Nachrichteneigenschaften und Suchoperatoren für In-Place eDiscovery in Exchange Server
In diesem Thema werden die Eigenschaften von Exchange-E-Mail-Nachrichten beschrieben, die Sie mit In-Place eDiscovery & Hold im Exchange Server 2016 oder Exchange Server 2019 durchsuchen können. Außerdem werden in diesem Thema Boolesche Suchoperatoren und andere Suchabfragetechniken beschrieben, die Sie verwenden können, um eDiscovery-Suchergebnisse zu verfeinern.
Compliance-eDiscovery verwendet Keyword Query Language (KQL). Weitere Informationen finden Sie unter Syntaxreferenz zur Schlüsselwortabfragesprache.
Durchsuchbare Eigenschaften in Exchange
In der folgenden Tabelle sind Eigenschaften von E-Mails aufgelistet, nach denen in einer Compliance-eDiscovery-Suche oder mithilfe von New-MailboxSearch oder des Cmdlets Set-MailboxSearch gesucht werden kann. Die Tabelle enthält ein Beispiel für die Property:value-Syntax für jede Eigenschaft und eine Beschreibung der von den Beispielen zurückgegebenen Suchergebnisse.
| Eigenschaft | Beschreibung der Eigenschaft | Beispiele | Von den Beispielen zurückgegebene Suchergebnisse |
|---|---|---|---|
| Attachment | Die Namen der an eine E-Mail angefügten Dateien. | attachment: annualreport.ppt Anlage: jährlich* |
Nachrichten mit einer angefügten Datei mit einem Namen, der annualreport.ppt übereinstimmt, z. B. "annualreport.ppt" oder "2017 annualreport.ppt". Im zweiten Beispiel werden, wenn Sie das Platzhalterzeichen verwenden, Nachrichten mit dem Wort "Jahresbericht" im Dateinamen eines Anhangs zurückgegeben. |
| Bcc2 | Das Feld „BCC" einer E-Mail-Nachricht.1 | Bcc: pilarp@contoso.com bcc:pilarp bcc:"Pilar Pinilla" |
In allen Beispielen werden Nachrichten mit dem Namen "Pilar Pinilla" im Bcc-Feld zurückgegeben. |
| Kategorie | Die Kategorien, nach denen gesucht wird. Kategorien können von Benutzern mithilfe von Outlook oder Outlook im Web (früher als Outlook Web App bezeichnet) definiert werden. Gültige Werte sind:
|
Kategorie:="Rote Kategorie" | Nachrichten, denen in den Quellpostfächern die rote Kategorie zugewiesen wurde. |
| Cc | Das Feld „CC" einer E-Mail-Nachricht.1 | Cc:pilarp@contoso.com cc:"Pilar Pinilla" |
In beiden Fällen Nachrichten mit dem Namen "Pilar Pinilla" im CC-Feld. |
| Von | Der Absender einer E-Mail-Nachricht.1 | Von:pilarp@contoso.com aus: contoso.com |
Nachrichten, die vom angegebenen Benutzer oder einer bestimmten Domäne gesendet wurden. |
| Wichtigkeit | Die Wichtigkeit einer E-Mail-Nachricht, die ein Absender festlegen kann, wenn er eine Nachricht sendet. Standardmäßig werden Nachrichten mit normaler Wichtigkeit gesendet, außer wenn der Absender die Wichtigkeit auf Hoch oder Niedrig setzt. | Wichtigkeit: hoch importance: mittel Wichtigkeit: niedrig |
Nachrichten, deren Wichtigkeit auf "Hoch", "Mittel" bzw. "Niedrig" eingestellt ist. |
| Art | Der Nachrichtentyp, nach dem gesucht wird. Gültige Werte sind:
|
Kind: E-Mail kind: email OR kind:im OR kind:voicemail |
E-Mails, die den Suchkriterien entsprechen. Im zweiten Beispiel werden E-Mails, Instant Messaging-Konversationen und Sprachnachrichten zurückgegeben, die den Suchkriterien entsprechen. |
| Teilnehmer2 | Alle Felder mit Personen in einer E-Mail-Nachricht. Diese Felder sind „Von", „An", „CC" und „BCC".1 | Teilnehmer: garthf@contoso.com Teilnehmer: contoso.com |
Nachrichten, die von oder an gesendet werden garthf@contoso.com. Im zweiten Beispiel werden alle Nachrichten zurückgegeben, die von oder an einen Benutzer in der Domäne contoso.com gesendet wurden. |
| Empfangen | Das Datum, an dem eine E-Mail-Nachricht von einem Empfänger empfangen wurde. | empfangen: 15.04.2015 received>=01/01/2015 AND received<=03/31/2015 |
Nachrichten, die am 15. April 2014 empfangen wurden. Im zweiten Beispiel werden alle Nachrichten zurückgegeben, die zwischen dem 1. Januar 2014 und dem 31. März 2014 empfangen wurden. |
| Empfänger2 | Alle Felder mit Empfängern in einer E-Mail-Nachricht. Diese Felder sind „An", „CC" und „BCC".1 | Empfänger: garthf@contoso.com Empfänger: contoso.com |
Nachrichten, die an gesendet werden garthf@contoso.com. Im zweiten Beispiel werden Nachrichten zurückgegeben, die an einen beliebigen Empfänger in der Domäne contoso.com geschickt wurden. |
| Gesendet | Das Datum, an dem eine E-Mail vom Absender gesendet wurde. | gesendet: 01.07.2015 sent>=06/01/2015 AND sent<=07/01/2015 |
Nachrichten, die am angegebenen Tag oder im angegebenen Datumsbereich gesendet wurden. |
| Größe | Die Größe eines Elements in Byte. | größe>26214400 size:1..1048576 |
Nachrichten mit mehr als 25 MB. Im zweiten Beispiel werden Nachrichten mit einer Größe von 1 bis 1.048.576 Byte (1 MB) zurückgegeben. |
| Betreff | Der Text in der Betreffzeile einer E-Mail. | Betreff: „Vierteljährliche Finanzdaten“ subject: northwind |
Nachrichten mit dem exakten Ausdruck „Vierteljährliche Finanzdaten" in der Betreffzeile. Im zweiten Beispiel werden alle Nachrichten mit dem Wort "northwind" in der Betreffzeile zurückgegeben. |
| An | Das Feld „An" einer E-Mail-Nachricht.1 | An: annb@contoso.com an:annb an:"Ann Beebe" |
In allen Beispielen wegen Nachrichten zurückgegeben, in deren Zeile "An" der Name "Ann Beebe" angegeben ist. |
1 Für den Wert einer Empfängereigenschaft können Sie die SMTP-Adresse, den Anzeigenamen oder den Alias verwenden, um einen Benutzer anzugeben. Sie können beispielsweise , annb oder "Ann Beebe" verwenden annb@contoso.com, um den Benutzer Ann Beebe anzugeben.
2 Wenn Sie die Eigenschaften BCC, Teilnehmer oder Empfänger verwenden, stellen Sie sicher, dass Sie sich auf das Postfach des Absenders konzentrieren, um die richtigen Suchergebnisse zu erhalten.
Unterstützte Suchoperatoren
Boolesche Suchoperatoren wie AND, OR und NOT helfen Ihnen, präzisere Postfachsuchen zu definieren, indem bestimmte Wörter in die Suchabfrage eingeschlossen oder ausgeschlossen werden. Andere Techniken, z. B. die Verwendung von Eigenschaftsoperatoren (z >. B. = oder .), Anführungszeichen, Klammern und Wildcards, helfen Ihnen, eDiscovery-Suchabfragen zu verfeinern. In der folgenden Tabelle sind die Operatoren aufgeführt, die Sie zum Einschränken oder Erweitern von Suchergebnissen verwenden können.
| Operator | Verwendung | Beschreibung |
|---|---|---|
| UND | Wort1 AND Wort2 | Gibt Nachrichten zurück, die alle angegebenen Schlüsselwörter oder property: value Ausdrücke enthalten. |
| + | Wort1 +Wort2 +Wort3 | Gibt Elemente zurück, die entwederkeyword2 oder keyword3 enthalten und die ebenfalls enthaltenkeyword1. Daher entspricht dieses Beispiel der Abfrage (keyword2 OR keyword3) AND keyword1. Die Abfrage keyword1 + keyword2 (mit einem Leerzeichen hinter dem + Symbol) ist nicht identisch mit der Verwendung des AND-Operators . Diese Abfrage entspricht "keyword1 + keyword2" und gibt Elemente mit der genauen Phase "keyword1 + keyword2"zurück. |
| ODER | Wort1 OR Wort2 | Gibt Nachrichten zurück, die mindestens eins der angegebenen Schlüsselwörter oder property: value Ausdrücke enthalten. |
| NOT | Wort1 NOT Wort2 NOT Von:"Ann Beebe" |
Schließt nachrichten aus, die von einem Schlüsselwort (keyword) oder einem property: value Ausdruck angegeben werden. Schließt beispielsweise NOT from:"Ann Beebe" von Ann Beebe gesendete Nachrichten aus. |
| - | Wort1 - Wort2 | Identisch mit dem Operator NOT. Diese Abfrage gibt Elemente zurück, die Elemente enthalten keyword1 und ausschließen, die enthalten keyword2. |
| NEAR | Wort1 NEAR(n) Wort2 | Gibt Nachrichten mit Wörtern zurück, die sich nah sind, wobei "n" der Anzahl der Wörter entspricht, die den Abstand zwischen den gesuchten Wörtern darstellen. Gibt z. B. Nachrichten zurück, best NEAR(5) worst bei denen das Wort "worst" innerhalb von fünf Wörtern von "best" liegt. Wenn keine Anzahl angegeben wird, wird der Standardabstand von 8 Wörtern verwendet. |
| : | Eigenschaftswert | Der Doppelpunkt (:) in der property:value Syntax gibt an, dass der gesuchte Eigenschaftswert dem angegebenen Wert entspricht. Gibt beispielsweise recipients:garthf@contoso.com jede an gesendete Nachricht zurück garthf@contoso.com. |
| < | Eigenschaft<Wert | Zeigt an, dass die Eigenschaft, nach der gesucht wird, kleiner ist als der angegebene Wert. 1 |
| > | Eigenschaft>Wert | Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer ist als der angegebene Wert.1 |
| <= | Eigenschaft<=Wert | Zeigt an, dass die Eigenschaft, nach der gesucht wird, kleiner gleich dem angegebenen Wert ist.1 |
| >= | Eigenschaft>=Wert | Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer gleich dem angegebenen Wert ist.1 |
| .. | property: value1.. Value2 | Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer gleich Wert1 und kleiner gleich Wert2 ist.1 |
| " " | "fair Value" Betreff: „Vierteljährliche Finanzdaten“ |
Verwenden Sie doppelte Anführungszeichen (" "), um in Schlüsselwort (keyword)- und Suchabfragen nach einem genauen Ausdruck oder property: value Begriff zu suchen. |
| * | Katze* subject:set* |
Präfix-Platzhaltersuchen (wobei das Sternchen am Ende eines Worts platziert wird) entsprechen null oder mehr Zeichen in Schlüsselwörtern oder property: value Abfragen. Gibt beispielsweise Nachrichten zurück, subject:set* die das Wort set, setup und setting (und andere Wörter, die mit "set") in der Betreffzeile beginnen. |
| ( ) | (fair ODER kostenlos) UND von: contoso.com (IPO OR Initiale) AND (Aktien OR Anteile) (Vierteljährliche Finanzdaten) |
Klammern gruppieren boolesche Ausdrücke, property: value Elemente und Schlüsselwörter. Gibt z. B. Elemente zurück, (quarterly financials) die die Wörter vierteljährlich und finanzwert enthalten. |
1 Verwenden Sie diesen Operator für Eigenschaften mit Datums- oder numerischen Werten.
2 Boolesche Suchoperatoren müssen Großbuchstaben enthalten; z. B. AND. Bei Suchoperatoren in Kleinbuchstaben in Suchabfragen wird ein Fehler zurückgegeben.
Nicht unterstützte Zeichen in Suchabfragen
Nicht unterstützte Zeichen in einer Suchabfrage führen gewöhnlich zu einem Suchfehler oder zu unerwarteten Ergebnissen. Nicht unterstützte Zeichen sind häufig ausgeblendet und werden der Abfrage hinzugefügt, wenn Sie die Abfrage oder Teile davon aus anderen Anwendungen (z. B. Microsoft Word oder Microsoft Excel) in das Schlüsselwortfeld auf der Abfrageseite der In-Situ-eDiscovery-Suche kopieren.
Im Folgenden finden Sie eine Liste der nicht unterstützten Zeichen für eine In-Situ-eDiscovery-Suchabfrage.
Intelligente Anführungszeichen: Intelligente einfache und doppelte Anführungszeichen (auch als geschweifte Anführungszeichen bezeichnet) werden nicht unterstützt. Nur gerade Anführungszeichen können in einer Suchabfrage verwendet werden.
Nicht druckbare Zeichen und Steuerzeichen: Nicht druckbare Zeichen und Steuerzeichen stellen kein geschriebenes Symbol dar, z. B. ein alphanumerisches Zeichen. Beispiele für nicht druckbare Zeichen und Steuerzeichen sind Zeichen, die Text formatieren oder Textzeilen trennen.
Links-nach-rechts- und Rechts-nach-links-Markierungen: Diese Zeichen sind Steuerzeichen, die verwendet werden, um die Textrichtung für Sprachen von links nach rechts (z. B. Englisch und Spanisch) und Rechts-nach-links-Sprachen (z. B. Arabisch und Hebräisch) anzugeben.
Boolesche Operatoren in Kleinbuchstaben: Wie zuvor erläutert, müssen Sie in einer Suchabfrage boolesche Operatoren in Großbuchstaben wie AND und OR verwenden. Die Abfragesyntax zeigt häufig an, dass ein boolescher Operator verwendet wird, obwohl Operatoren in Kleinbuchstaben verwendet werden können. Beispiel:
(WordA or WordB) and (WordC or WordD).
Wie können Sie nicht unterstützte Zeichen in Ihren Suchabfragen verhindern? Die beste Möglichkeit zur Verhinderung nicht unterstützter Zeichen besteht darin, die Abfrage direkt in das Schlüsselwortfeld einzugeben. Alternativ können Sie eine Abfrage aus Word oder Excel kopieren und in einem Nur-Text-Editor, z. B. Microsoft Editor, in eine Datei einfügen. Speichern Sie dann die Textdatei, und wählen Sie ANSI in der Dropdownliste Codierung aus. Durch diese Auswahl werden alle Formatierungen und nicht unterstützten Zeichen entfernt. Anschließend können Sie die Abfrage aus der Textdatei kopieren und im Schlüsselwort-Abfragefeld einfügen.
Tipps und Tricks für die Suche
Schlüsselwortsuchen unterscheiden nicht zwischen Groß- und Kleinschreibung. Beispielsweise geben katze und KATZE dieselben Ergebnisse zurück.
Ein Leerzeichen zwischen zwei Schlüsselwörtern oder zwei
property: valueAusdrücken entspricht der Verwendung von AND. Gibt beispielsweise alle von Sara Davis gesendeten Nachrichten zurück,from:"Sara Davis" subject:reorganizationdie das Wort Reorganisation in der Betreffzeile enthalten.Verwenden Sie eine Syntax, die dem
property: valueFormat entspricht. Bei Werten wird die Groß-/Kleinschreibung nicht beachtet, und nach dem Operator darf kein Leerzeichen vorhanden sein. Wenn dort ein Leerzeichen steht, wird eine Volltextsuche nach dem gewünschten Wert durchgeführt. Beispiel:An: pilarp wird z B. nach „pilarp“ als Schlüsselwort gesucht statt nach Nachrichten, die an pilarp gesendet wurden.Wenn Sie nach einer Empfängereigenschaft wie An, Von, Cc oder Empfänger suchen, können Sie eine SMTP-Adresse, einen Alias oder einen Anzeigenamen verwenden, um einen Empfänger anzugeben. Sie können z. B. , pilarp oder "Pilar Pinilla" verwenden pilarp@contoso.com.
Sie können nur Suffix-Wildcardsuchen verwenden (z. B. cat* oder set*). Präfix-Wildcardsuchen (*Katze) oder Teilzeichenfolgen-Wildcardsuchen (*Cat*) werden nicht unterstützt.
Wenn Sie nach einer Eigenschaft suchen, verwenden Sie doppelte Anführungszeichen (" "), wenn der Suchwert aus mehreren Wörtern besteht. Beispielsweise gibt subject:budget Q1 Nachrichten zurück, die ein Budget in der Betreffzeile enthalten und Q1 an einer beliebigen Stelle in der Nachricht oder in einer der Nachrichteneigenschaften enthalten. Für Betreff:"Budget Q1" werden alle Nachrichten zurückgegeben, deren „Betreff“-Zeile Budget Q1 enthält.
Wenn Sie Inhalte mit einem bestimmten Eigenschaftswert in den Suchergebnissen ausschließen möchten, fügen Sie ein Minuszeichen (-) vor dem Namen der Eigenschaft hinzu. Mit -Von: Sara "Davis" werden z. B. alle Nachrichten ausgeschlossen, die von Sara Davis gesendet wurden.