Erstellen einer In-Place eDiscovery-Suche in Exchange 2013
Gilt für: Exchange Server 2013
Verwenden Sie In-Situ eDiscovery , um alle Postfachinhalte zu durchsuchen, einschließlich gelöschter Elemente und Originalversionen geänderter Elemente für Benutzer, die in den In-Situ-Aufbewahrungs- und Beweissicherungsspeicher platziert wurden.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Compliance-eDiscovery" im Thema Berechtigungen für Messagingrichtlinien und -kompatibilität.
Um eDiscovery-Suchen erstellen zu können, benötigen Sie eine SMTP-Adresse in der Organisation, in der Sie die Suchen erstellen.
Exchange 2013-Setup erstellt ein Ermittlungspostfach namens Discovery Search Mailbox zum Kopieren von Suchergebnissen. Sie können zusätzliche Discoverypostfächer erstellen. Weitere Informationen finden Sie unter Erstellen eines Discoverypostfachs.
Wenn Sie eine In-Place eDiscovery-Suche erstellen, werden in den Suchergebnissen zurückgegebene Nachrichten nicht automatisch in ein Ermittlungspostfach kopiert. Nachdem Sie die Suche erstellt haben, können Sie die Suchergebnisse im Exchange-Verwaltungskonsole (EAC) schätzen, voranzeigen und in ein Discoverypostfach kopieren. Weitere Informationen finden Sie unter:
Informationen zu Tastenkombinationen, die für die Verfahren in diesem Thema gelten können, finden Sie unter Tastenkombinationen für das Exchange Admin Center in Exchange 2013.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter Exchange Server.
Verwenden des EAC zum Erstellen einer In-Place eDiscovery-Suche
Wie bereits erklärt, müssen Sie sich für das Erstellen einer eDiscovery-Suche bei einem Benutzerkonto anmelden, das in Ihrer Organisation über eine SMTP-Adresse verfügt.
Wechseln Sie zu Complianceverwaltung>Direkte eDiscovery-& halten.
Klicken Sie auf Neues
Geben Sie unter In-Place eDiscovery & Halten auf der Seite Name und Beschreibung einen Namen für die Suche ein, fügen Sie eine optionale Beschreibung hinzu, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Postfächer die zu durchsuchenden Postfächer aus. Sie können in alle Postfächern suchen oder bestimmte Postfächer auswählen, die durchsucht werden sollen.
Wichtig
Sie können die Option Alle Postfächer durchsuchen nicht verwenden, um alle Postfächer im Haltefeld zu platzieren. Zum Erstellen eines Compliance-Archivs müssen Sie die Option Zu durchsuchende Postfächer angeben auswählen. Weitere Informationen finden Sie unter Erstellen oder Entfernen eines Compliance-Archivs.
Füllen Sie auf der Seite Suchabfrage die folgenden Felder aus:
Gesamten Postfachinhalt einschließen Wählen Sie diese Option, um den gesamten Inhalt der ausgewählten Postfächer in einem Archiv zu platzieren. Wenn Sie diese Option auswählen, können Sie keine weiteren Suchkriterien angeben.
Anhand von Kriterien filtern Wählen Sie diese Option, um Suchkriterien wie zum Beispiel Stichwörter, Start- und Enddaten, Absender- und Empfängeradressen und Nachrichtentypen anzugeben.
Hinweis
Die Felder Von: und An/Cc/Bcc: sind durch einen OR-Operator in der Suchabfrage verbunden, die beim Ausführen der Suche erstellt wird. Das bedeutet, dass eine Nachricht, die von einem der angegebenen Benutzer gesendet oder empfangen wird(und den anderen Suchkriterien entspricht), in den Suchergebnissen enthalten ist. > Die Datumsangaben werden durch einen AND-Operator verbunden.
Auf der Seite Einstellungen für die direkte Aufbewahrung können Sie das Kontrollkästchen Inhalte, die mit der Suchabfrage übereinstimmen, in ausgewählten Postfächern im Haltefeld platzieren aktivieren und dann eine der folgenden Optionen auswählen, um Elemente in In-Place Halten zu platzieren:
Dauerhaft anhalten Wählen Sie diese Option, um die zurückgegebenen Elemente dauerhaft beizubehalten. Aufbewahrte Elemente werden solange beibehalten, bis Sie das Postfach aus der Suche entfernt oder die Suche entfernt haben.
Anzahl von Tagen angeben, die Elemente in Relation zu ihrem Empfangsdatum in einem Archiv gespeichert werden sollen Verwenden Sie diese Option, um Elemente für einen bestimmten Zeitraum beizubehalten. Diese Option können Sie beispielsweise verwenden, wenn es für Ihre Organisation erforderlich ist, dass alle Nachrichten mindestens sieben Jahre aufbewahrt werden. Sie können ein zeitbasiertes Compliance-Archiv zusammen mit einer Aufbewahrungsrichtlinie verwenden, damit sichergestellt ist, dass alle Elemente in sieben Jahren gelöscht werden.
Wichtig
Wenn Postfächer oder Elemente aus rechtlichen Gründen in einem Compliance-Archiv platziert werden, empfiehlt es sich im Allgemeinen, die Elemente dauerhaft beizubehalten oder die Archivierung zu beenden, wenn der Fall oder die Untersuchung beendet ist.
Klicken Sie auf Fertig stellen, um die Suche zu speichern und eine Schätzung der Gesamtgröße und -anzahl der Objekte anzuzeigen, die von der Suche auf der Grundlage der angegebenen Kriterien zurückgegeben werden. Schätzungen werden im Detailbereich angezeigt. Klicken Sie auf Aktualisierungssymbol aktualisieren Um die im Detailbereich angezeigten Informationen zu aktualisieren.
Verwenden der Shell zum Erstellen einer In-Place eDiscovery-Suche
In diesem Beispiel wird die In-Place eDiscovery-Suche mit dem Namen Discovery-CaseId012 erstellt, die nach Elementen sucht, die die Schlüsselwörter Contoso und ProjectA enthalten und auch die folgenden Kriterien erfüllen:
Startdatum: 01.01.2009
Enddatum: 31.12.2011
Quellpostfach: DG-Finance
Zielpostfach: Discoverysuchpostfach
Nachrichtentypen: E-Mail
Schließt nicht durchsuchbare Elemente in die Suchstatistik ein.
Protokollstufe: Vollständig
Wichtig
Wenn Sie beim Ausführen einer In-Place eDiscovery-Suche keine zusätzlichen Suchparameter angeben, werden alle Elemente in den angegebenen Quellpostfächern in den Ergebnissen zurückgegeben. Wenn Sie keine zu durchsuchenden Postfächer angeben, werden alle Postfächer in Ihrer Exchange-Organisation durchsucht.
New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2009" -EndDate "12/31/2011" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full
Hinweis
Wenn Sie die Parameter StartDate und EndDate verwenden, müssen Sie das Datumsformat MM/TT/yyyy verwenden, auch wenn ihre lokalen Computereinstellungen für die Verwendung eines anderen Datumsformats wie dd/MM/jjjj konfiguriert sind. Wenn Sie beispielsweise nach Nachrichten suchen möchten, die zwischen dem 1. April 2013 und dem 1. Juli 2013 gesendet wurden, verwenden Sie den 04.01.2013 und den 07.01.2013 als Start- und Enddatum.
In diesem Beispiel wird die Compliance-eDiscovery-Suche mit dem Namen „HRCase090116" erstellt, die nach E-Mail-Nachrichten sucht, die von Alex Darrow und Sara Davis im Jahr 2015 gesendet wurden.
New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full
Nachdem Sie die Shell zum Erstellen einer In-Place eDiscovery-Suche verwendet haben, müssen Sie die Suche mit dem Cmdlet Start-MailboxSearch starten, um Nachrichten in das im TargetMailbox-Parameter angegebene Ermittlungspostfach zu kopieren. Weitere Informationen finden Sie unter Kopieren der eDiscovery-Suchergebnisse in ein Discoverypostfach.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MailboxSearch.
Verwenden des EAC zum Schätzen von Suchergebnissen oder zur Anzeige in einer Vorschau
Nachdem Sie eine In-Place eDiscovery-Suche erstellt haben, können Sie das EAC verwenden, um eine Schätzung und eine Vorschau der Suchergebnisse zu erhalten. Wenn Sie eine neue Suche mit dem Cmdlet New-MailboxSearch erstellt haben, können Sie die Shell verwenden, um die Suche zu starten, um eine Schätzung der Suchergebnisse zu erhalten. Sie können die Shell nicht verwenden, um in den Suchergebnissen zurückgegebene Nachrichten in der Vorschau anzuzeigen.
Navigieren Sie zu Complianceverwaltung>Direkte eDiscovery-& halten.
Wählen Sie in der Listenansicht die In-Place eDiscovery-Suche aus, und führen Sie dann eine der folgenden Aktionen aus:
Klicken Sie auf >Schätzen Sie die Suchergebnisse, um eine Schätzung der Gesamtgröße und Anzahl der Elemente zurückzugeben, die von der Suche basierend auf den von Ihnen angegebenen Kriterien zurückgegeben werden. Durch Auswahl dieser Option wird die Suche gestartet und eine Schätzung erstellt.
Suchschätzungen werden im Detailbereich angezeigt. Klicken Sie auf Aktualisierungssymbol aktualisieren Um die im Detailbereich angezeigten Informationen zu aktualisieren.
Klicken Sie im Detailbereich auf Vorschau auf Suchergebnisse anzeigen, um eine Vorschau auf die Suchergebnisse anzuzeigen, nachdem die Suchabschätzung abgeschlossen ist. Wenn Sie diese Option auswählen, wird das Fenster Vorschau der eDiscovery-Suche geöffnet. Alle Nachrichten, die von den durchsuchten Postfächern zurückgegeben werden, werden angezeigt.
Hinweis
Die durchsuchten Postfächer werden im rechten Bereich des Vorschaufensters der eDiscovery-Suche aufgeführt. Für jedes Postfach werden auch die Anzahl der zurückgegebenen Elemente und die Gesamtgröße dieser Elemente angezeigt. Alle Elemente, die bei der Suche zurückgegeben wurden, werden im rechten Bereich angezeigt und können nach dem aktuellsten oder dem ältesten Datum sortiert werden. Elemente aus jedem Postfach können nicht im rechten Bereich angezeigt werden, indem Sie im linken Bereich auf ein Postfach klicken. Um die Elemente anzuzeigen, die von einem bestimmten Postfach zurückgegeben wurden, können Sie die Suchergebnisse kopieren und die Elemente im Discovery-Postfach anzeigen.
Verwenden der Shell zum Schätzen von Suchergebnissen
Sie können die Option EstimateOnly verwenden, um nur eine Schätzung der Suchergebnisse abzurufen und die Ergebnisse nicht in ein Ermittlungspostfach zu kopieren. Sie müssen mit dem Cmdlet Start-MailboxSearch eine Suche vom Typ "Nur schätzen" ausführen. Anschließend können Sie mithilfe des Cmdlets Get-MailboxSearch die geschätzten Suchergebnisse abrufen.
Sie würden beispielsweise die folgenden Befehle ausführen, um eine neue eDiscovery-Suche zu erstellen und dann eine Schätzung der Suchergebnisse anzuzeigen:
New-MailboxSearch "FY13 Q2 Financial Results" -StartDate "04/01/2013" -EndDate "06/30/2013" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics
Start-MailboxSearch "FY13 Q2 Financial Results"
Get-MailboxSearch "FY13 Q2 Financial Results"
Um die Informationen der geschätzten Suchergebnisse anzuzeigen können Sie den folgenden Befehl ausführen:
Get-MailboxSearch "FY13 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits
Weitere Informationen zu eDiscovery-Suchvorgängen
Nachdem Sie eine neue eDiscovery-Suche erstellt haben, können Sie die Suchergebnisse in das Discovery-Postfach kopieren und die Ergebnisse als PST-Datei speichern. Weitere Informationen finden Sie unter:
Wenn Sie eine eDiscovery-Suchergebnisschätzung (mit Schlüsselwörtern in den Suchkriterien) durchgeführt haben, können Sie die Schlüsselwortstatistik anzeigen, indem Sie im Detailbereich für die ausgewählte Suche auf Schlüsselwortstatistik anzeigen klicken. Diese Statistik enthält detaillierte Informationen über die Anzahl der Elemente, die für jedes in der Suchanfrage verwendete Schlüsselwort zurückgegeben werden. Wenn allerdings mehr als 100 Quellpostfächer in die Suche einbezogen werden, wird beim Versuch, die Schlüsselwortstatistik anzuzeigen, eine Fehlermeldung zurückgegeben. Wenn Sie die Schlüsselwortstatistik anzeigen möchten, dürfen nicht mehr als 100 Postfächer in die Suche aufgenommen werden.