Свойства сообщений и операторы поиска для In-Place обнаружения электронных данных в Exchange Online
В этом разделе описаны свойства сообщений электронной почты Exchange, которые можно искать с помощью In-Place обнаружения электронных данных & удержание в Exchange Server и Exchange Online. The topic also describes Boolean search operators and other search query techniques that you can use to refine eDiscovery search results.
In-Place eDiscovery использует язык запросов по ключевым словам (KQL). Дополнительные сведения см. в статье Справочник по синтаксису языка запросов ключевых слов.
Свойства, доступные для поиска в Exchange
В следующей таблице перечислены свойства сообщений электронной почты, доступные для поиска при обнаружении электронных данных на месте или с помощью команды New-MailboxSearch или Set-MailboxSearch. Таблица содержит пример синтаксиса property:value для каждого свойства и описание результатов поиска, возвращаемых примерами.
| Свойство | Описание свойства | Примеры | Результаты поиска, возвращаемые примерами |
|---|---|---|---|
| Вложение | Имена файлов, вложенных в сообщение электронной почты. | attachment:annualreport.ppt attachment:annual* |
Сообщения, в которые вложен файл annualreport.ppt. Во втором примере при использовании подстановочного знака возвращаются сообщения со вложениями, в названиях которых есть слово "annual". |
| Bcc | Поле "СК" электронного письма.1 | Bcc:pilarp@contoso.com bcc:pilarp bcc:"Pilar Pinilla" |
Все примеры возвращают сообщения, в поле "Скрытая копия" которых добавлен пользователь "Pilar Pinilla". |
| Category | Категории поиска. Категории могут быть определены пользователями с помощью Outlook или Outlook в Интернете (прежнее название — Outlook Web App). Возможные значения:
|
category:"Красная категория" | Сообщениям, которым назначена красная категория в исходных почтовых ящиках. |
| Копия | Поле "Копия" электронного письма.1 | См3:pilarp@contoso.com cc:"Pilar Pinilla" |
В обоих примерах возвращаются сообщения, в поле "Копия" которых указан пользователь "Pilar Pinilla". |
| From | Отправитель электронного письма.1 | От:pilarp@contoso.com from:contoso.com |
Сообщения, отправленные указанным пользователем или с указанного домена. |
| Importance | Важность сообщения, которую отправитель может указать при отправке. По умолчанию сообщения отправляются с обычной важностью, если отправитель не укажет высокую или низкую важность. | importance:high importance:medium importance:low |
Сообщения, которым назначена высокая, средняя или низкая важность. |
| Kind | Тип сообщений для поиска. Возможные значения:
|
kind:email kind:email OR kind:in OR kind:voicemail |
Сообщения, соответствующие критериям поиска. Второй пример возвращает сообщения электронной почты, сеансы обмена мгновенными сообщениями и голосовые сообщения, соответствующие критериям поиска. |
| Participants | Все поля пользователей в электронном письме: "От", "Кому", "Копия" и "СК".1 | Участников:garthf@contoso.com participants:contoso.com |
Сообщения, отправленные или отправленные в garthf@contoso.com. Второй пример возвращает все сообщения, отправленные или полученные пользователем домена contoso.com. |
| Received | Дата получения сообщения адресатом. | получено:15.04.2014 received>=01/01/2014 AND received<=31/03/2014 |
Сообщения, полученные 15 апреля 2014 г. Второй пример возвращает все сообщения, полученные с 1 января до 31 марта 2014 г. |
| Recipients | Все поля получателей в электронном письме: "Кому", "Копия" и "СК".1 | Получателей:garthf@contoso.com recipients:contoso.com |
Сообщения, отправленные в garthf@contoso.com. Второй пример возвращает сообщения, отправленные получателям на домене contoso.com. |
| Sent | Дата отправки сообщения отправителем. | отправлено:07/01/2014 sent>=01.06.2014 AND sent<=01.07.2014 |
Сообщения, отправленные 1 июля 2014 г. Во втором примере возвращаются все сообщения, отправленные в период с 1 июня 2014 г. по 1 июля 2014 г. |
| Размер | Размер элемента в байтах. | размер>26214400 size:1..1048576 |
Сообщения больше 25 МБ. Во втором примере возвращаются сообщения размером от 1 до 1 048 576 байт (1 МБ). |
| Subject | Текст в строке темы сообщения электронной почты. | subject:"Квартальное финансирование" subject:northwind |
Сообщения, которые содержат точную фразу "Квартальное финансирование" в строке темы. Второй пример возвращает все сообщения, которые содержат слово northwind в строке темы. |
| Кому | Поле "Кому" электронного письма.1 | Кому:annb@contoso.com to:annaye to: "Анна Ермолаева" |
Все примеры возвращают сообщения, в поле "Кому" которых указано имя "Анна Ермолаева". |
Примечание.
1 В качестве значения свойства получателя вы можете использовать SMTP-адрес, отображаемое имя или псевдоним пользователя. Например, можно использовать annb@contoso.com, annb или "Ann Beebe", чтобы указать пользователя Ann Beebe.
Поддерживаемые операторы поиска
Логические операторы поиска, такие как AND, OR, помогают определить более точный поиск в почтовых ящиках, включив или исключив определенные слова в поисковый запрос. Другие методы, например использование операторов свойств (например, >= or ..), кавычек, скобок и подстановочных знаков, помогают уточнять поисковые запросы обнаружения электронных данных. В следующей таблице перечислены операторы, позволяющие сократить или расширить область результатов поиска.
Важно!
В поисковом запросе необходимо использовать прописные логические операторы. Например, используйте AND; не используйте и. В противном случае будет возвращена ошибка.
| Оператор | Применение | Описание |
|---|---|---|
| И | keyword1 AND keyword2 | Возвращает сообщения, включающие все указанные ключевые слова или property:value выражения. |
| + | keyword1 +keyword2 +keyword3 | Возвращает элементы, содержащие илиkeyword2keyword3, а также содержащие keyword1. Таким образом, этот пример эквивалентен запросу (keyword2 OR keyword3) AND keyword1. Запрос keyword1 + keyword2 (с пробелом после символа + ) не совпадает с использованием оператора AND . Этот запрос будет эквивалентен "keyword1 + keyword2" и возвращает элементы с точной фазой "keyword1 + keyword2". |
| ИЛИ | keyword1 OR keyword2 | Возвращает сообщения, включающие одно или несколько указанных ключевых слов или property:value выражений. |
| NOT | keyword1 NOT keyword2 NOT from:"Анна Ермолаева" |
Исключает сообщения, указанные ключевое слово или выражениемproperty:value. Например, исключает сообщения, NOT from:"Ann Beebe" отправленные Энн Биб. |
| - | keyword1 -keyword2 | Аналогичен оператору NOT. Этот запрос возвращает элементы, содержащие keyword1 и исключающие элементы, содержащие keyword2. |
| NEAR | keyword1 NEAR(n) keyword2 | Возвращает сообщения, в которых слова располагаются рядом друг с другом, где "n" означает количество слов по отдельности. Например, возвращает сообщения, best NEAR(5) worst в которых слово "худший" находится в пяти словах "лучший". Если число не указано, расстояние по умолчанию составляет восемь слов. |
| : | свойство:значение | Двоеточие (:) в синтаксисе property:value указывает, что искомое значение свойства равно указанному значению. Например, возвращает любое сообщение, recipients:garthf@contoso.com отправленное в garthf@contoso.com. |
| < | свойство<значение | Указывает, что значение искомого свойства меньше указанного значения. 1 |
| > | свойство>значение | Указывает, что значение искомого свойства больше указанного значения.1 |
| <= | свойство<=значение | Указывает, что значение искомого свойства меньше или равно указанному значению.1 |
| >= | свойство>=значение | Указывает, что значение искомого свойства больше или равно указанному значению.1 |
| .. | property:value1.. value2 | Указывает, что значение искомого свойства больше или равно значению 1 и меньше или равно значению 2.1 |
| " " | "реальная стоимость" subject:"Квартальное финансирование" |
Используйте двойные кавычки (" ") для поиска точной фразы или термина в ключевое слово и property:value поисковых запросах. |
| * | Кошка* subject:set* |
Префикс поиска с подстановочными знаками (где звездочка помещается в конец слова) соответствует нулю или нескольким символам в ключевых словах или property:value запросах. Например, возвращает сообщения, subject:set* содержащие набор слов, установку и настройку (а также другие слова, начинающиеся с "set") в строке темы. |
| ( ) | (реальная OR бесплатная) AND from:contoso.com (IPO OR первичное) AND (биржа OR акции) (квартальное финансирование) |
Круглые скобки группировать логические фразы, property:value элементы и ключевые слова. Например, возвращает элементы, (quarterly financials) содержащие слова ежеквартально и финансовые. |
Примечание.
1 Этот оператор используется для свойств, значения которых являются числами или датами.
Неподдерживаемые символы в поисковых запросах
Как правило, при использовании неподдерживаемых символов в поисковом запросе возникает ошибка поиска или возвращаются неподходящие результаты. Как правило, неподдерживаемые символы скрыты и добавляются в запрос при его полном или частичном копировании из других приложений (например, Microsoft Word или Microsoft Excel) и вставке в поле ключевых слов на странице запроса поиска с помощью функции обнаружения электронных данных.
Ниже представлен список неподдерживаемых символов для поисковых запросов с использованием функции обнаружения электронных данных.
Интеллектуальные кавычки. Интеллектуальные одиночные и двойные кавычки (также называемые фигурными кавычками) не поддерживаются. В поисковом запросе можно использовать только прямые кавычки.
Непечатаемые и управляющие символы. Непечатаемые и управляющие символы не представляют собой письменный символ, например буквенно-цифровой символ. К непечатаемым и управляющим символам относятся символы, которые форматируют текст или разделяют его на строки.
Знаки слева направо и справа налево: это управляющие символы, используемые для указания направления текста для языков слева направо (например, английского и испанского) и языков справа налево (например, арабского и иврита).
Логические операторы в нижнем регистре. Как уже говорилось ранее, в поисковом запросе необходимо использовать логическое операторы верхнего регистра, такие как AND и OR. Синтаксис запроса часто указывает, что используется логический оператор, даже если могут использоваться операторы нижнего регистра; например,
(WordA or WordB) and (WordC or WordD).
Как предотвратить появление неподдерживаемых символов в поисковых запросах? Лучший способ избежать неподдерживаемых символов просто ввести запрос в поле ключевых слов. Кроме того, вы можете скопировать запрос из Word или Excel, а затем вставить его в файл в обычном текстовом редакторе, например "Блокноте". После этого сохраните текстовый файл и выберите ANSI в раскрывающемся списке Кодировка. При этом удаляются форматирование и неподдерживаемые символы. Затем вы можете скопировать запрос из текстового файла и вставить его в поле запроса по ключевым словам.
Советы по поиску
Поиск по ключевым словам не учитывает регистр. Например, результаты поиска по словам кот и КОТ будут одинаковыми.
Интервал между двумя ключевыми словами или двумя
property:valueвыражениями такой же, как и при использовании И. Например, возвращает все сообщения,from:"Sara Davis" subject:reorganizationотправленные Сарой Дэвис, которые содержат слово "реорганизация " в строке темы.Используйте синтаксис, соответствующий формату
property:value. Значения не чувствительны к регистру и не могут содержать пробел после оператора. При наличии пробела предполагаемое значение будет выполняться только при полнотекстовом поиске. Например, выражение to: pilarp ищет ключевое слово pilarp, а не сообщения, отправленные пользователю pilarp.При поиске свойства получателя, например To, From, Cc или Recipients, можно использовать SMTP-адрес, псевдоним или отображаемое имя получателя. Например, можно использовать pilarp@contoso.com, pilarp или "Pilar Pinilla".
Можно использовать только поиск с подстановочными знаками (например, cat* или set*). Поиск суффиксов с подстановочными знаками (*cat) или поиск с подстрокой (*cat*) не поддерживается.
Если искомое значение состоит из нескольких слов, то используйте двойные кавычки (" "). Например , subject:budget Q1 возвращает сообщения, содержащие бюджет в строке темы и содержащие Q1 в любом месте сообщения или в любом из свойств сообщения. Выражение subject:"бюджет КВ1" возвращает все сообщения, содержащие фразу бюджет КВ1 в строке темы.