培训
使用条件生成器在电子数据展示 (预览版) 中创建搜索查询
在电子数据展示 (预览版) 中生成搜索查询时,条件生成器提供易于使用的搜索体验。 在搜索和审阅集中使用条件生成器来构造简单和复杂的关键字 (keyword) 查询,使用运算符 (AND 和/或 OR) 查询,以帮助识别组织中的项目。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
若要为搜索创建查询和自定义条件筛选,请使用以下控件:
- 关键字:此常见条件始终可用作查询中的第一个条件,可帮助你快速开始执行搜索任务。 Keywords 条件仅支持 Equal 运算符,并且可以通过将值字段留空从查询中排除。 若要添加其他 关键字 条件,请选择“ 添加条件 ”,然后选择“ 关键字”。
- 添加条件:允许为搜索的特定数据源添加条件。 若要向查询添加其他条件,请选择“ 添加条件 ”以显示可用条件的列表。 每个条件值选择都会向查询添加一个新条件。 根据需要选择 AND/OR 运算符。
- AND/OR:这些条件逻辑运算符允许选择应用于特定条件的查询操作。 这些运算符允许使用连接到查询的多个条件。
- 选择运算符:根据所选条件,可以选择与条件兼容的运算符。 例如,如果选择了 “日期” 条件,则可用运算符为 Before、 After 和 Between。 如果选择了“ 大小 () 条件,则可用运算符为 ”大于“、” 大于或等于“、” 小于“、” 小于或等于“、” Between“和 ”Equal”。
- 值:根据所选条件,与条件兼容的值可在值详细信息窗格中使用,也可以添加内联。 根据与值关联的条件类型,你将看到用于定义、筛选或搜索与所选条件关联的值的选项。 例如,如果选择“ 发件人” 作为条件,则可以搜索并添加组织或外部用户中的特定用户。 如果选择“ 以字节为单位) 大小 ( ”作为条件,则会看到用于输入大小的数字作为值的选项。 如果值为空,则值字段边框以红色显示,以帮助通知需要值。
- 删除筛选条件:若要删除单个条件,请选择每个筛选器行右侧的删除图标。
- 另存为草稿:若要将当前条件集另存为草稿,请从查询下拉列表中选择“ 另存为草稿 ”。
- 放弃:若要放弃对搜索所做的任何更改,包括条件和数据源,请从“另存为草稿”下拉列表中选择“放弃”。
在使用搜索条件时,请牢记以下几点。
- 条件在逻辑上连接到 AND 和OR 运算符) 关键字 (keyword) 框中指定的关键字 (keyword) 查询 (。 这意味着,项目必须满足关键字查询和要在结果中包括的条件。
- 如果将两个或更多个唯一条件添加到搜索查询 (指定不同属性) 的条件,则这些条件在逻辑上由 AND 和 OR 运算符连接。 这意味着仅返回满足所有条件(除了任何关键字查询以外)的项目。
- 如果您对相同属性添加多个条件,则使用 OR 运算符在逻辑上对这些条件进行连接。 这意味着将返回满足关键字查询以及任何一个条件的项。 因此,相同条件的组通过 OR 运算符彼此相连,然后唯一性条件集通过 AND 运算符彼此相连。
- 如果向单个条件中添加多个值(用逗号或分号分隔),这些值将通过 OR 运算符来连接。 这意味着如果这些项包含条件中指定的任何属性值,则返回这些项。
- 使用 包含 和 等于 逻辑的运算符的任何条件都为简单字符串搜索返回类似的搜索结果。 简单字符串搜索是条件中不包含通配符) 的字符串。 例如,使用 Equals any 的条件 将返回与使用 Contains 的条件相同的项。
- 使用关键字框和条件创建的搜索查询显示在 “搜索 ”页上所选搜索的详细信息窗格中。 在查询中,表示法
(c:c)
右侧的所有内容都指示添加到查询的条件。(c:c)
不应在手动输入的查询中使用,并且不等于 AND 或 OR。 - 条件仅向搜索查询添加属性;它们不会添加运算符。 这就是详细信息窗格中显示的查询不显示表示法右侧的
(c:c)
运算符的原因。 执行查询时,KQL 会添加逻辑运算符(根据前面所述的规则)。 - 可以使用拖放控件重新排列条件的顺序。 选择条件的控件,并将其向上或向下移动。
- 某些条件属性允许键入多个值 (用分号分隔) 。 每个值在逻辑上由 OR 运算符连接,并生成查询
(filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)
。 下图显示了具有多个值的条件示例。
在条件生成器中选择“ 添加条件 ”时,将显示 “选择要添加 的条件”窗格,以帮助你使用特定条件优化搜索查询。 使用以下部分中的选项来帮助你选择适用的条件:
快速筛选邮箱和网站属性的条件视图,以帮助查找搜索查询的特定条件。 筛选以下全局组中的可用条件:
- 全部:显示所有条件和条件组。
- 常见:仅筛选并显示同时适用于邮箱和站点的条件。
- Exchange 邮箱:仅筛选并显示适用于邮箱的条件。
- SharePoint 和 OneDrive 网站:仅筛选并显示适用于 SharePoint 和 OneDrive 网站的条件。
若要快速搜索特定条件,请使用 “告诉我们你要查找的内容” 字段输入条件的名称。 结果自动限定为全局组的筛选器。 例如,若要搜索名为“类型 (”的任何条件或条件名称) 中包含术语类型的条件,请选择“全部”作为全局筛选器,然后在“告诉我们你要查找的内容”字段中输入类型。 条件视图返回包含术语 类型的所有条件组中的所有条件。 选择要添加到搜索查询的适用条件。
电子数据展示管理员需要创建一个查询来查找从 User1 发送到 User4 的电子邮件,这些电子邮件在 2024 年 9 月 15 日至 2024 年 10 月 15 日之间发送,其中包含关键字 合规性 和 审核。 对于此示例,管理员使用新的查询生成器创建以下查询:
- 对于第一个筛选器,管理员使用关键字条件、Equal 运算符和符合性审核作为关键字 (keyword) 值。
- 接下来,管理员选择“添加条件”,选择“发件人”,然后选择“包含任意”运算符,然后从“值详细信息”窗格中可用的用户列表中选择“User1”。 这可以包括外部用户。
- 接下来,管理员选择“添加条件”,选择“要筛选”,然后选择“包含任意”运算符,然后从“值详细信息”窗格中可用的用户列表中选择“User4”。 这可以包括外部用户。
- 若要定义日期范围,管理员选择 “添加条件”,选择“ 日期”,然后选择“ Between ”运算符,然后选择 “值”的开始日期和结束日期。
- 最后,管理员选择 “运行查询” 以返回适用的结果。
可以向搜索查询添加条件,以缩小搜索范围并返回更精细的结果集。 每个条件向开始搜索时创建和运行的 KQL 搜索查询添加一个子句。
某些特殊字符不包括在搜索索引中,因此不可搜索。 这还包括表示搜索查询中搜索运算符的特殊字符。 下面是特殊字符的列表,这些字符要么被实际搜索查询中的空格替换,要么会导致搜索错误。
+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }
在同一搜索中同时搜索邮箱和网站时,使用通用属性创建一个条件。 下表列出了添加条件时要使用的可用属性。
条件 | 说明 |
---|---|
内容类型 | 应用于 Exchange 和 SharePoint 项目,它指的是内容的类型或类别。 例如 ContentKind:SharePointDocument、 ContentKind:Copilot 等。 |
内容源应用程序 | 标识内容源自的应用程序或服务。 例如, ContentSourceApplication:OneDriveForBusiness、 ContentSourceApplication:SharePoint 等。 |
日期 | 对于电子邮件,是创建邮件或从 PST 文件导入邮件的日期。 对于文档,上次修改文档的日期。 如果要搜索特定时间段的电子邮件,如果不确定电子邮件是否已导入,而不是在 Exchange 中本机创建,则应使用邮件 “已接收 ”和“ 已发送 ”条件。 |
标示符 | 对于电子邮件,为特定邮件的 ID。
消息 ID 包含在审核记录、数据丢失防护 (DLP) 警报或查看集元数据中,并允许你为单个邮件生成特定搜索。 对于Microsoft Teams 消息,为聊天或反应的 ID。 ChatThreadID 包含在审核记录、数据丢失防护 (DLP) 警报或审阅集元数据中,并允许你为单个聊天或反应生成特定搜索。 |
发件人/作者 | 对于电子邮件而言,是指发送邮件的人。 对于文档而言,是指从 Office 文档的作者字段中引用的人员。 你可以键入多个名称,用逗号分隔。 通过 OR 运算符在逻辑上连接两个或多个值。 (请参阅收件人扩展) |
大小 ((以字节为单位)) | 对于电子邮件和文档而言,是项目的大小(以字节为单位)。 |
主题/标题 | 对电子邮件而言,是指邮件的主题行中的文本。 对于文档而言,是指文档的标题。 Title 属性是在 Office 文档Microsoft中指定的元数据。 可以键入多个主题/标题值的名称,用逗号分隔。 通过 OR 运算符在逻辑上连接两个或多个值。 注意:请勿在此条件的值中包含双引号,因为使用此搜索条件时会自动添加引号。 如果向值添加引号,则会向条件值添加两对双引号,搜索查询将返回错误。 |
保留标签 | 对于电子邮件和文档,保留标签应用于邮件和文档。 保留标签可用于声明记录,并通过强制执行标签指定的保留和删除规则来帮助管理内容的数据生命周期。 有关保留标签的详细信息,请参阅 了解保留策略和保留标签。 |
敏感信息类型 (SIT) | 对于电子邮件和文档,邮件和文档中包含的敏感信息类型。 SCT 是基于模式的分类器,可检测敏感信息,例如社会保障、信用卡或银行帐号,以识别敏感项目。 有关 SIT 的详细信息,请参阅 了解敏感信息类型。 |
敏感度标签 | 对于电子邮件和文档,敏感度标签应用于邮件和文档。 敏感度标签允许对组织数据进行分类和保护,同时确保用户的工作效率及其协作能力不受阻碍。 有关敏感度标签的详细信息,请参阅 了解敏感度标签。 |
搜索 Exchange Online 中的邮箱或公用文件夹时,使用邮件属性创建条件。 下表列出了可以用于条件的电子邮件属性。 这些属性是前面所述的电子邮件属性的子集。 为了方便起见,将重复这些说明。
条件 | 说明 |
---|---|
消息类型 | 要搜索的邮件类型。 此属性与“Kind”电子邮件属性相同。 可能的值:
|
参与者 | 电子邮件中的所有人员字段。 这些字段为“发件人”、“收件人”、“抄送”和“密件抄送”。 (请参阅收件人扩展) |
接收时间 | 收件人接收电子邮件的日期。 此属性与“Received”电子邮件属性相同。 |
收件人 | 电子邮件中的所有收件人字段。 这些字段为“收件人”、“抄送”和“密件抄送”。 (请参阅收件人扩展) |
发件人 | 电子邮件的发件人。 |
发件箱 | 发件人发送电子邮件的日期。 此属性与“Sent”电子邮件属性相同。 |
主题 | 电子邮件主题行中的文本。 注意:请勿在此条件的值中包含双引号,因为使用此搜索条件时会自动添加引号。 如果向值添加引号,则会向条件值添加两对双引号,搜索查询将返回错误。 |
To | “收件人”字段中电子邮件的收件人。 |
主题 | 电子邮件线程或对话中讨论main主题或主题的摘要。 |
类型 | 电子邮件项的邮件类属性。 此属性与 ItemClass 电子邮件属性相同。 这也是一个多值条件。 因此,若要选择多个邮件类,请按住 Ctrl 键,然后在要添加到条件的下拉列表中选择两个或多个邮件类。 在列表中选择的每个消息类在逻辑上由相应的搜索查询中的 OR 运算符连接。 有关 Exchange 使用的邮件类 (及其相应的邮件类 ID) 的列表,可以在 “邮件类 ”列表中选择,请参阅 项目类型和邮件类。 |
在 SharePoint 和 OneDrive 网站上搜索文档时,使用文档属性创建条件。 下表列出了可以用于条件的文档属性。 这些属性是前面所述的网站属性的子集。 为了方便起见,将重复这些说明。
条件 | 说明 |
---|---|
作者 | 作者字段位于 Office 文档中,复制文档后仍然存在其中。 例如,如果用户创建文档并将其通过电子邮件发送到其他人,然后将其上传到 SharePoint,则该文档仍将保留原始作者。 |
已创建 | 创建文档的日期。 |
文件类型 | 文件的扩展名;例如,docx、one、pptx 或 xlsx。 此属性与 FileExtension 网站属性相同。
注意: 如果在搜索查询中包含使用 Equals 或 Equals 任 一运算符的文件类型条件,则不能通过将通配符 ( * ) 包含在文件类型) 末尾来返回文件类型的所有版本来使用前缀搜索 (。 如果这样做,则忽略通配符。 例如,如果包含 条件 |
上次修改时间 | 上次修改文档的日期。 |
Path | SharePoint 网站中文件或文件夹的 URL 或位置。 |
标题 | 文档的标题。 Title 属性是 Office 文档中指定的元数据。 它不同于文档的文件名。 |
当您添加一个条件时,您可以选择与该条件的属性类型相关的运算符。 下表描述了与条件一起使用的运算符,并列出了在搜索查询中使用的等效项。
运算符 | 查询等效项 | 说明 |
---|---|---|
活动后 | property>date |
使用日期条件。 返回在指定日期后发送、接收或修改的项。 |
活动前 | property<date |
使用日期条件。 返回在指定日期前发送、接收或修改的项。 |
Between | date..date |
使用日期和大小条件。 当使用日期条件时,返回在指定的日期范围内发送、接收或修改的项。 当使用大小条件时,返回大小在指定范围内的项。 |
包含任意 | (property:value) OR (property:value) |
与指定字符串值的属性条件一起使用。 返回包含一个或多个指定字符串值任何部分的项目。 |
不包含任何 | -property:value |
与指定字符串值的属性条件一起使用。 返回不包含指定字符串值任何部分的项目。 |
不等于任何 | -property=value |
与指定字符串值的属性条件一起使用。 返回不包含特定字符串的项目。 |
等于 | size=value |
返回等于指定大小的项。1 |
等于任何 | (property=value) OR (property=value) |
与指定字符串值的属性条件一起使用。 返回与一个或多个指定字符串值匹配的项。 |
大 | size>value |
返回指定属性大于指定值的项。1 |
大于或等于 | size>=value |
返回指定属性大于或等于指定值的项。1 |
少 | size<value |
返回大于或等于特定值的项。1 |
小于或等于 | size<=value |
返回大于或等于特定值的项。1 |
不等于 | size<>value |
返回不等于指定大小的项。1 |
备注
1 此运算符仅适用于使用 Size 属性的条件。