보를 보려면 검색 결과 목록에서 활동 레코드를 선택합니다.
이벤트 레코드의 자세한 속성이 포함된 세부 정보 플라이아웃 페이지가 표시됩니다. 추가 세부 정보를 표시하려면 추가 정보를 선택합니다. 이러한 속성에 대한 설명은 eDiscovery 활동에 대한 자세한 속성 섹션을 참조하세요.
원하는 경우 감사 로그 검색 결과를 CSV 파일로 내보낸 다음 Excel Power Query 기능을 사용하여 이러한 레코드의 서식을 지정하고 필터링할 수 있습니다. 자세한 내용은 감사 로그 레코드 내보내기, 구성 및 보기를 참조하세요.
eDiscovery 활동
다음 표에서는 관리자 또는 eDiscovery 관리자가 규정 준수 포털을 사용하여 eDiscovery 관련 작업을 수행할 때 기록되는 콘텐츠 검색 및 eDiscovery(표준) 활동에 대해 설명합니다. eDiscovery(프리미엄)에서 수행된 일부 활동은 이 목록에서 활동을 검색할 때 반환될 수 있습니다.
참고
이 섹션에 설명된 eDiscovery 활동은 다음 섹션에 설명된 eDiscovery cmdlet 활동과 유사한 정보를 제공합니다. 30분 이내에 감사 로그 검색 결과에 표시되므로 이 섹션에 설명된 eDiscovery 활동을 사용하는 것이 좋습니다. eDiscovery cmdlet 활동이 감사 로그 검색 결과에 표시되는 데 최대 24시간이 걸릴 수 있습니다.
| 친숙한 이름 | 작업 | 해당 cmdlet | 설명 |
|---|---|---|---|
| eDiscovery 사례에 멤버 추가 |
CaseMemberAdded |
Add-ComplianceCaseMember |
사용자가 eDiscovery 사례의 멤버로 추가되었습니다. 사례의 멤버로서 사용자는 필요한 권한이 할당되었는지 여부에 따라 다양한 사례 관련 작업을 수행할 수 있습니다. |
| 변경된 콘텐츠 검색 |
SearchUpdated |
Set-ComplianceSearch |
기존 콘텐츠 검색이 변경되었습니다. 변경 내용에는 콘텐츠 위치 추가 또는 제거 또는 검색 쿼리 편집이 포함될 수 있습니다. |
| eDiscovery 관리자 구성원이 변경됨 |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
organization eDiscovery 관리자 목록이 변경되었습니다. 이 활동은 eDiscovery 관리자 목록이 새 사용자 그룹으로 대체될 때 기록됩니다. 단일 사용자를 추가하거나 제거하면 CaseAdminAdded 작업이 기록됩니다. |
| eDiscovery 케이스 변경됨 |
CaseUpdated |
Set-ComplianceCase |
eDiscovery 사례가 변경되었습니다. 변경 내용에는 열린 케이스를 닫거나 닫힌 케이스를 다시 여는 것이 포함됩니다. |
| eDiscovery 사례 멤버 자격 변경 |
CaseMemberUpdated |
Update-ComplianceCaseMember |
eDiscovery 사례의 멤버 자격 목록이 변경되었습니다. 이 활동은 모든 멤버가 새 사용자 그룹으로 대체될 때 기록됩니다. 단일 멤버를 추가하거나 제거하면 CaseMemberAdded 또는 CaseMemberRemoved 작업이 기록됩니다. |
| 변경된 검색 권한 필터 |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
검색 권한 필터가 변경되었습니다. |
| eDiscovery 사례 보존에 대한 검색 쿼리가 변경됨 |
HoldUpdated |
Set-CaseHoldRule |
eDiscovery 사례와 연결된 쿼리 기반 보류가 변경되었습니다. 가능한 변경 사항에는 쿼리 기반 보류에 대한 쿼리 또는 날짜 범위 편집이 포함됩니다. |
| 콘텐츠 검색 미리 보기 항목 다운로드됨 |
PreviewItemDownloaded |
해당 없음 |
사용자가 검색 결과를 미리 볼 때 원래 항목 다운로드 링크를 선택하여 로컬 컴퓨터에 항목을 다운로드 했습니다. |
| 나열된 콘텐츠 검색 미리 보기 항목 |
PreviewItemListed |
해당 없음 |
사용자가 검색 결과 미리 보기를 선택하여 검색 결과에서 최대 1,000개 항목을 나열하는 미리 보기 검색 결과 페이지를 표시했습니다. |
| 만든 콘텐츠 검색 |
SearchCreated |
New-ComplianceSearch |
새 콘텐츠 검색이 만들어졌습니다. |
| eDiscovery 관리자를 만들었습니다. |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
사용자가 organization eDiscovery 관리자로 추가되었습니다. |
| 만든 eDiscovery 사례 |
CaseAdded |
New-ComplianceCase |
eDiscovery 사례가 만들어졌습니다. 케이스가 만들어지면 이름을 지정하기만 하면 됩니다. 멤버 추가, 보류 만들기 및 사례와 관련된 콘텐츠 검색 만들기와 같은 기타 사례 관련 작업으로 인해 추가 이벤트가 기록됩니다. |
| 만든 검색 권한 필터 |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
검색 권한 필터가 만들어졌습니다. |
| eDiscovery 사례 보존에 대한 검색 쿼리를 만들었습니다. |
HoldCreated |
New-CaseHoldRule |
eDiscovery 사례와 연결된 쿼리 기반 보류가 만들어졌습니다. |
| 삭제된 콘텐츠 검색 |
SearchRemoved |
Remove-ComplianceSearch |
기존 콘텐츠 검색이 삭제되었습니다. |
| 삭제된 eDiscovery 관리자 |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
eDiscovery 관리자가 organization 삭제되었습니다. |
| 삭제된 eDiscovery 사례 |
CaseRemoved |
Remove-ComplianceCase |
eDiscovery 사례가 삭제되었습니다. 케이스를 삭제하려면 케이스와 관련된 모든 보류를 제거해야 합니다. |
| 삭제된 검색 권한 필터 |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
검색 권한 필터가 삭제되었습니다. |
| eDiscovery 사례 보존에 대한 삭제된 검색 쿼리 |
HoldRemoved |
Remove-CaseHoldRule |
eDiscovery 사례와 연결된 쿼리 기반 보류가 삭제되었습니다. 보류에서 쿼리를 제거하는 것은 보류를 삭제한 결과인 경우가 많습니다. 보류 또는 보류 쿼리가 삭제되면 보류 중인 콘텐츠 위치가 해제됩니다. |
| 콘텐츠 검색의 다운로드된 내보내기 |
SearchExportDownloaded |
해당 없음 |
사용자가 콘텐츠 검색 결과를 로컬 컴퓨터에 다운로드했습니다. 검색 결과를 다운로드하려면 먼저 콘텐츠 검색 활동의 시작 내보내기를 시작해야 합니다. |
| 콘텐츠 검색의 미리 보기 결과 |
SearchPreviewed |
해당 없음 |
사용자가 콘텐츠 검색 결과를 미리 찾습니다. |
| 콘텐츠 검색의 제거된 결과 |
SearchResultsPurged |
New-ComplianceSearchAction |
사용자가 New-ComplianceSearchAction -Purge 명령을 실행하여 콘텐츠 검색 결과를 제거했습니다. |
| 콘텐츠 검색 분석 제거됨 |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
콘텐츠 검색 준비 작업(eDiscovery(프리미엄)에 대한 검색 결과를 준비하기 위해)이 삭제되었습니다. 준비 작업이 2주 미만인 경우 eDiscovery(프리미엄)를 위해 준비된 검색 결과가 Microsoft Azure 스토리지 영역에서 삭제되었습니다. 준비 작업이 2주보다 오래된 경우 이 이벤트는 해당 준비 작업만 삭제되었음을 나타냅니다. |
| 콘텐츠 검색 내보내기 제거됨 |
RemovedSearchExported |
Remove-ComplianceSearchAction |
콘텐츠 검색 내보내기 작업이 삭제되었습니다. 내보내기 작업이 2주 미만인 경우 Microsoft Azure 스토리지 영역에 업로드된 검색 결과가 삭제되었습니다. 내보내기 작업이 2주보다 오래된 경우 이 이벤트는 해당 내보내기 작업만 삭제되었음을 나타냅니다. |
| eDiscovery 사례에서 멤버 제거됨 |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
사용자가 eDiscovery 사례의 멤버로 제거되었습니다. |
| 콘텐츠 검색의 미리 보기 결과 제거됨 |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
콘텐츠 검색 미리 보기 작업이 삭제되었습니다. |
| 콘텐츠 검색에서 수행된 제거 작업 제거 |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
콘텐츠 검색 제거 작업이 삭제되었습니다. |
| 검색 보고서 제거됨 |
SearchReportRemoved |
Remove-ComplianceSearchAction |
콘텐츠 검색 내보내기 보고서 작업이 삭제되었습니다. |
| 콘텐츠 검색 분석 시작 |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
콘텐츠 검색 결과는 eDiscovery(프리미엄)에서 분석을 위해 준비되었습니다. |
| 시작된 콘텐츠 검색 |
SearchStarted |
Start-ComplianceSearch |
콘텐츠 검색이 시작되었습니다. 규정 준수 포털을 사용하여 콘텐츠 검색을 만들거나 변경하면 검색이 자동으로 시작됩니다. |
| 콘텐츠 검색 내보내기 시작 |
SearchExported |
New-ComplianceSearchAction |
사용자가 콘텐츠 검색 결과를 내보냅니다. |
| 내보내기 시작 보고서 |
SearchReport |
New-ComplianceSearchAction |
사용자가 콘텐츠 검색 보고서를 내보냅니다. |
| 중지된 콘텐츠 검색 |
SearchStopped |
Stop-ComplianceSearch |
사용자가 콘텐츠 검색을 중지했습니다. |
| (없음) | CaseViewed | Get-ComplianceCase | 사용자가 규정 준수 포털에서 eDiscovery(표준) 사례를 확인했습니다. 이 이벤트에 대한 감사 레코드에는 조회된 사례의 이름이 포함됩니다. |
| (없음) | SearchViewed | Get-ComplianceSearch | 사용자가 eDiscovery(표준) 사례의 검색 탭에서 검색에 액세스하거나 콘텐츠 검색 페이지에서 액세스하여 규정 준수 포털에서 콘텐츠 검색 을 확인했습니다. 이 이벤트에 대한 감사 레코드에는 조회된 검색의 ID가 포함됩니다. |
| (없음) | ViewedSearchExported | Get-ComplianceSearchAction -Export | 사용자가 콘텐츠 검색 페이지의 내보내 기 탭에서 내보내기 액세스하여 규정 준수 포털에서 콘텐츠 검색 내보내기를 찾습니다. 이 활동은 사용자가 eDiscovery(표준) 사례와 연결된 내보내기도 볼 때 기록됩니다. |
| (없음) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | 사용자가 규정 준수 포털에서 콘텐츠 검색 결과를 미리 찾습니다. 이 활동은 사용자가 eDiscovery(표준) 사례와 연결된 검색 결과를 미리 볼 때도 기록됩니다. |
eDiscovery(프리미엄) 활동
다음 표에서는 감사 로그에 기록된 eDiscovery(프리미엄) 활동에 대해 설명합니다. 이러한 활동을 사용하여 eDiscovery(프리미엄) 사례에서 활동의 진행 상황을 추적할 수 있습니다.
| 친숙한 이름 | 작업 | 설명 |
|---|---|---|
| 다른 검토 집합에 데이터 추가됨 | AddWorkingSetQueryToWorkingSet | 사용자가 한 검토 집합에서 다른 검토 집합으로 문서를 추가했습니다. |
| 검토 집합에 데이터 추가됨 | AddQueryToWorkingSet | 사용자는 eDiscovery(프리미엄) 사례와 연결된 콘텐츠 검색의 검색 결과를 검토 집합에 추가했습니다. |
| 검토 집합에 비 Microsoft 365 데이터 추가됨 | AddNonOffice365DataToWorkingSet | 사용자가 검토 집합에 비 Microsoft 365 데이터를 추가했습니다. |
| 수정된 문서가 검토 집합에 추가됨 | AddRemediatedData | 사용자가 검토 집합으로 수정된 색인 작성 오류가 있는 문서를 업로드합니다. |
| 검토 집합의 데이터가 분석됨 | RunAlgo | 사용자는 검토 집합의 문서에 대한 분석을 실행했습니다. |
| 검토 집합의 문서에 주석이 달림 | AnnotateDocument | 사용자가 검토 집합의 문서에 주석을 달았습니다. 주석에는 문서의 내용을 편집하는 것이 포함되어 있습니다. |
| 부하 집합 비교됨 | LoadComparisonJob | 사용자가 검토 집합에서 서로 다른 두 개의 부하 집합을 비교했습니다. 부하 집합은 사례와 연결된 콘텐츠 검색 데이터가 검토 집합에 추가되는 경우입니다. |
| 편집된 문서가 PDF로 변환됨 | BurnJob | 사용자가 검토의 모든 편집된 문서를 PDF 파일로 변환했습니다. |
| 검토 집합 생성됨 | CreateWorkingSet | 사용자가 검토 집합을 만들었습니다. |
| 검토 집합 검색 생성됨 | CreateWorkingSetSearch | 사용자가 검토 집합에서 문서를 검색하는 검색 쿼리를 만들었습니다. |
| 태그 생성됨 | 태그 생성 | 사용자가 검토 집합에 태그 그룹을 만들었습니다. 태그 그룹에는 하나 이상의 하위 태그가 포함될 수 있습니다. 그런 다음 이 태그를 사용하여 검토 집합의 문서에 태그를 지정합니다. |
| 검토 집합 검색 삭제됨 | DeleteWorkingSetSearch | 사용자가 검토 집합에서 검색 쿼리를 삭제했습니다. |
| 태그 삭제됨 | DeleteTag | 사용자가 검토 집합의 태그 그룹을 삭제었습니다. |
| 문서 다운로드됨 | DownloadDocument | 사용자가 검토 집합에서 문서를 다운로드했습니다. |
| 태그 편집됨 | UpdateTag | 사용자가 검토 집합에서 태그를 변경했습니다. |
| 검토 집합에서 문서 내보냄 | ExportJob | 사용자가 검토 집합에서 문서를 내보냈습니다. |
| 사례 설정 수정됨 | UpdateCaseSettings | 사용자가 사례에 대한 설정을 수정했습니다. 사례 설정에는 사례 정보, 액세스 권한 및 검색 및 분석 동작을 제어하는 설정이 포함됩니다. |
| 검토 집합 검색 수정됨 | UpdateWorkingSetSearch | 사용자가 검토 집합에서 검색 쿼리를 편집했습니다. |
| 검토 집합 검색 미리 보기됨 | PreviewWorkingSetSearch | 사용자가 검토 집합에 검색 쿼리의 결과를 미리 보았습니다. |
| 오류 문서 수정됨 | ErrorRemediationJob | 사용자가 인덱싱 오류가 있는 파일을 수정합니다. |
| 문서에 태그가 지정됨 | TagFiles | 사용자가 검토 집합의 문서에 태그를 지정합니다. |
| 쿼리의 결과가 태그됨 | TagJob | 사용자는 검토 집합의 검색 쿼리 조건과 일치하는 모든 문서를 태그합니다. |
| 검토 집합의 문서 조회됨 | ViewDocument | 사용자가 검토 집합의 문서를 조회했습니다. |
eDiscovery cmdlet 작업
다음 표에서는 관리자 또는 사용자가 규정 준수 포털을 사용하거나 보안 & 준수 PowerShell에서 해당 cmdlet을 실행하여 eDiscovery 관련 작업을 수행할 때 기록되는 cmdlet 감사 로그 레코드를 나열합니다. 감사 로그 레코드의 자세한 정보는 이 테이블에 나열된 cmdlet 작업과 이전 섹션에 설명된 eDiscovery 작업에 따라 다릅니다.
앞에서 설명한 대로 eDiscovery cmdlet 활동이 감사 로그 검색 결과에 표시되는 데 최대 24시간이 걸릴 수 있습니다.
팁
다음 표의 작업 열에 있는 cmdlet은 TechNet의 해당 cmdlet 도움말 항목에 연결됩니다. 각 cmdlet에 사용 가능한 매개 변수에 대한 설명을 보려면 cmdlet 도움말 항목으로 이동합니다. cmdlet과 함께 사용된 매개 변수 및 매개 변수 값은 기록된 각 eDiscovery cmdlet 작업에 대한 감사 로그 항목에 포함됩니다.
| 친숙한 이름 | 작업(cmdlet) | 설명 |
|---|---|---|
| eDiscovery 사례에서 보류 만들기 |
New-CaseHoldPolicy |
eDiscovery 사례에 대한 보류가 만들어졌습니다. 콘텐츠 원본을 지정하거나 지정하지 않고 보류를 만들 수 있습니다. 콘텐츠 원본이 지정된 경우 감사 로그 항목에서 식별됩니다. |
| eDiscovery 사례에서 삭제된 보존 |
Remove-CaseHoldPolicy |
eDiscovery 사례와 연결된 보류가 삭제되었습니다. 보류를 삭제하면 보류에서 모든 콘텐츠 위치가 해제됩니다. 보류를 삭제하면 보류와 관련된 사례 보존 규칙도 삭제됩니다(아래 Remove-CaseHoldRule 참조). |
| eDiscovery 케이스의 보류 변경됨 |
Set-CaseHoldPolicy |
eDiscovery와 연결된 보류가 변경되었습니다. 가능한 변경 사항에는 콘텐츠 위치 추가 또는 제거 또는 보류 해제(비활성화)가 포함됩니다. |
| eDiscovery 사례 보존에 대한 검색 쿼리를 만들었습니다. |
New-CaseHoldRule |
eDiscovery 사례와 연결된 쿼리 기반 보류가 만들어졌습니다. |
| eDiscovery 사례 보존에 대한 삭제된 검색 쿼리 |
Remove-CaseHoldRule |
eDiscovery 사례와 연결된 쿼리 기반 보류가 삭제되었습니다. 보류에서 쿼리를 제거하는 것은 보류를 삭제한 결과인 경우가 많습니다. 보류 또는 보류 쿼리가 삭제되면 보류 중인 콘텐츠 위치가 해제됩니다. |
| eDiscovery 사례 보존에 대한 검색 쿼리가 변경됨 |
Set-CaseHoldRule |
eDiscovery 사례와 연결된 쿼리 기반 보류가 변경되었습니다. 가능한 변경 사항에는 쿼리 기반 보류에 대한 쿼리 또는 날짜 범위 편집이 포함됩니다. |
| 만든 eDiscovery 사례 |
New-ComplianceCase |
eDiscovery 사례가 만들어졌습니다. 케이스가 만들어지면 이름을 지정하기만 하면 됩니다. 멤버 추가, 보류 만들기 및 사례와 관련된 콘텐츠 검색 만들기와 같은 기타 사례 관련 작업으로 인해 추가 이벤트가 기록됩니다. |
| 삭제된 eDiscovery 사례 |
Remove-ComplianceCase |
eDiscovery 사례가 삭제되었습니다. 케이스를 삭제하려면 케이스와 관련된 모든 보류를 제거해야 합니다. |
| eDiscovery 케이스 변경됨 |
Set-ComplianceCase |
eDiscovery 사례가 변경되었습니다. 변경 내용에는 열린 케이스를 닫거나 닫힌 케이스를 다시 여는 것이 포함됩니다. |
| eDiscovery 사례에 멤버 추가 |
Add-ComplianceCaseMember |
사용자가 eDiscovery 사례의 멤버로 추가되었습니다. 사례의 멤버로서 사용자는 필요한 권한이 할당되었는지 여부에 따라 다양한 사례 관련 작업을 수행할 수 있습니다. |
| eDiscovery 사례에서 멤버 제거됨 |
Remove-ComplianceCaseMember |
사용자가 eDiscovery 사례의 멤버로 제거되었습니다. |
| eDiscovery 사례 멤버 자격 변경 |
Update-ComplianceCaseMember |
eDiscovery 사례의 멤버 자격 목록이 변경되었습니다. 이 활동은 모든 멤버가 새 사용자 그룹으로 대체될 때 기록됩니다. 단일 멤버를 추가하거나 제거하면 Add-ComplianceCaseMember 또는 Remove-ComplianceCaseMember 작업이 기록됩니다. |
| 만든 콘텐츠 검색 |
New-ComplianceSearch |
새 콘텐츠 검색이 만들어졌습니다. |
| 삭제된 콘텐츠 검색 |
Remove-ComplianceSearch |
기존 콘텐츠 검색이 삭제되었습니다. |
| 변경된 콘텐츠 검색 |
Set-ComplianceSearch |
기존 콘텐츠 검색이 변경되었습니다. 변경 내용에는 검색되는 콘텐츠 위치 추가 또는 제거 및 검색 쿼리 편집이 포함될 수 있습니다. |
| 시작된 콘텐츠 검색 |
Start-ComplianceSearch |
콘텐츠 검색이 시작되었습니다. 규정 준수 포털 GUI를 사용하여 콘텐츠 검색을 만들거나 변경하면 검색이 자동으로 시작됩니다.
New-ComplianceSearch 또는 Set-ComplianceSearch cmdlet을 사용하여 검색을 만들거나 변경하는 경우 Start-ComplianceSearch cmdlet을 실행하여 검색을 시작해야 합니다. |
| 중지된 콘텐츠 검색 |
Stop-ComplianceSearch |
실행 중인 콘텐츠 검색이 중지되었습니다. |
| 만든 콘텐츠 검색 작업 |
New-ComplianceSearchAction |
콘텐츠 검색 작업이 만들어졌습니다. 콘텐츠 검색 작업에는 검색 결과 미리 보기, 검색 결과 내보내기, eDiscovery에서 분석을 위한 검색 결과 준비(프리미엄), 콘텐츠 검색의 검색 조건과 일치하는 항목을 영구적으로 삭제하는 작업이 포함됩니다. |
| 삭제된 콘텐츠 검색 작업 |
Remove-ComplianceSearchAction |
콘텐츠 검색 작업이 삭제되었습니다. |
| 만든 검색 권한 필터 |
New-ComplianceSecurityFilter |
검색 권한 필터가 만들어졌습니다. |
| 삭제된 검색 권한 필터 |
Remove-ComplianceSecurityFilter |
검색 권한 필터가 삭제되었습니다. |
| 변경된 검색 권한 필터 |
Set-ComplianceSecurityFilter |
검색 권한 필터가 변경되었습니다. |
| eDiscovery 관리자를 만들었습니다. |
Add-eDiscoveryCaseAdmin |
사용자가 organization eDiscovery 관리자로 추가되었습니다. |
| 삭제된 eDiscovery 관리자 |
Remove-eDiscoveryCaseAdmin |
eDiscovery 관리자가 organization 삭제되었습니다. |
| eDiscovery 관리자 구성원이 변경됨 |
Update-eDiscoveryCaseAdmin |
organization eDiscovery 관리자 목록이 변경되었습니다. 이 활동은 eDiscovery 관리자 목록이 새 사용자 그룹으로 대체될 때 기록됩니다. 단일 사용자를 추가하거나 제거하면 Add-eDiscoveryCaseAdmin 또는 Remove-eDiscoveryCaseAdmin 작업이 기록됩니다. |
| (없음) |
Get-ComplianceCase |
이 활동은 사용자가 eDiscovery(표준) 또는 eDiscovery(프리미엄) 사례 목록을 볼 때 기록됩니다. 이 활동은 사용자가 eDiscovery(표준)에서 특정 사례를 볼 때도 기록됩니다. 사용자가 특정 사례를 볼 때 감사 레코드에는 조회된 사례의 ID가 포함됩니다. 사용자가 사례 목록만 본 경우 감사 레코드에는 사례 ID가 포함되지 않습니다. |
| (없음) | Get-ComplianceSearch | 이 활동은 사용자가 eDiscovery(표준) 사례와 관련된 콘텐츠 검색 또는 검색 목록을 볼 때 기록됩니다. 이 활동은 사용자가 특정 콘텐츠 검색을 보거나 eDiscovery(표준) 사례와 연결된 특정 검색을 볼 때도 기록됩니다. 사용자가 특정 검색을 볼 때 감사 레코드에는 조회된 검색의 ID가 포함됩니다. 사용자가 검색 목록만 본 경우 감사 레코드에는 검색 ID가 포함되지 않습니다. |
| (없음) | Get-ComplianceSearchAction | 이 활동은 사용자가 준수 검색 작업(예: 내보내기, 미리 보기 또는 제거) 또는 eDiscovery(표준) 사례와 관련된 작업 목록을 볼 때 기록됩니다. 또한 이 활동은 사용자가 특정 준수 검색 작업(예: 내보내기)을 보거나 eDiscovery(표준) 사례와 관련된 특정 작업을 볼 때 기록됩니다. 사용자가 검색 작업을 볼 때 감사 레코드에는 조회된 검색 작업의 ID가 포함됩니다. 사용자가 작업 목록만 본 경우 감사 레코드에는 작업 ID가 포함되지 않습니다. |
eDiscovery 활동에 대한 자세한 속성
다음 표에서는 검색 결과에 나열된 eDiscovery 활동의 플라이아웃 페이지에 포함된 속성에 대해 설명합니다. 이러한 속성은 감사 로그 검색 결과를 내보낼 때 CSV 파일에도 포함됩니다. eDiscovery 활동에 대한 감사 로그 레코드에는 아래에 나열된 모든 세부 속성이 포함되지 않습니다.
팁
검색 결과를 내보낼 때 CSV 파일에는 다중 값 속성의 다음 표에 설명된 자세한 속성이 포함된 AudtiData라는 열이 포함됩니다. Excel의 Power Query 기능을 사용하여 각 속성에 고유한 열이 있도록 이 열을 여러 열로 분할할 수 있습니다. 이렇게 하면 이러한 속성 중 하나 이상을 정렬하고 필터링할 수 있습니다. 자세한 내용은 감사 로그 검색을 참조하세요.
| 속성 | 설명 |
|---|---|
| 사례 |
생성, 변경 또는 삭제된 eDiscovery 사례의 ID(GUID)입니다. |
| ClientApplication |
eDiscovery cmdlet 작업에는 이 속성에 대한 EMC 값이 있습니다. 이는 준수 포털 GUI를 사용하거나 PowerShell에서 cmdlet을 실행하여 활동이 수행되었음을 나타냅니다. |
| ClientIP |
활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다. |
| ClientRequestId |
eDiscovery 작업의 경우 이 속성은 일반적으로 비어 있습니다. |
| CmdletVersion |
organization 실행되는 규정 준수 포털 버전의 빌드 번호입니다. |
| CreationTime |
eDiscovery 작업이 완료된 UTC(협정 세계시)의 날짜 및 시간입니다. |
| EffectiveOrganization |
Microsoft 365 organization 이름입니다. |
| ExchangeLocations |
콘텐츠 검색에 포함되거나 eDiscovery 사례에 보류된 Exchange Online 사서함입니다. |
| 제외 |
콘텐츠 검색 또는 eDiscovery 케이스의 보류에서 제외되는 사서함 또는 사이트 위치입니다. |
| ExtendedProperties |
콘텐츠 검색의 추가 속성, 콘텐츠 검색 작업 또는 eDiscovery 사례(예: 개체 GUID 및 활동이 수행될 때 사용된 해당 cmdlet 및 cmdlet 매개 변수)를 보유합니다. |
| Id |
보고서 항목의 ID입니다. ID는 감사 로그 항목을 고유하게 식별합니다. |
| NonPIIParameters |
Operation 속성에서 식별된 cmdlet과 함께 사용된 매개 변수 목록(값 없음)입니다. 이 속성에 나열된 매개 변수는 Parameters 속성에 나열된 매개 변수와 동일합니다. |
| ObjectId |
Operation 속성에 나열된 활동에 의해 생성, 액세스, 변경 또는 삭제된 개체의 GUID 또는 이름(예: 콘텐츠 검색 또는 eDiscovery(표준) 사례)입니다. 이 개체는 감사 로그 검색 결과의 Item 열에서도 식별됩니다. |
| ObjectType |
사용자가 생성, 삭제 또는 수정한 eDiscovery 개체의 형식입니다. 예를 들어 콘텐츠 검색 작업(미리 보기, 내보내기 또는 제거), eDiscovery 사례 또는 콘텐츠 검색이 있습니다. |
| 작업 |
수행된 eDiscovery 작업에 해당하는 작업의 이름입니다. |
| OrganizationId |
Microsoft 365 organization 대한 GUID입니다. |
| 매개 변수 |
해당 cmdlet과 함께 사용된 매개 변수의 이름 및 값입니다. |
| PublicFolderLocations |
콘텐츠 검색에 포함되거나 eDiscovery 사례에 보류된 Exchange Online 공용 폴더 위치입니다. |
| 쿼리 |
콘텐츠 검색 또는 쿼리 기반 보류와 같은 활동과 연결된 검색 쿼리입니다. |
| RecordType |
레코드로 표시된 작업의 형식입니다. 값 18 은 eDiscovery cmdlet 활동 섹션에 나열된 활동과 관련된 이벤트를 나타냅니다. 값 24 는 eDiscovery 활동을 검색하고 보는 방법 섹션에 나열된 활동과 관련된 이벤트를 나타냅니다. |
| ResultStatus |
작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다. |
| SecurityComplianceCenterEventType |
활동이 규정 준수 포털 이벤트임을 나타냅니다. 모든 eDiscovery 활동 값은 이 속성에 대해 0 입니다. |
| SharepointLocations |
콘텐츠 검색에 포함되거나 eDiscovery 사례에 보류된 SharePoint Online 사이트입니다. |
| StartTime |
eDiscovery 활동이 시작된 UTC(협정 세계시)의 날짜 및 시간입니다. |
| UserId |
레코드가 기록된 작업(Operation 속성에 지정됨)을 수행한 사용자입니다. 시스템 계정(예: NT AUTHORITY\SYSTEM)에서 수행하는 eDiscovery 활동에 대한 레코드도 감사 로그에 포함됩니다. |
| UserKey |
UserId 속성에서 식별된 사용자의 대체 ID입니다. eDiscovery 작업의 경우 이 속성의 값은 일반적으로 UserId 속성과 동일합니다. |
| UserServicePlan |
organization 사용하는 구독입니다. eDiscovery 작업의 경우 이 속성은 일반적으로 비어 있습니다. |
| UserType |
작업을 수행한 사용자 유형입니다. 다음 값은 사용자 유형을 나타냅니다. 0 일반 사용자입니다. 2 organization 관리자입니다. 3 Microsoft 데이터 센터 관리자 또는 데이터 센터 시스템 계정. 4 시스템 계정. 5 애플리케이션입니다. 6 서비스 주체. |
| 버전 |
기록된 작업의 버전 번호(Operation 속성으로 식별됨)를 나타냅니다. |
| 워크로드 |
활동이 발생한 서비스입니다. eDiscovery 활동의 경우 값은 SecurityComplianceCenter입니다. |