Creación de una búsqueda In-Place eDiscovery en Exchange 2013
Se aplica a: Exchange Server 2013
Use eDiscovery local para buscar en todo el contenido del buzón, incluidos los elementos eliminados y las versiones originales de los elementos modificados para los usuarios colocados en suspensión local y suspensión por juicio.
¿Qué necesita saber antes de empezar?
Tiempo estimado para finalizar: 5 minutos
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el entrada "Exhibición de documentos electrónicos en contexto" en el tema Permisos de directivas de mensajería y conformidad.
Para crear búsquedas de eDiscovery, necesita una dirección SMTP en la organización donde vaya a crear las búsquedas.
El programa de instalación de Exchange 2013 crea un buzón de detección denominado Buzón de búsqueda de detección para copiar los resultados de la búsqueda. Puede crear buzones de detección adicionales. Para más información, vea Crear un buzón de correo de detección.
Al crear una búsqueda In-Place eDiscovery, los mensajes devueltos en los resultados de búsqueda no se copian automáticamente en un buzón de detección. Después de crear la búsqueda, puede usar el Centro de administración de Exchange (EAC) para realizar una estimación y obtener una vista previa de los resultados de la búsqueda, o bien copiarlos en un buzón de detección. Para más información, vea:
Para obtener información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este tema, vea Métodos abreviados de teclado para el Centro de administración de Exchange en Exchange 2013.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server.
Uso del EAC para crear una búsqueda In-Place eDiscovery
Tal y como se ha explicado anteriormente, para crear búsquedas de exhibición de documentos electrónicos hay que iniciar sesión en una cuenta de usuario que tenga una dirección SMTP en la organización.
Vaya a Administración de cumplimiento>eDiscovery local & suspensión.
Haga clic en Nuevo
En Exhibición de documentos electrónicos local & suspensión, en la página Nombre y descripción , escriba un nombre para la búsqueda, agregue una descripción opcional y, a continuación, haga clic en Siguiente.
En la página Buzones , seleccione los buzones que desea buscar. Puede buscar en todos los buzones o seleccionar buzones específicos para la búsqueda.
Importante
No puede usar la opción Buscar todos los buzones para colocar todos los buzones en espera. Para crear una Conservación local, seleccione Especificar buzones en los que buscar. Para obtener más información, consulte Crear o quitar una conservación local.
En la página Consulta de búsqueda, complete los campos siguientes:
Incluir todo el contenido del buzón de correo del usuario Seleccione esta opción para retener todo el contenido de los buzones seleccionados. Si selecciona esta opción, no puede especificar más criterios de búsqueda.
Filtros basados en criterios Seleccione esta opción para especificar los criterios de búsqueda, incluso palabras clave, fechas de inicio y finalización, direcciones de remitente y destinatario, y tipos de mensaje.
Nota:
Los campos De: y Para/CC/CCO: están conectados por un operador OR en la consulta de búsqueda que se crea al ejecutar la búsqueda. Esto significa que en los resultados de la búsqueda se incluyen todos los mensajes enviados o recibidos por cualquiera de los usuarios especificados (y que coinciden con los demás criterios de búsqueda). > Las fechas se conectan mediante un operador AND .
En la página Configuración de retención local , puede activar la casilla Colocar contenido que coincida con la consulta de búsqueda en los buzones seleccionados en espera y, a continuación, seleccionar una de las siguientes opciones para colocar elementos en In-Place Suspensión:
Retener indefinidamente Seleccione esta opción para retener indefinidamente los elementos devueltos. Los elementos en espera se conservarán hasta que quite el buzón de correo de la búsqueda o la búsqueda.
Especificar el número de días que se retendrán elementos con relación a su fecha de recepción Use esta opción para retener elementos durante un período específico. Por ejemplo, puede usar esta opción si su organización necesita que todos los mensajes se conserven durante un mínimo de siete años. Puede usar una Conservación local basada en tiempo con una directiva de retención para asegurarse de que los elementos se eliminen a los siete años.
Importante
Al colocar buzones o elementos en "Retención en contexto" por propósitos legales, normalmente se recomienda retener elementos de forma indefinida y eliminar la retención una vez completado el caso o la investigación.
Haga clic en Finalizar para guardar la búsqueda y devolver una estimación del tamaño y cantidad totales de elementos que la búsqueda arrojará en función del criterio especificado. Las estimaciones se muestran en el panel de detalles. Haga clic en Actualizar
Para actualizar la información mostrada en el panel de detalles.
Usar el Shell para crear una búsqueda In-Place eDiscovery
En este ejemplo se crea la búsqueda In-Place eDiscovery denominada Discovery-CaseId012 que busca elementos que contienen las palabras clave Contoso y ProjectA y que también cumplen los criterios siguientes:
Fecha de inicio: 1/1/2009
Fecha de finalización: 31/12/2011
Buzón de origen: DG-Finance
Buzón de destino: Buzón de búsqueda de detección
Tipos de mensaje: Email
Incluye elementos que no se pueden buscar en las estadísticas de búsqueda
Nivel de registro: Completa
Importante
Si no especifica parámetros de búsqueda adicionales al ejecutar una búsqueda In-Place eDiscovery, todos los elementos de los buzones de origen especificados se devuelven en los resultados. Si no especifica buzones para buscar, se buscarán todos los buzones de su organización de Exchange.
New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2009" -EndDate "12/31/2011" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full
Nota:
Al usar los parámetros StartDate y EndDate , debe usar el formato de fecha de mm/dd/aaaa, incluso si la configuración de la máquina local está configurada para usar un formato de fecha diferente, como dd/mm/aaaa. Por ejemplo, para buscar mensajes enviados entre el 1 de abril de 2013 y el 1 de julio de 2013, usaría 04/01/2013 y 07/01/2013 para las fechas de inicio y finalización.
En este ejemplo se crea una búsqueda de exhibición de documentos electrónicos local denominada HRCase090116 que busca mensajes de correo electrónico enviados por Alex Darrow a Sara Davis en 2015.
New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full
Después de usar el Shell para crear una búsqueda In-Place eDiscovery, debe iniciar la búsqueda mediante el cmdlet Start-MailboxSearch para copiar mensajes en el buzón de detección especificado en el parámetro TargetMailbox . Para más información, vea Copiar los resultados de la búsqueda de exhibición de documentos electrónicos en un buzón de correo de detección.
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-MailboxSearch.
Usar el EAC para obtener una estimación o vista previa de los resultados
Después de crear una búsqueda In-Place eDiscovery, puede usar el EAC para obtener una estimación y una vista previa de los resultados de la búsqueda. Si ha creado una nueva búsqueda mediante el cmdlet New-MailboxSearch , puede usar el Shell para iniciar la búsqueda y obtener una estimación de los resultados de la búsqueda. No se puede usar el Shell para obtener una vista previa de los mensajes devueltos en los resultados de la búsqueda.
Vaya a Administración de cumplimiento>eDiscovery local & suspensión.
En la vista de lista, seleccione el In-Place búsqueda de exhibición de documentos electrónicos y, a continuación, realice una de las siguientes acciones:
Haga clic en
>Calcule los resultados de la búsqueda para devolver una estimación del tamaño total y el número de elementos que devolverá la búsqueda en función de los criterios especificados. Si la selecciona, la búsqueda se reiniciará y se realizará una estimación.Las estimaciones de búsqueda se muestran en el panel de detalles. Haga clic en Actualizar
Para actualizar la información mostrada en el panel de detalles.
Haga clic en Vista previa de los resultados de búsqueda en el panel de detalles para obtener una vista previa de los resultados cuando se complete el cálculo de la búsqueda. Al seleccionar esta opción, se abre la ventana Vista previa de búsqueda de exhibición de documentos electrónicos. Se muestran todos los mensajes devueltos desde los buzones que se buscaron.
Nota:
Los buzones que se buscaron aparecen en el panel derecho de la ventana de vista previa de búsqueda de exhibición de documentos electrónicos . Para cada buzón de correo, también se muestra el número de elementos devueltos y el tamaño total de estos elementos. Todos los elementos encontrados pro la búsqueda se muestran en el panel derecho y se pueden ordenar por más reciente o más antiguo. Los elementos de cada buzón no se pueden mostrar en el panel derecho haciendo clic en un buzón en el panel izquierdo. Para ver los elementos devueltos de un buzón específico, puede copiar los resultados de la búsqueda y ver los elementos en el buzón de correo de detección.
Uso del shell para calcular los resultados de la búsqueda
Puede usar el modificador EstimateOnly para devolver solo obtener una estimación de los resultados de la búsqueda y no copiar los resultados en un buzón de detección. Se debe iniciar una búsqueda de solo estimación con el cmdlet Start-MailboxSearch. A continuación, puede recuperar los resultados de búsqueda estimados mediante el cmdlet Get-MailboxSearch.
Por ejemplo, ejecutaría los siguientes comandos para crear una nueva búsqueda de exhibición de documentos electrónicos y, a continuación, mostrar una estimación de los resultados de la búsqueda:
New-MailboxSearch "FY13 Q2 Financial Results" -StartDate "04/01/2013" -EndDate "06/30/2013" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics
Start-MailboxSearch "FY13 Q2 Financial Results"
Get-MailboxSearch "FY13 Q2 Financial Results"
Para ver información concreta sobre los resultados de búsqueda estimados del ejemplo anterior, ejecutaríamos el siguiente comando:
Get-MailboxSearch "FY13 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits
Más información sobre las búsquedas de eDiscovery
Después de crear una búsqueda de exhibición de documentos electrónicos, los resultados se pueden copiar en el buzón de detección y exportarlos a un archivo PST. Para más información, consulte:
Después de ejecutar un cálculo de búsqueda de exhibición de documentos electrónicos (que incluye palabras clave en los criterios de búsqueda), puede ver las estadísticas de palabras clave si hace clic en Ver estadísticas de la palabra clave en el panel de detalles de la búsqueda seleccionada. Estas estadísticas muestran detalles sobre el número de elementos proporcionados para cada palabra clave que se usa en la consulta de búsqueda. Sin embargo, si se incluyen más de 100 buzones de origen en la búsqueda, obtendrá un error si intenta ver las estadísticas de palabras clave. Para ver las estadísticas de palabras clave, no se pueden incluir más de 100 buzones de origen en la búsqueda.