Freigeben über

Erstellen einer Suche nach einem Fall in eDiscovery

Sie können die Suche in eDiscovery verwenden, um direkte Inhalte wie E-Mails, Dokumente und Chatunterhaltungen in Ihrem organization zu finden, die für einen Fall relevant sind. Verwenden Sie die Suche, um Inhalte in diesen cloudbasierten Microsoft 365-Datenquellen zu finden:

  • Exchange Online-Postfächer
  • SharePoint-Websites
  • OneDrive-Konten
  • Microsoft Teams
  • Microsoft 365-Gruppen
  • Viva Engage

Sie können verschiedene Suchvorgänge erstellen und ausführen, die dem Fall zugeordnet sind. Sie verwenden Bedingungen (z. B. Schlüsselwörter), um Suchabfragen zu erstellen, die Suchergebnisse mit den Daten zurückgeben, die wahrscheinlich für den Fall relevant sind. Sie können auch folgende Aktionen ausführen:

  • Zeigen Sie Suchstatistiken an, die Ihnen helfen können, eine Suchabfrage zu verfeinern, um die Ergebnisse einzugrenzen.
  • Anzeigen einer Vorschau der Suchergebnisse, um schnell zu überprüfen, ob die relevanten Daten gefunden werden.
  • Überarbeiten einer Abfrage, und die Suche erneut ausführen.

Nachdem Sie nach Daten gesucht und gefunden haben, die für Ihre Untersuchung relevant sind, können Sie die Ergebnisse zur weiteren Untersuchung an einen Überprüfungssatz senden oder zur Überprüfung durch Personen außerhalb des Untersuchungsteams exportieren.

Hinweis

Für Organisationen, die über Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) verfügen, um die Datenschutzrechte von Personen innerhalb der Europäischen Union (EU) zu schützen und zu ermöglichen, können Sie auch Untersuchungen als Reaktion auf anträge betroffener Personen (DSRs) verwalten, die von einer Person in Ihrem organization übermittelt wurden. Das Falltool für die Benutzerdatensuche wurde eingestellt, und seine Funktionalität wurde mit eDiscovery zusammengeführt. Sie können jetzt die Suche verwenden, um Inhalte zu finden, die Anträge betroffener Personen unterstützen, die von eDiscovery-Suchvorgängen unterstützt werden.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Suchtipps

  • Die Zeitzone für alle Suchvorgänge ist Coordinated Universal Time (UTC). Das Ändern von Zeitzonen für Ihre organization wird derzeit nicht unterstützt. Anzeigeeinstellungen für Zeitzonen in der Suchansicht gelten nur für Werte in der Datenspalte und wirken sich nicht auf Zeitstempel für gesammelte Elemente aus.

  • Bei Schlüsselwortsuchen wird die Groß-/Kleinschreibung nicht beachtet. Beispielsweise geben katze und KATZE dieselben Ergebnisse zurück.

  • Die booleschen Operatoren AND, OR, NOT und NEAR müssen Großbuchstaben enthalten.

    Wichtig

    Diese Operatoren müssen im KeyQL-Bedingungsfeld verwendet werden. Die Verwendung dieser Operatoren im Feld Schlüsselwortbedingung wird nicht unterstützt, und diese Operatoren werden als Literalschlüsselwörter behandelt.

  • Die Verwendung von Anführungszeichen stoppt Wildcards und alle Vorgänge innerhalb der Anführungszeichen.

  • Ein Leerzeichen zwischen zwei Schlüsselwörtern oder zwei property:value Ausdrücken entspricht der Verwendung von OR. Gibt beispielsweise alle von Sara Davis gesendeten Nachrichten oder Nachrichten zurück, from:"Sara Davis" subject:reorganization die das Wort Reorganisation in der Betreffzeile enthalten. Die Verwendung einer Mischung aus Leerzeichen und OR-Bedingungen in einer einzelnen Abfrage kann jedoch zu unerwarteten Ergebnissen führen. Es wird empfohlen, entweder Leerzeichen oder OR in einer einzelnen Abfrage zu verwenden.

  • Verwenden Sie eine Syntax, die dem property:value Format entspricht. Bei Werten wird die Groß-/Kleinschreibung nicht beachtet, und nach dem Operator darf kein Leerzeichen vorhanden sein. Wenn ein Leerzeichen vorhanden ist, ist der beabsichtigte Wert eine Volltextsuche. Sucht beispielsweise to: pilarp nach "pilarp" als Schlüsselwort (keyword) und nicht nach Nachrichten, die an pilarp gesendet werden.

  • Wenn Sie nach einer Empfängereigenschaft wie An, Von, Cc oder Empfänger suchen, können Sie eine SMTP-Adresse, einen Alias oder einen Anzeigenamen verwenden, um einen Empfänger anzugeben. Sie können beispielsweise , pilarp oder "Pilar Pinilla" verwenden pilarp@contoso.com.

  • Sie können nur Präfixsuchen verwenden. z. B. cat* oder set*. Suffixsuchen (*cat), Infixsuchen (c*t) und Teilzeichenfolgensuchen (*cat*) werden nicht unterstützt.

  • Wenn Sie nach einer Eigenschaft suchen, verwenden Sie doppelte Anführungszeichen (" "), wenn der Suchwert aus mehreren Wörtern besteht. Beispielsweise gibt Nachrichten zurück, subject:budget Q1 die ein Budget in der Betreffzeile enthalten und Q1 an einer beliebigen Stelle in der Nachricht oder in einer der Nachrichteneigenschaften enthalten. Die Verwendung von subject:"budget Q1" gibt alle Nachrichten zurück, die das Budget Q1 an einer beliebigen Stelle in der Betreffzeile enthalten.

  • Wenn Sie Inhalte mit einem bestimmten Eigenschaftswert in den Suchergebnissen ausschließen möchten, fügen Sie ein Minuszeichen (-) vor dem Namen der Eigenschaft hinzu. Schließt beispielsweise -from:"Sara Davis" alle von Sara Davis gesendeten Nachrichten aus.

  • Sie können Elemente basierend auf dem Nachrichtentyp exportieren. Verwenden Sie beispielsweise die Syntax kind:im, um Skype-Unterhaltungen und -Chats in Microsoft Teams zu exportieren. Um nur E-Mail-Nachrichten zurückzugeben, verwenden kind:emailSie . Verwenden Sie kind:microsoftteams, um Chats, Besprechungen und Anrufe in Microsoft Teams zurückzugeben.

  • Beim Durchsuchen von Websites müssen Sie die nachgestellte / am Ende der URL hinzufügen, wenn Sie die path -Eigenschaft verwenden, um nur Elemente in einer angegebenen Website zurückzugeben. Wenn Sie die nachgestellten /nicht einschließen, werden auch Elemente von einer Website mit einem ähnlichen Pfadnamen zurückgegeben. Wenn Sie z. B. verwenden path:sites/HelloWorld , werden auch Elemente von Websites mit dem Namen sites/HelloWorld_East oder sites/HelloWorld_West zurückgegeben. Um Elemente nur von der HelloWorld-Website zurückzugeben, müssen Sie verwenden path:sites/HelloWorld/.

  • Die Abfragesprache Land/Region muss in Ihrer Suchabfrage definiert werden, bevor Inhalte gesammelt werden.

  • Beim Durchsuchen der Ordner Gesendet nach E-Mails wird die Verwendung der SMTP-Adresse für den Absender nicht unterstützt. Elemente im Ordner Gesendet enthalten nur Anzeigenamen.

Erstellen einer Suchabfrage

Tipp

Bevorzugen Sie einen interaktiven Konfigurationsleitfaden? Sehen Sie sich den Leitfaden zum Entwerfen einer Suche an.

Nachdem Sie einen neuen Fall erstellt haben, werden Sie automatisch zur Registerkarte Suchen in dem Fall weitergeleitet, und Sie sind bereit, eine Suche nach dem Fall zu erstellen. Sie können auch eine neue Suche im Fall Inhaltssuche in Ihrem organization erstellen. Mithilfe von Suchvorgängen können Sie die Elemente finden, die Sie für den Fall sammeln möchten.

  1. Wählen Sie Suche in einem Fall erstellen oder Fall der Inhaltssuche aus. Wenn es sich um einen neuen Fall ohne vorherige Suchvorgänge handelt, können Sie auch im bereich Standard unter Suchen nach relevanten Daten starten die Option Suche erstellen auswählen.

  2. Füllen Sie auf der Seite Erste Schritte eingeben die folgenden Felder aus:

    • Suchname: Geben Sie der Suche einen Namen (erforderlich). Der Suchname muss in Ihrem organization
    • Suchbeschreibung: Fügen Sie eine optionale Beschreibung hinzu, um anderen Personen zu helfen, diese Suche zu verstehen.

  3. Wählen Sie Erstellen aus, um die neue Suche zu erstellen und Ihre Abfragen zu starten, um relevante Daten für den Fall zu finden.

  4. Fügen Sie auf der Registerkarte Abfrage in der Suche Datenquellen für Ihre Suche hinzu. Informationen zum Hinzufügen von Datenquellen zu einer Suchabfrage finden Sie unter Hinzufügen von Datenquellen zu Fällen, Suchvorgängen und Haltebereichen .

  5. Wählen Sie Verwalten aus, um das Postfach oder die Website zu aktualisieren, das den ausgewählten Quellen zugeordnet ist. Wählen Sie andernfalls Speichern und schließen aus.

  6. Überprüfen Sie Ihre Auswahl, und bestätigen Sie die enthaltenen Ressourcen für jede Datenquelle. Klicken Sie auf Speichern. Sie haben nun den Bereich für die Datenquellen angegeben, die von Ihren Suchabfragen untersucht werden.

  7. Wählen Sie im Abschnitt Datenquellen das Menü mit den Auslassungspunkten für eine beliebige Datenquelle für Verwaltungsoptionen für die Datenquelle aus.

    Wählen Sie für Verwaltungsoptionen eine der folgenden Optionen aus:

    • Datenquelle verwalten: Verwalten Sie Datenquellen für den ausgewählten Benutzer oder die ausgewählte Website.
    • Deaktivieren von Postfächern: Deaktivieren Sie Postfächer für den ausgewählten Benutzer oder die ausgewählte Website. Wählen Sie diese Option erneut aus, um das Postfach für den Benutzer oder die Website zu aktivieren.
    • Websites deaktivieren: Deaktivieren Sie die Website für den ausgewählten Benutzer oder die ausgewählte Website. Wählen Sie diese Option erneut aus, um die Website für den Benutzer oder die Website zu aktivieren.
    • Häufige Mitarbeiter: Wählen Sie zugeordnete Postfächer und Websites für Benutzer aus, die häufig mit dem ausgewählten Benutzer zusammenarbeiten.
    • Manager: Wählen Sie zugeordnete Postfächer und Websites des Vorgesetzten des Benutzers aus.
    • Direkte Berichte: Wählen Sie zugeordnete Postfächer und Websites der direkten Berichte des Benutzers aus.
    • Gruppen, die der Benutzer besitzt: Wählen Sie zugeordnete Postfächer und Websites von Gruppen aus, deren Besitzer der Benutzer ist.
    • Gruppen, in denen sich der Benutzer befindet: Wählen Sie zugeordnete Postfächer und Websites von Gruppen aus, in denen der Benutzer Mitglied ist.

    Wählen Sie für Gruppenquellen eine der folgenden Optionen aus:

    • Mitglieder: Wählen Sie zugeordnete Postfächer und Websites von Personen aus, die Mitglieder der Gruppe sind.

  8. Verwenden Sie die Datenquellen-Befehlsleistensteuerelemente zum Hinzufügen, Aktualisieren, Synchronisieren und Suchen nach anderen Datenquellen für die Suche (je nach Bedarf).

    • Suchen und hinzufügen: Wählen Sie das Symbol + aus, um Datenquellen hinzuzufügen.
    • Verwalten: Wählen Sie das Stiftsymbol aus, um zugewiesene Datenquellen zu verwalten.
    • Synchronisieren: Wählen Sie das Synchronisierungssymbol aus, um Datenquellen zu synchronisieren und die Datenquellen mit den neuesten Datenquellen in Ihrem organization zu aktualisieren.
    • Suche: Wählen Sie das Suchsymbol aus, um die Datenquellen zu durchsuchen, die derzeit in der Suchabfrage enthalten sind.

  9. Um die Parameter Ihrer Suchabfrage zu definieren, können Sie auf der Registerkarte Abfrage eine der folgenden Optionen auswählen:

    • Bedingungs-Generator: Die Bedingungs-Generator-Option in der Suche bietet eine benutzerfreundliche Suchoberfläche, wenn Sie Suchabfragen in eDiscovery erstellen. Verwenden Sie Schlüsselwörter oder benutzerdefinierte Bedingungen, um den Umfang Ihrer Suchabfragen zu fokussieren. Darüber hinaus können Sie die KQL-Abfragebedingungsoption (Keyword Query Language) in der Suche verwenden, mit der Sie schnell lange, komplexe Abfragen direkt in den Editor einfügen können. Außerdem können Sie Suchabfragen von Grund auf neu erstellen, potenzielle Fehler identifizieren und Hinweise zum Beheben von Problemen anzeigen.

      Sie können auch schnell KeyQL-Abfragen für Ihre Suche erstellen, indem Sie Microsoft Security Copilot verwenden. Eine Anleitung finden Sie im folgenden Abschnitt in diesem Artikel.

    • Suche nach Datei (Vorschau):Laden Sie eine oder mehrere Dateien hoch, um verwandte oder ähnliche Inhalte für einen bestimmten Fall zu finden. Verwenden Sie die CSV-Datei der Überwachungsaktivität, um verwandte Nachrichten und Dateien für einen bestimmten Benutzer innerhalb eines bestimmten Zeitrahmens zu finden. Oder stellen Sie Beispielbeweis bereit, um ähnliche Inhalte zu finden. Jede Datei ist auf eine maximale Dateigröße von 10 MB beschränkt, und Dateien können CSV- oder TXT-Dateien sein. Abfragebuild- und KQL-Optionen sind bei der Suche nach Datei deaktiviert.

  10. Wählen Sie Abfrage ausführen aus. Wenn Sie die definierten Abfrageparameter speichern und die Abfrage später ausführen möchten, wählen Sie Als Entwurf speichern aus.

Suche nach Datei (Vorschau)

Hinweis

Dieses Feature befindet sich in der Frühphase der Vorschauphase. Benutzer sollten die Ergebnisse im Überprüfungssatz oder Export auf Vollständigkeit und Genauigkeit überprüfen. Während des Vorschauzeitraums behalten wir uns das Recht vor, Änderungen vorzunehmen oder das Feature aufgrund von Feedback einzustellen.

Dieses Feature unterstützt eDiscovery-Ermittler auf zwei Arten:

Suchen nach einer ähnlichen Datei

Am heutigen digitalen Arbeitsplatz werden wichtige Dokumente häufig kopiert, geändert und verschoben, um an mehreren Speicherorten gespeichert zu werden. Wenn Ermittler über ein Beispieldokument verfügen und ähnliche Inhalte finden möchten, analysiert diese Funktion die hochgeladene Beispielbeweisdatei, um die eindeutigsten Wörter zu extrahieren und automatisch eine Abfrage zu generieren, um konzeptionell ähnliche Dateien zu finden. Dies ist besonders nützlich, um Variationen von spezialisierten oder eindeutigen Dokumenten zu identifizieren, bei denen die manuelle Abfrageformulierung eine Herausforderung darstellen würde.

Suchen nach Überwachungsprotokoll

Für Untersuchungen im Zusammenhang mit Überwachungsprotokollen akzeptiert das Feature die CSV-Datei des Eingabeüberwachungsprotokolls. Es verwendet die Überwachungsprotokolleinträge (z. B. gesendete Nachricht oder Dokumentzugriff), um relevante Dateien im Suchbereich zu finden, und verwendet Informationen im Überwachungsprotokoll, z. B. Bezeichner oder Speicherort, um übereinstimmende Dokumente oder Nachrichten zu finden. Diese Funktion ermöglicht es Ermittlern, Überwachungsaktivitäten mit relevanten Inhalten im Mandanten zu verknüpfen.

In beiden Szenarien werden beim Hinzufügen von Elementen zum Prüfsatz die übereinstimmenden Elemente zur vereinfachung der Überprüfung unter der Eingabebeweisdatei oder dem Überwachungsprotokoll gruppiert.

Erstellen einer KeyQL-Suchabfrage mit Microsoft Copilot (Vorschau)

Mit der KeyQL-Generatoroption "Natural Language Query (Vorschau) in der Suche können Sie natürliche Sprache und Microsoft Security Copilot verwenden, um schnell eine KeyQL-Anweisung (Keyword Query Language) zu generieren. Verwenden Sie den Generator, um komplexe Abfragen mit zusätzlichen Funktionen wie AND, OR und Gruppierung von Bedingungen zu erstellen, während Sie Eingabeaufforderungen in natürlicher Sprache verwenden.

Mit diesem Feature können Sie Abfragen mithilfe vordefinierter Eingabeaufforderungen für Beispielszenarien einfacher erstellen und benutzerdefinierte Eingabeaufforderungen für genauere Suchabfragen verfeinern und verbessern. Sie können auch Eingabeaufforderungsvorschläge als Ausgangspunkt verwenden, um KeyQL-Abfragen für gängige oder benutzerdefinierte Suchszenarien zu erstellen und zu verfeinern.

Führen Sie die folgenden Schritte aus, um eine Suchabfrage mit Copilot zu erstellen:

  1. Nachdem Sie Datenquellen für Ihre Abfrage ausgewählt haben, wählen Sie Abfrage mit Copilot entwerfen aus.
  2. Wählen Sie im Eingabeaufforderungsbereich Natürliche Sprache eine der folgenden Optionen aus:
    • Geben Sie Ihre Suchabfragefrage ein. Sie können ggf. Benutzer-, Datenquellen- und andere Inhaltsdetails einschließen.
    • Wählen Sie Eingabeaufforderungen anzeigen aus, um einen der folgenden Eingabeaufforderungsvorschläge auszuwählen:
      • Suchen aller E-Mails mit den Wörtern "Budget" und "Finanzen" und "Anlagen"
      • Durchsuchen aller Chats im Januar 2020, die das Wort "Geschäftsjahr" enthalten
      • Suchen Sie nach Dateien vom Typ .docx, die die Wörter vertraulich und budget enthalten.
  3. Überprüfen Sie die Eingabeaufforderung in natürlicher Sprache. Um die Eingabeaufforderung mit Copilot zu verfeinern, wählen Sie Verfeinern aus.
  4. Wenn die Eingabeaufforderung abgeschlossen ist, wählen Sie Schlüsselql generieren aus.
  5. Überprüfen Sie die KeyQL-Abfrage im Ergebnisbereich Schlüsselwortabfragesprache (KeyQL). Wenn Sie die KeyQL-Abfrageergebnisse verfeinern müssen, können Sie die Eingabeaufforderung im Eingabeaufforderungsbereich in natürlicher Sprache aktualisieren und erneut KeyQL generieren auswählen. 1. Wenn die KeyQL-Ergebnisse abgeschlossen sind, wählen Sie KeyQL kopieren aus.
  6. Fügen Sie die KeyQL-Ergebnisse in das Abfragefeld auf der Registerkarte Schlüsselwortabfragesprache (KeyQL) ein. Sie können Eine Abfrage mit Copilot entwerfen schließen.
  7. Wählen Sie Abfrage ausführen aus. Wenn Sie die definierten Abfrageparameter speichern und die Abfrage später ausführen möchten, wählen Sie Als Entwurf speichern aus.

Ausführen einer Suchabfrage

Nachdem Sie eine Suchabfrage manuell oder mithilfe von Security Copilot erstellt haben, können Sie die Abfrage ausführen und Suchergebnisse generieren.

Führen Sie zum Ausführen einer Suchabfrage die folgenden Schritte aus:

  1. Wechseln Sie zum Microsoft Purview-Portal , und melden Sie sich mit den Anmeldeinformationen für ein Benutzerkonto an, dem eDiscovery-Berechtigungen zugewiesen sind.

  2. Wählen Sie die eDiscovery-Lösung Karte und dann im linken Navigationsbereich Fälle (Vorschau) aus.

  3. Wählen Sie einen Fall aus. Wählen Sie auf der Registerkarte Suchen eine gespeicherte Suche aus.

  4. Wählen Sie Abfrage ausführen aus.

  5. Nachdem Sie Abfrage ausführen ausgewählt haben, wird der Flyoutbereich Suchergebnisse auswählen angezeigt. Wählen Sie die Ansicht aus, die Sie für die Abfrage generieren möchten, und deren Einstellungen. Sie können die Ansicht Statistiken oder Beispiel auswählen:

    • Statistiken: Diese Ansicht generiert eine Zusammenfassung der gesammelten Datenschätzungen, die nach den wichtigsten Indikatoren angeordnet sind. Wählen Sie eine oder mehrere der folgenden Optionen aus:

    • Kategorien einschließen: Verfeinern Sie Ihre Ansicht, um Personen, Typen vertraulicher Informationen, Elementtypen und Fehler einzuschließen.

    • Bericht "Abfrageschlüsselwörter einschließen": Bewerten sie Schlüsselwort (keyword) Relevanz für verschiedene Teile Ihrer Suchabfrage/.

    • Untersuchen von teilweise indizierten Elementen: Teilweise indizierte Elemente entfallen in der Regel auf etwa ein Prozent des Inhalts in Datenquellen nach Anzahl. Wenn Sie diese Option (und nur diese Option) auswählen, werden Zusammenfassungsinformationen (Elementanzahl und Speicherort) zu teilweise indizierten Elementen generiert, die in den ausgewählten Datenquellen für die Suche enthalten sind. Es werden keine teilweise indizierten Elemente neu indiziert oder verarbeitet. Um teilweise indizierte Elemente in bereichsbezogenen Datenquellen weiter zu verarbeiten, sollten Sie die folgenden erweiterten Indizierungsoptionen in Betracht ziehen:

      • Teilweise indizierte Elemente an Speicherorten ohne Suchtreffer ausschließen: Wenn Sie diese zusätzliche Option auswählen, wird der Bereich der teilweise indizierten Elemente (oder der erweiterten Indizierung, wenn diese Optionen ausgewählt sind) reduziert, indem die Aufnahme teilweise indizierte Elemente nur aus den Datenquellen beschränkt wird, die für Ihre Suche relevante Elemente enthalten. Dies schließt teilweise indizierte Elemente aus Datenquellen aus, die keine für Ihre Suche relevanten Elemente enthalten.

        Sie haben beispielsweise mehrere Postfächer, SharePoint-Websites und OneDrive-Websites als Datenquellen für Ihre Suche ausgewählt. Wenn die Suche ausgeführt wird, verfügen nur einige der Postfächer und Websites über indizierte Elemente, die für die Suchbedingungen relevant sind. Die restlichen Postfächer und Websites enthalten keine nativ indizierten Elemente, die für Ihre Suchbedingungen relevant sind. Wenn Sie diese Option ausgewählt haben, werden die teilweise indizierten Elemente in den Postfächern und Websites, die nativ indizierte Elemente enthalten, die für die Suche relevant sind, in die Suchergebnisse aufgenommen. Die teilweise indizierten Elemente in den Postfächern und Websites, die keine nativ indizierten Elemente enthalten, die für die Suche relevant sind, werden ignoriert und nicht in den Suchergebnissen gemeldet.

      • Ausführen der erweiterten Indizierung für teilweise indizierte Elemente: Der Bereich, in dem die erweiterte Indizierung ausgeführt wird, hängt davon ab, ob Sie die Option Teilweise indizierte Elemente an Speicherorten ohne Suchtreffer ausschließen ausgewählt haben. Der erweiterte Indizierungsprozess führt eine Statistische Stichprobe von teilweise indizierten Elementen im Bereich aus und bestimmt, ob diese Elemente mit der Abfrage übereinstimmen oder nicht:

        • Ausgewählt mit der Option Teilweise indizierte Elemente an Speicherorten ohne Suchtreffer ausschließen : Dies gilt für teilweise indizierte Elemente nur für Datenquellen mit vollständig indizierten Elementen, die der Suchabfrage entsprechen. Diese Elemente werden erfasst, indiziert, und die elemente, die der Suchabfrage entsprechen, werden in Suchstatistiken angezeigt (sofern zutreffend).
        • Ohne die Option Teilweise indizierte Elemente an Speicherorten ohne Suchtreffer ausschließen ausgewählt: Dies gilt für alle teilweise indizierten Elemente in allen Datenquellen, die in der Suche enthalten sind. Alle Elemente werden stichprobeniert, indiziert, und die elemente, die der Suchabfrage entsprechen, werden in Suchstatistiken angezeigt (sofern zutreffend).

        Wichtig

        Dieses Feature ist für Fälle mit eingeschränktem Format nicht verfügbar.

      • Beispiel: Diese Ansicht generiert eine repräsentative Auswahl der vollständigen Suchergebnisse. Definieren Sie die Parameter für die folgenden Optionen:

        • Wählen Sie die Anzahl der pro Speicherort zu generierenden Beispielelemente aus: Wählen Sie entweder 1, 10 oder 100 aus.
        • Wählen Sie die Anzahl der Standorte aus, aus der Sie Beispiele abrufen möchten: Wählen Sie entweder 10, 1000, 1000 oder 10000 aus.

  6. Wählen Sie Abfrage ausführen aus, um die Abfrage sofort auszuführen.

Abhängig von den ausgewählten Abfrageansichtsoptionen werden Sie automatisch zur Registerkarte Statistik oder Beispiel weitergeleitet. Die Bewertung der Suchabfrage wird gestartet, und die verbleibende Zeit für die Verarbeitung der Abfrage wird berechnet. Weitere Informationen zum Auswerten und Optimieren Ihrer Suchergebnisse finden Sie unter Überprüfen und Auswerten von Suchergebnissen.

In einigen Szenarien kann es hilfreich sein, eine neue Suche basierend auf einer vorhandenen Suche zu erstellen. Dadurch werden die ursprünglichen Datenquellen und die Suche beibehalten, während Änderungen vorgenommen werden, um neue Suchstatistiken zu erhalten, ohne die ursprüngliche Suche zu ändern. Wenn Sie eine Duplikatsuche erstellen, werden alle Datenquellen und die Suche aus der ursprünglichen Suche in der neuen Suche beibehalten. Dadurch wird sichergestellt, dass die Integrität der ursprünglichen Suche erhalten bleibt und Sie neue Erkenntnisse erkunden können.

Führen Sie die folgenden Schritte aus, um eine neue Suche aus einer vorhandenen Suche zu erstellen:

  1. Wählen Sie einen Fall aus. Öffnen Sie auf der Registerkarte Suchen eine Suche.
  2. Wählen Sie Duplizieren.
  3. Im selben Fall wird automatisch eine neue Suche erstellt.

Der neue Suchname enthält den Quellsuchtitel mit dem Präfix Copy von und dem angefügten Zeitstempel. Wenn der Titel der Quellsuche z. B . Nach Budget-E-Mails suchen lautet, lautet der neue Suchtitel Kopie der Suche nach Budget-E-Mails + Zeitstempel. Um den neuen Suchtitel zu bearbeiten, wählen Sie das Bearbeitungssteuerelement neben dem Titeltext aus.

Erstellen einer neuen Suche aus einem vorhandenen Halteraum

In einigen Szenarien kann es hilfreich sein, eine neue Suche basierend auf einem vorhandenen Halteraum zu erstellen. Auf diese Weise können Sie die ursprünglichen Datenquellen und die Suche für den Halteraum verwenden, um eine neue Suche auszuführen. Wenn Sie eine Suche aus einem vorhandenen Halteraum erstellen, werden alle Datenquellen und die Suche aus dem Halteraum in der neuen Suche beibehalten.

Hinweis

Um eine Suche aus einem vorhandenen Halteraum zu erstellen, muss Benutzern die Rolle Kompatibilitätssuche zugewiesen sein. Informationen zum Hinzufügen von Benutzern zu einer Rollengruppe finden Sie unter Zuweisen von eDiscovery-Berechtigungen.

Führen Sie die folgenden Schritte aus, um eine neue Suche aus einem vorhandenen Halteraum zu erstellen:

  1. Wählen Sie einen Fall aus. Wählen Sie auf der Registerkarte Halterichtlinien eine Halterichtlinie aus, und öffnen Sie sie.
  2. Wählen Sie Suche erstellen aus.
  3. Eine neue Suche wird automatisch erstellt, und Sie werden automatisch zur neuen Suche weitergeleitet.

Der neue Suchname enthält den Namen der Quell-Aufbewahrungsrichtlinie mit dem Präfix Copy of dem Titel und dem Zeitstempel. Wenn z. B. der Titel der Richtlinie für den Quellspeicher halten lautet, um das Contoso-Projekt beizubehalten, lautet der neue Suchtitel Kopie des Haltepunkts, um das Contoso-Projekt + den Zeitstempel beizubehalten. Um den neuen Suchtitel zu bearbeiten, wählen Sie das Bearbeitungssteuerelement neben dem Titeltext aus.