Unterschiede zwischen geschätzten und tatsächlichen eDiscovery-Suchergebnissen

  • Artikel

Dieser Artikel bezieht sich auf Suchvorgänge, die Sie mit einem der folgenden Microsoft Purview-eDiscovery-Tools ausführen können:

  • Inhaltssuche
  • eDiscovery (Standard)

Wenn Sie eine eDiscovery-Suche ausführen, gibt das verwendete Tool eine Schätzung der Anzahl der Elemente (und deren Gesamtgröße) zurück, die den Suchkriterien entsprechen. Wenn Sie beispielsweise eine Suche im Microsoft Purview-Complianceportal ausführen, werden die geschätzten Suchergebnisse auf der Flyoutseite für die ausgewählte Suche angezeigt.

Schätzung der Ergebnisse, die auf der Flyoutseite für die Suche angezeigt werden.

Dies ist die gleiche Schätzung der Gesamtgröße und Anzahl der Elemente, die im eDiscovery-Exporttool angezeigt wird, wenn Sie Ergebnisse auf einen lokalen Computer exportieren, und im Bericht "Zusammenfassung exportieren", der mit den Suchergebnissen heruntergeladen wird.

Geschätzte Ergebnisse im eDiscovery-Exporttool

Geschätzte Ergebnisse im eDiscovery-Exporttool.

Geschätzte Ergebnisse im Bericht "Exportzusammenfassung"

Geschätzte Suchergebnisse sind im Bericht Exportzusammenfassung enthalten.

Wie Sie jedoch im vorherigen Screenshot des Berichts Exportzusammenfassung feststellen werden, unterscheiden sich größe und Anzahl der tatsächlich heruntergeladenen Suchergebnisse von der Größe und Anzahl der geschätzten Suchergebnisse.

Unterschied zwischen geschätzten und heruntergeladenen Suchergebnissen.

Dies sind einige Gründe für diese Unterschiede:

  • Die Art und Weise, wie Die Ergebnisse geschätzt werden. Eine Schätzung der Suchergebnisse ist genau das, eine Schätzung (und nicht eine tatsächliche Anzahl) der Elemente, die die Suchabfragekriterien erfüllen. Um die Schätzung der Exchange-Elemente zu kompilieren, wird eine Liste der Nachrichten-IDs, die die Suchkriterien erfüllen, von der Exchange-Datenbank durch das von Ihnen verwendete eDiscovery-Tool angefordert. Wenn Sie jedoch die Suchergebnisse exportieren, wird die Suche erneut ausgeführt, und die tatsächlichen Nachrichten werden aus der Exchange-Datenbank abgerufen. Diese Unterschiede können also darauf zurückzuführen sein, wie die geschätzte Anzahl von Elementen und die tatsächliche Anzahl von Elementen bestimmt werden.

  • Änderungen, die zwischen der Schätzung und dem Export von Suchergebnissen auftreten. Wenn Sie Suchergebnisse exportieren, wird die Suche neu gestartet, um die neuesten Elemente im Suchindex zu erfassen, die den Suchkriterien entsprechen. Es ist möglich, dass zusätzliche Elemente erstellt, gesendet oder empfangen wurden, die die Suchkriterien in der Zeit zwischen dem Sammeln der geschätzten Suchergebnisse und dem Export der Suchergebnisse erfüllen. Es ist auch möglich, dass Elemente, die sich im Suchindex befanden, als die Suchergebnisse geschätzt wurden, nicht mehr vorhanden sind, da sie vor dem Exportieren der Suchergebnisse aus dem Inhaltsspeicherort gelöscht wurden. Eine Möglichkeit, dieses Problem zu beheben, besteht darin, einen Datumsbereich für eine eDiscovery-Suche anzugeben. Eine andere Möglichkeit besteht darin, inhaltsbezogene Speicherorte zu speichern, damit Elemente erhalten bleiben und nicht gelöscht werden können.

    Hier sind weitere Probleme, die zu Unterschieden zwischen geschätzten und exportierten Suchergebnissen führen können:

    • Bei Verwendung einer Datumsabfrage wird die Anzahl der Elemente erhöht. Dies wird in der Regel durch die folgenden zwei Dinge verursacht:
      • Halten Sie die Versionsverwaltung in SharePoint fest. Wenn ein Dokument aus einer Website mit aktivierter Archivierung und Dokumentversionsverwaltung gelöscht wird, bleiben alle Versionen des gelöschten Dokuments erhalten.
      • Kalenderelemente. Nachrichten annehmen und ablehnen und besprechungsserien werden automatisch neue Elemente im Hintergrund mit alten Datumsangaben erstellt.
    • Bei Haltebereichen kann es Vorkommen geben, in denen dasselbe Element im primären Postfach eines Benutzers und im Archivpostfach beibehalten wird. Dies kann passieren, wenn ein Benutzer ein Element manuell in sein Archiv verschiebt.
    • Obwohl es selten ist, kann die Wartung integrierter Kalenderelemente (die vom Benutzer nicht bearbeitet werden können, aber in vielen Suchergebnissen enthalten sind) von Zeit zu Zeit entfernt werden, selbst wenn ein Haltepunkt angewendet wird. Dieses regelmäßige Entfernen von Kalenderelementen führt zu weniger Elementen, die exportiert werden.

  • Nicht indizierte Elemente. Elemente, die für die Suche nicht indiziert sind, können Unterschiede zwischen geschätzten und tatsächlichen Suchergebnissen verursachen. Sie können nicht indizierte Elemente einschließen, wenn Sie die Suchergebnisse exportieren. Wenn Sie beim Exportieren von Suchergebnissen nicht indizierte Elemente einschließen, werden möglicherweise weitere Elemente exportiert. Dies führt zu einem Unterschied zwischen den geschätzten und exportierten Suchergebnissen.

    Wenn Sie das Tool für die Inhaltssuche verwenden, haben Sie die Möglichkeit, nicht indizierte Elemente einzuschließen, wenn Sie Suchergebnisse exportieren. Die Anzahl der von der Suche zurückgegebenen nicht indizierten Elemente wird zusammen mit den anderen geschätzten Suchergebnissen auf der Flyoutseite aufgeführt. Alle nicht indizierten Elemente werden auch in die Gesamtgröße der geschätzten Suchergebnisse einbezogen. Beim Exportieren von Suchergebnissen haben Sie die Möglichkeit, nicht indizierte Elemente einzuschließen oder nicht einzuschließen. Wie Sie diese Optionen konfigurieren, kann zu Unterschieden zwischen den geschätzten und den tatsächlichen Suchergebnissen führen, die heruntergeladen werden.

  • Exportieren der Ergebnisse einer Inhaltssuche, die alle Inhaltsspeicherorte enthält. Wenn die Suche, aus der Sie Ergebnisse exportieren, eine Suche nach allen Inhaltsspeicherorten in Ihrem organization war, werden nur die nicht indizierten Elemente von Inhaltsspeicherorten exportiert, die Elemente enthalten, die den Suchkriterien entsprechen. In other words, if no search results are found in a mailbox or site, then any unindexed items in that mailbox or site won't be exported. Nicht indizierte Elemente aus allen Inhaltsspeicherorten (auch solche, die keine Elemente enthalten, die der Suchabfrage entsprechen) werden jedoch in die geschätzten Suchergebnisse einbezogen.

    Wenn die Suche, die Sie aus bestimmten Inhaltsspeicherorten exportieren, Ergebnisse enthält, werden nicht indizierte Elemente (die nicht durch die Suchkriterien ausgeschlossen werden) aus allen in der Suche angegebenen Inhaltsspeicherorten exportiert. In diesem Fall sollten die geschätzte Anzahl der nicht indizierten Elemente und die Anzahl der nicht indizierten Elemente, die exportiert werden, identisch sein.

    Der Grund dafür, dass nicht indizierte Elemente nicht von allen Speicherorten im organization exportiert werden, liegt darin, dass dadurch die Wahrscheinlichkeit von Exportfehlern erhöht und die Zeit für das Exportieren und Herunterladen der Suchergebnisse erhöht werden kann.

  • Nicht indizierte Elemente in SharePoint und OneDrive sind nicht in den Suchschätzungen enthalten. Nicht indizierte Elemente von SharePoint-Websites und OneDrive for Business-Konten sind nicht in den geschätzten Suchergebnissen enthalten. Dies liegt daran, dass der SharePoint-Index keine Daten für nicht indizierte Elemente enthält. Nur nicht indizierte Elemente aus Postfächern sind in den Suchschätzungen enthalten. Wenn Sie jedoch nicht indizierte Elemente beim Exportieren von Suchergebnissen einschließen, werden nicht indizierte Elemente in SharePoint und OneDrive eingeschlossen, wodurch die Anzahl der tatsächlich exportierten Elemente erhöht wird. Dies führt zu Unterschieden zwischen den geschätzten Ergebnissen (die nicht indizierte Elemente auf SharePoint- und OneDrive-Websites nicht enthalten) und den tatsächlich heruntergeladenen Elementen. Die Regel zum Exportieren von nicht indizierten Elementen nur aus Inhaltsspeicherorten, die Elemente enthalten, die den Suchkriterien entsprechen, gilt in dieser Situation weiterhin.

  • Dokumentversionen in SharePoint und OneDrive. Beim Durchsuchen von SharePoint-Websites und OneDrive-Konten sind mehrere Versionen eines Dokuments nicht in der Anzahl der geschätzten Suchergebnisse enthalten. Sie haben jedoch die Möglichkeit, alle Dokumentversionen einzubeziehen, wenn Sie die Suchergebnisse exportieren. Wenn Sie Dokumentversionen beim Exportieren von Suchergebnissen einbeziehen, wird die tatsächliche Anzahl (und Gesamtgröße) der exportierten Elemente erhöht.

  • SharePoint-Ordner. Wenn Ordner in SharePoint mit einer Suchabfrage übereinstimmen, z. B. nach Datum suchen, enthält die Suchschätzung eine Anzahl dieser Ordner mit dem Datumsbereich der letzten Änderung (aber nicht die Elemente in diesen Ordnern). Wenn Sie die Suchergebnisse exportieren, werden die Elemente im Ordner exportiert, aber der eigentliche Ordner wird nicht exportiert. Das Ergebnis ist, dass die Anzahl der exportierten Elemente größer ist als die Anzahl der geschätzten Suchergebnisse. Wenn ein Ordner leer ist, wird die Anzahl der tatsächlich exportierten Suchergebnisse um ein Element reduziert, da der tatsächliche Ordner nicht exportiert wird.

    Hinweis

    Beim Ausführen einer abfragebasierten Suche können Sie SharePoint-Ordner ausschließen, indem Sie der Abfrage die folgende Bedingung hinzufügen: NOT(ContentType:folder).

  • SharePoint-Listen. Wenn der Name einer SharePoint-Liste mit einer Suchabfrage übereinstimmt, enthält die Suchschätzung die Anzahl aller Elemente in der Liste. Wenn Sie die Suchergebnisse exportieren, wird die Liste (und die Listenelemente) als einzelne CSV-Datei exportiert. Dadurch wird die tatsächliche Anzahl der tatsächlich exportierten Elemente reduziert. Wenn die Liste Anlagen enthält, werden die Anlagen als separate Dokumente exportiert, wodurch auch die Anzahl der exportierten Elemente erhöht wird.

    Hinweis

    Beim Ausführen einer abfragebasierten Suche können Sie SharePoint-Listen ausschließen, indem Sie der Abfrage die folgende Bedingung hinzufügen: NOT(ContentType:list).

  • Rohdateiformate im Vergleich zu exportierten Dateiformaten. Bei Exchange-Elementen wird die geschätzte Größe der Suchergebnisse mithilfe der unformatierten Exchange-Nachrichtengrößen berechnet. E-Mail-Nachrichten werden jedoch in eine PST-Datei oder als einzelne Nachrichten exportiert (die als EML-Dateien formatiert sind). Beide Exportoptionen verwenden ein anderes Dateiformat als unformatierte Exchange-Nachrichten, was dazu führt, dass sich die gesamt exportierte Dateigröße von der geschätzten Dateigröße unterscheidet.

  • Deduplizierung von Exchange-Elementen während des Exports. Bei Exchange-Elementen reduziert die Deduplizierung die Anzahl der exportierten Elemente. Sie haben die Möglichkeit, das Duplizieren der Suchergebnisse zu deaktivieren, wenn Sie sie exportieren. Bei Exchange-Nachrichten bedeutet dies, dass nur ein einzelner instance einer Nachricht exportiert wird, obwohl diese Nachricht möglicherweise in mehreren Postfächern gefunden wird. Die geschätzten Suchergebnisse umfassen jede instance einer Nachricht. Wenn Sie also beim Exportieren von Suchergebnissen die Deduplizierungsoption auswählen, ist die tatsächliche Anzahl der exportierten Elemente möglicherweise erheblich kleiner als die geschätzte Anzahl von Elementen.

Der Suchergebnissebericht (Results.csv Datei) enthält einen Eintrag für jede doppelte Nachricht und identifiziert das Quellpostfach, in dem sich eine doppelte Nachricht befindet. Auf diese Weise können Sie alle Postfächer identifizieren, die eine doppelte Nachricht enthalten.

Hinweis

Wenn Sie beim Exportieren von Suchergebnissen oder einfach nur beim Herunterladen der Berichte die Option Elemente einschließen, die verschlüsselt sind oder ein unbekanntes Format aufweisen , nicht auswählen, werden die Indexfehlerberichte zwar heruntergeladen, enthalten aber keine Einträge. Dies bedeutet nicht, dass keine Indizierungsfehler vorliegen. Dies bedeutet nur, dass nicht indizierte Elemente nicht in den Export einbezogen wurden.