Поиск действий по обнаружению электронных данных в журнале аудита

Действия обнаружения электронных данных, выполняемые на портале Microsoft Purview или в PowerShell, регистрируются в журнале аудита. События регистрируются, когда администраторы или менеджеры по обнаружению электронных данных (или любые назначенные пользователем разрешения на обнаружение электронных данных) выполняют следующие задачи:

• Создание случаев и управление ими.
• Создание и изменение поиска в случаях.
• Выполнение действий поиска, таких как создание статистики, выборка и экспорт из поиска.
• Создание, редактирование и удаление удержаний из вариантов.
• Создание наборов проверки и выполнение действий проверки в случаях.

Дополнительные сведения о поиске в журнале аудита, необходимых разрешениях и экспорте результатов поиска см. в разделе Поиск в журнале аудита.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Поиск и просмотр действий обнаружения электронных данных

1. Перейдите на портал Microsoft Purview и выполните вход, используя учетные данные для учетной записи пользователя, назначенной разрешениями на обнаружение электронных данных.

2. Выберите карта решение аудит.

3. На странице Поиск выполните следующие действия.

   1. В раскрывающемся списке Действия — понятные имена в разделе Действия обнаружения электронных данных выберите одно или несколько действий обнаружения электронных данных для поиска. Полный список всех действий обнаружения электронных данных см. в разделе Действия журнала аудита.

   Примечание.

   В раскрывающемся списке Действия — понятные имена также содержится группа действий с именем действия командлета eDiscovery , которая возвращает записи из журнала аудита командлетов.

   1. Выберите диапазон даты и времени, чтобы отобразить события обнаружения электронных данных, произошедшие в течение этого периода.

   2. В поле Пользователи выберите одного или нескольких пользователей для отображения результатов поиска. Оставьте это поле пустым, чтобы вернуть записи для всех пользователей.

   3. Выберите Поиск , чтобы запустить поиск с использованием ваших критериев поиска.

После отображения результатов поиска можно выбрать Фильтр результатов, чтобы отфильтровать или отсортировать результирующие записи действий. Чтобы просмотреть сведения о действии, выберите запись действия в списке результатов поиска. Отобразится всплывающее окно Сведений , содержащее подробные свойства из записи события.

Чтобы отобразить дополнительные сведения, выберите Дополнительные сведения. Результаты поиска в журнале аудита можно экспортировать в файл .csv, а затем использовать функцию excel Power Query для форматирования и фильтрации этих записей. Дополнительные сведения см. в статье Экспорт, настройка и просмотр записей журнала аудита.

Поле IP-адреса клиента доступно для всех действий, выполняемых при обнаружении электронных данных. Если столбец IP-адрес пуст для действия, действие было выполнено в классическом интерфейсе обнаружения электронных данных. Все действия обнаружения электронных данных, выполняемые в eDiscovery (предварительная версия), включают IP-адрес в столбце IP-адрес .

Действия, связанные с обнаружением электронных данных

Полный список всех свойств и действий обнаружения электронных данных, включенных в журнал аудита, см. в разделе Действия журнала аудита.