Prüfungen verstehen

Die Vault-Audits enthalten Details zu Aktionen, die Vault-Nutzer in einem festgelegten Zeitraum durchgeführt haben. Vault-Nutzer sind alle Personen, die sich in Vault anmelden und dort Aktionen durchführen können, z. B. Aufbewahrungsregeln festlegen oder Rechtsangelegenheiten durchsuchen. Weitere Informationen zu Vault-Berechtigungen

Sie können Vault-Audits als CSV-Dateien ausführen und exportieren. Diese Dateien können dann in jeder Tabellenansicht einschließlich Google Tabellen angesehen werden.

So führen Sie einen Vault-Auditbericht aus

  1. Wechseln Sie in Vault zu Berichte > Prüfung.
  2. Geben Sie unter Zeitraum auswählen ein Start- und ein Enddatum für das Audit an.
  3. Führen Sie unter Vault-Nutzer auswählen alle Nutzer auf, für die das Audit durchgeführt werden soll. Die hier eingegebenen Vault-Nutzer verfügen über Vault-Berechtigungen und Sie führen eine Prüfung ihrer Vault-Aktionen durch, z. B. festgelegte Aufbewahrungsregeln, durchsuchte Rechtsangelegenheiten, geänderte Holds sowie alle weiteren administrativen Aktionen.
  4. Aktivieren Sie im Abschnitt Aktionstypen auswählen die Kontrollkästchen neben den Aktionen, zu denen Sie durch das Audit Informationen erlangen möchten.
  5. Klicken Sie anschließend auf CSV herunterladen. Daraufhin wird eine CSV-Datei mit den Informationen aus dem Audit auf Ihr Gerät heruntergeladen.

Inhalte eines Audits

Die Inhalte in der CSV-Datei hängen davon ab, welche Aktionstypen Sie zur Ausführung des Audit ausgewählt haben. Sie haben möglicherweise den Aktionstyp Aufbewahrungsrichtlinien ausgewählt, weil Sie die Aktionen eines Vault-Nutzers in Bezug auf die Aufbewahrung prüfen möchten, also vom Vault-Nutzer erstellte oder geänderte Aufbewahrungsregeln.

Jede Zeile im Audit enthält eine Aktion. Jede Aktion enthält 11 Kategorien: Epochensekunden, Datum, Aktion, Nutzer, Rechtsangelegenheit, Name, E-Mail-Adresse, Ressourcen-URL, Abfrage, Organisation und Details. Nachfolgend sehen Sie eine Beschreibung der einzelnen Kategorien:

Epochensekunden

Diese Kategorie gibt den Zeitpunkt, zu dem eine Aktion erfolgte, in Epochensekunden an, d. h. in der Anzahl der Sekunden, die seit dem 1. Januar 1970 (00:00 UTC/01:00 Uhr MEZ) verstrichen sind. Sie müssen die Angabe in Epochensekunden nicht umrechnen, da jede Aktion auch im Datums-/Uhrzeitformat angegeben ist.

Datum

Diese Kategorie gibt den Zeitpunkt in einem von Menschen lesbaren Format an, zu dem eine Aktion auftrat. Diese Kategorie enthält den Wochentag, das Datum, die Stunde, Minute und Sekunde. Die Zeitzone ist immer Standard Pacific Time (-07:00 bzw. -08:00 Stunden MEZ).

Aktion

Diese Kategorie gibt die erfolgte Aktion an. Diese Tabelle enthält die verschiedenen Aktionen sowie deren Bedeutungen:

Aktion wie im Audit festgelegt Beschreibung
VIEW_SYSTEM_AUDIT_LOG Wird jedes Mal protokolliert, wenn jemand eine Prüfung herunterlädt
VIEW_MATTER_AUDIT_LOG Wird jedes Mal protokolliert, wenn jemand eine Prüfung zu einer bestimmten Rechtsangelegenheit ausführt. Die ID-Nummer der Rechtsangelegenheit wird in der Kategorie "Rechtsangelegenheit" protokolliert.
VIEW_RETENTION_POLICY Wird jedes Mal protokolliert, wenn jemand zur Seite "Aufbewahrung" wechselt

MODIFY_DEFAULT_RETENTION_PERIOD_BEGIN

MODIFY_DEFAULT_RETENTION_PERIOD_END

Wird jedes Mal protokolliert, wenn jemand die Standardaufbewahrungsregel ändert. Der neue Aufbewahrungszeitraum wird in der Kategorie "Details" als "Zeitraum: # Tage" protokolliert.

ADD_RETENTION_RULE_BEGIN

ADD_RETENTION_RULE_END

Wird jedes Mal protokolliert, wenn jemand eine benutzerdefinierte Aufbewahrungsregel erstellt. Die neue Regel erhält eine eindeutige ID-Nummer, die in der Kategorie "Name" protokolliert wird. Der Aufbewahrungszeitraum wird in der Kategorie "Details" als "Zeitraum: # Tage" protokolliert.

UPDATE_RETENTION_RULE_BEGIN

UPDATE_RETENTION_RULE_END

Wird jedes Mal protokolliert, wenn jemand eine benutzerdefinierte Aufbewahrungsregel ändert. Die ID-Nummer der benutzerdefinierten Aufbewahrungsregel wird in der Kategorie "Name" protokolliert. Der neue Aufbewahrungszeitraum wird in der Kategorie "Details" als "Zeitraum: # Tage" protokolliert.

DELETE_RETENTION_RULE_BEGIN

DELETE_RETENTION_RULE_END

Wird jedes Mal protokolliert, wenn jemand eine benutzerdefinierte Aufbewahrungsregel löscht. Die ID-Nummer der benutzerdefinierten Aufbewahrungsregel wird in der Kategorie "Name" protokolliert.

CREATE_INVESTIGATION_BEGIN

CREATE_INVESTIGATION_END

Wird jedes Mal protokolliert, wenn jemand eine neue Rechtsangelegenheit erstellt. Die ID-Nummer der Rechtsangelegenheit wird in der Kategorie "Rechtsangelegenheit" protokolliert. Der Name der Rechtsangelegenheit wird in der Kategorie "Name" protokolliert.
VIEW_CUSTODIAN_LITIGATION_HOLD_REPORT Wird jedes Mal protokolliert, wenn jemand auf Domain-Holds klickt, um Holds für die Domain oder Nutzer anzusehen.
VIEW_PER_MATTER_LITIGATION_HOLD_REPORT Wird jedes Mal protokolliert, wenn jemand Holds in einer Rechtsangelegenheit aufruft. Die ID-Nummer der Rechtsangelegenheit wird in der Kategorie "Rechtsangelegenheit" protokolliert.
VIEW_CROSS_MATTER_LITIGATION_HOLD_REPORT Wird jedes Mal protokolliert, wenn jemand auf Nutzer-Holds klickt, um die Anzahl der Nutzer anzusehen, die auf Hold gesetzt sind.
VIEW_INVESTIGATION Wird jedes Mal protokolliert, wenn jemand die Seiten "Suche" oder "Export" in einer Rechtsangelegenheit aufruft

ADD_COLLABORATOR_BEGIN

ADD_COLLABORATOR_END

Wird jedes Mal protokolliert, wenn jemand eine bestimmte Rechtsangelegenheit für andere Nutzer freigibt. Die ID-Nummer der Rechtsangelegenheit wird in der Kategorie "Rechtsangelegenheit" protokolliert. Die E-Mail-Adresse des Nutzers, für den die Rechtsangelegenheit freigegeben wurde, wird in der Kategorie "E-Mail" protokolliert.

REMOVE_COLLABORATOR_BEGIN

REMOVE_COLLABORATOR_END

Wird jedes Mal protokolliert, wenn jemand einen anderen Nutzer aus einer freigegebenen Rechtsangelegenheit entfernt. Die ID-Nummer der Rechtsangelegenheit wird in der Kategorie "Rechtsangelegenheit" protokolliert. Die E-Mail-Adresse des Nutzers, für den die Rechtsangelegenheit nicht mehr freigegeben ist, wird in der Kategorie "E-Mail" protokolliert.

ADD_LITIGATION_HOLD_BEGIN

ADD_LITIGATION_HOLD_END

Wird jedes Mal protokolliert, wenn jemand in einer Rechtsangelegenheit einen neuen Hold erstellt. Die ID-Nummer der Rechtsangelegenheit wird in der Kategorie "Rechtsangelegenheit" protokolliert. Die E-Mail-Adresse des Nutzers, dessen Inhalte auf Hold gesetzt wurden, wird in der Kategorie "Name" protokolliert.

REMOVE_LITIGATION_HOLD_BEGIN

REMOVE_LITIGATION_HOLD_END

Wird jedes Mal protokolliert, wenn jemand einen Hold für ein Konto entfernt. Die ID-Nummer der Rechtsangelegenheit wird in der Kategorie "Rechtsangelegenheit" protokolliert. Die E-Mail-Adresse des Nutzers, dessen Inhalte nicht mehr auf Hold gesetzt sind, wird in der Kategorie "Name" protokolliert.
SEARCH Wird protokolliert, wenn jemand eine Suche in einer Rechtsangelegenheit durchführt. Die ID-Nummer der Rechtsangelegenheit wird in der Kategorie "Rechtsangelegenheit" protokolliert. Die Suchkriterien werden in der Kategorie "Abfrage" protokolliert.

CREATE_SAVED_QUERY_BEGIN

CREATE_SAVE_QUERY_END

Wird protokolliert, wenn jemand eine Suchanfrage in einer Rechtsangelegenheit speichert. Die Suchkriterien werden in der Kategorie "Abfrage" protokolliert.
VIEW_DOCUMENT Wird protokolliert, wenn jemand ein Dokument aufruft. Die eindeutige ID-Nummer für dieses Dokument wird in der Kategorie "Name" protokolliert.
VIEW_DOCUMENT_INFORMATION Wird in VIEW_DOCUMENT protokolliert. Die Suchbegriffe, die bei der Suche des Dokuments verwendet wurden, werden in der Kategorie "Abfrage" protokolliert.

CREATE_EXPORT_BEGIN

CREATE_EXPORT_END

Wird protokolliert, wenn jemand Dokumente exportiert, die in einer Rechtsangelegenheit gesucht wurden. Der Name des Exports wird in der Kategorie "Name" protokolliert. Die Suchkriterien werden in der Kategorie "Abfrage" protokolliert.

CLOSE_INVESTIGATION_BEGIN

CLOSE_INVESTIGATION_END

Wird protokolliert, wenn jemand eine Rechtsangelegenheit schließt. Die ID-Nummer der Rechtsangelegenheit wird in der Kategorie "Rechtsangelegenheit" protokolliert.
Nutzer

Diese Kategorie enthält die E-Mail-Adresse des Vault-Nutzers, der die in der Kategorie "Aktion" identifizierte Aktion durchgeführt hat.

Rechtsangelegenheit

Wenn ein Vault-Nutzer eine Aktion in einer Rechtsangelegenheit durchführt, wird die eindeutige ID-Nummer für diese Rechtsangelegenheit in dieser Kategorie angezeigt. Diese ID-Nummer wird in der Vault-URL für die Rechtsangelegenheit angezeigt.

Name

Die Informationen in dieser Kategorie hängen von der Aktion ab, die der Vault-Nutzer durchgeführt hat:

  • Beinhaltet eine Aktion die Ansicht eines Dokuments (VIEW_DOCUMENT oder VIEW_DOCUMENT_INFORMATION), erhält die Kategorie "Name" die eindeutige ID-Nummer für dieses Dokument.

    Beispiel: ACD7onr49fP6DqvgAvIDhboAqqth9q7ekwGc0xpC3xjhpylzQvvQoNKmBKyE9NL1Qdww4eA2SQSc5mOF0JJ_bV_tkVFU3TWIdIrBYOiZLw0eBA9-xL7A-pc

  • Beinhaltet die Aktion das Hinzufügen oder Entfernen eines Mitarbeiters (ADD_COLLABORATOR_BEGIN/END oder REMOVE_COLLABORATOR_BEGIN/END), enthält die Kategorie "Name" die E-Mail-Adresse des Nutzers, der hinzugefügt oder entfernt wurde.
  • Beinhaltet die Aktion den Export von Dokumenten in einer Rechtsangelegenheit (CREATE_EXPORT_BEGIN/END), enthält die Kategorie "Name" den Namen des Exports.
E-Mail

In der Kategorie "E-Mail-Adresse" ist die E-Mail-Adresse eines Mitarbeiters aufgeführt, der einer Rechtsangelegenheit hinzugefügt oder daraus entfernt wurde (wie in ADD_COLLABORATOR_BEGIN/END oder REMOVE_COLLABORATOR_BEGIN/END).

Ressourcen-URL

Die Kategorie "Ressourcen-URL" enthält die URL aller Dokumente, die der Nutzer angesehen hat (wie in VIEW_DOCUMENT oder VIEW_DOCUMENT_INFORMATION).

Suchanfrage

Diese Kategorie enthält die Suchparameter, die der Nutzer für eine bestimmte Suche eingegeben hat.

Beispiel: Suchanfrage: "( Projekt X )"

Organisation

Diese Kategorie enthält den Namen der Organisationseinheit (OE) in Ihrer Domain, auf die die Aktion angewendet wurde, etwa wenn ein Vault-Nutzer eine Aufbewahrungsregel speziell für eine bestimmte OE erstellt hat.

Details

Diese Kategorie enthält den Zeitraum in Tagen, den ein Nutzer für eine benutzerdefinierte Aufbewahrungsregel angegeben hat. Der Zeitraum wird angegeben als "Zeitraum: # Tage".

Aufbewahrungsdauer der in den Prüfungen protokollierten Aktionen

Die in Prüfungen protokollierten Aktionen können weder von Google noch von einem Vault-Administrator vollständig oder teilweise gelöscht werden, solange Ihre Organisation Vault verwendet.

Wenn Ihre Organisation die Nutzung des Vault-Diensts beendet, werden die Prüfdaten nach etwa 30 Tagen gelöscht.

War das hilfreich?
Wie können wir die Seite verbessern?