了解审核

保险柜审核提供了有关保险柜用户在特定时间段内所执行的操作的详细信息。保险柜用户是指有权登录保险柜并执行相关操作(例如,设置保留规则或在诉讼或调查中进行搜索)的用户。详细了解保险柜权限

您可以执行保险柜审核,并将审核导出为 CSV 文件。这些文件可在任何电子表格查看器中查看,包括 Google 表格。

如何运行保险柜审核报告

  1. 在保险柜中,转到报告 > 审核
  2. 选择日期范围中,添加审核的开始日期和结束日期。
  3. 选择保险柜用户中,添加您要对其执行审核的用户。您在此处输入的用户拥有保险柜权限,而您要审核这些用户在保险柜中执行的操作(例如,设置保留规则、在诉讼或调查中搜索、修改保全或执行任何其他管理员操作)。
  4. 选择操作类型中,选中某一操作旁边的复选框,然后便可查看相关的审核信息。
  5. 点击下载 CSV。系统会将含有审核信息的 CSV 文件下载到您的设备上。

审核中包含哪些信息

CSV 文件中显示的内容取决于您在运行审核时选择的操作类型。例如,如果您要审核保险柜用户执行的与保留相关的操作(即保险柜用户创建或修改了哪些保留政策),则可能会选择保留政策

审核的每一行对应一种操作。每种操作包含 11 种信息:新纪元秒数日期操作用户诉讼或调查名称电子邮件来源网址查询字符串单位详细信息。下文介绍了这些类别:

新纪元秒数

此类信息说明了操作发生的时间(以新纪元秒数表示),即从 1970 年 1 月 1 日(世界协调时/格林尼治标准时间的午夜)起到操作发生时所经过的总秒数。您无需换算新纪元描述,因为系统还会在“日期”类别中以人类可读的时间记录各项操作。

日期

此类信息以人类可读的方式说明了操作所发生的时间,包括星期几、日期、小时、分钟和秒数。时区始终为太平洋时区 (–0700 或 –0800)。

操作

此类别说明了所发生的操作。下表介绍了各种操作及其含义:

审核中所确定的操作 说明
VIEW_SYSTEM_AUDIT_LOG 当用户下载审核时记录。
VIEW_MATTER_AUDIT_LOG 当用户在特定诉讼或调查中执行审核时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”类别中。
VIEW_RETENTION_POLICY 当用户导航至“保留”页面时记录。

MODIFY_DEFAULT_RETENTION_PERIOD_BEGIN

MODIFY_DEFAULT_RETENTION_PERIOD_END

当用户修改默认保留规则时记录。新修改的保留期限会以“期限:# 天”的形式记录在“详细信息”类别中。

ADD_RETENTION_RULE_BEGIN

ADD_RETENTION_RULE_END

当用户创建新的自定义保留规则时记录。系统会向新规则指定一个唯一的 ID 号码,并将此号码记录在“名称”类别中。该保留期限会以“期限:# 天”的形式记录在“详细信息”类别中。

UPDATE_RETENTION_RULE_BEGIN

UPDATE_RETENTION_RULE_END

当用户修改自定义保留规则时记录。自定义保留规则的 ID 号码会记录在“名称”类别中。新修改的保留期限会以“期限:# 天”的形式记录在“详细信息”类别中。

DELETE_RETENTION_RULE_BEGIN

DELETE_RETENTION_RULE_END

当用户删除自定义保留规则时记录。自定义保留规则的 ID 号码会记录在“名称”类别中。

CREATE_INVESTIGATION_BEGIN

CREATE_INVESTIGATION_END

当用户创建新的诉讼或调查时记录。系统会将诉讼或调查的 ID 号码记录在“诉讼或调查”类别中,并将名称记录在“名称”类别中。
VIEW_CUSTODIAN_LITIGATION_HOLD_REPORT 当有人点击整个网域的保全查看网域或用户的保全时记录。
VIEW_PER_MATTER_LITIGATION_HOLD_REPORT 当用户查看某个诉讼或调查的保全时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”类别中。
VIEW_CROSS_MATTER_LITIGATION_HOLD_REPORT 当有人点击特定用户的保全查看已设置保全的用户时记录。
VIEW_INVESTIGATION 当用户在诉讼或调查中查看“搜索”或“导出”页面时记录。

ADD_COLLABORATOR_BEGIN

ADD_COLLABORATOR_END

当用户与其他用户分享特定诉讼或调查时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”类别中。对于受到共享诉讼或调查的用户,其电子邮件地址会记录在“电子邮件”类别中。

REMOVE_COLLABORATOR_BEGIN

REMOVE_COLLABORATOR_END

当用户从共享的诉讼或调查中移除其他用户时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”类别中。对于不再受到共享诉讼或调查的用户,其电子邮件地址会记录在“电子邮件”类别中。

ADD_LITIGATION_HOLD_BEGIN

ADD_LITIGATION_HOLD_END

当用户在诉讼或调查中创建新的保全时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”类别中。对于内容已设置保全的用户,其电子邮件地址会记录在“名称”类别中。

REMOVE_LITIGATION_HOLD_BEGIN

REMOVE_LITIGATION_HOLD_END

当用户移除某个帐户的保全时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”类别中。对于内容不再设置保全的用户,其电子邮件地址会记录在“名称”类别中。
SEARCH 当用户在诉讼或调查中执行搜索时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”类别中。搜索条件会记录在“查询字符串”类别中。

CREATE_SAVED_QUERY_BEGIN

CREATE_SAVE_QUERY_END

当用户在诉讼或调查中保存搜索查询时记录。用户所使用的搜索条件会记录在“查询字符串”类别中。
VIEW_DOCUMENT 当用户查看文档时记录。该文档的唯一 ID 号码会记录在“名称”类别中。

CREATE_EXPORT_BEGIN

CREATE_EXPORT_END

当用户导出在诉讼或调查中搜索的文档时记录。所导出文档的名称会记录在“名称”类别中。搜索条件会记录在“查询字符串”类别中。

CLOSE_INVESTIGATION_BEGIN

CLOSE_INVESTIGATION_END

当用户关闭诉讼或调查时记录。诉讼或调查的 ID 会记录在“诉讼或调查”类别中。
用户

此类别包含执行操作(在“操作”类别中所确定的)的保险柜用户的电子邮件地址。

诉讼或调查

当保险柜用户对诉讼或调查执行任何操作后,该诉讼或调查唯一的 ID 号码会出现在此类别中。此 ID 号码会在相关诉讼或调查的保险柜网址中显示。

名称

此类别中显示的信息取决于保险柜用户执行的操作:

  • 如果操作涉及查看文档(VIEW_DOCUMENT),那么“名称”类别中会包含该文档的唯一 ID 号码。

    示例:ACD7onr49fP6DqvgAvIDhboAqqth9q7ekwGc0xpC3xjhpylzQvvQoNKmBKyE9NL1Qdww4eA2SQSc5mOF0JJ_bV_tkVFU3TWIdIrBYOiZLw0eBA9-xL7A-pc

  • 如果操作涉及添加或删除协作者(ADD_COLLABORATOR_BEGIN/END 或 REMOVE_COLLABORATOR_BEGIN/END),那么“名称”类别中会包含被添加或删除的用户的电子邮件地址。
  • 如果操作涉及导出诉讼或调查中的文档 (CREATE_EXPORT_BEGIN/END),那么“名称”类别会包含所导出文档的名称。
电子邮件

“电子邮件”类别中包含被添加到诉讼或调查(或者从诉讼或调查中移除)的协作者的电子邮件地址(参见操作 ADD_COLLABORATOR_BEGIN/END 或 REMOVE_COLLABORATOR_BEGIN/END)。

来源网址

“来源网址”类别包含用户查看的任何文档的网址(参见操作 VIEW_DOCUMENT)。

查询字符串

该类别包含了用户某次搜索时输入的搜索参数。

示例:查询:""( Project X )"

单位

此类别包含您的网域中应用了相关操作的单位部门 (OU) 的名称(例如,如果保险柜用户创建了应用于特定单位部门的保留规则)。

详细信息

此类别包含用户为自定义保留规则指定的时间期限(以天为单位)。该期限的表示方式为:“期限:# 天”。

审核中记录的操作会保留多长时间

只要您的单位继续使用保险柜,Google 或任何保险柜管理员都无法删除或截取审核中记录的操作。

如果您的单位停用保险柜服务,则系统会在大约 30 天后删除审核数据。

该内容对您有帮助吗?
您有什么改进建议?