Verwenden des KQL-Editors zum Erstellen von Suchabfragen

  • Artikel

Die Abfrageoption Keyword Query Language (KQL) in Microsoft Purview-eDiscovery Tools bietet Feedback und Anleitungen, wenn Sie Suchabfragen in inhaltssuche, Microsoft Purview-eDiscovery (Standard) und eDiscovery (Premium) erstellen. Wenn Sie Abfragen im Editor eingeben, wird die automatische Vervollständigung für unterstützte durchsuchbare Eigenschaften und Bedingungen sowie Listen mit unterstützten Werten für Standardeigenschaften und -bedingungen bereitgestellt. Wenn Sie beispielsweise die kind E-Mail-Eigenschaft in Ihrer Abfrage angeben, zeigt der Editor eine Liste der unterstützten Werte an, die Sie auswählen können. Der KQL-Editor zeigt auch potenzielle Abfragefehler in Echtzeit an, die Sie beheben können, bevor Sie die Suche ausführen. Das Beste ist, dass Sie komplexe Abfragen direkt in den Editor einfügen können, ohne Abfragen manuell mit den Schlüsselwörtern und Bedingungskarten im Standardbedingungs-Generator erstellen zu müssen.

Dies sind die wichtigsten Vorteile der Verwendung des KQL-Editors:

  • Bietet Anleitungen und hilft Ihnen, Suchabfragen von Grund auf neu zu erstellen.
  • Ermöglicht das schnelle Einfügen langer, komplexer Abfragen direkt in den Editor. Wenn Sie beispielsweise eine komplexe Abfrage von einem gegnerischen Berater erhalten, können Sie diese in den KQL-Editor einfügen, anstatt den Bedingungs-Generator verwenden zu müssen.
  • Erkennt schnell potenzielle Fehler und zeigt Hinweise zum Beheben von Problemen an.

Der KQL-Editor ist auch verfügbar, wenn Sie abfragebasierte Haltebereiche in eDiscovery (Standard) und eDiscovery (Premium) erstellen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Anzeigen des KQL-Editors

Wenn Sie eine eDiscovery-Suche erstellen oder bearbeiten, befindet sich die Option zum Anzeigen und Verwenden des KQL-Editors im Such- oder Sammlungs-Assistenten auf der Seite Bedingungen .

KQL-Editor in Inhaltssuche und eDiscovery (Standard)

KQL-Editor in Inhaltssuche und eDiscovery (Standard)

KQL-Editor in eDiscovery (Premium)

KQL-Editor in eDiscovery (Premium)

Verwenden des KQL-Editors

Die folgenden Abschnitte zeigen Beispiele dafür, wie der KQL-Editor Vorschläge bereitstellt und potenzielle Fehler erkennt.

Automatische Vervollständigung von Sucheigenschaften und -operatoren

Wenn Sie mit der Eingabe einer Suchabfrage im KQL-Editor beginnen, zeigt der Editor die vorgeschlagene automatische Vervollständigung unterstützter Sucheigenschaften (auch als Eigenschafteneinschränkungen bezeichnet) an, die Sie auswählen können. Sie müssen mindestens zwei Zeichen eingeben, um eine Liste der unterstützten Eigenschaften anzuzeigen, die mit diesen beiden Zeichen beginnen. Der folgende Screenshot zeigt beispielsweise die vorgeschlagenen Sucheigenschaften, die mit Sebeginnen.

Der KQL-Editor schlägt unterstützte Eigenschaften vor

Darüber hinaus schlägt der Editor auch vor, eine Liste der unterstützten Operatoren (z:=. B. und <>) zur Verfügung zu stellen, wenn Sie einen vollständigen Eigenschaftennamen eingeben. Der folgende Screenshot zeigt beispielsweise die vorgeschlagenen Operatoren für die Date -Eigenschaft.

KQL-Editor schlägt Operatoren vor

Weitere Informationen zu den unterstützten Sucheigenschaften und -operatoren finden Sie unter Schlüsselwortabfragen und Suchbedingungen für eDiscovery.

Vorschläge für Eigenschaftswerte

Der KQL-Editor bietet Vorschläge für mögliche Werte einiger Eigenschaften. Der folgende Screenshot zeigt beispielsweise die vorgeschlagenen Werte für die Kind -Eigenschaft.

KQL-Editor schlägt Werte für einige Eigenschaften vor

Der Editor schlägt auch eine Liste von Benutzern (im UPN-Format) vor, wenn Sie E-Mail-Empfängereigenschaften wie From, ToRecipients und Participantseingeben.

KQL-Editor schlägt Benutzer für Empfänger-E-Mail-Eigenschaften vor

Erkennung potenzieller Fehler

Der KQL-Editor erkennt potenzielle Fehler in Suchabfragen und gibt einen Hinweis darauf, was den Fehler verursacht, um den Fehler zu beheben. Der Editor gibt auch einen potenziellen Fehler an, wenn eine Eigenschaft keinen entsprechenden Vorgang oder Wert aufweist. Mögliche Fehler in der Abfrage werden rot hervorgehoben, und Erklärungen und mögliche Fehlerbehebungen für den Fehler werden im Dropdownabschnitt Potenzielle Fehler angezeigt.

Wichtig

Geschachtelte Anführungszeichen werden im KQL-Editor nicht unterstützt.

Wenn Sie beispielsweise die folgende Abfrage in den KQL-Editor einfügen, werden vier potenzielle Fehler erkannt.

Fehlererkennung im KQL-Editor

In diesem Fall können Sie die potenziellen Fehlerhinweise verwenden, um die Abfrage zu beheben und zu beheben.

Weitere Informationen

  • Sie können zwischen dem Bedingungs-Generator und dem KQL-Editor wechseln. Wenn Sie beispielsweise den Bedingungs-Generator verwenden, um eine Abfrage mithilfe des Felds Schlüsselwörter und mehrerer Bedingungskarten zu konfigurieren, können Sie die resultierende Abfrage im KQL-Editor anzeigen. Wenn Sie jedoch eine komplexe Abfrage (mit Schlüsselwörtern und Bedingungen) im KQL-Editor erstellen, wird die resultierende Abfrage nur im Feld Schlüsselwörter angezeigt, wenn Sie sie im Bedingungs-Generator anzeigen.

  • Wenn Sie eine komplexe Abfrage in den KQL-Editor einfügen, erkennt der Editor potenzielle Fehler und schlägt mögliche Lösungen zum Beheben von Fehlern vor.