Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit dem Erweiterten Überprüfungssatz-Explorer (Vorschau) in Microsoft Purview-eDiscovery können Prüfer Big Data-Analysen in Echtzeit für Reviewsatzinhalte mithilfe einer definierten Teilmenge von Kusto-Abfragesprache (KQL) ausführen. Mit dem Erweiterten Überprüfungssatz-Explorer (Vorschau) können Sie Prüfsatzdaten direkt im Microsoft Purview-Portal abfragen, filtern und visualisieren, ohne den zugrunde liegenden Inhalt zu ändern. Abfragen werden für den vollständigen Satz von indizierten Elementen ausgeführt und geben tabellarische Ergebnisse oder Diagrammvisualisierungen zurück.
Verwenden Sie den Erweiterten Überprüfungssatz-Explorer (Vorschau) für Folgendes:
- Identifizieren Sie die wichtigsten Elementtypen, Erkennen von Mustern und suchen Sie Trends innerhalb des Prüfsatzes.
- Erstellen Sie leistungsstarke Abfragen mit komplexer Filterung, musterbasierter Textextraktion und Datenformatanalyse.
- Analysieren und finden Sie wichtige Informationen, die für Ihren Fall oder organization spezifisch sind.
- Visualisieren Sie Abfrageergebnisse mithilfe von Diagrammen, um ein umfassendes Verständnis der Prüfsatzdaten zu erzielen.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Öffnen des Erweiterten Überprüfungssatz-Explorers (Vorschau)
Führen Sie die folgenden Schritte aus, um den Erweiterten Überprüfungssatz-Explorer (Vorschau) zu öffnen:
- Wechseln Sie zum Microsoft Purview-Portal , und melden Sie sich mit den Anmeldeinformationen für ein Benutzerkonto an, dem eDiscovery-Berechtigungen zugewiesen sind.
- Wählen Sie die eDiscovery-Lösung Karte und dann im linken Navigationsbereich Fälle aus.
- Wählen Sie einen Fall und dann die Registerkarte Review sets (Sätze überprüfen ) aus.
- Wählen Sie einen Überprüfungssatz und dann die Registerkarte Erweiterter Abfrage-Generator (Vorschau) aus.
Von hier aus können Sie KQL-Abfragen direkt für die Prüfsatzdaten schreiben und ausführen.
Tipp
Wenn Sie einen visuellen, codefreien Ansatz zum Filtern von Inhalten von Reviewsets bevorzugen, finden Sie weitere Informationen unter Durchsuchen von Inhalten in einem Überprüfungssatz mit dem Abfragebedingungs-Generator.
Funktionsweise des Erweiterten Überprüfungssatz-Explorers (Vorschau) in einem Überprüfungssatz
Jede Abfrage wird für die Daten des vollständigen Überprüfungssatzes ausgeführt und gibt Folgendes zurück:
- Eine tabellarische Liste übereinstimmenden Elementen oder
- Eine Diagrammvisualisierung, abhängig von der Abfrage.
Abfragen folgen der standardmäßigen KQL-Pipelinesyntax, wobei jede Zeile auf den Ergebnissen des vorherigen Schritts aufbaut. Das Portal fügt den ReviewSetTable Tabellennamen automatisch als erste Zeile hinzu. Jede nachfolgende Abfragezeile muss mit \|beginnen.
Beispiel:
ReviewSetTable
| where SubjectTitle has "Case"
| summarize count() by FileClass
Hinweis
Alle Abfragen im Erweiterten Überprüfungssatz-Explorer (Vorschau) werden für die indizierten Elemente des aktuellen Überprüfungssatzes ausgeführt. Sie müssen keinen Tabellennamen angeben. Der Überprüfungssatz fungiert als Standarddatenquelle.
Bewährte Methoden
- Beginnen Sie mit
whereFiltern, um Daten einzugrenzen, bevor Sie oderrenderverwendensummarize. - Verwenden Sie
take, um die Abfragelogik vor dem Ausführen vollständiger Aggregationen zu überprüfen. - Vermeiden Sie zu umfangreiche RegEx-Muster bei großen Überprüfungssätzen.
- Verwenden Sie
where isnotempty(ColumnName), um Elemente mit leeren Werten für eine Eigenschaft auszuschließen, um unerwartete leere Zeilen in Den Ergebnissen zu vermeiden.
Andere Überlegungen
Der Erweiterte Überprüfungssatz-Explorer (Vorschau) unterstützt nicht alle Kusto-Operatoren und -Eigenschaften. Beachten Sie beim Erstellen von Abfragen die folgenden Überlegungen:
- Abfragen sind schreibgeschützt und ändern den Inhalt der Überprüfungssätze nicht. Weitere Informationen zum Arbeiten mit Überprüfungssätzen finden Sie unter Verwalten von Überprüfungssätzen in eDiscovery.
- Die Ergebnisse spiegeln den aktuellen indizierten Zustand des Überprüfungssatzes wider. Wenn Sie dem Überprüfungssatz weitere Daten hinzufügen, gibt die Abfrage möglicherweise andere Ergebnisse zurück.
- Nicht alle Dateitypen können abfragt werden. Weitere Informationen finden Sie unter Unterstützte Dateitypen in eDiscovery.
- Wenn die Abfrage mehr als 10.000 Ergebnisse zurückgibt, werden nur die ersten 10.000 Ergebnisse zurückgegeben. Ändern Sie die Abfrage, um die Ergebnisse einzugrenzen.
Informationen zur Kusto-Syntax und zu Verweisen finden Sie in den folgenden Artikeln:
- Syntaxkonventionen für die Referenzdokumentation
- Bewährte Methoden für Kusto-Abfragesprache Abfragen
Unterstützte grundlegende Operatoren
Tipp
Eine vollständige Liste der verfügbaren Eigenschaften, die Sie in Abfragen verwenden können, finden Sie unter Dokumentmetadatenfelder in eDiscovery.
Dabei gilt:
Verwenden Sie den where -Operator, um Elemente basierend auf Metadaten wie Betreff, Schlüsselwörtern, Elementklasse, Datumsangaben oder Teilnehmern zu filtern.
Im folgenden Beispiel wird der Überprüfungssatz so gefiltert, dass nur Elemente zurückgegeben werden, deren Betreff den Text "Day" enthält.
ReviewSetTable
| where SubjectTitle has "Day"
Diese Abfrage filtert den Überprüfungssatz so, dass er alle kalenderbezogenen Elemente enthält, deren ItemClass mit IPM.Appointmentbeginnt. Dies deckt Standardtermine und erweiterte Klassen wie IPM.AppointmentSnapshot.SkypeTeams.Callab.
ReviewSetTable
| where ItemClass startswith "IPM.Appointment"
Project
Verwenden Sie project , um nur die Eigenschaften zurückzugeben, die Ihnen wichtig sind. Die folgende Abfrage führt beispielsweise zwei Aktionen aus:
-
Filtert Elemente nach Betrefftext: Die
where SubjectTitle has "Day"-Klausel beschränkt die Ergebnisse auf die Elemente, deren SubjectTitle das Wort "Day" enthält. -
Projiziert eine einzelne Spalte: Die
project SubjectTitle-Klausel gibt dann nur die SubjectTitle-Eigenschaft für diese gefilterten Elemente zurück und entfernt alle anderen Spalten aus der Ausgabe.
ReviewSetTable
| where SubjectTitle has "Day"
| project SubjectTitle
Erweitern
Der extend Operator fügt den Abfrageergebnissen eine oder mehrere berechnete Spalten hinzu, indem neue Werte erstellt werden, die aus vorhandenen Feldern abgeleitet werden, ohne die zugrunde liegenden Daten zu ändern.
Im folgenden Beispiel werden Überprüfungssatzelemente in vier Größenkategorien klassifiziert: Klein (<1 MB),Mittel (1–5 MB),Mittel-Groß (5–10 MB) und Groß (>10 MB), indem eine neue Spalte SizeCategory mithilfe der case() -Funktion erstellt wird. Anschließend wird die Anzahl der Elemente in jeder Kategorie mithilfe summarizevon aggregiert. Es hilft Prüfern, die Verteilung der Dateigrößen im Überprüfungssatz für die Risikobewertung oder Priorisierung schnell zu verstehen.
ReviewSetTable
| extend SizeCategory = case(Size > 10485760, "Large (>10MB)", Size >= 5242880 and Size <= 10485760, "Medium-Large (5–10MB)", Size >= 1048576 and Size < 5242880, "Medium (1–5MB)", "Small (<1MB)")
| summarize count() by SizeCategory
Zusammenfassen
Der summarize Operator aggregiert Daten durch Anwenden von Funktionen wie count(), sum()oder avg()und gruppiert Ergebnisse basierend auf angegebenen Spalten.
Im folgenden Beispiel werden nach SubjectTitle gruppierte Elemente für Elemente zählt, die das Wort "Day" enthalten.
ReviewSetTable
| where SubjectTitle has "Day"
| summarize count() by SubjectTitle
Balkendiagramm rendern, Spaltendiagramm rendern, Kreisdiagramm rendern
Der render barchart -Operator verwendet die tabellarischen Ergebnisse Ihrer Abfrage und zeigt sie als Balkendiagramm an. Dies erleichtert die Visualisierung der Verteilung oder des Vergleichs aggregierter Werte.
Im folgenden Beispiel wird die Betrefftitelanzahl als Balkendiagramm gerendert.
ReviewSetTable
| where SubjectTitle has "Day"
| summarize count() by SubjectTitle
| render barchart
Take (Limit)
Der take Operator beschränkt die Abfrageausgabe auf eine angegebene Anzahl von Zeilen. Es werden nur die ersten n Ergebnisse aus dem Dataset zurückgegeben. Der limit Operator ist ein Synonym für take und kann austauschbar verwendet werden.
Im folgenden Beispiel werden nur die ersten 10 übereinstimmenden Elemente zurückgegeben, sodass Sie die Abfragelogik oder den Inhalt der Spotüberprüfung überprüfen können, bevor Sie eine vollständige Abfrage ausführen. Dieser Ansatz hilft bei großen Überprüfungssätzen oder komplexen Filtern, bei denen die Berechnung und Auslastung der Ergebnisse länger dauern kann, ohne take die Ausgabe einzuschränken.
ReviewSetTable
| where SubjectTitle has "day"
| project SubjectTitle, SenderDomain, Custodian, Size
| take 10
Sortieren
Der sort Operator sortiert die Abfrageergebnisse basierend auf einer oder mehreren angegebenen Spalten in aufsteigender oder absteigender Reihenfolge.
Die folgende Beispielabfrage berechnet die Gesamtanzahl der Elemente für jede NativeFileExtension im Überprüfungssatz mithilfe summarize count()von . Anschließend werden diese Erweiterungsgruppen in absteigender Reihenfolge der Elementanzahl sortiert, damit Sie sehen können, welche Dateitypen am häufigsten vorkommen.
ReviewSetTable
| summarize ItemCount = count() by NativeFileExtension
| sort by ItemCount desc
distinct (Unterschiedlich)
Der distinct Operator gibt eindeutige Werte für die angegebenen Spalten zurück, indem doppelte Zeilen aus den Abfrageergebnissen entfernt werden.
Im folgenden Beispiel wird verwendet distinct , um Duplikate zu entfernen, sodass Sie nur eindeutige Verwahrer sehen, und dann verwendet, sort by Custodian asc um sie alphabetisch zu sortieren, sodass sie für die Berichterstellung einfach gescannt oder exportiert werden können.
ReviewSetTable
| distinct Custodian
| sort by Custodian asc
Count
Der count Operator gibt die Gesamtzahl der Zeilen im Abfrageresultset zurück, sodass Sie schnell sehen können, wie viele Elemente sich in der Gruppe befinden.
Im folgenden Beispiel wird die Anzahl der eindeutigen Thementitel gezählt, die das Wort "Day" enthalten.
ReviewSetTable
| where SubjectTitle has "Day"
| summarize by SubjectTitle
| count
Oben
Der top Operator gibt die ersten n Zeilen aus den Abfrageergebnissen zurück, sortiert nach einer oder mehreren angegebenen Spalten. Verwenden Sie es, um die höchsten oder niedrigsten Werte basierend auf Ihren Sortierkriterien abzurufen.
Im folgenden Beispiel werden die fünf größten Elemente in Ihrem Überprüfungssatz abgerufen.
ReviewSetTable
| top 5 by Size desc
Bin
Die bin() Funktion rundet einen datetime- oder numerischen Wert auf das nächste Vielfache einer angegebenen Bin-Größe ab. Verwenden Sie diese Funktion, um Daten in Zeitintervalle oder numerische Bereiche zu gruppieren, z. B. stündliche Buckets oder Größenbereiche.
Im folgenden Beispiel werden Elemente in der Überprüfungsgruppe in Buckets mit einer Größe von 1 MB gruppiert, mit bin(Size, 1048576)berechnet, wie viele Elemente in summarize count()die einzelnen Buckets fallen, und dann die Buckets in aufsteigender Reihenfolge sortiert, damit Sie die Verteilung der Dateigrößen von der kleinsten zum größten sehen können.
ReviewSetTable
| summarize ItemCount = count() by bin(Size, 1048576)
| sort by bin(Size, 1048576) asc
Häufige Szenarien
Die folgenden Szenarien veranschaulichen, wie Kusto-Abfragen im Erweiterten Überprüfungssatz-Explorer (Vorschau) Ihnen helfen können, Ihre Prüfsatzdaten zu analysieren und besser zu verstehen.
Szenario 1: Kommunikation zwischen zwei Benutzern
Finde Elemente, die ausschließlich zwischen zwei bestimmten Benutzern ausgetauscht werden - John und David - ohne andere Teilnehmer. Diese Abfrage isoliert die direkte 1:1-Kommunikation und zeigt nur drei Eigenschaften an: Betrefftitel, Absender und Empfänger.
ReviewSetTable
| where isnotempty(Participants)
| extend ParticipantEmails = extract_all(@"\<(\[^\>\]+)\>", tostring(Participants))
| extend ParticipantCount = array_length(ParticipantEmails)
| where ParticipantCount == 2
| where ParticipantEmails has "John@contoso.com" and ParticipantEmails has "David@contoso.com"
| project SubjectTitle, SenderAuthor, Recipients
Szenario 2: Extern gesendete E-Mails
Suchen Sie alle Überprüfungssatzelemente, die mindestens einen externen Empfänger (außerhalb Ihres organization contoso.com) enthalten, und listen Sie diese externen E-Mail-Adressen für jedes Element auf.
ReviewSetTable
| where isnotempty(Recipients)
| extend Emails = extract_all(@"\<(\[^\>\]+)\>", tostring(Recipients))
| mv-expand Email = Emails
| extend Email = tostring(Email)
| where Email !contains "@contoso.com"
| summarize ExternalRecipients = make_set(Email) by ImmutableId, SubjectTitle
Szenario 3: Identifizieren von Datums- und Uhrzeitmustern im Überprüfungssatz
Die Visualisierung von Daten im Laufe der Zeit hilft Ermittlern, Spitzen oder Anomalien bei der Kommunikation oder Dokumenterstellung zu identifizieren, z. B. einen plötzlichen Anstieg von E-Mails, die mit einem bekannten Vorfall korrelieren können. Vierteljährliche Ansichten sind an Geschäftszyklen ausgerichtet, sodass Ergebnisse einfacher mit Finanzberichtsperioden, internen Prüfungen oder Richtlinienänderungen korreliert werden können.
Im folgenden Beispiel wird analysiert, wie Prüfsatzelemente im Laufe der Zeit verteilt werden, indem Elemente nach Jahr und Quartal gruppiert und die Ergebnisse als Säulendiagramm visualisiert werden. Sie filtert Elemente nach Datumsbereich, extrahiert das Jahr und Quartal aus dem Feld Datum der einzelnen Elemente, zählt die Elemente in jeder Kombination aus Jahr und Quartal, erstellt eine lesbare Bezeichnung (z. B. Q2 2024) und rendert die Ergebnisse als Säulendiagramm.
ReviewSetTable
| where Date > datetime(2015-01-01) and Date < datetime(2025-08-31)
| extend Year = datetime_part("year", Date), Quarter = datetime_part("quarter", Date)
| summarize EventCount = count() by Year, Quarter
| sort by Year asc, Quarter asc
| extend QuarterLabel = strcat("Q", tostring(Quarter), " ", tostring(Year))
| project QuarterLabel, EventCount
| render columnchart
Szenario 4: Visualisieren von Microsoft Teams-Nachrichtentypen im Überprüfungssatz
Im folgenden Beispiel werden Microsoft Teams-Nachrichtentypen in der nach Elementklasse festgelegten Überprüfung kategorisiert und visualisiert, sodass Sie die Verteilung verschiedener Nachrichtenformate verstehen können.
ReviewSetTable
| where ItemClass startswith "IPM.SkypeTeams.Message."
| project SubjectTitle, Date, SenderAuthor, FileClass, ItemClass, InternetMessageId
| summarize ItemCount = count() by ItemClass
| sort by ItemCount desc
| render piechart
Verwenden von "regex" im Erweiterten Überprüfungssatz-Explorer (Vorschau)
Der Erweiterte Überprüfungssatz-Explorer (Vorschau) unterstützt reguläre Ausdrücke (RegEx) für leistungsstarke Musterabgleiche in Textfeldern. Die RegEx-Unterstützung ermöglicht die Suche nach komplexen Sequenzen von Zeichen, z. B. alphanumerischen Kombinationen, Sonderzeichen oder strukturierten Mustern, die über einfache Schlüsselwort (keyword) Abgleich hinausgehen. Verwenden Sie regex für Folgendes:
- Identifizieren Sie Elemente mit bestimmten Formaten, z. B. IDs, Codes oder strukturierte Token.
- Erkennen von Mustern, die Standardoperatoren wie
hasoderstartswithnicht erfassen können. - Führen Sie erweiterte Filterung für Compliance- oder forensische Untersuchungen durch.
Tipps zum Schreiben von RegEx in KQL
- Verwenden Sie umgekehrte Schrägstriche () bei Bedarf ordnungsgemäß
\\. - Verwenden Sie Anker (
^für Start,$für Ende) für die genaue Positionierung. - Testen Sie Muster inkrementell, um zu große Übereinstimmungen zu vermeiden.
- Kombinieren Sie mit anderen Operatoren (z. B
and. ,or), um präzise Abfragen zu ermöglichen. - Referenz: RegEx-Syntax.
Syntax
Verwenden Sie den matches regex Operator in Ihrer where -Klausel:
where <PropertyName> matches regex "<pattern>"
Beispiel: Abgleichen eines komplexen Musters in Schlüsselwörtern
ReviewSetTable
| where Keywords matches regex "\\w{10}\\d{10}\\W{10}"
| project SubjectTitle, CompoundPath, Date, SenderAuthor, FileClass, ItemClass, InternetMessageId
Filtert Elemente, in denen die Keywords-Eigenschaft Folgendes enthält:
- 10 Wortzeichen (
\w) - gefolgt von 10 Ziffern (
\d) - gefolgt von 10 Nicht-Wort-Zeichen (
\W)
- 10 Wortzeichen (
Gibt Schlüsselmetadatenfelder zurück, wie zur Überprüfung angegeben.
Beheben häufiger KQL-Syntaxfehler
Wenn Sie Abfragen im Erweiterten Überprüfungssatz-Explorer (Vorschau) erstellen, können Syntaxfehler auftreten.
In der folgenden Tabelle sind häufige Fehler und deren Behebung aufgeführt:
| Fehler | Ursache | Behebung |
|---|---|---|
sort Operator erfordert einen Spaltennamen. |
Verwenden Sie sort , ohne anzugeben, wonach sortiert werden soll. |
Fügen Sie einen Spaltennamen nach hinzu sort by. Beispiel: sort by Date desc. |
Erwartet ) oder , |
Fehlende schließende Klammern oder falsche Funktionsargumente. | Überprüfen Sie, ob alle öffnenden Klammern übereinstimmende schließende Klammern aufweisen und funktionsargumente durch Kommas getrennt sind. |
| Unbekannte Funktion | Verwenden eines Funktionsnamens, der nicht unterstützt wird oder falsch geschrieben ist. | Überprüfen Sie den Funktionsnamen anhand der KQL-Dokumentation. Häufige Beispiele sind count(), tostring()und datetime(). |
Token erwartet: \ | |
In einer Abfragezeile fehlt der Pipeoperator am Anfang. | Stellen Sie sicher, dass jede Zeile nach ReviewSetTable mit \ | beginnt. |
| Spalte nicht gefunden | Verweisen auf einen Eigenschaftsnamen, der im Überprüfungssatzschema nicht vorhanden ist. | Überprüfen Sie die verfügbaren Spaltennamen in Ihrem Überprüfungssatz. Bei Eigenschaftennamen wird die Groß-/Kleinschreibung beachtet. |
summarize erfordert eine by -Klausel |
Verwenden sie summarize mit einer Aggregation, aber ohne Gruppierungsspalte. |
Fügen Sie eine by -Klausel mit einer oder mehreren Spalten hinzu. Beispiel: summarize count() by FileClass. |
| Unerwartetes Ende der Abfrage | Die Abfrage ist unvollständig oder weist eine nachfolgende Pipe ohne Operator auf. | Entfernen Sie alle nachgestellten \ | Am Ende der Abfrage, oder fügen Sie den beabsichtigten Operator danach hinzu. |
Hinweis
Einige ältere Überprüfungssätze unterstützen möglicherweise bestimmte KQL-Eigenschaften nicht, wenn diese Eigenschaften nicht verfügbar waren, als der Überprüfungssatz erstellt und Daten generiert wurden. Das Abfragen einer nicht unterstützten Eigenschaft in einem älteren Überprüfungssatz führt zu einem Fehler "Spalte nicht gefunden". Um diesen Fehler zu beheben, erstellen Sie einen neuen Überprüfungssatz, und verwenden Sie den Prozess Zum Prüfsatz hinzufügen , um die Daten mit den neuesten unterstützten Eigenschaften neu zu generieren.