Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Jeder Prozess in Microsoft Purview-eDiscovery generiert einen herunterladbaren Prozessbericht, der detaillierte Informationen darüber enthält, was während des Prozesses passiert ist. Dieser Artikel enthält eine szenariobasierte Anleitung für die ausführliche Interpretation von Berichtsdaten. Verwenden Sie es, um die anzahl unerwarteter Elemente zu verstehen, Standortfehler zu identifizieren, zu sehen, wie sich Einstellungen auf die Ergebnisse auswirkten, und um zu wissen, worauf Sie in Berichten bei der Untersuchung bestimmter Ergebnisse achten sollten.
Weitere Informationen zur Struktur und zum Inhalt der einzelnen Berichte finden Sie unter Verwenden von Prozessberichten in eDiscovery.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Bewährte Methoden für die Verwendung von Prozessberichten
- Herunterladen von Berichten für jeden Prozess: Auch wenn ein Prozess erfolgreich abgeschlossen wurde, laden Sie das Berichtspaket herunter, um zu protokollieren, was wo und mit welchen Einstellungen gesammelt wurde. Diese Informationen sind für Transparenz- und Auditzwecke wertvoll.
- Überprüfen Sie zuerst die Summary.csv: Beginnen Sie mit der Zusammenfassungs-CSV, um einen Überblick über das Prozessergebnis zu erhalten, einschließlich Elementanzahl, Fehler und der Faktoren, die die Anzahl beeinflusst haben.
- Verwenden Sie die Items.csv für die Untersuchung auf Elementebene: Wenn Sie verstehen müssen, warum ein bestimmtes Element enthalten war oder nicht, sehen Sie sich die Items.csv nach detaillierten status und Fehlerinformationen pro Element an.
- Verwenden Sie die Locations.csv für die Bereichsüberprüfung: Überprüfen Sie, ob alle vorgesehenen Speicherorte eingeschlossen und erfolgreich verarbeitet wurden. Identifizieren Sie alle Standorte mit Fehlern, die Aufmerksamkeit erfordern.
- Vergleichen sie Settings.csv prozessübergreifend: Wenn Sie die Ergebnisse zweier Prozesse vergleichen, vergleichen Sie deren EINSTELLUNGEN-CSV-Berichte, um zu bestätigen, dass dieselbe Konfiguration verwendet wurde.
- Verwenden Sie die Statistics.csv für die Suchanalyse: Verwenden Sie nach dem Generieren von Statistiken diesen Bericht, um die Verteilung von Suchtreffern auf Schlüsselwörter, Datentypen, Typen vertraulicher Informationen und Kommunikationsteilnehmer zu verstehen.
Grundlegendes zur Anzahl von Suchergebnissen
Die Anzahl der Suchergebnisse kann zwischen Ausführungen variieren und sich von der Anzahl der Export- oder Sammlungsergebnisse unterscheiden. Eine ausführliche Erläuterung der Verhaltensgründe für diese Unterschiede finden Sie unter Grundlegendes zu Statistiken und Suchergebnissen undUnterschiede zwischen Statistiken und Exportergebnissen. In den folgenden Abschnitten wird erläutert, wie Sie die Prozessberichte verwenden, um diese Unterschiede zu untersuchen.
Untersuchen fehlender Elemente in Suchergebnissen
Wenn erwarteter Inhalt in den Suchergebnissen nicht angezeigt wird, verwenden Sie die Prozessberichte aus dem Prozess Statistiken generieren oder Beispiel generieren , um die Ursache zu identifizieren.
Was im Prozessbericht zu sehen ist:
- Settings.csv – Einstellung für teilweise indizierte Elemente: Überprüfen Sie, ob der Prozess so konfiguriert wurde, dass er teilweise indizierte Elemente enthält. Standardmäßig schließen Suchergebnisse Inhalte aus, die nicht vollständig indiziert sind, z. B. reine Bilddateien, nicht unterstützte Dateitypen oder Elemente mit Verarbeitungsfehlern. Wenn die Einstellung zeigt, dass der Prozess keine teilweise indizierten Elemente enthält, führen Sie die Suche mit dieser Option erneut aus, um zu ermitteln, ob die fehlenden Elemente nicht indiziert sind.
- Settings.csv – Sicherheitsfilter angewendet: Wenn dieser Wert Ja ist, schränkt eine Konformitätsgrenze (Filter für Suchberechtigungen) ein, auf welche Speicherorte die Suche zugreifen kann. Bei der Suche werden Elemente an Speicherorten außerhalb des Filterbereichs automatisch ausgeschlossen. Im Feld Standorteinschränkung werden die Filterkriterien angezeigt. Wenn Sie vermuten, dass der Filter erwartete Inhalte ausschließt, bitten Sie einen eDiscovery-Administrator oder einen anderen Benutzer ohne angewendeten Suchberechtigungsfilter, die gleiche Suche zum Vergleich auszuführen.
- Locations.csv – Spalte "Status": Suchen Sie nach Speicherorten mit Fehlern. Wenn an einem Speicherort ein Fehler status angezeigt wird, wird im Feld Fehlerwarnung der Grund erläutert. Weitere Informationen zu häufigen Gründen, die sich auf den Standortzugriff auswirken können, finden Sie unter Überlegungen zum Exportieren.
- Locations.csv – Spalte "Anzahl": Wenn für einen Speicherort, den Sie mit Ergebnissen erwartet haben, die Anzahl 0 (null) angezeigt wird, stimmte die Suchabfrage mit keinem Inhalt an diesem Speicherort überein. Überprüfen Sie, ob die Abfrage korrekt ist und dass der Inhalt an der Quelle vorhanden ist. Elemente, die Sie kürzlich zu einem Postfach oder einer Website hinzugefügt haben, sind möglicherweise noch nicht indiziert. Führen Sie die Suche nach einer kurzen Wartezeit erneut aus, um diese Bedingung zu beheben.
- Locations.csv – Fehlende Speicherorte: Wenn ein erwarteter Speicherort überhaupt nicht im Bericht angezeigt wird, wurde er nicht im Suchbereich enthalten. Überprüfen Sie die für die Suche konfigurierten Datenquellen, und fügen Sie alle fehlenden Postfächer oder Websites hinzu.
Tipp
Wenn Sie fehlende Elemente untersuchen, beginnen Sie mit dem Locations.csv , um zu bestätigen, dass alle erwarteten Speicherorte erfolgreich durchsucht wurden, und überprüfen Sie dann die Settings.csv , um zu überprüfen, ob die richtigen Optionen aktiviert wurden. Wenn beide korrekt aussehen und Elemente immer noch fehlen, wird der Inhalt zum Zeitpunkt der Suche möglicherweise gelöscht oder noch nicht indiziert.
Unterschiede bei den Suchergebnissen bei mandantenweiten Suchvorgängen
Wenn Sie einen mandantenweiten Suchbereich wie Alle Personen und Gruppen verwenden, können die Ergebnisse je nach zusätzlichen Quellkonfigurationseinstellungen variieren, die steuern, welche Benutzer- und Inhaltstypen einbezogen werden. Diese Einstellungen erweitern oder schränken den Suchbereich ein und wirken sich direkt auf die Elementanzahl aus.
Was im Prozessbericht zu sehen ist:
Settings.csv – Mandantenweite Prozesseinstellungen: Wenn bei einer Suche Alle Personen und Gruppen verwendet wird, erfasst die CSV-Datei einstellungen , welche zusätzlichen Quelltypen zum Zeitpunkt des Suchexports oder des Sets Zu Überprüfung hinzufügen aktiviert wurden. Überprüfen Sie diese Einstellungen, um zu verstehen, warum bestimmte Inhalte eingeschlossen oder ausgeschlossen wurden:
- Verstorbene Benutzer einschließen: Wenn diese Option aktiviert ist, umfasst die Suche Postfächer und OneDrive-Websites von Benutzern, die die organization (vorläufig gelöschte oder inaktive Konten) verlassen haben. Wenn diese Einstellung nicht aktiviert war und Sie erwartet haben, inhalte von ehemaligen Mitarbeitern zu finden, wird erläutert, warum diese Elemente in den Ergebnissen fehlen.
- Freigegebene Teams-Kanäle einschließen: Wenn diese Option aktiviert ist, schließt die Suche Inhalte aus freigegebenen Teams-Kanälen ein. Freigegebene Kanaldaten werden auf separaten SharePoint-Websites gespeichert, sodass sie nur enthalten sind, wenn diese Einstellung aktiv ist. Wenn Inhalte im freigegebenen Kanal fehlen, überprüfen Sie, ob diese Einstellung aktiviert ist.
- Einschließen nicht lizenzierter und lokaler Benutzer: Wenn diese Option aktiviert ist, umfasst die Suche Postfächer für Benutzer, die nicht über eine Lizenz verfügen oder aus lokalen Umgebungen synchronisiert werden.
- Gastbenutzer einschließen: Wenn diese Option aktiviert ist, schließt die Suche Inhalte ein, die Gastbenutzerkonten in Ihrem Mandanten zugeordnet sind.
Hinweis
Sie konfigurieren mandantenweite Quelleinstellungen auf Prozessebene. Das Einschließen dieser Einstellungen erhöht den Umfang des Prozesses und kann sich auf die Leistung auswirken.
Interpretieren von Count-Unterschieden zwischen Suche und Export
Wenn Sie Suchergebnisse exportieren oder sie einem Überprüfungssatz hinzufügen, unterscheidet sich die endgültige Elementanzahl häufig von der ursprünglichen Suchschätzung. Eine vollständige Liste der Gründe finden Sie unter Unterschiede zwischen Statistiken und Exportergebnissen. Der Csv-Zusammenfassungsbericht zeigt die spezifischen Faktoren an, die sich auf die Anzahl Ihres Prozesses auswirkten.
Was im Prozessbericht zu sehen ist:
- Informationsabschnitt von Summary.csv: In diesem Abschnitt werden alle Faktoren aufgelistet, die die Elementanzahl im Vergleich zur ursprünglichen Schätzung erhöht oder verringert haben, z. B. Cloudanlagen, kontextbezogene Unterhaltungen, konsolidierte Transkripte, SharePoint-Dateiversionen und Duplikate, die in einem Überprüfungssatz übersprungen wurden. Eine vollständige Liste dieser Faktoren und deren Bedeutung finden Sie im Abschnitt Informationen.
- Abschnitt "Suchergebnisse" von Summary.csv: Zeigt die Aufschlüsselung von indizierten Elementen, teilweise indizierten Elementen und erweiterten indizierten Elementen an. Wenn die Anzahl niedriger als erwartet ist, überprüfen Sie, ob Sie teilweise indizierte Elemente in die Prozesseinstellungen eingeschlossen haben.
- Fehlerabschnitt von Summary.csv: Zeigt Abrufausnahmen an – Elemente, die nicht exportiert oder dem Überprüfungssatz hinzugefügt werden konnten. Informationen zu den spezifischen Ausnahmetypen, die in diesem Abschnitt nachverfolgt werden, finden Sie unter Fehler.
Grundlegendes zu den Auswirkungen von Sucheinstellungen auf Ergebnisse
Der CSV-Bericht Einstellungen erfasst die genaue Konfiguration, die beim Übermitteln eines Prozesses verwendet wurde. Vergleichen Sie diesen Bericht mit ihrer beabsichtigten Konfiguration, um Abweichungen zu identifizieren.
Zu den wichtigsten Einstellungen, die sich auf den Ergebnisbereich auswirken, gehören:
- Dokumentversionen einschließen: Bestimmt, wie viele Versionen jedes Dokuments gesammelt werden. Wenn Sie Alle Versionen auswählen, können Sie die Elementanzahl und das Datenvolumen erheblich erhöhen.
- Organisieren von Unterhaltungen in HTML-Transkripten: Wenn diese Option aktiviert ist, konsolidieren einzelne Teams-Chatnachrichten in Transkriptdateien, wodurch sich die Elementanzahl ändert.
- Kontextbezogene Teams und Viva Engage Unterhaltungen einschließen: Wenn diese Option aktiviert ist, umfasst die Suche Nachrichten außerhalb Ihres Suchdatumsbereichs, um den Konversationskontext bereitzustellen. Für 1:1- und Gruppenchats fügt diese Einstellung Nachrichten 12 Stunden vor und nach jedem reaktionsfähigen Element hinzu. Für Teams-Kanalbeiträge und Viva Engage Beiträge umfasst die Suche ganze Unterhaltungsthreads unabhängig vom Datumsbereich. Wenn Elemente außerhalb des erwarteten Datumsbereichs angezeigt werden, überprüfen Sie, ob diese Einstellung aktiviert ist.
- Zugriffslinks in Nachrichten: Steuert, ob die Suche Cloudanlagen aus Links in E-Mails und Teams-Unterhaltungen abruft.
Grundlegendes zu Exportberichten
Warum bestimmte Elemente nicht exportiert wurden
Wenn ein Export abgeschlossen ist, wird im Csv-Bericht Elemente und im Abschnitt Fehler des Csv-Zusammenfassungsberichts erläutert, was mit den einzelnen Elementen passiert ist.
Was im Exportbericht zu sehen ist:
Items.csv – Statusspalte: Jede Zeile stellt ein Element dar. Elemente mit einem anderen status als Erfolg enthalten ein Fehlerwarnungsfeld mit der Fehlerursache. Häufige Gründe sind:
- Element gelöscht oder verschoben: Bei der Suche wurde das Element gefunden, aber es wurde zwischen dem Zeitpunkt der Suche und dem Export an der Quelle entfernt oder verschoben. Diese Elemente zählen in der Suchschätzung, können aber zum Zeitpunkt des Exports nicht abgerufen werden.
- Zugriffstimeout: Das System konnte das Element nicht innerhalb der zulässigen Zeit abrufen, häufig aufgrund einer großen Dateigröße oder eines vorübergehenden Dienstproblems.
- Berechtigungs- oder Zugriffsproblem: Der Exportvorgang konnte nicht auf das Element zugreifen, möglicherweise weil der Quellspeicherort gesperrt ist oder das Benutzerkonto keinen Zugriff hat.
Items.csv – AddedBy-Spalte: Zeigt an, wie jedes Element in die Ergebnisse aufgenommen wurde. Definitionen der einzelnen Werte finden Sie unter Csv-Bericht für Elemente.
Summary.csv – Abrufausnahmen: Zeigt die Gesamtanzahl der Elemente an, die nicht exportiert werden konnten. Diese Anzahl entspricht der Anzahl der Fehlereinträge in der Items.csv-Datei.
Grundlegendes zu Dateizeitstempeln in Exporten
Wenn Sie Dateien aus einem Exportpaket extrahieren, zeigen Dateizeitstempel möglicherweise das aktuelle Datum anstelle des ursprünglichen Änderungsdatums an. Dieses Verhalten tritt auf, weil der integrierte Windows-ZIP-Extraktor Dateidaten während der Extraktion zurücksetzt. Die ursprünglichen Zeitstempel werden im Items.csv Bericht und in den Dateiformaten selbst beibehalten.
Um Zeitstempel während der Extraktion beizubehalten, verwenden Sie ein Tool wie 7-Zip, WinZip oder WinRAR. Bei E-Mails im PST-Format werden beim Öffnen des PST in Outlook die ursprünglichen Gesendeten und Empfangenen Datumsangaben angezeigt.
Grundlegendes zu Exporteinstellungen und Nachverfolgbarkeit
Der CSV-Bericht Einstellungen dient als autoritativer Datensatz der Konfiguration, die für einen Export verwendet wird. Dieser Bericht ist von entscheidender Bedeutung für die Rückverfolgbarkeit und Transparenz, insbesondere bei der Beantwortung von Compliance-Anfragen.
Verwenden Sie diesen Bericht für Folgendes:
- Überprüfen Sie, welche Elemente enthalten waren (indiziert, teilweise indiziert oder beides).
- Überprüfen Sie die Einstellungen für das Exportformat (PST oder .msg) und die Paketgröße.
- Überprüfen Sie, ob die Entschlüsselung für Exchange- oder SharePoint-Inhalte aktiviert wurde.
- Überprüfen Sie, ob die richtigen Dokumentversionseinstellungen angewendet wurden.
Grundlegendes zu Standortberichten
Identifizieren der Speicherorte mit Ergebnissen
Der CSV-Bericht Speicherorte enthält eine Aufschlüsselung aller Inhaltsspeicherorte, die während eines Such-, Export- oder Add-To-Review-Set-Prozesses verwendet werden sollen. Jede Zeile stellt eine Position dar und enthält die Elementanzahl und -größe.
Was im Standortbericht zu sehen ist:
- Spalte "Anzahl": Zeigt die Anzahl der an jedem Speicherort gefundenen dynamischen Elemente an. Standorte mit der Anzahl 0 (null) weisen keine Suchtreffer für die verwendete Abfrage auf.
- Spalte "Größe": Zeigt die Gesamtgröße der reaktionsfähigen Elemente aus dem Speicherort in Bytes an.
- Spalte "Standortuntertyp": Unterscheidet zwischen verschiedenen Postfach- und Websiteuntertypen. Die SMTP-Adresse eines einzelnen Benutzers kann in mehreren Zeilen angezeigt werden, wenn er über unterschiedliche Postfachuntertypen verfügt. Eine vollständige Liste der Untertypwerte finden Sie unter Speicherort-CSV-Bericht.
- Statusspalte: Zeigt an, ob der Speicherort erfolgreich verarbeitet wurde. Wenn bei einem Speicherort ein Fehler aufgetreten ist, enthält das Feld ErrorWarning den Grund.
Grundlegendes zu Fehlern auf Standortebene
Fehler auf Speicherortebene im CSV-Bericht Speicherorte deuten darauf hin, dass der Prozess nicht auf ein bestimmtes Postfach oder eine bestimmte Website zugreifen konnte. Häufige Fehler sind:
| Fehler | Bedeutung | Vorgehensweise |
|---|---|---|
| Berechtigungs- oder Zugriffsproblem | Der Prozess kann nicht auf das Postfach oder die Website zugreifen. Der Benutzer ist möglicherweise nicht lizenziert, die Website möglicherweise gesperrt, oder dem suchenden Konto fehlen Berechtigungen. | Überprüfen Sie, ob die Lizenz des Benutzers status und dass die Website nicht gesperrt ist. Vergewissern Sie sich, dass die Rolle "eDiscovery-Administrator" oder "Manager" über die erforderlichen Berechtigungen verfügt, und führen Sie den Prozess dann erneut aus. |
| Timeout | Die Verarbeitung des Standorts hat zu lange gedauert. Dieser Fehler kann bei sehr großen Postfächern oder Websites auftreten. | Führen Sie den Prozess erneut aus. Wenn das Timeout weiterhin besteht, schränken Sie die Suchabfrage ein, oder teilen Sie die Suche auf weniger Speicherorte pro Ausführung auf. |
| Speicherort nicht gefunden | Das Postfach oder die Website ist nicht vorhanden. Der Benutzer wurde möglicherweise gelöscht, oder die Website-URL ist möglicherweise falsch. | Überprüfen Sie das Benutzerkonto oder die Website-URL im Microsoft 365 Admin Center. Wenn der Benutzer gelöscht wurde, verwenden Sie ein inaktives Postfach , oder fügen Sie die OneDrive-URL direkt als SharePoint-Speicherort hinzu. |
Wenn ein Speicherort Fehler aufweist, bedeutet dies nicht, dass der gesamte Prozess fehlgeschlagen ist. Andere Speicherorte können erfolgreich verarbeitet werden. Überprüfen Sie die CSV-Datei "Standorte", um zu ermitteln, welche bestimmten Standorte aufmerksamkeitsbedarft sind.
Grundlegendes zu Halteberichten
Interpretieren von Status für die Haltehalteverteilung
Wenn Sie einen Halteraum erstellen oder aktualisieren, enthält der Prozessbericht für den Prozess Anwenden oder Aktualisieren des Halteraums einen SPEICHERORT-Bericht, der die status der einzelnen Speicherorte im Halteraum anzeigt.
Was im Haltezustandsbericht zu sehen ist:
Statusspalte: Zeigt an, ob der Halteraum erfolgreich auf die einzelnen Speicherorte angewendet wurde.
FehlerWarnungsspalte: Wenn ein Speicherort fehlgeschlagen ist, enthält dieses Feld den spezifischen Fehler. Häufige Fehler bei der Aufbewahrungsverteilung sind:
Fehler Bedeutung Vorgehensweise PolicySyncTimeout/PolicyNotifyError Vorübergehende Fehler. Die Haltedauer hat zu lange gedauert. Führen Sie die Halteraumverteilung erneut aus. Diese Fehler werden in der Regel bei Wiederholungen behoben. FailedToOpenContainer Auf das Postfach oder die Website kann nicht zugegriffen werden. Der Benutzer verfügt möglicherweise nicht über ein Postfach, oder die Website ist nicht vorhanden. Überprüfen Sie das Benutzerkonto status im Microsoft 365 Admin Center, und vergewissern Sie sich, dass das Postfach oder die Website aktiv ist. SiteInReadonlyOrNotAccessible/SiteOutOfQuota Die SharePoint-Website oder OneDrive befindet sich in einem schreibgeschützten Zustand oder verfügt über kein Speicherkontingent mehr. Wenden Sie sich an Ihren SharePoint-Administrator, um die Website zu entsperren oder das Speicherkontingent zu erhöhen, und führen Sie dann den Haltepunkt erneut aus. RecipientTypeNotAllowed Der Haltevorgang für ein nicht berechtigtes Objekt, z. B. eine Verteilergruppe, wurde versucht. Nur Benutzerpostfächer, Gruppenpostfächer und SharePoint- oder OneDrive-Websites können gespeichert werden. Entfernen Sie das ineligible -Objekt, und fügen Sie stattdessen die einzelnen Benutzerpostfächer oder Websites hinzu.
Grundlegendes zur Verbrauchszusammenfassung
Im AbschnittVerbrauchszusammenfassung des CSV-Berichts "Zusammenfassung" wird das Datenvolumen nach Inhaltstyp unterteilt. Diese Informationen helfen Ihnen, die Auswirkungen auf Speicher und Abrechnung für Prozesse zu verstehen, die einem Prüfsatz Daten hinzufügen oder Daten exportieren.
Hinweis
Wenn Sie nicht über ein aktives Abonnement mit nutzungsbasierter Bezahlung verfügen, werden Keine Daten exportiert oder einem Überprüfungssatz hinzugefügt. Weitere Informationen finden Sie unter Aktivieren von Features für nutzungsbasierte Bezahlung in Microsoft Purview.