Поделиться через


Создание In-Place поиска электронных данных в Exchange 2013

Применимо к: Exchange Server 2013

Используйте обнаружение электронных данных на месте для поиска по всему содержимому почтового ящика, включая удаленные элементы и исходные версии измененных элементов для пользователей, размещенных на удержании на месте и удержании для судебного разбирательства.

Что нужно знать перед началом работы

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы в Exchange Server.

Как объяснялось ранее, для создания поисков eDiscovery необходимо войти в учетную запись пользователя с адресом SMTP в вашей организации.

  1. Перейдите в раздел Управление соответствием> наместе обнаружение электронных данных & удержание.

  2. Щелкните Новыйзначок добавления.

  3. В разделе Обнаружение электронных данных на месте & удержание на странице Имя и описание введите имя для поиска, добавьте необязательное описание и нажмите кнопку Далее.

  4. На странице Почтовые ящики выберите почтовые ящики для поиска. Вы можете вести поиск по всем почтовым ящикам или выбрать для поиска конкретные ящики.

    Важно!

    Вы не можете использовать параметр Поиск по всем почтовым ящикам , чтобы поместить все почтовые ящики на удержание. Чтобы создать хранение на месте, следует выбрать вариант Указать почтовые ящики для поиска. Дополнительные сведения см. в статье Создание или удаление In-Place удержания.

  5. На странице Поисковый запрос заполните следующие поля:

    • Включить все содержимое почтовых ящиков пользователей Выберите этот параметр, чтобы поместить все содержимое выбранных почтовых ящиков на хранение. Если выбрать этот вариант, указать дополнительные критерии поиска будет невозможно.

    • Фильтр на основе критериев Выберите этот пункт, чтобы задать условия поиска, включая ключевые слова, начальную и конечную даты, адреса получателей и отправителей, а также типы сообщений.

      Настройка поискового запроса обнаружения электронных данных.

      Примечание.

      Поля От: и Кому/копия/скрытая копия: объединены с помощью оператора ИЛИ в поисковом запросе, который создается при запуске поиска. Это означает, что в результаты поиска включаются все сообщения, отправленные или полученные указанными пользователями (и соответствующие условиям поиска). > Даты соединены оператором AND .

  6. На странице Параметры удержания на месте можно установить флажок Разместить содержимое, соответствующее поисковому запросу, в выбранных почтовых ящиках при удержании , а затем выбрать один из следующих параметров, чтобы разместить элементы на In-Place Удержание:

    • Неограниченный срок хранения Выберите этот вариант, чтобы поместить возвращенные элементы на хранение с неограниченным сроком. Такие элементы будут храниться до удаления почтового ящика из поиска или до удаления поиска.

    • Указать число дней для хранения элементов с даты получения Используйте этот вариант для хранения элементов в течение указанного времени. Например, эту функцию можно использовать, если для вашей организации необходимо, чтобы все сообщения сохранялись на протяжении не менее семи лет. Можно использовать хранение на месте на основе времени вместе с политикой хранения, чтобы убедиться, что через семь лет элементы будут удалены.

      Важно!

      При постановке почтовых ящиков или отдельных элементов на хранение по юридическим причинам обычно рекомендуется использовать неограниченный срок хранения и снимать хранение только после завершения тяжбы или расследования.

  7. Нажмите кнопку Готово, чтобы сохранить поиск и получить оценку общего размера и количества элементов, которые будут возвращены на основании установленных критериев. Оценки отображаются в области сведений. Щелкните Обновитьзначок обновления, чтобы обновить сведения, отображаемые в области сведений.

В этом примере создается поиск In-Place eDiscovery с именем Discovery-CaseId012, который ищет элементы, содержащие ключевые слова Contoso и ProjectA, а также соответствующие следующим критериям:

  • Дата начала: 01.01.2009

  • Дата окончания: 31.12.2011

  • Исходный почтовый ящик: Финансы группы рассылки

  • Целевой почтовый ящик: Почтовый ящик поиска методом обнаружения

  • Типы сообщений: Электронная почта

  • Включает неискируемые элементы в статистику поиска

  • Уровень ведения журнала: Полное

Важно!

Если не указать дополнительные параметры поиска при выполнении поиска In-Place eDiscovery, в результатах будут возвращены все элементы в указанных исходных почтовых ящиках. Если не указать почтовые ящики для поиска, выполняется поиск по всем почтовым ящикам в организации Exchange.

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2009" -EndDate "12/31/2011" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full

Примечание.

При использовании параметров StartDate и EndDate необходимо использовать формат даты ММ/дд/гггг, даже если в параметрах локального компьютера настроен другой формат даты, например дд/ММ/гггг. Например, для поиска сообщений, отправленных в период с 1 апреля 2013 г. по 1 июля 2013 г., в качестве начальной и конечной дат используется 01.04.2013 по 01.07.2013 .

В этом примере создается поиск с обнаружением электронных данных на месте HRCase090116 для сообщений электронной почты, отправленных пользователем Alex Darrow пользователю Sara Davis в 2015 году.

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

После использования оболочки для создания In-Place поиска eDiscovery необходимо начать поиск с помощью командлета Start-MailboxSearch для копирования сообщений в почтовый ящик обнаружения, указанный в параметре TargetMailbox . Дополнительные сведения см. в статье Copy eDiscovery search results to a discovery mailbox.

Подробные сведения о синтаксисе и параметрах см. в разделе New-MailboxSearch.

Использование Центра администрирования Exchange для оценки или предварительного просмотра результатов поиска

После создания In-Place поиска eDiscovery можно использовать EAC для получения оценки и предварительного просмотра результатов поиска. Если вы создали новый поиск с помощью командлета New-MailboxSearch , можно использовать оболочку для запуска поиска, чтобы получить оценку результатов поиска. Вы не можете использовать оболочку для предварительного просмотра сообщений, возвращаемых в результатах поиска.

  1. Перейдите в раздел Управление соответствием> наместе обнаружение электронных данных & удержание.

  2. В представлении списка выберите In-Place поиска eDiscovery, а затем выполните одно из следующих действий.

    • Щелкните Значок Поиска.>Оцените результаты поиска , чтобы получить оценку общего размера и количества элементов, которые будут возвращены поиском на основе указанных вами критериев. Этот параметр перезапускает поиск и выполняет оценку.

      Оценки поиска отображаются в области сведений. Щелкните Обновитьзначок обновления, чтобы обновить сведения, отображаемые в области сведений.

  • Выберите элемент Предварительный просмотр результатов поиска в области сведений, чтобы просмотреть результаты после оценки. Если выбрать этот вариант, откроется окно просмотра результатов поиска методом обнаружение электронных данных. Отображаются все сообщения, возвращенные из почтовых ящиков, в которых был выполнен поиск.

    Примечание.

    Почтовые ящики, в которых был выполнен поиск, перечислены в правой области в окне предварительного просмотра поиска eDiscovery . Для каждого почтового ящика также отображается количество возвращаемых элементов и общий размер этих элементов. Все найденные элементы отображаются на правой панели и могут быть отсортированы по дате. Элементы из каждого почтового ящика не могут отображаться в правой области, щелкнув почтовый ящик в левой области. Чтобы просмотреть все элементы, найденные в определенном почтовом ящике, скопируйте результаты поиска и просмотрите их в почтовом ящике найденных сообщений.

Оценка или предварительный просмотр результатов поиска.

Использование оболочки для оценки результатов поиска

Вы можете использовать параметр EstimateOnly, чтобы возвращать только оценку результатов поиска и не копировать результаты в почтовый ящик обнаружения. Необходимо запустить поиск только с оценкой с помощью командлета Start-MailboxSearch. Затем можно извлечь оценку результатов поиска, выполнив командлет Get-MailboxSearch.

Например, выполните следующие команды, чтобы создать новый поиск eDiscovery, а затем отобразить оценку результатов поиска:

New-MailboxSearch "FY13 Q2 Financial Results" -StartDate "04/01/2013" -EndDate "06/30/2013" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics
Start-MailboxSearch "FY13 Q2 Financial Results"
Get-MailboxSearch "FY13 Q2 Financial Results"

Чтобы отобразить определенную информацию об оценке результатов поиска с предыдущего примера, выполните следующую команду:

Get-MailboxSearch "FY13 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

Дополнительные сведения об обнаружении электронных данных

  • После создания нового поиска eDiscovery можно скопировать результаты поиска в почтовый ящик найденных сообщений и экспортировать их в файл PST. Дополнительные сведения:

  • После запуска оценки результатов поиска для обнаружения электронных данных (включительно со словами в условиях поиска), вы можете просмотреть статистику ключевых слов, щелкнув элемент Просмотреть статистику ключевых слов в области сведений для выбранного поиска. Она содержит сведения о количестве элементов, возвращаемых для каждого ключевого слова в поисковом запросе. Но если поиск включает более 100 исходных почтовых ящиков, при попытке просмотреть статистику ключевых слов возвращается ошибка. Для просмотра статистики ключевых слов поиск должен включать не более 100 исходных почтовых ящиков.