Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Ogni processo in Microsoft Purview eDiscovery genera un report di processo scaricabile che contiene informazioni dettagliate su ciò che è accaduto durante il processo. Questo articolo fornisce indicazioni basate su scenari per l'interpretazione approfondita dei dati del report. Usarlo per comprendere i conteggi imprevisti degli elementi, identificare gli errori di posizione, vedere come le impostazioni hanno influenzato i risultati e sapere cosa cercare nei report durante l'analisi di risultati specifici.
Per altre informazioni sulla struttura e sul contenuto di ogni report, vedere Usare i report di processo in eDiscovery.
Consiglio
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Procedure consigliate per l'uso dei report di processo
- Scaricare i report per ogni processo: anche quando un processo viene completato correttamente, scaricare il pacchetto del report per tenere traccia di ciò che è stato raccolto, da dove e con quali impostazioni. Queste informazioni sono utili ai fini della trasparenza e del controllo.
- Controllare prima di tutto il Summary.csv: iniziare con il csv di riepilogo per ottenere una panoramica del risultato del processo, inclusi i conteggi degli elementi, gli errori e i fattori che hanno influenzato il conteggio.
- Usare il Items.csv per l'analisi a livello di elemento: quando è necessario comprendere il motivo per cui un elemento specifico è stato incluso o non è stato incluso, esaminare la Items.csv per informazioni dettagliate sullo stato e sull'errore per ogni elemento.
- Usare il Locations.csv per la convalida dell'ambito: verificare che tutte le posizioni previste siano state incluse ed elaborate correttamente. Identificare eventuali posizioni con errori che richiedono attenzione.
- Confrontare Settings.csv tra i processi: quando si confrontano i risultati di due processi, confrontare i report CSV delle impostazioni per verificare che sia stata usata la stessa configurazione.
- Usare il Statistics.csv per l'analisi della ricerca: dopo un processo Genera statistiche , usare questo report per comprendere la distribuzione dei riscontri di ricerca tra parole chiave, tipi di dati, tipi di informazioni sensibili e partecipanti alla comunicazione.
Informazioni sui conteggi dei risultati della ricerca
I conteggi dei risultati della ricerca possono variare tra le esecuzioni e differiscono dai conteggi di esportazione o raccolta. Per una spiegazione dettagliata dei motivi comportamentali alla base di queste differenze, vedere Informazioni sulle statistiche e sui risultati della ricerca e Differenze tra le statistiche e i risultati dell'esportazione. Le sezioni seguenti illustrano come usare i report di processo per analizzare queste differenze.
Analisi degli elementi mancanti nei risultati della ricerca
Se il contenuto previsto non viene visualizzato nei risultati della ricerca, usare i report di processo di Generate statistics (Genera statistiche ) o Generate sample process (Genera processo di esempio ) per identificare la causa.
Cosa vedere nel report sul processo:
- Settings.csv: impostazione Elementi parzialmente indicizzati: controllare se il processo è stato configurato per includere elementi parzialmente indicizzati. Per impostazione predefinita, i risultati della ricerca escludono il contenuto non completamente indicizzato, ad esempio file di sola immagine, tipi di file non supportati o elementi con errori di elaborazione. Se l'impostazione mostra che il processo non include elementi parzialmente indicizzati, eseguire di nuovo la ricerca con questa opzione abilitata per determinare se gli elementi mancanti non sono indicizzati.
- Settings.csv : filtro di sicurezza applicato: se questo valore è Sì, un limite di conformità (filtro delle autorizzazioni di ricerca) limita le posizioni a cui la ricerca può accedere. La ricerca esclude automaticamente gli elementi in posizioni esterne all'ambito del filtro. Il campo Restrizione posizione mostra i criteri di filtro. Se si sospetta che il filtro escluda il contenuto previsto, rivolgersi a un amministratore di eDiscovery o a un altro utente senza applicare il filtro delle autorizzazioni di ricerca per eseguire la stessa ricerca per il confronto.
- Locations.csv — Colonna stato: verificare la presenza di posizioni con errori. Se uno stato di errore viene visualizzato in una posizione, il campo ErrorWarning spiega il motivo. Per altre informazioni sui motivi comuni che possono influire sull'accesso alla posizione, vedere Considerazioni sull'esportazione.
- Locations.csv - Colonna Conteggio: se una posizione in cui si prevede che i risultati mostrino un conteggio pari a zero, la query di ricerca non corrisponde ad alcun contenuto in tale posizione. Verificare che la query sia corretta e che il contenuto esista nell'origine. Gli elementi aggiunti di recente a una cassetta postale o a un sito potrebbero non essere ancora indicizzati. Eseguire di nuovo la ricerca dopo una breve attesa per risolvere questa condizione.
- Locations.csv : posizioni mancanti: se una posizione prevista non viene visualizzata nel report, non è stata inclusa nell'ambito di ricerca. Verificare le origini dati configurate per la ricerca e aggiungere eventuali cassette postali o siti mancanti.
Consiglio
Quando si analizzano gli elementi mancanti, iniziare con il Locations.csv per verificare che tutte le posizioni previste siano state cercate correttamente, quindi controllare il Settings.csv per verificare che siano state abilitate le opzioni corrette. Se entrambi sembrano corretti e gli elementi sono ancora mancanti, il contenuto potrebbe essere eliminato o non ancora indicizzato al momento della ricerca.
Differenze dei risultati della ricerca con le ricerche a livello di tenant
Quando si usa un ambito di ricerca a livello di tenant, ad esempio Tutti gli utenti e i gruppi, i risultati possono variare a seconda delle impostazioni di configurazione dell'origine aggiuntive che controllano quali tipi di utente e contenuto sono inclusi. Queste impostazioni espandono o limitare l'ambito della ricerca e influiscono direttamente sui conteggi degli elementi.
Cosa vedere nel report sul processo:
Settings.csv - Impostazioni del processo a livello di tenant: quando una ricerca usa Tutti gli utenti e i gruppi, il csv Impostazioni acquisisce quali tipi di origine aggiuntivi sono stati abilitati al momento dell'esportazione della ricerca o Aggiungi al set di revisione . Controllare queste impostazioni per comprendere il motivo per cui alcuni contenuti sono stati inclusi o esclusi:
- Includi utenti in partenza: se abilitata, la ricerca include le cassette postali e i siti di OneDrive degli utenti che hanno lasciato l'organizzazione (account eliminati temporaneamente o inattivi). Se questa impostazione non è stata abilitata e si prevede di trovare contenuto da ex dipendenti, viene spiegato perché tali elementi non sono presenti nei risultati.
- Includi canali di Teams condivisi: se abilitata, la ricerca include il contenuto dei canali di Teams condivisi. I dati del canale condiviso vengono archiviati in siti di SharePoint separati, quindi vengono inclusi solo quando questa impostazione è attiva. Se il contenuto del canale condiviso non è presente, verificare che questa impostazione sia stata abilitata.
- Includi utenti senza licenza e locali: se abilitata, la ricerca include le cassette postali per gli utenti che non hanno una licenza o sono sincronizzati da ambienti locali.
- Includi utenti guest: se abilitata, la ricerca include il contenuto associato agli account utente guest nel tenant.
Nota
Le impostazioni di origine a livello di tenant vengono configurate a livello di processo. L'inclusione di queste impostazioni aumenta l'ambito del processo e può influire sulle prestazioni.
Interpretazione delle differenze di conteggio tra ricerca ed esportazione
Quando si esportano i risultati della ricerca o li si aggiunge a un set di revisione, il conteggio degli elementi finali spesso differisce dalla stima di ricerca originale. Per l'elenco completo dei motivi, vedere Differenze tra le statistiche e i risultati di esportazione. Il report CSV riepilogativo mostra i fattori specifici che hanno influenzato il conteggio per il processo.
Cosa vedere nel report sul processo:
- Sezione Informazioni di Summary.csv: questa sezione elenca ogni fattore che ha aumentato o ridotto il numero di elementi rispetto alla stima originale, ad esempio allegati cloud, conversazioni contestuali, trascrizioni consolidate, versioni di file di SharePoint e duplicati ignorati in un set di revisione. Per un elenco completo di questi fattori e del significato di ognuno, vedere la sezione Informazioni.
- Sezione risultati della ricerca di Summary.csv: mostra la suddivisione degli elementi indicizzati, degli elementi parzialmente indicizzati e degli elementi indicizzati avanzati. Se il conteggio è inferiore al previsto, verificare se sono stati inclusi elementi parzialmente indicizzati nelle impostazioni del processo.
- Sezione Errore di Summary.csv: mostra le eccezioni di recupero, ovvero gli elementi che non possono essere esportati o aggiunti al set di revisione. Per i tipi di eccezione specifici rilevati in questa sezione, vedere Errore.
Informazioni sull'impatto delle impostazioni di ricerca sui risultati
Il report CSV impostazioni acquisisce la configurazione esatta usata quando è stato inviato un processo. Confrontare questo report con la configurazione desiderata per identificare le discrepanze.
Le impostazioni chiave che influiscono sull'ambito dei risultati includono:
- Includere le versioni dei documenti: determina il numero di versioni di ogni documento raccolte. La selezione di Tutte le versioni può aumentare significativamente il numero di elementi e il volume di dati.
- Organizzare le conversazioni in trascrizioni HTML: se abilitati, i singoli messaggi di chat di Teams si consolidano in file di trascrizione, che modificano il numero di elementi.
- Includi le conversazioni contestuali di Teams e Viva Engage: se abilitata, la ricerca include messaggi esterni all'intervallo di date di ricerca per fornire il contesto della conversazione. Per 1:1 e chat di gruppo, questa impostazione aggiunge messaggi 12 ore prima e dopo ogni elemento reattivo. Per i post del canale di Teams e i post di Viva Engage, la ricerca include interi thread di conversazione indipendentemente dall'intervallo di date. Se vengono visualizzati elementi al di fuori dell'intervallo di date previsto, verificare se questa impostazione è abilitata.
- Accedere ai collegamenti nei messaggi: controlla se la ricerca recupera gli allegati cloud dai collegamenti nei messaggi di posta elettronica e nelle conversazioni di Teams.
Informazioni sui report di esportazione
Motivo per cui alcuni elementi non sono stati esportati
Al termine dell'esportazione, il report CSV Elementi e la sezione Errore del report CSV di riepilogo illustrano cosa è successo a ogni elemento.
Cosa vedere nel report di esportazione:
Items.csv — Colonna stato: ogni riga rappresenta un elemento. Gli elementi con uno stato diverso dall'esito positivo includono un campo ErrorWarning con il motivo dell'errore. I motivi comuni includono:
- Elemento eliminato o spostato: la ricerca ha trovato l'elemento, ma qualcuno l'ha rimosso o spostato nell'origine tra il momento della ricerca e l'esportazione. Questi elementi vengono conteggiati nella stima della ricerca, ma non possono essere recuperati in fase di esportazione.
- Timeout di accesso: il sistema non è riuscito a recuperare l'elemento entro il tempo consentito, spesso a causa di un problema di grandi dimensioni del file o di servizio temporaneo.
- Problema di autorizzazione o accesso: il processo di esportazione non è riuscito ad accedere all'elemento, probabilmente perché il percorso di origine è bloccato o l'account utente non ha accesso.
Items.csv - Colonna AddedBy: mostra come ogni elemento è stato incluso nei risultati. Per le definizioni di ogni valore, vedere Report CSV elementi.
Summary.csv — Eccezioni di recupero: mostra il numero totale di elementi che non è stato possibile esportare. Questo conteggio corrisponde al numero di voci di errore nel file Items.csv.
Informazioni sui timestamp dei file nelle esportazioni
Quando si estraggono file da un pacchetto di esportazione, i timestamp dei file potrebbero mostrare la data corrente anziché la data di modifica originale. Questo comportamento si verifica perché l'estrattore ZIP predefinito di Windows reimposta le date del file durante l'estrazione. I timestamp originali vengono mantenuti nel reportItems.csv e all'interno dei formati di file stessi.
Per mantenere i timestamp durante l'estrazione, usare uno strumento come 7-Zip, WinZip o WinRAR. Per i messaggi di posta elettronica in formato PST, l'apertura del PST in Outlook mostra le date originali inviate e ricevute.
Informazioni sulle impostazioni di esportazione e sulla tracciabilità
Il report CSV impostazioni funge da record autorevole della configurazione usata per un'esportazione. Questa relazione è essenziale per la tracciabilità e la trasparenza, soprattutto quando si risponde alle richieste di conformità.
Usare questo report per:
- Verificare quali elementi sono stati inclusi (indicizzati, parzialmente indicizzati o entrambi).
- Verificare il formato di esportazione (PST o .msg) e le impostazioni delle dimensioni del pacchetto.
- Verificare se la decrittografia è stata abilitata per il contenuto di Exchange o SharePoint.
- Verificare che siano state applicate le impostazioni corrette per la versione del documento.
Informazioni sui report sulla posizione
Identificazione delle posizioni con risultati
Il report CSV percorsi fornisce una suddivisione di ogni percorso di contenuto di destinazione durante una ricerca, un'esportazione o un'aggiunta per esaminare il processo del set. Ogni riga rappresenta una posizione e include il numero e le dimensioni degli elementi.
Cosa vedere nel report sulla posizione:
- Colonna Conteggio: mostra il numero di elementi reattivi trovati in ogni posizione. Le posizioni con un conteggio pari a zero non hanno riscontri di ricerca per la query usata.
- Colonna Dimensioni: mostra le dimensioni totali degli elementi reattivi dalla posizione, in byte.
- Colonna Sottotipo percorso: distingue tra diversi sottotipi di cassetta postale e sito. L'indirizzo SMTP di un singolo utente può essere visualizzato in più righe se ha sottotipi di cassetta postale diversi. Per l'elenco completo dei valori dei sottotipi, vedere Report CSV percorsi.
- Colonna stato: indica se la posizione è stata elaborata correttamente. Se una posizione non è riuscita, il campo ErrorWarning include il motivo.
Informazioni sugli errori a livello di posizione
Gli errori a livello di posizione nel report CSV Percorsi indicano che il processo non è riuscito ad accedere a una cassetta postale o a un sito specifico. Gli errori comuni includono:
| Error | Che cosa significa | Soluzione |
|---|---|---|
| Problema di autorizzazione o accesso | Il processo non può accedere alla cassetta postale o al sito. L'utente potrebbe non avere licenza, il sito potrebbe essere bloccato o l'account di ricerca non dispone delle autorizzazioni. | Verificare lo stato della licenza dell'utente e che il sito non sia bloccato. Verificare che il ruolo di amministratore o manager di eDiscovery disponga delle autorizzazioni necessarie e quindi eseguire di nuovo il processo. |
| Timeout | L'elaborazione della posizione ha richiesto troppo tempo. Questo errore può verificarsi con cassette postali o siti di grandi dimensioni. | Eseguire di nuovo il processo. Se il timeout persiste, limitare la query di ricerca o dividere la ricerca in modo che sia destinata a un minor numero di posizioni per esecuzione. |
| Posizione non trovata | La cassetta postale o il sito non esiste. L'utente potrebbe essere eliminato o l'URL del sito potrebbe non essere corretto. | Verificare l'account utente o l'URL del sito nella interfaccia di amministrazione di Microsoft 365. Se l'utente è stato eliminato, usare una cassetta postale inattiva o aggiungere l'URL di OneDrive direttamente come percorso di SharePoint. |
Se un percorso presenta errori, non significa che l'intero processo non sia riuscito. Altre posizioni potrebbero essere elaborate correttamente. Esaminare il volume CSV delle posizioni per identificare le posizioni specifiche da prestare attenzione.
Informazioni sui report di blocco
Interpretazione dello stato di distribuzione del blocco
Quando si crea o si aggiorna un blocco, il report di processo per il processo di blocco Applicazione o aggiornamento include un report CSV percorsi che mostra lo stato di ogni posizione nel blocco.
Cosa vedere nel report di blocco:
Colonna stato: indica se il blocco è stato applicato correttamente a ogni posizione.
Colonna ErrorWarning: se un percorso non è riuscito, questo campo contiene l'errore specifico. Gli errori comuni di distribuzione del blocco includono:
Error Che cosa significa Soluzione PolicySyncTimeout/PolicyNotifyError Errori temporanei. Il blocco ha impiegato troppo tempo per essere applicato. Eseguire di nuovo la distribuzione del blocco. Questi errori in genere si risolvono al nuovo tentativo. FailedToOpenContainer Non è possibile accedere alla cassetta postale o al sito. L'utente potrebbe non avere una cassetta postale o il sito non esiste. Verificare lo stato dell'account utente nel interfaccia di amministrazione di Microsoft 365 e verificare che la cassetta postale o il sito sia attivo. SiteInReadonlyOrNotAccessible /SiteOutOfQuota Il sito di SharePoint o OneDrive è in uno stato di sola lettura o non ha più alcuna quota di archiviazione. Contattare l'amministratore di SharePoint per sbloccare il sito o aumentare la quota di archiviazione, quindi eseguire nuovamente il blocco. RecipientTypeNotAllowed Il blocco è stato tentato su un oggetto non idoneo, ad esempio un gruppo di distribuzione. È possibile conservare solo cassette postali utente, cassette postali di gruppo e siti di SharePoint o OneDrive. Rimuovere l'oggetto non idoneo e aggiungere invece le singole cassette postali o siti utente.
Informazioni sul riepilogo del consumo
La sezioneRiepilogo consumo del report CSV di riepilogo suddivide il volume di dati in base al tipo di contenuto. Queste informazioni consentono di comprendere le implicazioni di archiviazione e fatturazione per i processi che aggiungono dati a un set di revisione o esportano dati.
Nota
Se non si ha una sottoscrizione con pagamento in base al consumo attiva, i dati non vengono esportati o aggiunti a un set di revisione. Per altre informazioni, vedere Abilitare le funzionalità con pagamento in base al consumo di Microsoft Purview.