Поделиться через

Создание поисковых запросов в eDiscovery с помощью построителя условий

Построитель условий обеспечивает простой в использовании интерфейс поиска при создании поисковых запросов в eDiscovery. Построитель условий в наборах поиска и проверки позволяет создавать простые и сложные ключевое слово запросы, запросы с операторами (AND, OR) или и то, и другое для идентификации элементов в организации.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Использование построителя условий

Чтобы создать запрос и пользовательскую условную фильтрацию для поиска, используйте следующие элементы управления:

  • Условие "Ключевые слова " всегда доступно в качестве первого условия в запросе, что упрощает начало работы с задачами поиска. Это условие поддерживает только оператор Equal и удаляется из запроса с помощью команды Delete. В поле Значение условия Ключевых слов примените логические операторы, такие как AND, OR и NEAR. Например, ввод red AND blue обрабатывает И как логический оператор, а не как литеральный ключевое слово. Чтобы найти точную фразу, например "red and blue", заключите текст в кавычки. Это указывает поисковой системе обрабатывать текст как одну строку. Вы также можете нажать клавишу ВВОД на клавиатуре, чтобы создать новую сетку для следующего ключевое слово. Если вставить список ключевых слов, разделенных разрывами строк (возврат каретки), система автоматически создает отдельную сетку для каждого ключевое слово.

    При вводе нескольких сегментов ключевое слово с помощью построителя условий запрос можно преобразовать в KeyQL, а каждый сегмент ключевое слово отделяется c:s. Если запрос включает несколько условий ключевое слово, результирующий KeyQL включает c:s, чтобы обеспечить ключевое слово сегментирования, чтобы вы могли видеть попадания на сегмент. Это поведение выполняется автоматически и не требует ввода C:s вручную в KeyQL построителе.

    Примечание.

    Чтобы создать отчет ключевое слово в представлении статистики, необходимо заполнить не менее двух или более ключевое слово сетки. Если ввести только один ключевое слово, отображается общее число попаданий, отражающее результаты для этого ключевое слово, а отчет о ключевое слово не создается.

  • Добавить условия. Добавьте условие для конкретных источников данных для поиска. Чтобы добавить дополнительные условия в запрос, выберите Добавить условия , чтобы отобразить список доступных условий. При каждом выборе значения условия в запрос добавляется новое условие. Выберите оператор AND/OR соответствующим образом.

  • AND/OR: эти условные логические операторы позволяют выбрать операцию запроса, которая применяется к конкретному условию. Эти операторы позволяют использовать несколько условий, подключенных к запросу. Оператор, следующий за условием ключевое слово, должен иметь значение AND.

  • Выбор оператора. В зависимости от выбранного условия доступны операторы, совместимые с условием. Например, если выбрать условие Дата , доступны операторы Before, After и Between. Если выбрано условие Размер (в байтах), доступные операторы: Больше, Больше или равно, Меньше, Меньше или равно, Между и Равно.

  • Значение. В зависимости от выбранного условия значения, совместимые с условием, отображаются в области сведений о значении или можно добавить встроенные значения. В зависимости от типа условия, связанного со значением, отображаются параметры для определения, фильтрации или поиска значений, связанных с выбранным условием. Например, если в качестве условия выбрать Отправитель , можно найти и добавить определенных пользователей в организации или внешних пользователей. Если в качестве условия выбрано значение Размер (в байтах), вы увидите параметр для ввода числа для размера в качестве значения. Если значение пустое, граница поля значения отображается красным цветом, чтобы уведомить вас о необходимости значения.

  • Удалить условие фильтра. Чтобы удалить отдельное условие, щелкните значок удаления справа от каждой строки фильтра.

  • Очистите значение фильтра: Чтобы очистить значение для определенного условия, щелкните значок удаления справа от каждой строки фильтра.

  • Сохранить как черновик. Чтобы сохранить текущий набор условий в виде черновика, выберите Сохранить как черновик над областью построителя условий.

  • Отменить. Чтобы отменить все изменения, внесенные в поиск, включая условия и источник данных, выберите Отменить над областью построителя условий.

Рекомендации по использованию условий

При использовании условий поиска учитывайте следующие рекомендации.

  • Условие логически подключается к запросу ключевое слово (указанному в условии ключевое слово) оператором AND. Это подключение означает, что элементы должны соответствовать как ключевое слово запросу, так и условию для включения в результаты.
  • Все условия, которые соответствуют условию ключевое слово, группируются вместе.
  • При добавлении двух или более уникальных условий в поисковый запрос (условия, указывающие различные свойства), эти условия логически подключаются с помощью операторов AND и OR . Это подключение означает, что поиск возвращает только элементы, удовлетворяющие всем условиям (в дополнение к любому запросу ключевое слово).
  • Если добавить несколько значений (разделенных запятыми или точками с запятой) к одному условию, эти значения соединяются с помощью оператора OR . Это подключение означает, что поиск возвращает элементы, если они содержат какие-либо из указанных значений свойства в условии.
  • Любое условие, использующее оператор с логикой Contains и Equals, возвращает аналогичные результаты поиска для простых строковых запросов. Простой поиск строк — это строка в условии, которая не содержит подстановочный знак. Например, условие, использующее значение Equals any of, возвращает те же элементы, что и условие, в котором используется параметр Contains any of .
  • Поисковый запрос, создаваемый с помощью поля ключевых слов и условий, отображается на странице Поиск в области сведений для выбранного поиска. В запросе все, что справа от нотации (c:c) указывает на условия, которые вы добавляете в запрос. Не используйте (c:c) в запросах, введенных вручную. (c:c) не равно И или ИЛИ.

Поиск и выбор условий

Выбрав Добавить условия в построителе условий, вы получите быстрый доступ к некоторым часто используемым условиям, таким как Дата, Тема/Заголовок и Участники , а также к условиям, которые вы использовали в последнее время. Выберите Показать больше , и откроется панель Выберите условия для добавления всплывающего элемента, чтобы помочь вам уточнить поисковый запрос с помощью определенных условий. Используйте параметры в следующих разделах, чтобы помочь вам выбрать подходящие условия.

Фильтрация условий по областям

Быстро отфильтруйте представление условия для почтовых ящиков и свойств сайта, чтобы найти конкретное условие для поискового запроса. Фильтрация доступных условий в следующих глобальных группах:

  • Все: отображаются все условия и группы условий.
  • Общие. Фильтрует и отображает только условия, применимые как к почтовым ящикам, так и к сайтам.
  • Почтовые ящики Exchange: фильтрует и отображает только условия, применимые к почтовым ящикам.
  • Сайты SharePoint и OneDrive. Фильтрует и отображает только условия, применимые к сайтам SharePoint и OneDrive.

Средство выбора условий

Чтобы быстро найти конкретное условие, используйте поле Сообщите нам, что вы ищете, чтобы ввести имя условия. Результаты автоматически область в фильтр для глобальных групп. Например, чтобы найти любое условие с именем Type (или условие, содержащее тип термина в имени условия), выберите Все в качестве глобального фильтра, а затем введите тип в поле Сообщите нам, что вы ищете . Представление условия возвращает все условия во всех группах условий, содержащих тип термина. Выберите применимое условие для добавления в поисковый запрос.

Страница для выбора условий для добавления в поиск.

Важно!

Ключевое слово и условия KeyQL можно использовать только один раз в построителе условий.

Пример сценария

Администратору обнаружения электронных данных необходимо создать запрос для поиска сообщений электронной почты, отправленных с User1 в User2, которые были отправлены в период с 15 сентября 2024 г. по 15 октября 2024 г., который содержит ключевые слова соответствия требованиям и аудиту. В этом примере администратор создает следующий запрос с помощью нового построителя запросов:

  1. Для первого фильтра администратор использует условие "Ключевые слова", оператор "Равно" и "Соответствие, аудит" в качестве значения ключевое слово.
  2. Затем администратор выбирает Добавить условия, отправителю, затем выбирает оператор Contains any of , а затем введите User1@contoso.com в поле Значение . Сюда могут входить внешние пользователи.
  3. Затем администратор выбирает Добавить условия, выбирает фильтр Кому , затем выбирает оператор Содержит любой из , а затем выбирает User2@contoso.com в поле Значение . Сюда могут входить внешние пользователи.
  4. Чтобы определить диапазон дат, администратор выбирает добавить условия, выбирает дату, затем оператор Between , а затем выбирает начальную и конечную даты для значения.
  5. Наконец, администратор выбирает Выполнить запрос , чтобы вернуть результаты, соответствующие условиям и их значениям.

Пример поиска по построителю условий.

Использование условий поиска

Вы можете добавить условия в поисковый запрос, чтобы сузить поиск и вернуть более точный набор результатов. Каждое условие добавляет предложение в поисковый запрос KeyQL, который создается и выполняется при запуске поиска.

Специальные символы

Некоторые специальные символы не включаются в поисковый индекс и, следовательно, недоступны для поиска. Это ограничение также применяется к специальным символам, представляющим операторы поиска в поисковом запросе. Ниже приведен список специальных символов, которые либо заменяются пустым пробелом в фактическом поисковом запросе, либо вызывают ошибку поиска.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Условия для общих свойств

Создайте условие с помощью общих свойств при поиске в почтовых ящиках и на сайтах. В следующей таблице перечислены доступные свойства, которые следует использовать при добавлении условия.

Условие Описание
Тип содержимого1 Применяется к элементам Exchange и SharePoint, он относится к типу или категории содержимого.

Например, ContentKind:SharePointDocument, ContentKind:Copilot и т. д.
Приложение источника содержимого1 Определяет приложение или службу, в которых возникло содержимое.

Например, ContentSourceApplication:OneDriveForBusiness, ContentSourceApplication:SharePoint и т. д.
Date Для электронной почты — дата создания или импорта сообщения из PST-файла. Для документов — дата последнего изменения документа.

Если вы ищете сообщения электронной почты за определенный период времени, используйте условия сообщения Получено и Отправлено , если вы не уверены, что сообщения электронной почты могут быть импортированы, а не созданы изначально в Exchange.
Идентификатор1 Для электронной почты — идентификатор определенного сообщения. Идентификаторы сообщений включаются в запись аудита, оповещения защиты от потери данных (DLP) или метаданные набора проверок и позволяют создать конкретный поиск для отдельного сообщения.

Для сообщений Microsoft Teams — идентификатор чата или реакции. ChatThreadID включается в запись аудита, оповещения защиты от потери данных (DLP) или метаданные набора проверок и позволяет создать конкретный поиск для отдельного чата или реакции.
Отправитель или автор Для электронной почты: отправитель сообщения. Для документов: пользователь, указанный в поле автора в документах Office. Можно ввести несколько имен, разделенных запятой. Два или более значений, логически соединенных с помощью оператора OR.
(См. раздел Расширение получателей)
Размер (в байтах) Для электронной почты и документов: размер элемента (в байтах).
Тема или заголовок Для электронной почты: текст в строке темы сообщения. Для документов: заголовок документа. Свойство Title — это метаданные, указанные в документах Microsoft Office. Можно ввести имена нескольких тем или заголовков, разделенных запятыми. Два или более значений, логически соединенных с помощью оператора OR.

Примечание. Не добавляйте двойные кавычки к значениям этого условия, так как кавычки добавляются автоматически при использовании этого условия поиска. При добавлении кавычек к значению к значению условия добавляются две пары двойных кавычек, а поисковый запрос возвращает ошибку.
Метка хранения Для электронной почты и документов к сообщениям и документам применяются метки хранения. Метки хранения можно использовать для объявления записей и управления жизненным циклом данных содержимого путем применения правил хранения и удаления, заданных меткой. Дополнительные сведения о метках хранения см. в статье Сведения о политиках хранения и метках хранения.

Условия для свойств почты

Создайте условие с помощью свойств почты при поиске в почтовых ящиках или общедоступных папках в Exchange Online. В следующей таблице перечислены свойства электронной почты, которые можно использовать для условия. Эти свойства являются подмножеством свойств электронной почты, которые были описаны ранее. Эти описания повторяются для вашего удобства.

Условие Описание
Тип сообщения Тип сообщений для поиска. Это свойство совпадает со свойством Kind email. Возможные значения:
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Участники Все поля людей в сообщении электронной почты. Эти поля: "От", "Кому", "Копия" и "Ск". (См. раздел Расширение получателей)
ПОЛУЧЕНО Дата получения сообщения адресатом. Это свойство совпадает со свойством Received email.
Recipients Все поля получателя в сообщении электронной почты. Эти поля: Кому, Копия и Ск. (См. раздел Расширение получателей)
Sender Отправитель сообщения электронной почты.
Sent Дата отправки сообщения отправителем. Это свойство совпадает со свойством отправленного сообщения электронной почты.
Subject Текст в строке темы сообщения электронной почты.

Примечание. Не добавляйте двойные кавычки к значениям этого условия, так как кавычки добавляются автоматически при использовании этого условия поиска. При добавлении кавычек к значению к значению условия добавляются две пары двойных кавычек, а поисковый запрос возвращает ошибку.
To Получатель сообщения электронной почты в поле Кому.
Раздел1 Сводка основной темы или темы, обсуждаемой в потоке электронной почты или беседе.
Класс элемента Свойство класса сообщений для элемента электронной почты. Это многозначное условие. Чтобы выбрать несколько классов сообщений, удерживайте клавишу CTRL и выберите в раскрывающемся списке два или более классов сообщений, которые нужно добавить в условие. Каждый класс сообщения, выбранный в списке, логически соединен оператором OR в соответствующем поисковом запросе.

Список классов сообщений (и их соответствующий идентификатор класса), используемых Exchange и которые можно выбрать в списке Класс сообщения , см. в разделе Типы элементов и классы сообщений.

Условия для свойств документов

Создайте условие с помощью свойств документа при поиске документов на сайтах SharePoint и OneDrive. В следующей таблице перечислены свойства документа, которые можно использовать для условия. Эти свойства являются подмножеством свойств сайта, описанных ранее. Эти описания повторяются для вашего удобства.

Условие Описание
Автор Поле автора в документах Microsoft Office, которое сохраняется при копировании документа. Например, если пользователь создает документ и отправляет его по электронной почте другому пользователю, который затем отправляет его в SharePoint, в документе по-прежнему сохраняется исходный автор.
Создано Дата создания документа.
Тип файла Расширение файла; например, docx, one, pptx или xlsx. Это свойство совпадает со свойством FileExtension сайта.

Примечание: При включении условия типа файла с помощью оператора Equals или Equals any of в поисковом запросе вы не сможете использовать поиск префиксов (включив подстановочный знак ( * ) в конце типа файла) для возврата всех версий типа файла. В этом случае подстановочный знак игнорируется. Например, если включить условие Equals any of doc*, возвращаются только файлы с расширением .doc . Файлы с расширением .docx не возвращаются. Чтобы вернуть все версии типа файла, используйте пару свойство:значение в запросе ключевое слово, например filetype:doc*.
Дата последнего изменения Дата последнего изменения документа.
Путь1 URL-адрес или расположение файла или папки на сайте SharePoint.
Тип конфиденциальной информации (SIT)1 Типы конфиденциальной информации, включенные в документы. SiT — это классификаторы на основе шаблонов, и они обнаруживают конфиденциальную информацию, такую как социальное обеспечение, кредитные карта или номера банковских счетов, для идентификации конфиденциальных элементов. Дополнительные сведения о типах конфиденциальной информации см. в разделе Сведения о типах конфиденциальной информации.
Метка конфиденциальности1 Метки конфиденциальности, применяемые к документам. Метки конфиденциальности позволяют классифицировать и защищать данные организации, обеспечивая при этом, чтобы производительность пользователей и их способность к совместной работе не препятствовали. Дополнительные сведения о метках конфиденциальности см. в статье Сведения о метках конфиденциальности.
Название Заголовок документа. Свойство Title — это метаданные, указанные в документах Office. Оно отличается от имени файла документа.

Операторы, используемые с условиями

При добавлении условия выберите оператор, соответствующий типу свойства условия. В следующей таблице описаны операторы, работающие с условиями, и перечислены эквивалентные операторы, используемые в поисковом запросе.

Оператор Эквивалент запроса Описание
После property>date Используйте с условиями даты. Возвращает элементы, отправленные, полученные или измененные после указанной даты.
До property<date Используйте с условиями даты. Возвращает элементы, отправленные, полученные или измененные до указанной даты.
Между date..date Используется с условиями даты и размера. При использовании с условием даты возвращает элементы, которые были отправлены, получены или изменены в пределах указанного диапазона дат. При использовании с условием размера возвращает элементы, размер которых находится в заданном диапазоне.
Contains any of (property:value) OR (property:value) Используйте с условиями для свойств, указывающих строковое значение. Возвращает элементы, которые содержат любую часть одного или нескольких указанных строковых значений.
Doesn't contain any of -property:value

NOT property:value

 Используйте с условиями для свойств, указывающих строковое значение. Возвращает элементы, которые не содержат ни одной части указанного строкового значения.
Doesn't equal any of -property=value

NOT property=value

 Используйте с условиями для свойств, указывающих строковое значение. Возвращает элементы, которые не содержат определенную строку.
Равно2 size=value Возвращает элементы, размер которых равен указанному.
Equals any of (property=value) OR (property=value) Используйте с условиями для свойств, указывающих строковое значение. Возвращает элементы, которые соответствуют одному или нескольким указанным строковым значениям.
Больше2 size>value Возвращает элементы, в которых заданное свойство больше заданного значения.
Больше или равно2 size>=value Возвращает элементы, в которых заданное свойство больше или равно заданному значению.
Меньше2 size<value Возвращает элементы, которые меньше указанного значения.
Меньше или равно2 size<=value Возвращает элементы, которые меньше или равны заданному значению.
Не равно2 size<>value Возвращает элементы, размер которых не равен указанному.

Примечание.

1 Этот оператор является условием функции eDiscovery premium.

2 Этот оператор доступен только для условий, использующих свойство Size .

  • Last updated on