Exchange 2013에서 In-Place eDiscovery 검색 만들기

적용 대상: Exchange Server 2013

In-Place eDiscovery를 사용하여 삭제된 항목 및 수정된 항목의 원래 버전을 포함하여 모든 사서함 콘텐츠를 검색하여 현재 위치 보류 및 소송 보존에 배치된 사용자를 검색합니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

• 예상 완료 시간: 5분

• 이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 메시징 정책 및 규정 준수 권한 항목의 "In-Place eDiscovery" 항목을 참조하세요.

• eDiscovery 검색을 만들려면 검색을 만드는 organization SMTP 주소가 있어야 합니다.

• Exchange 2013 설치 프로그램은 사서함 검색이라는 검색 사서함을 만들어 검색 결과를 복사합니다. 검색 사서함을 추가로 만들 수 있습니다. 자세한 내용은 검색 사서함 만들기를 참조하십시오.

• 원본 위치 eDiscovery 검색을 만들 때 검색 결과에 반환된 메시지는 검색 사서함에 자동으로 복사되지 않습니다. 검색을 만든 후 EAC(Exchange 관리 센터)를 사용하여 검색 결과를 예측 및 미리 보거나 검색 사서함에 복사할 수 있습니다. 자세한 내용은 다음을 참조하세요.

  • EAC를 사용하여 검색 결과 예측 또는 미리 보기 (이 항목의 뒷부분)

  • EDiscovery 검색 결과 검색 사서함으로 복사

• 이 항목의 절차에 적용될 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 2013의 Exchange 관리 센터에 대한 바로 가기 키를 참조하세요.

팁

문제가 있습니까? Exchange 포럼에서 도움을 요청하세요. Exchange Server 포럼을 방문하세요.

EAC를 사용하여 원본 위치 eDiscovery 검색 만들기

앞에서 설명한 것처럼 eDiscovery 검색을 만들려면 조직에 SMTP 주소가 있는 사용자 계정으로 로그인해야 합니다.

1. 규정 준수 관리>현재 위치 eDiscovery & 보류로 이동합니다.

2. 새 클릭합니다.

3. 원본 위치 eDiscovery 및 유지의 이름 및 설명 페이지에서 검색의 이름을 입력하고 선택적 설명을 추가한 후 다음을 클릭합니다.

4. 사서함 페이지에서 검색할 사서함을 선택합니다. 모든 사서함을 검색하거나 특정 사서함을 선택하여 검색할 수 있습니다.

   중요

   모든 사서함 검색 옵션을 사용하여 모든 사서함을 보류 상태로 설정할 수는 없습니다. 원본 위치 유지를 만들려면 검색할 사서함 지정을 선택해야 합니다. 자세한 내용은 만들기 또는 In-place Hold 제거를 참조하십시오.

5. 검색 쿼리 페이지에서 다음 필드를 작성합니다.

   • 모든 사용자 사서함 콘텐츠 포함 선택한 사서함의 모든 콘텐츠를 보류 상태로 설정하려면 이 옵션을 선택합니다. 이 옵션을 선택하면 추가 검색 조건을 지정할 수 없습니다.

   • 조건 기반의 필터 키워드, 시작 및 종료 날짜, 보낸 사람 및 받는 사람 주소, 메시지 유형을 포함한 검색 조건을 지정하려면 이 옵션을 선택합니다.

     

     참고

     받는 사람: 및 받는 사람/참조/숨은 참조: 필드는 검색을 실행할 때 생성된 검색 쿼리에서 OR 연산자에 의해 연결됩니다. 즉, 지정된 사용자가 보내거나 받은 모든 메시지(및 다른 검색 조건과 일치)가 검색 결과에 포함됩니다. > 날짜는 AND 연산자에 의해 연결됩니다.

6. 원본 위치 유지 설정 페이지에서 선택한 사서함의 검색 쿼리와 일치하는 내용을 보류 중으로 표시 확인란을 선택하고 다음 옵션 중 하나를 선택하여 항목을 원본 위치 유지 상태로 설정합니다.

   • 무기한 보류 반환된 항목을 무기한 보류 상태로 설정하려면 이 옵션을 선택합니다. 보류 중인 항목은 검색에서 사서함을 제거하거나 검색을 제거할 때까지 유지됩니다.

   • 수신 날짜를 기준으로 항목을 보관할 날짜 수 지정 특정 기간 동안 항목을 보관하려면 이 옵션을 사용합니다. 예를 들어 조직에서 모든 메시지를 7년 이상 유지해야 할 경우에 이 옵션을 사용할 수 있습니다. 보존 정책과 시간 기반 원본 위치 유지를 사용하여 7년 후에 항목이 삭제되도록 할 수 있습니다.

     중요

     법적 목적을 위해 사서함이나 항목을 원본 위치 유지 상태로 설정하는 경우 일반적으로 항목을 무기한 보류했다가 사례나 조사가 완료될 때 보류 상태를 해제하는 것이 좋습니다.

7. 검색을 저장하고 지정한 조건에 따라 검색에 의해 반환될 항목의 예상 전체 크기 및 개수를 반환하려면 마침을 클릭합니다. 예상 값은 세부 정보 창에 표시됩니다. 새로 고침을 클릭합니다. 세부 정보 창에 표시되는 정보를 업데이트합니다.

셸을 사용하여 원본 위치 eDiscovery 검색 만들기

이 예제에서는 contoso 및 ProjectA 키워드가 포함된 항목을 검색하고 다음 조건을 충족하는 Discovery-CaseId012 라는 In-Place eDiscovery 검색을 만듭니다.

• 시작 날짜: 1/1/2009

• 종료 날짜: 12/31/2011

• 원본 사서함: DG-Finance

• 대상 사서함: 사서함 검색

• 메시지 유형: Email

• 검색 통계에 검색할 수 없는 항목 포함

• 로그 수준: 전체

중요

원본 위치 eDiscovery 검색을 실행할 때 추가 검색 매개 변수를 지정하지 않으면 지정된 원본 사서함의 모든 항목이 결과에 반환됩니다. 검색할 사서함을 지정하지 않으면 Exchange organization 모든 사서함이 검색됩니다.

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2009" -EndDate "12/31/2011" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full

참고

StartDate 및 EndDate 매개 변수를 사용하는 경우 로컬 컴퓨터 설정이 dd/mm/yyyy와 같은 다른 날짜 형식을 사용하도록 구성된 경우에도 mm/dd/yyyy의 날짜 형식을 사용해야 합니다. 예를 들어 2013년 4월 1일과 2013년 7월 1일 사이에 전송된 메시지를 검색하려면 시작 날짜와 종료 날짜로 04/01/2013 및 07/01/2013을 사용합니다.

이 예제에서는 2015년 Alex Darrow가 사라 데이비스에게 보낸 전자 메일 메시지를 검색하는 HRCase090116이라는 In-Place eDiscovery 검색을 만듭니다.

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

셸을 사용하여 In-Place eDiscovery 검색을 만든 후에 는 Start-MailboxSearch cmdlet을 사용하여 TargetMailbox 매개 변수에 지정된 검색 사서함에 메시지를 복사하여 검색을 시작해야 합니다. 자세한 내용은 EDiscovery 검색 결과 검색 사서함으로 복사를 참조하세요.

구문과 매개 변수에 대한 자세한 내용은 New-MailboxSearch를 참조하십시오.

EAC를 사용하여 검색 결과 예상 또는 미리 보기

원본 위치 eDiscovery 검색을 만든 후에는 EAC를 사용하여 검색 결과를 예상하고 미리 볼 수 있습니다. New-MailboxSearch cmdlet을 사용하여 새 검색을 만든 경우에는 셸을 사용하여 검색을 시작해 예상 검색 결과를 확인할 수 있습니다. 셸을 사용해서는 검색 결과에 반환된 메시지를 미리 볼 수 없습니다.

1. 규정 준수 관리>현재 위치 eDiscovery & 보류로 이동합니다.

2. 목록 보기에서 In-Place eDiscovery 검색을 선택한 다음, 다음 중 하나를 수행합니다.

   • 검색 검색을 클릭합니다.>검색 결과를 예측하여 지정한 조건에 따라 검색에서 반환할 총 크기 및 항목 수를 반환합니다. 이 옵션을 선택하면 검색이 다시 시작되고 예상이 수행됩니다.

     예상 검색 결과는 세부 정보 창에 표시됩니다. 새로 고침을 클릭합니다. 세부 정보 창에 표시되는 정보를 업데이트합니다.

• 세부 정보 창에서 검색 결과 미리 보기를 클릭하여 검색 예상 결과가 완료된 후 결과를 미리 봅니다. 이 옵션을 선택하면 eDiscovery 검색 미리 보기 창이 열립니다. 검색된 사서함에서 반환된 모든 메시지가 표시됩니다.

  참고

  검색된 사서함은 eDiscovery 검색 미리 보기 창의 오른쪽 창에 나열됩니다. 각 사서함에 대해 반환된 항목 수와 이러한 항목의 총 크기도 표시됩니다. 검색에서 반환된 모든 항목은 오른쪽 창에 나열되며 최신 항목 또는 오래된 항목순으로 정렬할 수 있습니다. 왼쪽 창에서 사서함을 클릭하여 각 사서함의 항목을 오른쪽 창에 표시할 수는 없습니다. 특정 사서함에서 반환된 항목을 보려면 검색 결과를 복사하고 검색 사서함에서 항목을 확인할 수 있습니다.

셸을 사용하여 예상 검색 결과 예상

EstimateOnly 스위치를 사용하여 검색 결과의 예상값만 반환하고 검색 사서함에 결과를 복사하지 않을 수 있습니다. 이렇게 하려면 Start-MailboxSearch cmdlet을 사용하여 예상만 수행하는 검색을 시작해야 합니다. 그런 후에 Get-MailboxSearch cmdlet을 사용하여 예상 검색 결과를 검색할 수 있습니다.

예를 들어 새 eDiscovery 검색을 만든 다음 예상 검색 결과를 표시하려면 다음 명령을 실행합니다.

New-MailboxSearch "FY13 Q2 Financial Results" -StartDate "04/01/2013" -EndDate "06/30/2013" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics

Start-MailboxSearch "FY13 Q2 Financial Results"

Get-MailboxSearch "FY13 Q2 Financial Results"

위 예제에서 예상 검색 결과에 대한 특정 정보를 표시하려면 다음 명령을 실행하면 됩니다.

Get-MailboxSearch "FY13 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

eDiscovery 검색에 대한 추가 정보

• 새 eDiscovery 검색을 만든 후에는 검색 결과를 검색 사서함에 복사한 다음 PST 파일로 내보낼 수 있습니다. 자세한 내용은 다음을 참조하세요.

  • EDiscovery 검색 결과 검색 사서함으로 복사

  • PST 파일로 eDiscovery 검색 결과 내보내기

• 검색 조건에 키워드를 포함하는 eDiscovery 검색 예상치를 실행한 후 선택한 검색의 세부 정보 창에서 키워드(keyword) 통계 보기를 클릭하여 키워드(keyword) 통계를 볼 수 있습니다. 이러한 통계는 검색 쿼리에 사용된 각 키워드에 대해 반환되는 항목 수에 대한 세부 정보를 보여 줍니다. 그러나 검색에 100개 이상의 원본 사서함이 포함된 경우 키워드(keyword) 통계를 보려고 하면 오류가 반환됩니다. 키워드(keyword) 통계를 보려면 검색에 100개 이하의 원본 사서함을 포함할 수 없습니다.