Exchange Server 中 In-Place 电子数据展示的邮件属性和搜索运算符

本主题介绍可以使用 exchange Server 2016 或 Exchange Server 2019 中的 In-Place 电子数据展示 & 保留来搜索的 Exchange 电子邮件的属性。 The topic also describes Boolean search operators and other search query techniques that you can use to refine eDiscovery search results.

就地电子数据展示使用关键字查询语言 (KQL)。 有关详细信息,请参阅 关键字查询语言语法参考

Exchange 中的可搜索属性

下表列出了可以使用 In-Place 电子数据展示搜索或使用 New-MailboxSearchSet-MailboxSearch cmdlet 进行搜索的电子邮件属性。 该表包含每个属性的 property:value 语法示例,并介绍了这些示例返回的搜索结果。

属性 属性描述 示例 示例返回的搜索结果
Attachment 电子邮件附件的文件名。 附件:annualreport.ppt

attachment:annual*
具有名称与 annualreport.ppt 匹配的附加文件的消息,例如“annualreport.ppt”或“2017 annualreport.ppt”。

在第二个示例中,使用通配符返回附件名中带有单词"annual"的邮件。
密件抄送2 电子邮件的"密件抄送"字段。1 密件抄送: pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"
所有示例都返回"密件抄送"字段中包含"Pilar Pinilla"的邮件。
Category 搜索类别。 用户可以使用 Outlook 或 Outlook 网页版 (以前称为 Outlook Web App) 来定义类别。 有效值包含:
  • 蓝色
  • 绿色
  • 橙色
  • 紫色
  • 红色
  • 黄色
category:"Red Category" 在源邮箱中已指定红色类别的邮件。
抄送 电子邮件的"抄送"字段。1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"
在以上两个示例中,在"抄送"字段中指定了含有"Pilar Pinilla"的邮件。
发件人 电子邮件的发件人。1 从:pilarp@contoso.com

发件人:contoso.com
由指定用户或指定域发送的邮件。
Importance The importance of an email message, which a sender can specify when sending a message. By default, messages are sent with normal importance, unless the sender sets the importance as high or low. 重要性:高

重要性:中等

重要性:低
将重要性标记为高、中等或低的邮件。
Kind 要搜索的邮件类型。 有效值包含:
  • contacts
  • 文档
  • 电子邮件
  • 传真
  • 即时消息
  • 日志
  • 会议
  • 注释
  • 公告
  • RSS 源
  • 任务
  • 语音邮件
类型:电子邮件

kind: email OR kind:im OR kind:voicemail
满足搜索条件的电子邮件。 第二个示例返回满足搜索条件的电子邮件、即时消息对话以及语音邮件。
参与者2 电子邮件中的所有人员字段;这些字段分别为:发件人、收件人、抄送和密件抄送。1 参与者: garthf@contoso.com

参与者:contoso.com
由 发送或发送到 garthf@contoso.com的消息。

第二个示例返回 contoso.com 域中的用户发送的所有邮件或发送至 contoso.com 域中的用户的所有邮件。
Received 收件人接收电子邮件的日期。 received: 04/15/2015

received>=01/01/2015 AND received<=03/31/2015
2014 年 4 月 15 日接收的邮件。 第二个示例返回 2014 年 1 月 1 日和 2014 年 3 月 31 日之间接收的所有邮件。
收件人2 电子邮件中的所有收件人字段;这些字段分别为:收件人、抄送和密件抄送。1 收件人: garthf@contoso.com

recipients: contoso.com
发送到 garthf@contoso.com的消息。

第二个示例返回发送至 contoso.com 域中的任何收件人的邮件。
Sent 发件人发送电子邮件的日期。 sent: 07/01/2015

sent>=06/01/2015 AND sent<=07/01/2015
在指定日期或指定日期范围内发送的邮件。
Size 邮件的大小(以字节为单位)。 大小>26214400

size:1..1048576
邮件超过 25 MB。

第二个示例返回大小介于 1 到 1,048,576 字节 (1 MB) 之间的邮件。
Subject 电子邮件主题行中的文本。 subject:"Quarterly Financials"

主题:northwind
主题行的文本中包含精确短语"Quarterly Financials"的邮件。

第二个示例返回主题行中包含单词"northwind"的所有邮件。
收件人 电子邮件的"收件人"字段。1 自: annb@contoso.com

to:annb

to:"Ann Beebe"
所有示例返回在"收件人:"行中指定为 Ann Beebe 的邮件。

1 对于收件人属性的值,你可以使用 SMTP 地址、显示名称或别名来指定用户。 例如,可以使用 annb@contoso.com、annb 或“Ann Beebe”来指定用户 Ann Beebe。

2 在使用密件抄送、参与者或收件人属性时,请确保专注于发件人邮箱以获取正确的搜索结果。

支持的搜索运算符

布尔搜索运算符(如 ANDORNOT)通过包括或排除搜索查询中的特定字词来帮助定义更精确的邮箱搜索。 其他技术,例如使用属性运算符 (如 >= 或 .。) 、引号、括号和通配符有助于优化电子数据展示搜索查询。 下表列出了可用于缩小或扩大搜索结果的运算符。

运算符 用法 说明
AND keyword1 AND keyword2 返回包含所有指定关键字或 property: value 表达式的消息。
+ keyword1 +keyword2 +keyword3 返回 包含keyword2keyword3 也包含 keyword1的项。 因此,此示例等效于查询 (keyword2 OR keyword3) AND keyword1

查询 keyword1 + keyword2 (符号) 后的 + 空格与使用 AND 运算符不同。 此查询将等效于 "keyword1 + keyword2" 并返回具有确切阶段 "keyword1 + keyword2"的项。
OR keyword1 OR keyword2 返回包含一个或多个指定关键字或 property: value 表达式的消息。
NOT keyword1 NOT keyword2

NOT from:"Ann Beebe"
排除由关键字或 property: value 表达式指定的消息。 例如, NOT from:"Ann Beebe" 排除 Ann Beebe 发送的消息。
- keyword1 -keyword2 NOT 运算符作用相同。 此查询返回包含 keyword1 和 排除包含 keyword2的项。
NEAR keyword1 NEAR(n) keyword2 返回包含邻近字词的邮件,其中 n 表示间隔的字词数量。 例如, best NEAR(5) worst 返回消息,其中“最差”一词在“best”的五个单词内。 如果您没有指定数目,则默认距离是 8 个字词。
: property:value 语法中的 property:value 冒号 (:) 指定要搜索的属性值等于指定的值。 例如, recipients:garthf@contoso.com 返回发送到 garthf@contoso.com的任何消息。
< property<value 表示正在搜索的属性小于指定的值。 1
> property>value 表示正在搜索的属性大于指定的值。1
<= property<=value 表示正在搜索的属性小于等于指定的值。1
>= property>=value 表示正在搜索的属性大于等于指定的值。1
.. 属性: value1..value2 表示正在搜索的属性大于等于 value1,小于等于 value2。1
" " "fair value"

subject:"Quarterly Financials"
使用双引号 (“”) 在关键字和搜索查询中搜索确切的短语或 property: value 术语。
* 猫*

subject:set*
前缀通配符搜索 (,其中星号位于单词末尾,) 关键字或 property: value 查询中的零个或多个字符匹配。 例如, subject:set* 返回包含单词集、设置和设置 (以及主题行中以“set”) 开头的其他单词的消息。
( ) (公平或免费) 和来源:contoso.com

(IPO OR initial) AND (stock OR shares)

(quarterly financials)
括号将布尔短语、 property: value 项和关键字组合在一起。 例如, (quarterly financials) 返回包含“季度”和“财务”一词的项。

1 为含有日期或数值的属性使用此运算符。

2 布尔搜索运算符必须为大写形式;例如, AND 。 在搜索查询中使用小写形式的运算符将返回错误。

搜索查询不支持的字符

搜索查询中不支持的字符通常会导致搜索错误或返回意外结果。 从其他应用程序(如 Microsoft Word 或 Microsoft Excel () )复制查询或部分查询时,通常会隐藏不受支持的字符,并且通常会将其添加到查询 In-Place 电子数据展示搜索的查询页上的关键字框中。

下面列出了就地电子数据展示搜索查询不支持的字符。

  • 智能引号:不支持智能单引号和双引号 (也称为 大括号) 。 只能在搜索查询中使用直双引号。

  • 不可打印和控制字符:不可打印的和控制字符不表示书面符号,如字母数字字符。 非打印字符和控制字符示例包括设置文本格式的字符或文本换行字符。

  • 从左到右和从右向左标记:这些字符是控制字符,用于指示从左到右的语言 ((如英语和西班牙语) )和从右向左语言 ((如阿拉伯语和希伯来语) )。

  • 小写布尔运算符:如前面所述,必须在搜索查询中使用大写布尔运算符,例如 ANDOR。 查询语法通常指示正在使用布尔运算符,即使可能使用小写运算符;例如 。 (WordA or WordB) and (WordC or WordD)

如何防止搜索查询中出现不受支持的字符? 防止出现不受支持的字符的最佳方式是,在关键字框中仅键入查询。 或者,也可以从 Word 或 Excel 复制查询,然后将其粘贴到纯文本编辑器(如 Microsoft 记事本)文件中。 接下来,保存文本文件,并在" 编码"下拉列表中选择" ANSI"。 此选择将删除任何格式和不支持的字符。 然后,便可将文本文件中的查询复制并粘贴到关键字查询框中。

搜索提示和技巧

  • 关键字搜索不区分大小写。 例如, catCAT 将返回相同的结果。

  • 两个关键字或两个 property: value 表达式之间的空格与使用 AND 相同。 例如, from:"Sara Davis" subject:reorganization 返回由 Sara Davis 发送的所有消息,这些消息在主题行中包含 “重组 ”一词。

  • 使用与格式匹配的 property: value 语法。 值不区分大小写,并且它们不可以在运算符后留有空格。 如果有空格,则你的预期值将只会进行全文搜索。 例如, to:pilarp 搜索"pilarp"作为关键字,而非发送至 pilarp 的邮件。

  • 在搜索收件人属性(如 To、From、Cc 或 Recipients)时,您可以使用 SMTP 地址、别名或显示名来表示收件人。 例如,可以使用 pilarp@contoso.com、pilarp 或“Pilar Pinilla”。

  • 只能使用后缀通配符搜索 (例如 cat*set*) 。 不支持 (*cat) 或子字符串通配符搜索 (*cat*) 的前缀通配符搜索。

  • 在搜索属性时,如果搜索值包含多个单词,则使用双引号 (" ")。 例如, subject:budget Q1 返回主题行中包含 预算 的消息,以及邮件中任意位置或任何消息属性中包含 Q1 的消息。 使用 subject:"budget Q1" 返回主题行中任意位置包含 budget Q1 的所有邮件。

  • 若要将使用某个属性值标记的内容从搜索结果中排除,请在属性名称前放置减号 (-)。 例如, -from:"Sara Davis" 将排除由 Sara Davis 发送的任何邮件。