在 Exchange 2013 中创建 In-Place 电子数据展示搜索

适用于： Exchange Server 2013

使用 就地电子数据展示 搜索所有邮箱内容，包括已删除的项目和用户就 地保留和诉讼保留的修改项目的原始版本。

开始前，有必要了解什么？

• 估计完成时间：5 分钟

• 您必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 邮件策略和遵从性权限主题中的"就地 eDiscovery"条目。

• 若要创建电子数据展示搜索，必须在要创建搜索的组织中拥有 SMTP 地址。

• Exchange 2013 安装程序创建名为 “发现搜索邮箱 ”的发现邮箱来复制搜索结果。 可以创建其他发现邮箱。 有关详细信息，请参阅创建发现邮箱。

• 创建 In-Place 电子数据展示搜索时，搜索结果中返回的邮件不会自动复制到发现邮箱。 创建搜索后，您可以使用 Exchange 管理中心 (EAC) 估计和预览搜索结果或将其复制到发现邮箱。 有关详细信息，请参阅：

  • 使用 EAC 估计或预览搜索结果（本主题中的后面部分）

  • 将电子数据展示搜索结果复制到发现邮箱

• 有关可能适用于本主题中的过程的键盘快捷方式的信息，请参阅 Exchange 2013 中 Exchange 管理中心的键盘快捷方式。

提示

是否有任何疑问？ 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 上的论坛。

使用 EAC 创建 In-Place 电子数据展示搜索

如前所述，若要创建电子数据展示搜索，您必须登录在您的组织中拥有 SMTP 地址的用户帐户。

1. 转到 合规性管理>就地电子数据展示 & 保留。

2. 单击“ 新建。

3. 在 “就地电子数据展示 & 保留”的“ 名称和说明 ”页上，键入搜索的名称，添加可选说明，然后单击“ 下一步”。

4. 在“ 邮箱 ”页上，选择要搜索的邮箱。 您可以跨所有邮箱搜索，或选择要搜索的特定邮箱。

   重要

   不能使用 “搜索所有邮箱” 选项将所有邮箱置于保留状态。 要创建“就地保留”，您必须选择“指定要搜索的邮箱”。 有关更多详细信息，请参阅创建或删除就地保留。

5. 在“搜索查询”页上，填写下列字段：

   • 包括所有用户邮箱内容 选择此选项可将所选邮箱中的所有内容置于保留状态。 如果您选择此选项，则无法指定其他搜索条件。

   • 基于条件进行筛选 选择此选项可指定搜索条件，包括关键字、开始和结束日期、发件人和收件人地址以及邮件类型。

     

     注意

     由运行搜索时创建的搜索查询中的“OR”运算符连接“发件人:”和“收件人/抄送/密件抄送:”字段。 这意味着，由任何指定用户发送或接收的邮件（并且匹配其他搜索条件）都包含在此搜索结果中。 > 日期由 AND 运算符连接。

6. 在 “就地保留设置 ”页上，可以选中“ 将与所选邮箱中搜索查询匹配的内容置于保留 状态”复选框，然后选择以下选项之一以将项目置于 In-Place 保留：

   • 无限期保留 选择此选项可将返回的项目无限期保留。 保留的项目将会保持，直到您从搜索中删除邮箱或删除搜索。

   • 指定相对于其接收日期保留项目的天数 使用此选项可保留特定时间段的项目。 例如，如果您的组织需要将所有邮件至少保留七年，可使用此选项。 可使用"基于时间"的就地保留以及保持政策，确保在七年后删除项目。

     重要

     当出于法律目的"就地保留"邮箱或项目时，通常建议无限期保持项目，并在完成案件或调查后删除保留。

7. 单击“完成”保存搜索，并返回根据您指定的条件进行搜索后返回的项目的估计总大小和总数。 估计显示在详细信息窗格。 单击“更新详细信息窗格中显示的信息。

使用 Shell 创建 In-Place 电子数据展示搜索

此示例创建名为 Discovery-CaseId012 的 In-Place 电子数据展示搜索，搜索包含关键字 Contoso 和 ProjectA 且同时满足以下条件的项目：

• 开始日期：2009/1/1

• 结束日期：2011/12/31

• 源邮箱：DG 财务

• 目标邮箱：发现搜索邮箱

• 邮件类型：Email

• 在搜索统计信息中包含不可搜索的项

• 日志级别：完整

重要

如果在运行 In-Place 电子数据展示搜索时未指定其他搜索参数，则结果中将返回指定源邮箱中的所有项目。 如果未指定要搜索的邮箱，则会搜索 Exchange 组织中的所有邮箱。

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2009" -EndDate "12/31/2011" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full

注意

使用 StartDate 和 EndDate 参数时，必须使用 MM/dd/yyyy 的日期格式，即使本地计算机设置配置为使用不同的日期格式（例如 dd/MM/yyyy）。 例如，若要搜索在 2013 年 4 月 1 日至 2013 年 7 月 1 日之间发送的邮件，可以使用 04/01/2013 和 07/01/2013 开始和结束日期。

本示例创建名为 HRCase090116 的就地电子数据展示搜索，这会搜索由 Alex Darrow 于 2015 年发送给 Sara Davis 的电子邮件。

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

使用 Shell 创建 In-Place 电子数据展示搜索后，必须使用 Start-MailboxSearch cmdlet 将邮件复制到 TargetMailbox 参数中指定的发现邮箱，从而开始搜索。 有关详细信息，请参阅 将电子数据展示搜索结果复制到发现邮箱。

有关语法和参数的详细信息，请参阅 New-MailboxSearch。

使用 EAC 估计或预览搜索结果

创建 In-Place 电子数据展示搜索后，可以使用 EAC 获取搜索结果的估算和预览。 如果使用 New-MailboxSearch cmdlet 创建了一个新搜索，则可以使用 Shell 启动搜索以获取搜索结果的估算值。 不能使用 Shell 预览搜索结果中返回的消息。

1. 导航到 “合规性管理>就地电子数据展示 & 保留”。

2. 在列表视图中，选择 In-Place 电子数据展示搜索，然后执行下列操作之一：

   • 单击“ 搜索>估计搜索结果 ，以返回搜索将根据指定的条件返回的总大小和项数的估计值。 选择此选项可重启搜索并估计搜索结果。

     搜索估算显示在详细信息窗格中。 单击“更新详细信息窗格中显示的信息。

• 单击详细信息窗格中的“预览搜索结果”可以预览完成搜索估计后的结果。 选择此选项以打开“电子数据展示搜索预览”窗口。 将显示从搜索的邮箱返回的所有邮件。

  注意

  搜索的邮箱在 电子数据展示搜索预览 窗口的右窗格中列出。 对于每个邮箱，还会显示返回的项目数和这些项目的总大小。 搜索返回的所有项目列于右窗格中，可以按最近或最远日期进行排序。 通过单击左窗格中的邮箱，不能在右窗格中显示每个邮箱中的项目。 若要查看从特定邮箱返回的项目，您可以复制搜索结果并在发现邮箱中查看项目。

使用 Shell 估算搜索结果

可以使用 EstimateOnly 开关返回仅获取搜索结果的估计值，而不将结果复制到发现邮箱。 必须使用 Start-MailboxSearch cmdlet 启动仅估计搜索。 然后，可以使用 Get-MailboxSearch cmdlet 检索估计的搜索结果。

例如，可以运行以下命令来创建新的电子数据展示搜索，然后显示搜索结果的估计值：

New-MailboxSearch "FY13 Q2 Financial Results" -StartDate "04/01/2013" -EndDate "06/30/2013" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics

Start-MailboxSearch "FY13 Q2 Financial Results"

Get-MailboxSearch "FY13 Q2 Financial Results"

若要显示上一示例中估计的搜索结果的特定信息，您可以运行以下命令：

Get-MailboxSearch "FY13 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

有关电子数据展示搜索的详细信息

• 创建新的电子数据展示搜索后，您可以将搜索结果复制到发现邮箱，并将这些搜索结果导出到 PST 文件中。 有关详细信息，请参阅：

  • 将电子数据展示搜索结果复制到发现邮箱

  • 将电子数据展示搜索结果导出到 PST 文件

• 运行电子数据展示搜索估计值（搜索条件中包括关键字）后，单击选定搜索窗格中“查看关键字统计信息”可以查看关键字统计信息。 这些统计信息显示有关搜索查询中使用的每个关键字返回的项目数的详细信息。 但是，如果搜索中包括 100 个以上的源邮箱，则在试图查看关键字统计信息时会返回一个错误。 若要查看关键字统计信息，搜索中包含的源邮箱不可以超过 100 个。