共用方式為

在電子檔探索 (預覽) 中搜尋檢閱集中的內容

  • 發行項

在大部分情況下,更深入瞭解檢閱集中的內容並加以組織,以促進更有效率的檢閱很有用。 在檢閱集中使用篩選和查詢,可協助您專注於符合檢閱準則的檔子集。 如需可用搜尋條件的詳細資訊,請參閱 使用條件產生器在電子檔探索中建立搜尋查詢 (預覽)

提示

開始使用 Microsoft Copilot for Security,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security

預覽) (進階篩選

改善舊版的預設篩選,電子檔探索 (預覽) 提供進階篩選,可讓您為檢閱集建置更有彈性和進階的篩選。 進階篩選可讓您:

  • 快速搜尋篩選條件。
  • 使用子群組、 ANDOR 條件建立複雜的篩選。
  • 使用 復原篩選查詢取消復原篩選查詢 控制項輕鬆變更查詢。
  • 管理已儲存的篩選條件,而不需要流覽至另一個區域。
  • 針對每個篩選條件,使用 是空的,而且不是空的條件。

重要事項

檢閱集會顯示每個頁面最多 1,000 個專案,最多 10 頁 (每個檢閱集) 顯示總計 10,000 個專案。 視需要使用預設或自定義篩選來調整顯示的專案。 相符的項目計數是估計值。

預覽) (進階篩選控件

若要建立和自定義檢閱集的篩選,請使用下列控件:

  • AND/OR:這些條件式邏輯運算符可讓您選取套用至特定篩選和篩選子群組的查詢條件。 這些運算子可讓您使用多個篩選或子群組連線到查詢中的單一篩選器。
  • 選取篩選:可讓您選取特定數據源的篩選條件,以及針對搜尋選取的位置內容。
  • 新增篩選:可讓您將多個篩選條件新增至查詢。 在您定義至少一個查詢篩選器之後,即可使用。
  • 選取運算符:根據選取的篩選條件,可以選取與篩選相容的運算符。 例如,如果選取 [日期 ] 篩選條件,則可用的運算符為 BeforeAfterBetween。 如果選 取 [大小] (位元組) 篩選條件,可用的運算符會是 [大於]、[ 大於] 或 [等於]、[ 小於]、[ 小於] 或 [等於]、[ 介於] 和 [ 等於]
  • :根據選取的篩選條件,可以使用與篩選相容的值。 此外,某些篩選條件支援多個值,而某些篩選器支援一個特定值。 例如,如果選取 [日期 ] 篩選條件,請選取日期值。 如果選取 [ 大小 (位元組) 篩選,請選取位元組的值。
  • 新增子群組:定義篩選之後,您可以新增子群組來精簡篩選所傳回的結果。 您也可以將子群組新增至子群組,以進行多層式查詢精簡。
  • 拿掉篩選條件:若要移除個別篩選或子群組,請選取每個篩選條件行或子群組右邊的 [移除 ] 圖示。
  • 全部清除:若要清除所有篩選條件和子群組的整個查詢,請選取 [ 全部清除]

若要從檢閱集移除進階篩選控制件,請選取 [ 管理>隱藏進階篩選 (預覽) 。 若要顯示進階篩選器,請) 管理> (預覽顯示進階篩選器。 顯示或隱藏進階篩選時,會移除現有的篩選。 若要保留篩選,請將它們儲存為查詢。

篩選類型

檢閱集中每個可搜尋的欄位都有對應的篩選條件,您可以根據特定欄位來用於篩選專案。

篩選條件有多種類型:

  • Freetext:Freetext 篩選會套用至文字字段,例如 Subject。 您可以使用逗號分隔多個搜尋字詞,以列出這些字詞。
  • 日期:日期篩選器用於日期欄位,例如 上次修改日期
  • 搜尋選項:搜尋選項篩選器會提供可能值的清單 (每個值都會顯示一個複選框,您可以在檢閱中選取特定欄位的) 。 此篩選條件用於欄位,例如 Sender,其中檢閱集內可能的值有限。
  • 關鍵詞:關鍵詞條件是可用來搜尋字詞的特定 Freetext 條件實例。 您也可以在此類型的篩選中使用類似 KQL 的查詢語言。 如需詳細資訊,請參閱本文中的查詢語言和進階查詢產生器一節。

儲存和管理篩選查詢

對篩選器感到滿意之後,您可以將篩選組合儲存為篩選查詢。 此已儲存的篩選查詢可讓您在未來的檢閱會話中套用篩選。

若要儲存篩選 ,請在 [儲存 篩選查詢] 命令行上選取 [儲存],並將其命名為 。 您或其他檢閱者可以選取 [儲存的篩選查詢] 下拉式清單,然後選取要套用至檢閱集文件的篩選查詢,來執行先前儲存的篩選查詢。

若要編輯或刪除已儲存的篩選查詢,請選取 [已儲存的 篩選查詢 ],然後展開篩選屬性,以顯示已儲存之篩選查詢的 [編輯 ] 和 [ 刪除 ] 選項。

使用 KQL 和關鍵詞篩選的查詢語言支援

使用 KQL關鍵字 篩選時,您可以使用類似 KQL 的查詢語言來建置檢閱集搜尋查詢。 這兩個篩選條件的查詢語言支援標準布爾運算元,例如 ANDORNOTNEAR。 它也支援單一字元通配符 (?) 和多字元通配符 (*) 。

注意事項

檢閱篩選器僅支援通配符 (?或 *) 單一字詞。 不支援在包含多個字詞的片語搜尋中使用通配符。

案例範例

篩選檢閱集中未標記的專案

電子檔探索系統管理員必須建立查詢,以尋找檢閱集中的所有專案,而不套用任何標記。 在此範例中,系統管理員會建立下列檢閱集篩選查詢:

  1. 針對第一個篩選條件,系統管理員會在篩選搜尋中選取篩選和類型 標籤 。 篩選 標記會 顯示為相符的選項,而系統管理員會選取它。
  2. 系統管理員接著選取 [ 選取操作員 ],然後選取 [是空 的] 運算符。 此運算符會傳回未套用任何標記的所有專案。

檢閱集會立即更新,而且只會顯示未標記的專案。

篩選檢閱集中的原生檔類型專案

電子檔探索系統管理員必須建立查詢,以尋找檢閱集中屬於特定類型的所有專案,例如 .csv、.msg或 .pdf。 在此範例中,系統管理員會建立下列檢閱集篩選查詢:

  1. 針對第一個篩選條件,系統管理員會在篩選搜尋中選取篩選和類型 檔案 。 篩選 原生擴展名 是搜尋結果中顯示的其中一個篩選選項,系統管理員會加以選取。
  2. 系統管理員接著選取 [ 選取操作員 ],然後選取 [等於任何運算 符]。
  3. 系統管理員選取 [ 任何 ] 字段,並選取要包含在篩選查詢中的檔類型適用複選框。

檢閱集會立即更新,而且只會顯示符合所選檔類型的專案。

篩選部分編製索引的專案

如果您在將搜尋估計認可至檢閱集時,選取了從其他數據源加入部分索引項目的選項。 您可能想要識別並檢視這些專案,以判斷專案是否可能與您的調查相關,以及是否需要補救導致專案部分編製索引的錯誤。

此時,檢閱集中沒有篩選選項可顯示部分編製索引的專案。 但以下是您可以篩選並顯示您新增至檢閱集之部分索引專案的方式。

  1. 建立搜尋並將它新增至新的檢閱集, 而不需要 從其他數據源新增部分編製索引的專案。
  2. 複製步驟 1 中的搜尋,以建立新的介面。
  3. 將新的搜尋新增至相同的檢閱集。 但這次,從其他數據源新增部分編製索引的專案。 因為您在步驟 1 中建立的搜尋專案已新增至檢閱集,所以只有第二個搜尋中部分編製索引的專案會新增至檢閱集。
  4. 將這兩個搜尋新增至檢閱集之後,請選取檢閱集,然後選取 [載入集]
  5. 複製或記下第二個搜尋的 載入標識 碼, (您在步驟 2 中建立的) 。 搜尋名稱會在 [來源資訊] 資料行中 識別。
  6. 回到檢閱集,選取 [篩選],展開 [ 標識符 ] 區段,然後選取 [ 載入標識 符] 複選框。
  7. 展開 [負載標識 符] 篩選,然後選取對應至第二個搜尋的負載標識符複選框,以顯示部分索引的專案。

依主題篩選檔

依主題篩選檔可大幅節省檢閱文件的時間。 例如,如果您要尋找討論特定主旨的檔,您可以依與該主旨相關的主要主題來篩選檔。 您也可以依主題清單中的其他主題篩選檔,以尋找與您感興趣的檔類似的檔。 若要將檔的主題顯示為檢閱集之檔案清單中的數據行,請選取 [自定義 數據行],然後選取 [ 主控主題 ] 和 [ 主題] 清單

若要依主題篩選檔,請完成下列步驟:

  1. 在檢閱集中,選擇 [選取篩選] ,然後選取 [ 主控主題]
  2. 選取要與主控 主題 搭配使用的運算元,並定義要與運算元搭配使用的值。
  3. 使用加法 主題清單 篩選,以及適用於此篩選的運算符和值。 您可以設定 ANDOR 運算子,藉由主控 主題主題清單 值的組合來篩選檔。