Freigeben über

Durchsuchen von Inhalten in einem Überprüfungssatz in eDiscovery

In den meisten Fällen ist es hilfreich, den Inhalt eines Überprüfungssatzes genauer zu untersuchen und zu organisieren, um eine effizientere Überprüfung zu ermöglichen. Mithilfe von Filtern und Abfragen in einem Überprüfungssatz können Sie sich auf eine Teilmenge von Dokumenten konzentrieren, die die Kriterien für Ihre Überprüfung erfüllen.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Abfragen von Inhalten in einem Überprüfungssatz

Der eDiscovery-Überprüfungssatz bietet eine Abfrageumgebung, mit der Sie flexible Abfragen für Überprüfungssätze erstellen können. Die Abfragefunktion ermöglicht Folgendes:

  • Suchen Sie schnell nach Überprüfungssatzinhalten, die bestimmten Bedingungen entsprechen.
  • Erstellen Sie komplexe Abfragen mithilfe von AND- oder OR-Bedingungen in KeyQL.
  • Verwalten Sie gespeicherte Filter, ohne in einen anderen Bereich zu wechseln, und ändern Sie Ihre Abfragen einfach, indem Sie gespeicherte Abfragen laden.

Wichtig

Bei Überprüfungssätzen ist die Paginierung standardmäßig aktiviert und kann maximal 1.000 Elemente pro Seite anzeigen. Verwenden Sie Standardfilter oder benutzerdefinierte Filter, um die angezeigten Elemente nach Bedarf anzupassen. Übereinstimmend sind Die Anzahl der elemente sind Schätzungen. Sie können die Paginierung über Verwalten>Paginierung deaktivieren deaktivieren.

Verwenden Sie die folgenden Steuerelemente, um Inhalte in Ihrem Überprüfungssatz abzufragen:

  • Wählen Sie abfrage auf der Symbolleiste oder die blaue Blase über der Symbolleiste aus. Alle angewendeten Abfragen werden hier auch oberhalb der Symbolleiste angezeigt.
  • Die Schlüsselwortbedingung wird automatisch für jede neue Abfrage aufgefüllt.
  • AND/OR: Mit diesen bedingten logischen Operatoren können Sie die Abfragebedingung auswählen, die für bestimmte Filter gilt.
  • Bedingungen hinzufügen: Ermöglicht es Ihnen, Ihrer Abfrage mehrere Bedingungen hinzuzufügen.
  • Operator auswählen: Je nach ausgewähltem Filter können die mit dem Filter kompatiblen Operatoren ausgewählt werden. Wenn Sie beispielsweise den Filter Datum auswählen, werden die verfügbaren Operatoren Before, After und Between angezeigt. Wenn Sie den Filter Größe auswählen, werden die verfügbaren Operatoren Größer als, Größer oder gleich, Kleiner als, Kleiner oder gleich, Zwischen und Gleich angezeigt.
  • Wert: Abhängig vom ausgewählten Filter sind die mit dem Filter kompatiblen Werte verfügbar. Darüber hinaus unterstützen einige Filter mehrere Werte und einige Filter einen bestimmten Wert. Wenn Sie beispielsweise den Filter Datum auswählen, wählen Sie Datumswerte aus. Wenn Sie den Filter Größe (in Bytes) auswählen, wählen Sie einen Wert für Bytes aus.
  • Löschen eines Bedingungswerts: Um den Wert innerhalb einer Bedingung zu löschen, wählen Sie das X rechts neben jeder Bedingungszeile aus.
  • Entfernen einer Filterbedingung: Um einen einzelnen Filter oder eine einzelne Untergruppe zu entfernen, wählen Sie rechts neben jeder Bedingungszeile das Symbol Löschen aus.
  • Alle löschen: Um die gesamte Abfrage aller Bedingungen und deren Werte zu löschen, wählen Sie Alle löschen aus.
  • Speichern: Speichert die aktuellen Bedingungen in einer gespeicherten Abfrage, indem Sie ihr einen Namen geben.
  • Gespeicherte Filter laden: Mit gespeicherten Filtern können Sie alle gespeicherten Abfragen laden und vorhandene, erstellte Abfragen überschreiben.
  • Abfrage ausführen: Wählen Sie für manuell erstellte Bedingungen oder geöffnete gespeicherte Filter Abfrage ausführen aus, um die Abfrage auf den Überprüfungssatz anzuwenden. Die Abfrage der letzten Ausführung wird beibehalten und ist verfügbar, wenn Sie den Überprüfungssatz das nächste Mal öffnen, auch nach dem Beenden.
  • Abfrage ausblenden und anzeigen: Verwenden Sie die Schaltfläche zum Ausblenden und Anzeigen, um den Abfrageabschnitt zu erweitern und zu reduzieren.

Bedingungstypen

Jedes durchsuchbare Feld in einem Überprüfungssatz verfügt über eine entsprechende Bedingung, mit der Sie Elemente basierend auf einer bestimmten Eigenschaft filtern können.

Es gibt mehrere Filtertypen:

  • Freitext: Eine Freitextbedingung wird auf Textfelder wie Betreff angewendet. Sie können mehrere Suchbegriffe auflisten, indem Sie sie durch ein Komma trennen.
  • Datum: Eine Datumsbedingung wird für Datumsfelder verwendet, z. B . Datum der letzten Änderung.
  • Suchoptionen: Eine Suchoptionenbedingung stellt eine Liste möglicher Werte (jeder Wert wird mit einem Kontrollkästchen angezeigt, das Sie auswählen können) für bestimmte Felder in der Überprüfung bereit. Diese Bedingung wird für Felder wie Absender verwendet, in denen eine begrenzte Anzahl möglicher Werte im Überprüfungssatz vorhanden ist.

Hinweis

Bei einigen Suchoptionen können Sie Freitext eingeben, um mehreren Werten zu entsprechen. Wenn z. B. die Sender-Bedingung mit "any" verwendet wird, stimmt die Eingabe von "john" mit Elementen überein, bei denen der Absender , johnsmith@contoso.comoder johnwei@gmail.comistjohndoe@contoso.com. Stellen Sie sicher, dass der eingegebene Wert als Pille für die Freitexteingabe angezeigt wird.

  • Schlüsselwort: Eine Schlüsselwort (keyword) Bedingung ist eine bestimmte instance der Freitextbedingung, die Sie zum Suchen nach Begriffen verwenden können. Sie können auch kusto-ähnliche Abfragesprache in dieser Art von Bedingung verwenden. Der Benutzer kann beispielsweise rot UND blau in ein Schlüsselwort (keyword) Bedingungsraster eingeben, die Abfrage ausführen und alle Elemente im Überprüfungssatz abrufen, die sowohl das Wort "red" als auch das Wort "blue" enthalten. Die übereinstimmend schlüsselwörter werden auch in der Nur-Text-Ansicht im Vorschaubereich hervorgehoben.

Speichern und Verwalten von Filterabfragen

Nachdem Sie Ihre Bedingungen erstellt haben, speichern Sie die Bedingungskombination als Filterabfrage. Mit dieser gespeicherten Filterabfrage können Sie dieselbe Abfrage in zukünftigen Überprüfungssitzungen anwenden.

Klicken Sie zum Speichern auf Speichern , und geben Sie ihm einen Namen. Sie oder andere Prüfer können zuvor gespeicherte Filterabfragen ausführen, indem Sie die Dropdownliste Gespeicherter Filter auswählen und eine Filterabfrage zum Öffnen auswählen und auf Abfrage ausführen klicken, um Überprüfungssatzdokumente anzuwenden.

Wenn Sie eine gespeicherte Filterabfrage bearbeiten oder löschen möchten, wählen Sie Gespeicherter Filter aus, und zeigen Sie mit der Maus auf den gespeicherten Filter, und wählen Sie die Optionen Bearbeiten und Löschen für die gespeicherte Filterabfrage aus.

Verwenden der Abfragesprachunterstützung für KeyQL- und Schlüsselwortfilter

Wenn Sie die KeyQL- oder Schlüsselwortfilter verwenden, können Sie eine Kusto-ähnliche Abfragesprache verwenden, um Ihre Überprüfungssatz-Suchabfrage zu erstellen. Die Abfragesprache für diese beiden Filter unterstützt boolesche Standardoperatoren wie AND, OR, NOT und NEAR. Es unterstützt auch einen Platzhalter mit nur einem Zeichen (?) und einen Platzhalter mit mehreren Zeichen (*).

Hinweis

Überprüfungsfilter unterstützen nur Wildcards (? oder *) für einen einzelnen Begriff. Die Verwendung von Wildcards bei Der Suche nach Ausdrücken, die aus mehreren Begriffen bestehen, wird nicht unterstützt.

Szenariobeispiele

Filtern nach nicht markierten Elementen in einem Überprüfungssatz

Ein eDiscovery-Administrator muss eine Abfrage erstellen, um alle Elemente im Überprüfungssatz zu finden, ohne dass tags angewendet werden. In diesem Beispiel erstellt der Administrator die folgende Überprüfungssatzabfrage:

  1. Für die erste Bedingung wählt der Administrator Bedingungen hinzufügen aus und sucht nach der Tagbedingung . Die Bedingung Tags wird als übereinstimmende Option angezeigt. Der Administrator wählt es aus und wählt Anwenden aus.
  2. Der Administrator wählt dann den Operator Ist leer für die Bedingung Tags aus.
  3. Der Administrator wählt Abfrage ausführen aus.

Diese Überprüfungssatzliste wird aktualisiert, um alle Elemente anzuzeigen, auf die keine Tags angewendet wurden.

Filtern nach nativen Dateitypelementen in einem Überprüfungssatz

Ein eDiscovery-Administrator muss eine Abfrage erstellen, um alle Elemente im Überprüfungssatz zu finden, die einen bestimmten Typ aufweisen, z. B. .csv, .msg oder .pdf. In diesem Beispiel erstellt der Administrator die folgende Überprüfungssatzabfrage:

  1. Für die erste Bedingung wählt der Administrator Bedingungen hinzufügen aus und sucht in der Bedingungssuche nach der Datei . Die Bedingung Native Dateierweiterung ist eine der Optionen, die in den Suchergebnissen angezeigt werden. Der Administrator wählt es aus und wählt Anwenden aus.
  2. Der Administrator wählt dann den Operator Gleich jedem von aus .
  3. Der Administrator wählt das Wertfeld und die Dateitypen in der Dropdownliste aus, z. B. CSV, die in die Abfrage eingeschlossen werden sollen.
  4. Der Administrator wählt Abfrage ausführen aus.

Der Überprüfungssatz wird aktualisiert, und es werden nur die Elemente angezeigt, die den ausgewählten Dateitypen entsprechen.

Filtern von teilweise indizierten Elementen

Wenn Sie die Option zum Einschließen von teilweise indizierten Elementen auswählen, wenn Sie die Suche zu einem Überprüfungssatz hinzufügen, möchten Sie diese Elemente wahrscheinlich identifizieren und anzeigen. Sie können ermitteln, ob ein Element für Ihre Untersuchung relevant ist und ob Sie den Fehler beheben müssen, der dazu geführt hat, dass das Element teilweise indiziert wurde.

  1. Wählen Sie Bedingungen hinzufügen im Abfragegebäudebereich aus.
  2. Suchen Sie die Bedingung KQL , und wählen Sie Übernehmen aus.
  3. Behalten Sie den Operator als Gleich bei, und geben Sie AddedBy in das Feld KQL-Editor ein. Sie können elemente herausfiltern, die dem Überprüfungssatz hinzugefügt wurden, indem Sie die KQL von AddedBy=UnindexedQueryanwenden.
  4. Wählen Sie Abfrage ausführen aus.

Der Überprüfungssatz wird aktualisiert, und es werden nur die Elemente angezeigt, die der teilweise indizierten Abfrage entsprechen.

Filtern von Dokumenten nach Design

Das Filtern von Dokumenten nach Design kann beim Überprüfen von Dokumenten Zeit sparen. Wenn Sie beispielsweise nach Dokumenten suchen, in denen ein bestimmtes Thema behandelt wird, können Sie die Dokumente nach dem dominanten Thema filtern, das sich auf dieses Thema bezieht. Sie können Dokumente auch nach anderen Designs in der Designliste filtern, um Dokumente zu finden, die einem Für Sie interessanten Dokument ähneln. Um die Designs für ein Dokument als Spalte in der Dokumentliste für den Überprüfungssatz anzuzeigen, wählen Sie Spalten anpassen und dann Dominantes Design und Designliste aus.

Führen Sie die folgenden Schritte aus, um Dokumente nach Design zu filtern:

  1. Fügen Sie in einem Überprüfungssatz die Bedingung dominantes Design hinzu.
  2. Wählen Sie einen Operator aus, der mit dem Design Dominant verwendet werden soll, und definieren Sie den Wert, der mit dem Operator verwendet werden soll.
  3. Verwenden Sie eine zusätzliche Design-Listenbedingung sowie den Operator und die Werte, die auf diesen Filter angewendet werden sollen. Sie können die Operatoren AND und OR so konfigurieren, dass Dokumente nach einer Kombination aus den Listenwertendominantes Design und Designs gefiltert werden.
  • Last updated on