Поделиться через

Создание поисковых запросов с помощью редактора KQL

  • Статья

Совет

Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).

Параметр запроса языка запросов ключевых слов (KQL) в поиске средств обнаружения электронных данных Microsoft Purview предоставляет отзывы и рекомендации по созданию поисковых запросов в поиске контента, Microsoft Purview eDiscovery (стандартный) и eDiscovery (премиум). При вводе запросов в редакторе он обеспечивает автозавершение для поддерживаемых свойств и условий поиска, а также список поддерживаемых значений для стандартных свойств и условий. Например, если указать kind свойство email в запросе, редактор отобразит список поддерживаемых значений, которые можно выбрать. Редактор KQL также отображает потенциальные ошибки запросов в режиме реального времени, которые можно исправить перед выполнением поиска. Лучше всего, вы можете вставлять сложные запросы непосредственно в редактор без необходимости создавать запросы вручную с помощью ключевых слов и карточек условий в построителе стандартных условий.

Ниже приведены основные преимущества использования редактора KQL.

  • Предоставляет рекомендации и помогает создавать поисковые запросы с нуля.
  • Позволяет быстро вставлять длинные сложные запросы непосредственно в редактор. Например, если вы получаете сложный запрос от противоположного советника, его можно вставить в редактор KQL вместо использования построителя условий.
  • Быстро определяет потенциальные ошибки и отображает подсказки по устранению проблем.

Редактор KQL также доступен при создании удержаний на основе запросов в eDiscovery (стандартный) и eDiscovery (премиум).

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Отображение редактора KQL

При создании или изменении поиска eDiscovery параметр для отображения и использования редактора KQL находится на странице Условия в мастере поиска или коллекций.

Редактор KQL в поиске контента и обнаружении электронных данных (стандартный)

Редактор KQL в поиске контента и обнаружении электронных данных (стандартный)

Редактор KQL в eDiscovery (премиум)

Редактор KQL в eDiscovery (премиум)

Использование редактора KQL

В следующих разделах показаны примеры того, как редактор KQL предоставляет предложения и обнаруживает потенциальные ошибки.

Автозаполнения свойств и операторов поиска

Когда вы начнете вводить поисковый запрос в редакторе KQL, редактор отображает предлагаемое автозаполнения поддерживаемых свойств поиска (также называемых ограничениями свойств), которые можно выбрать. Необходимо ввести не менее двух символов, чтобы отобразить список поддерживаемых свойств, которые начинаются с этих двух символов. Например, на следующем снимку экрана показаны предлагаемые свойства поиска, начинающиеся с Se.

Редактор KQL предлагает поддерживаемые свойства

Кроме того, при вводе полного имени свойства редактор также предлагает список поддерживаемых операторов (например :, и =<>). Например, на следующем снимку экрана показаны рекомендуемые операторы для Date свойства .

Редактор KQL предлагает операторы

Дополнительные сведения о поддерживаемых свойствах и операторах поиска см. в разделе Запросы ключевых слов и условия поиска для обнаружения электронных данных.

Предложения значений свойств

Редактор KQL предоставляет рекомендации по возможным значениям некоторых свойств. Например, на следующем снимку экрана показаны рекомендуемые значения для Kind свойства .

Редактор KQL предлагает значения для некоторых свойств

Редактор также предлагает список пользователей (в формате имени участника-пользователя) при вводе свойств получателя электронной почты, таких как From, ToRecipients и Participants.

Редактор KQL предлагает пользователям свойства электронной почты получателя

Обнаружение потенциальных ошибок

Редактор KQL обнаруживает потенциальные ошибки в поисковых запросах и предоставляет подсказку о причинах ошибки, чтобы помочь вам устранить ошибку. Редактор также указывает на потенциальную ошибку, если свойство не имеет соответствующей операции или значения. Потенциальные ошибки в запросе выделены красным текстом, а объяснения и возможные исправления для ошибки отображаются в раскрывающемся списке Потенциальные ошибки .

Важно!

Вложенные кавычки не поддерживаются в редакторе KQL.

Например, если вы вставили следующий запрос в редактор KQL, будут обнаружены четыре потенциальных ошибки.

Обнаружение ошибок редактора KQL

В этом случае можно использовать потенциальные указания об ошибках для устранения неполадок и исправления запроса.

Дополнительная информация

  • Можно переключаться между построителем условий и редактором KQL. Например, если вы используете построитель условий для настройки запроса с помощью поля Ключевые слова и несколько карточек условий, можно отобразить результирующий запрос в редакторе KQL. Однако при создании сложного запроса (с ключевыми словами и условиями) в редакторе KQL результирующий запрос отображается только в поле Ключевые слова при его просмотре в построителе условий.

  • Если вставить сложный запрос в редактор KQL, редактор обнаруживает потенциальные ошибки и предлагает возможные решения для их устранения.