Creación de una búsqueda In-Place eDiscovery en Exchange Server
Use una búsqueda In-Place eDiscovery para buscar contenido en todos los buzones y carpetas públicas de la organización de Exchange Server. Esto incluye la búsqueda de elementos eliminados de forma permanente y las versiones originales de elementos modificados (en la carpeta Elementos recuperables) para los usuarios colocados en retención por juicio o en conservación local. Para obtener más información sobre estas búsquedas, vea Exhibición de documentos electrónicos local en Exchange Server.
Antes de empezar
Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte la entrada "Exhibición de documentos electrónicos local" en el tema Directiva de mensajería y permisos de cumplimiento en Exchange Server .
Para crear búsquedas de eDiscovery, necesita una dirección SMTP en la organización donde vaya a crear las búsquedas. En una organización híbrida de Exchange, el buzón de Exchange local debe tener una cuenta de usuario de correo correspondiente en su organización de Microsoft 365 u Office 365, como la cuenta de administrador de inquilinos, a esa cuenta se le debe asignar una licencia de Exchange Online. Para obtener más información sobre los requisitos de licencia de Microsoft 365 u Office 365 para las búsquedas de exhibición de documentos electrónicos locales, vea Descripción del servicio Exchange Online.
El programa de instalación de Exchange Server crea un buzón de detección denominado Buzón de búsqueda de detección para copiar los resultados de la búsqueda. Puede crear buzones de detección adicionales. Para más información, vea Crear un buzón de correo de detección.
Cuando se crea una búsqueda, los mensajes incluidos en los resultados de la búsqueda no se copian automáticamente en un buzón de correo de detección. Después de crear la búsqueda, puede usar el Centro de administración de Exchange (EAC) para realizar una estimación y obtener una vista previa de los resultados de la búsqueda, o bien copiarlos en un buzón de detección. También puede exportar los resultados de la búsqueda a un archivo .pst. Para más información, vea:
Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.
Usar el EAC para crear una búsqueda
Tal y como se ha explicado anteriormente, para crear búsquedas de exhibición de documentos electrónicos hay que iniciar sesión en una cuenta de usuario que tenga una dirección SMTP en la organización.
Vaya a Administración de cumplimiento>eDiscovery local & suspensión y, a continuación, haga clic en Agregar nuevo.
En la ventana Nueva exhibición de documentos electrónicos y conservación local, en la página Nombre y descripción, escriba un nombre para la búsqueda y una descripción opcional y, después, haga clic en Siguiente.
En la página Buzones de correo y carpetas públicas, seleccione los orígenes de contenido donde quiera realizar búsquedas:
Para incluir todos los buzones en la búsqueda, haga clic en Buscar en todos los buzones. Si selecciona esta opción, no podrá habilitar una conservación local para la búsqueda.
Para excluir buzones de correo de la búsqueda (y buscar únicamente en las carpetas públicas), haga clic en No buscar en buzones.
Para incluir buzones específicos en la búsqueda, haga clic en Especificar buzones para buscar y, a continuación, agregue los buzones que desea buscar.
Para incluir las carpetas públicas en la búsqueda (o retener carpetas públicas), haga clic en Buscar en todas las carpetas públicas. Para obtener más información sobre cómo buscar carpetas públicas, vea Buscar y colocar una suspensión en carpetas públicas mediante In-Place eDiscovery.
En la página Consulta de búsqueda, complete los campos siguientes:
Incluir todo el contenido: seleccione esta opción para incluir todo el contenido en los resultados de la búsqueda. Si selecciona esta opción, no puede especificar más criterios de búsqueda.
Filtrar según criterios: seleccione esta opción para especificar criterios de búsqueda, incluidas las palabras clave, las fechas de inicio y finalización, las direcciones de remitente y destinatario y los tipos de mensaje. Para obtener más información sobre las consultas de búsqueda, vea Propiedades de mensajes y operadores de búsqueda para In-Place eDiscovery en Exchange Server.
Nota:
Los campos De: y Para/CC/CCO: están conectados por un operador OR en la consulta de búsqueda que se crea al ejecutar la búsqueda. Esto significa que en los resultados de la búsqueda se incluyen todos los mensajes enviados o recibidos por cualquiera de los usuarios especificados (y que coinciden con los demás criterios de búsqueda). Las fechas están conectadas por un operador AND.
En la página Configuración de conservación local, seleccione la casilla Retener el contenido que coincida con la consulta de búsqueda en los orígenes seleccionados y, después, seleccione una de las opciones siguientes para colocar elementos en conservación local:
Retener indefinidamente: seleccione esta opción para colocar los elementos devueltos en una suspensión indefinida. Los elementos en espera se conservarán hasta que quite el origen de contenido de la búsqueda o hasta que se elimine la búsqueda.
Especificar el número de días para guardar los elementos relacionados con la fecha de recepción Use esta opción para retener elementos durante un período específico. Por ejemplo, puede usar esta opción si su organización necesita que todos los mensajes se conserven durante un mínimo de siete años. Puede usar una retención en contexto basada en tiempo junto con una directiva de retención para asegurarse de que los elementos se eliminen en siete años.
Importante
Al colocar orígenes de contenido o elementos específicos en conservación local por motivos legales, normalmente se recomienda retener elementos de forma indefinida y quitar la retención cuando se complete el caso o la investigación.
Haga clic en Finalizar para guardar la búsqueda y devolver una estimación del tamaño y cantidad totales de elementos que la búsqueda arrojará en función del criterio especificado. Las estimaciones se muestran en el panel de detalles. Haga clic en el Para actualizar la información mostrada en el panel de detalles.
Usar el Shell de administración de Exchange para crear una búsqueda
Estos son cuatro ejemplos de cómo usar Shell de administración de Exchange para buscar y retener contenido de buzones de correo y carpetas públicas. Para obtener información detallada de la sintaxis y los parámetros sobre cómo usar el Shell de administración de Exchange para crear búsquedas de exhibición de documentos electrónicos, vea New-MailboxSearch
Ejemplo 1
En este ejemplo se crea la búsqueda Detección-IdDeCaso012 para los elementos que contengan las palabras clave Contoso y ProyectoA. Los resultados de la búsqueda se colocan en conservación local con una duración de retención ilimitada. En la búsqueda también se incluyen los criterios siguientes:
Fecha de inicio: 1/1/2013
Fecha de finalización: 31/12/2015
Buzón de origen: DG-Finance
Buzón de destino: Buzón de búsqueda de detección
Tipos de mensaje: Email
Nivel de registro: Completa
Importante
Si no especifica una consulta de búsqueda, un intervalo de fechas o un tipo de mensaje, en los resultados se mostrarán todos los elementos de los buzones de correo o carpetas públicas de origen. Los resultados serían similares a seleccionar Incluir todo el contenido en la página Consulta de búsqueda del EAC.
New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2013" -EndDate "12/31/2015" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full -InPlaceHoldEnabled $true
Start-MailboxSearch "Discovery-CaseId012"
Después de usar el Shell de administración de Exchange para crear una búsqueda In-Place eDiscovery, debe iniciar la búsqueda mediante el cmdlet Start-MailboxSearch para copiar mensajes en el buzón de detección especificado en el parámetro TargetMailbox . Para más información, vea Copiar los resultados de la búsqueda de exhibición de documentos electrónicos en un buzón de correo de detección.
Nota:
Al usar los parámetros StartDate y EndDate , debe usar el formato de fecha de MM/dd/aaaa, incluso si la configuración de la máquina local está configurada para usar un formato de fecha diferente, como dd/MM/aaaa. Por ejemplo, para encontrar mensajes enviados entre el 1 de abril de 2015 y el 1 de julio de 2015, tendría que usar 04/01/2015 y 07/01/2015 como fechas de inicio y fin.
Ejemplo 2
En este ejemplo se crea una búsqueda de exhibición de documentos electrónicos local denominada HRCase090116 que busca mensajes de correo electrónico enviados por Alex Darrow a Sara Davis en 2015.
New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full
Start-MailboxSearch "HRCase090116"
Ejemplo 3
En este ejemplo se crea una búsqueda de solo estimación que busca en todas las carpetas públicas de la organización los elementos enviados entre el 1 de enero de 2015 y el 30 de junio de 2015, y que contengan la frase "patent infringement". En la búsqueda no se incluyen buzones. El cmdlet Start-MailboxSearch se usa para iniciar la búsqueda de solo estimación.
New-MailboxSearch -Name "Northwind Subpoena-All PFs" -AllPublicFolderSources $true -AllSourceMailboxes $false -SearchQuery "patent infringement" -StartDate "01/01/2015" -EndDate "06/30/2015" -TargetMailbox "Discovery Search Mailbox" -EstimateOnly
Start-MailboxSearch "Northwind Subpoena-All PFs"
Ejemplo 4
Este ejemplo busca en todos los buzones y todas las carpetas públicas cualquier contenido que contenga las palabras "lista de precios" y "Contoso" y que se haya enviado después del 1 de enero de 2015. El cmdlet Start-MailboxSearch se usa para ejecutar la búsqueda y copiar los resultados de búsqueda en el buzón de detección.
New-MailboxSearch -Name "Contoso Litigation" -AllSourceMailboxes $true -AllPublicFolderSources $true -SearchQuery '"price list" AND "contoso"' -StartDate "01/01/2015" -TargetMailbox "Discovery Search Mailbox"
Start-MailboxSearch "Contoso Litigation"
Usar el EAC para obtener una estimación o vista previa de los resultados
Después de crear una búsqueda de exhibición de documentos electrónicos, puede usar el EAC para obtener una estimación y una vista previa de los resultados de la búsqueda. Si creó una búsqueda con el cmdlet New-MailboxSearch, puede usar el Shell de administración de Exchange para iniciarla con el fin de obtener una estimación de los resultados de la búsqueda.
Vaya a Administración de cumplimiento>en contexto eDiscovery & suspensión.
En la vista de lista, seleccione la búsqueda y, después, realice uno de los procedimientos siguientes:
Haga clic en >Calcule los resultados de la búsqueda para devolver una estimación del tamaño total y el número de elementos que devolverá la búsqueda en función de los criterios especificados. Si la selecciona, la búsqueda se reiniciará y se realizará una estimación.
Las estimaciones de la búsqueda se muestran en el panel de detalles. Haga clic en el Para actualizar la información mostrada en el panel de detalles.
Haga clic en Vista previa de los resultados de búsqueda en el panel de detalles para obtener una vista previa de los resultados cuando se complete el cálculo de la búsqueda. Al seleccionar esta opción, se abre la ventana Vista previa de búsqueda de exhibición de documentos electrónicos. Se mostrarán todos los mensajes de los buzones o carpetas públicas donde se realizó la búsqueda.
Nota:
Los buzones donde se realizó la búsqueda se muestran en el panel derecho de la ventana Vista previa de búsqueda de exhibición de documentos electrónicos. Para cada origen, también se muestra el número de elementos encontrados y el tamaño total de los elementos. Todos los elementos encontrados pro la búsqueda se muestran en el panel derecho y se pueden ordenar por más reciente o más antiguo. Los elementos de cada buzón o carpeta pública no se pueden ver en el panel derecho si hace clic en un buzón del panel izquierdo. Para ver los elementos encontrados de un buzón o carpeta pública específicos, puede copiar los resultados de la búsqueda y ver los elementos en el buzón de correo de detección.
Usar el Shell de administración de Exchange para obtener una estimación los resultados de la búsqueda
Puede usar el modificador EstimateOnly para obtener una estimación de los resultados de la búsqueda y no copiar los resultados en un buzón de detección. Se debe iniciar una búsqueda de solo estimación con el cmdlet Start-MailboxSearch. A continuación, puede recuperar los resultados de búsqueda estimados mediante el cmdlet Get-MailboxSearch. No se puede usar el Shell de administración de Exchange para obtener una vista previa de los mensajes de los resultados de la búsqueda.
Por ejemplo, para crear una búsqueda de exhibición de documentos electrónicos y, después, ver una estimación de los resultados de la búsqueda, ejecutaríamos los comandos siguientes:
New-MailboxSearch "FY15 Q2 Financial Results" -StartDate "04/01/2015" -EndDate "06/30/2015" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics
Start-MailboxSearch "FY15 Q2 Financial Results"
Get-MailboxSearch "FY15 Q2 Financial Results"
Para ver información concreta sobre los resultados de búsqueda estimados del ejemplo anterior, ejecutaríamos el siguiente comando:
Get-MailboxSearch "FY15 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits
Más información
Después de crear una búsqueda de exhibición de documentos electrónicos, los resultados se pueden copiar en el buzón de detección y exportarlos a un archivo PST. Para más información, consulte:
Después de ejecutar un cálculo de búsqueda de exhibición de documentos electrónicos (que incluye palabras clave en los criterios de búsqueda), puede ver las estadísticas de palabras clave si hace clic en Ver estadísticas de la palabra clave en el panel de detalles de la búsqueda seleccionada. Estas estadísticas muestran detalles sobre el número de elementos proporcionados para cada palabra clave que se usa en la consulta de búsqueda. Sin embargo, si se incluyen más de 100 buzones de origen en la búsqueda, obtendrá un error si intenta ver las estadísticas de palabras clave. Para ver las estadísticas de palabras clave, no se pueden incluir más de 100 buzones de origen en la búsqueda.
Si usa Get-MailboxSearch en Exchange Online para recuperar información sobre una búsqueda de exhibición de documentos electrónicos, debe especificar el nombre de una búsqueda para devolver una lista completa de las propiedades de búsqueda; por ejemplo,
Get-MailboxSearch "Contoso Legal Case"
. Si ejecuta el cmdlet Get-MailboxSearch sin usar parámetros, no se devuelven las siguientes propiedades:SourceMailboxes
Sources
PublicFolderSources
SearchQuery
ResultsLink
PreviewResultsLink
Errors
El motivo es que requiere muchos recursos para devolver estas propiedades para todas las búsquedas de exhibición de documentos electrónicos en su organización.