Proprietà dei messaggi e operatori di ricerca per In-Place eDiscovery in Exchange Online
Questo argomento descrive le proprietà dei messaggi di posta elettronica di Exchange che è possibile cercare usando In-Place eDiscovery & Blocco in Exchange Server e Exchange Online. L'argomento descrive anche gli operatori di ricerca booleani e altre tecniche di query di ricerca che è possibile usare per perfezionare i risultati della ricerca di eDiscovery.
In-Place eDiscovery usa KQL (Keyword Query Language). Per altri dettagli, vedere Informazioni di riferimento sulla sintassi del linguaggio di query delle parole chiave.
Proprietà ricercabili in Exchange
Nella tabella seguente sono elencate le proprietà dei messaggi di posta elettronica per cui è possibile eseguire ricerche tramite una ricerca di eDiscovery In-Place o tramite il cmdlet New-MailboxSearch o Set-MailboxSearch . Nella tabella è presente un esempio della sintassi di property:value per ciascuna proprietà e una descrizione dei risultati di ricerca restituiti dagli esempi.
| Proprietà | Descrizione proprietà | Esempi | Risultati di ricerca restituiti dagli esempi |
|---|---|---|---|
| Allegato | I nomi dei file allegati a un messaggio di posta elettronica. | attachment:annualreport.ppt allegato:annual* |
Messaggi che contengono un file allegato denominato annualreport.ppt. Nel secondo esempio, utilizzando il carattere jolly si ottengono dei messaggi contenenti la parola "annual" nel nome file di un allegato. |
| Ccn | Campo Ccn di un messaggio di posta elettronica. 1 | Ccn:pilarp@contoso.com bcc:pilarp bcc:"Pilar Pinilla" |
Tutti gli esempi restituiscono messaggi contenenti Pilar Pinilla nel campo Bcc (Ccn). |
| Categoria | Le categorie da cercare. Le categorie possono essere definite dagli utenti usando Outlook o Outlook sul web (in precedenza noto come Outlook Web App). I valori possibili sono i seguenti:
|
category:"Red Category" | Messaggi a cui è assegnata la categoria rossa nelle cassette postali di origine. |
| Cc | Campo CC di un messaggio di posta elettronica. 1 | Cc:pilarp@contoso.com cc:"Pilar Pinilla" |
In entrambi gli esempi, vengono restituiti i messaggi contenenti Pilar Pinilla specificati nel campo Cc. |
| Da | Mittente di un messaggio di posta elettronica. 1 | Da:pilarp@contoso.com from:contoso.com |
I messaggi inviati dall'utente specificato o da un dominio specificato. |
| Priorità | La priorità di un messaggio di posta elettronica, che può essere specificata dall'utente al momento dell'invio di un messaggio. Per impostazione predefinita, i messaggi vengono inviati con una priorità normale, a meno che il mittente non imposti la priorità high (alta) o low (bassa). | importance:high importance:medium importanza:bassa |
I messaggi contrassegnati con priorità alta, media o bassa. |
| Gentile | Il tipo di messaggio da cercare. Valori possibili:
|
kind:email kind:email OR kind:in OR kind:voicemail |
Messaggi di posta elettronica che soddisfano i criteri di ricerca. Il secondo esempio restituisce i messaggi di posta elettronica, le chat e i messaggi vocali che soddisfano i criteri di ricerca. |
| Partecipanti | Tutti i campi persone in un messaggio di posta elettronica; questi campi sono From, To, CC e BCC. 1 | Partecipanti:garthf@contoso.com participants:contoso.com |
Messaggi inviati da o inviati a garthf@contoso.com. Il secondo esempio restituisce tutti i messaggi inviati da o a un utente nel dominio contoso.com. |
| Ricevuto | La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario. | received:04/15/2014 received>=01/01/2014 AND received<=31/03/2014 |
I messaggi ricevuti il 15 aprile 2014. Il secondo esempio restituisce tutti i messaggi ricevuti tra il 1° gennaio 2014 e il 31 marzo 2014. |
| Destinatari | Tutti i campi del destinatario in un messaggio di posta elettronica; questi campi sono To, CC e BCC. 1 | Destinatari:garthf@contoso.com recipients:contoso.com |
Messaggi inviati a garthf@contoso.com. Il secondo esempio restituisce i messaggi inviati ai destinatari nel dominio contoso.com. |
| Inviato | La data in cui un messaggio di posta elettronica viene inviato dal mittente. | sent:07/01/2014 sent>=06/01/2014 AND sent<=07/01/2014 |
Messaggi inviati il 1° luglio 2014. Il secondo esempio restituisce tutti i messaggi inviati tra il 01 giugno 2014 e il 01 luglio 2014. |
| Dimensioni | Le dimensioni di un elemento, in byte. | dimensioni>26214400 size:1..1048576 |
I messaggi di dimensioni maggiori di 25 MB. Il secondo esempio restituisce messaggi di dimensioni da 1 a 1.048.576 byte (1 MB). |
| Oggetto | Il testo nella riga dell'oggetto di un messaggio di posta elettronica. | subject:"Quarterly Financials" subject:northwind |
Messaggi che contengono la frase esatta "Quarterly Financials" in qualsiasi punto del testo della riga dell'oggetto. Il secondo esempio restituisce tutti i messaggi che contengono la parola northwind nella riga dell'oggetto. |
| A | Campo A di un messaggio di posta elettronica. 1 | A:annb@contoso.com to:annb to:"Ann Beebe" |
Tutti gli esempi restituiscono i messaggi in cui è specificato l'utente Ann Beebe nella riga To: (A:). |
Nota
1 Per il valore di una proprietà del destinatario, è possibile usare l'indirizzo SMTP, il nome visualizzato o l'alias per specificare un utente. Ad esempio, è possibile usare annb@contoso.com, annb o "Ann Beebe" per specificare l'utente Ann Beebe.
Operatori di ricerca supportati
Gli operatori di ricerca booleani, ad esempio AND, OR, consentono di definire ricerche più precise nelle cassette postali includendo o escludendo parole specifiche nella query di ricerca. Altre tecniche, ad esempio l'uso di operatori di proprietà (ad >esempio = o ..), virgolette, parentesi e caratteri jolly, consentono di perfezionare le query di ricerca di eDiscovery. Nella tabella seguente vengono elencati gli operatori che è possibile utilizzare per circoscrivere o ampliare i risultati della ricerca.
Importante
È necessario usare operatori booleani maiuscoli in una query di ricerca. Ad esempio, usare AND; non usare e . L'uso di operatori minuscoli nelle query di ricerca restituirà un errore.
| Operatore | Utilizzo | Descrizione |
|---|---|---|
| E | keyword1 AND keyword2 | Restituisce messaggi che includono tutte le parole chiave o property:value le espressioni specificate. |
| + | keyword1 +keyword2 +keyword3 | Restituisce elementi che contengonokeyword2 o keyword3e che contengono keyword1anche . Di conseguenza, questo esempio equivale alla query (keyword2 OR keyword3) AND keyword1. La query keyword1 + keyword2 (con uno spazio dopo il + simbolo) non è uguale all'uso dell'operatore AND . Questa query equivale a "keyword1 + keyword2" e restituisce elementi con la fase "keyword1 + keyword2"esatta. |
| OPPURE | keyword1 OR keyword2 | Restituisce messaggi che includono una o più parole chiave o property:value espressioni specificate. |
| NON | keyword1 NOT keyword2 NOT from:"Ann Beebe" |
Esclude i messaggi specificati da una parola chiave o da un'espressione property:value . Ad esempio, NOT from:"Ann Beebe" esclude i messaggi inviati da Ann Beebe. |
| - | keyword1 -keyword2 | Equivale all'operatore NOT. Questa query restituisce gli elementi che contengono keyword1 ed esclude gli elementi che contengono keyword2. |
| VICINO | keyword1 NEAR(n) keyword2 | Restituisce messaggi con parole vicine tra loro, dove n è uguale al numero di parole separate. Ad esempio, best NEAR(5) worst restituisce messaggi in cui la parola "peggiore" si trova all'interno di cinque parole di "best". Se non viene specificato alcun numero, la distanza predefinita è otto parole. |
| : | property:value | I due punti (:) nella property:value sintassi specifica che il valore della proprietà cercato è uguale al valore specificato. Ad esempio, recipients:garthf@contoso.com restituisce qualsiasi messaggio inviato a garthf@contoso.com. |
| < | valore della proprietà< | Indica che la proprietà da cercare è inferiore al valore specificato. 1 |
| > | valore della proprietà> | Indica che la proprietà in cui viene eseguita la ricerca è maggiore del valore specificato. 1 |
| <= | property<=value | Indica che la proprietà in cui viene eseguita la ricerca è minore o uguale a un valore specifico. 1 |
| >= | property>=value | Indica che la proprietà in cui viene eseguita la ricerca è maggiore o uguale a un valore specifico. 1 |
| .. | property:value1.. value2 | Indica che la proprietà in cui viene eseguita la ricerca è maggiore o uguale a value1 e minore o uguale a value2. 1 |
| " " | "fair value" subject:"Quarterly Financials" |
Usare virgolette doppie (" ") per cercare una frase o un termine esatto nelle query di ricerca e property:value parola chiave. |
| * | Gatto* subject:set* |
Le ricerche con caratteri jolly del prefisso (dove l'asterisco è posizionato alla fine di una parola) corrispondono a zero o più caratteri nelle parole chiave o property:value nelle query. Ad esempio, subject:set* restituisce i messaggi che contengono il set di parole, l'impostazione e l'impostazione (e altre parole che iniziano con "set") nella riga dell'oggetto. |
| ( ) | (fair OR free) AND from:contoso.com (IPO OR initial) AND (stock OR shares) (quarterly financials) |
Le parentesi raggruppano frasi, property:value elementi e parole chiave booleane. Ad esempio, (quarterly financials) restituisce elementi che contengono le parole trimestrali e finanziarie. |
Nota
1 Usare questo operatore per le proprietà con valori numerici o di data.
Caratteri non supportati nelle query di ricerca
I caratteri non supportati in una query di ricerca in genere causano un errore di ricerca o restituiscono risultati imprevisti. I caratteri non supportati sono spesso nascosti e vengono in genere aggiunti a una query quando si copia la query o parti della query da altre applicazioni (ad esempio Microsoft Word o Microsoft Excel) e le si copia nella casella delle parole chiave nella pagina della query di In-Place ricerca eDiscovery.
Ecco un elenco dei caratteri non supportati per una query di ricerca In-Place eDiscovery.
Virgolette intelligenti: le virgolette singole e doppie intelligenti (dette anche virgolette curly) non sono supportate. In una query di ricerca è possibile usare solo virgolette semplici.
Caratteri non stampabili e di controllo: i caratteri non stampabili e di controllo non rappresentano un simbolo scritto, ad esempio un carattere alfanumerico. Esempi di caratteri non stampabili e di controllo includono caratteri che formattano testo o righe di testo separate.
Segni da sinistra a destra e da destra a sinistra: si tratta di caratteri di controllo usati per indicare la direzione del testo per le lingue da sinistra a destra (ad esempio inglese e spagnolo) e da destra a sinistra (ad esempio arabo ed ebraico).
Operatori booleani minuscoli: come spiegato in precedenza, è necessario usare operatori booleani maiuscoli, ad esempio AND e OR, in una query di ricerca. La sintassi di query indica spesso che viene usato un operatore booleano anche se potrebbero essere usati operatori minuscoli; Ad esempio,
(WordA or WordB) and (WordC or WordD).
Come evitare caratteri non supportati nelle query di ricerca? Il modo migliore per evitare caratteri non supportati consiste nel digitare semplicemente la query nella casella della parola chiave. In alternativa, è possibile copiare una query da Word o Excel e quindi incollarla in un file in un editor di testo normale, ad esempio Il Blocco note Microsoft. Salvare quindi il file di testo e selezionare ANSI nell'elenco a discesa Codifica . In questo modo vengono rimossi tutti i caratteri di formattazione e non supportati. È quindi possibile copiare e incollare la query dal file di testo alla casella di query delle parole chiave.
Suggerimenti pratici per la ricerca
Le ricerche con parole chiave non fanno distinzione tra maiuscole e minuscole. Ad esempio, cat e CAT restituiscono gli stessi risultati.
Uno spazio tra due parole chiave o due
property:valueespressioni è uguale all'uso di AND. Ad esempio,from:"Sara Davis" subject:reorganizationrestituisce tutti i messaggi inviati da Sara Davis che contengono la parola riorganizzazione nella riga dell'oggetto.Usare una sintassi corrispondente al
property:valueformato. I valori non fanno distinzione tra maiuscole e minuscole e non possono avere uno spazio dopo l'operatore. Se è presente uno spazio, il valore previsto verrà semplicemente cercato full-text. Ad esempio to: pilarp ricerca "pilarp" come parola chiave, anziché come messaggi inviati a "pilarp".Quando si cerca una proprietà relativa al destinatario, come To (A), From (Da), Cc (Cc) o Recipients (Destinatari), è possibile utilizzare un indirizzo SMTP, un alias o un nome visualizzato per denotare un destinatario. Ad esempio, è possibile usare pilarp@contoso.com, pilarp o "Pilar Pinilla".
È possibile usare solo ricerche con caratteri jolly con prefisso,ad esempio cat* o set*. Le ricerche con caratteri jolly suffisso (*cat) o con caratteri jolly sottostringa (*cat*) non sono supportate.
Quando si ricerca una proprietà, utilizzare le virgolette doppie (" ") se il valore della ricerca è costituito da più parole. Ad esempio , subject:budget Q1 restituisce messaggi che contengono budget nella riga dell'oggetto e che contengono Q1 in qualsiasi punto del messaggio o in una delle proprietà del messaggio. L'uso di subject:"budget Q1" restituisce tutti i messaggi che contengono il budget Q1 in qualsiasi punto della riga dell'oggetto.