使用條件建構器在電子發現中建立搜尋查詢

條件建構器提供簡便易用的搜尋體驗,方便你在 eDiscovery 中建立 搜尋查詢 。 在搜尋與 審查集 中使用條件建構器,構建簡單與複雜的關鍵字查詢、運算符 (為 AND、OR) ,或兩者兼具的查詢,以協助識別組織中的項目。

提示

立即開始使用 Microsoft Security Copilot,探索利用 AI 力量更聰明、更快速地工作的新方法。 在 Microsoft Purview 中了解更多關於 Microsoft Security Copilot 的資訊。

使用條件建構器

要建立查詢並自訂條件篩選,請使用以下控制項:

  • 關鍵字條件總是作為查詢的第一個條件,讓你輕鬆開始搜尋任務。 此條件僅支援 Equal 運算子,並可透過 Delete 從查詢中移除。 在關鍵字條件的欄位,套用邏輯運算子如 ANDORNEAR。 例如,輸入 red AND blueAND 會被視為邏輯運算子,而非字面關鍵字。 要搜尋像 "red and blue"這樣的精確片語,請用引號包住文字。 這會告訴搜尋引擎將文字視為單一字串。 你也可以在鍵盤上選擇 Enter 鍵,為下一個關鍵字建立新的格子。 如果你貼上一個以換行 () 的關鍵字清單,系統會自動為每個關鍵字產生獨立的格子。

    當使用條件建構器輸入多個關鍵字區段時,查詢可轉換為 KeyQL,且每個關鍵字區段以 c:s 分隔。 如果你的查詢包含多個關鍵字條件,結果的 KeyQL 會包含 c:s 以確保關鍵字細分,讓你看到每個區段的點擊率。 這種行為是自動發生的,不需要在 KeyQL 建構器中手動輸入 c:s。

    注意事項

    要在 統計 檢視中產生關鍵字報告,您必須填入至少兩個或以上的關鍵字網格。 如果你只輸入一個關鍵字,顯示的總點擊數會反映該關鍵字的結果,且不會產生關鍵字報告。

  • 新增條件:為搜尋的特定資料來源新增條件。 若要在查詢中新增額外條件,請選擇 新增條件 以顯示可用條件清單。 每個條件值選擇都會為你的查詢加入一個新的條件。 請依情況選擇 AND/OR 運算子。

  • AND/OR:這些條件邏輯運算子讓你能選擇適用於特定條件的查詢操作。 這些運算子讓你使用與查詢相連結的多種條件。 關鍵字 條件後 的運算子必須是 AND

  • 選擇運算子:根據所選條件,可選擇與該條件相容的運算子。 例如,如果你選擇 日期 條件,可用的運算子是 「之前」、「 之後」和 「中間」。 如果你選擇「 大小 ((位元) 組) 」條件,可用運算子為: 大於大或等於、 小或等介於中間,以及 相等

  • 價值:根據所選條件,符合條件的值會顯示在值細節窗格中,或你也可以內嵌新增。 根據與該值相關的條件類型,你會看到定義、篩選或搜尋與所選條件相關的值的選項。 例如,如果你選擇「 寄件人 」作為條件,你可以搜尋並新增組織內或外部使用者的特定使用者。 如果你選擇「 大小 ((位元) 組) 」作為條件,你會看到輸入大小的數字作為值的選項。 如果值是空白,值欄位邊框會以紅色顯示,幫助你通知需要某個值。

  • 刪除篩選條件:要移除單一條件,請選擇每個篩選器行右側的刪除圖示。

  • 清除篩選器值: 要清除特定條件的值,請選擇每個篩選器線右側的移除圖示。

  • 另存為草稿:要將目前的條件集儲存為草稿,請在條件建構區上方選擇「 另存為草稿 」。

  • 棄置:若要捨棄搜尋中所做的任何變更,包括條件和資料來源,請在條件建構器區域上方選擇 棄置

使用條件的指引

使用搜尋條件時請留意以下指引:

  • 條件邏輯上連接關鍵字查詢, (由 AND 運算子) 的關鍵字條件中指定。 這種連結意味著項目必須同時滿足關鍵字查詢與結果中包含的條件。
  • 所有緊隨 關鍵字 條件後的條件都會被歸為一組。
  • 如果你在搜尋查詢中加入兩個或多個獨特條件, (條件指定不同的屬性) ,這些條件會透過 ANDOR 運算子邏輯連接。 這種連結意味著搜尋只會回傳符合所有條件的項目, (以及任何關鍵字查詢) 。
  • 如果你在單一條件上加上多個以逗號或分號分隔的值,) (以逗號或分號分隔,這些值就會透過 OR 運算子連接起來。 這種連結表示只要項目包含條件中指定的屬性值,搜尋就會回傳。
  • 任何使用包含 ContainsEquals 操作邏輯的條件,對於簡單字串搜尋也會回傳類似的搜尋結果。 簡單的字串搜尋是指條件中不包含萬用字元的字串。 例如,使用 Eequix 的條件 與使用 Contains 任意 的條件會回傳相同的項目。
  • 你使用關鍵字框和條件建立的搜尋查詢會出現在 搜尋 頁面的詳細資料窗格中,針對所選搜尋。 在查詢中,符號 (c:c) 右側的所有東西都顯示你要加入查詢的條件。 不要在手動輸入的查詢中使用 (c:c)(c:c) 不等於 ANDOR
  • 如果你使用 合規標籤保留標籤 搜尋,且標籤名稱包含不支援的特殊字元, (特殊 字元 區塊列出,這些字元會被忽略,作為搜尋條件。

尋找並選擇條件

當你在條件建構器中選擇 「新增條件 」時,你可以快速存取一些常用條件,例如 日期主題/標題參與者 ,以及你最近使用的條件。 選擇 「顯示更多 」,以及 「選擇要新增哪些條件 」的畫面會幫助你用具體條件來篩選搜尋查詢。 請利用以下章節中的選項協助您選擇適用的條件。

濾水器區域條件

快速篩選條件檢視中的信箱與網站屬性,協助找到搜尋查詢所需的特定條件。 篩選以下全域群組中的可用條件:

  • 全部:顯示所有病症及病症組別。
  • 共通:僅篩選並顯示適用於郵箱與網站的條件。
  • 交換信箱:僅篩選並顯示適用於信箱的條件。
  • SharePoint 與 OneDrive 網站:僅篩選並顯示適用於 SharePoint 與 OneDrive 網站的條件。

條件選擇器

若要快速搜尋特定病症,請使用 「告訴我們你在找什麼 」欄位輸入該病症名稱。 結果會自動依全域群組的篩選範圍範圍進行。 例如,要搜尋任何名為 Type (或條件名稱) 中包含 type 這個詞的條件,請選擇域篩選器,然後在「告訴我們你要找什麼」欄位輸入 type。 條件檢視會回傳包含該術 語類型的所有條件群組中的所有條件。 選擇適用條件加入您的搜尋查詢。

選擇要加入搜尋的條件頁面。

重要事項

你只能在條件建構器中各使用一次關鍵字和KeyQL 條件。

情境範例

電子發現管理員需要建立查詢,以查找 User1 寄給 User2 的電子郵件,這些郵件在 2024 年 9 月 15 日至 2024 年 10 月 15 日之間,包含 「合規 」和 「稽核」這兩個關鍵字。 在此範例中,管理員使用新的查詢建構器建立以下查詢:

  1. 在第一個篩選條件中,管理員使用 關鍵字 條件、 值運算子及 合規性審核 作為關鍵字
  2. 接著,管理員選擇新增條件,選擇發送者,然後選擇「包含任意」操作符,最後輸入User1@contoso.com「值」欄位。 這可能包括外部使用者。
  3. 接著,管理員選擇新增條件,選擇 To 篩選,然後選擇 Contains any of operator,接著在 Value 欄位選擇User2@contoso.com。 這可能包括外部使用者。
  4. 要定義日期範圍,管理員選擇「新增條件」,選擇「日期」,再選擇「中間」運算子,最後選擇值的起始日期與結束日期。
  5. 最後,管理員選擇 執行查詢 以回傳符合條件及其值的結果。

條件建構器搜尋的範例。

使用搜尋條件

你可以在搜尋查詢中加入條件,縮小搜尋範圍並回傳更精細的結果集。 每個條件都會在 KeyQL 搜尋查詢中加入一個子句,當你開始搜尋時會建立並執行。

特殊角色

有些特殊字元不包含在搜尋索引中,因此無法被搜尋。 此限制同樣適用於搜尋查詢中代表搜尋運算子的特殊字元。 這裡有一份特殊字元清單,這些字元會在實際搜尋查詢中被空白取代,或會造成搜尋錯誤。

+ - = : ! @ # % ^ & , ; _ / ? ( ) [ ] { }

共同性質的條件

在同一搜尋中搜尋信箱和網站時,使用常見屬性建立條件。 下表列出加入條件時可用的屬性。

條件 描述
內容類型1 它同時適用於 Exchange 和 SharePoint 項目,指的是內容的類型或類別。

例如, ContentKind:SharePointDocumentContentKind:Copilot 等。
內容來源申請1 識別內容來源的應用程式或服務。

例如, ContentSourceApplication:OneDriveForBusinessContentSourceApplication:SharePoint 等。
Date 電子郵件則指訊息建立或從 PST 檔案匯入的日期。 文件則指文件最後修改的日期。 對於 Teams 訊息,則是原始訊息日期。 項目報告與檢視集的元資料可能會顯示不同的時間戳記 (例如) 同一 Teams 訊息的擷取或修改日期。 日期條件會過濾原始事件日期。

如果你在搜尋特定期間的電子郵件,請使用「 已接收已發送 」條件,不確定郵件是否會被匯入而非原生建立。
識別碼1 電子郵件的話,就是特定訊息的識別碼。 訊息 ID 包含在稽核紀錄中,資料遺失防護 (DLP) 警示,或檢視一套元資料,並允許您針對單一訊息建立專屬搜尋。

對於 Microsoft Teams 訊息,則是聊天或回應的 ID。 ChatThreadID 包含在稽核紀錄中,資料遺失防止 (DLP) 警示,或檢視設定的元資料,並允許你針對個別聊天或回應建立特定搜尋。
發送者/作者 電子郵件方面,是發送訊息的人。 文件請參考 Office 文件中作者欄位中引用的人。 你可以輸入多個名字,並用逗號分隔。 兩個或以上的值由 OR 運算子邏輯連接。
(請參閱受助者擴展)
大小 (位元組) 無論是電子郵件還是文件,項目大小都以位元組) (。
主題/標題 電子郵件的話,就是訊息主旨中的文字。 文件則為文件標題。 標題屬性是 Microsoft Office 文件中指定的元資料。 你可以輸入多個主題或標題的名稱,並用逗號分隔。 兩個或以上的值由 OR 運算子邏輯連接。

注意:此條件值中不要加上雙引號,因為使用此搜尋條件時引號會自動加入。 如果你在該值上加上引號,條件值會加上兩對雙引號,搜尋查詢會回傳錯誤。
保留標籤 無論是電子郵件還是文件,保留標籤都套用於訊息和文件。 保留標籤可用來宣告紀錄,並透過執行標籤指定的保留與刪除規則,協助你管理內容的資料生命週期。

注意:若使用包含不支援特殊字元的保留標籤名稱,這些字元將被忽略作為搜尋條件。 欲了解更多關於保留標籤的資訊,請參閱 「了解保留政策」及「保留標籤」。

郵件性質的條件

在 Exchange Online 搜尋信箱或公共資料夾時,使用郵件屬性建立條件。 下表列出可用於條件的電子郵件屬性。 這些屬性是先前描述的電子郵件屬性的子集。 以下描述為方便你而重複說明。

條件 描述
訊息類型 搜尋訊息類型。 此屬性與 Kind 電子郵件屬性相同。 可能的數值:
  • 連絡人
  • 文件
  • 電子郵件
  • 外部資料
  • 傳真
  • 期刊
  • 會議
  • Microsoft Teams
  • 註釋
  • 職位
  • RSSFEEDS
  • 工作
  • 語音信箱
參與者 所有人都會在電子郵件中填寫。 這些欄位分別是 From、To、Cc 和 Bcc。 (請參閱受助者擴展)
Received 收件人收到電子郵件的日期。 此屬性與 Received 電子郵件屬性相同。
收件者 電子郵件中所有收件人欄位。 這些欄位分別是 To、Cc 和 Bcc。 (請參閱受助者擴展)
寄件者 電子郵件的寄件人。
寄件日期 電子郵件由寄件人發出的日期。 這個屬性和 Sent email 屬性是一樣的。
主旨 電子郵件主旨中的文字。

注意:此條件值中不要加上雙引號,因為使用此搜尋條件時引號會自動加入。 如果你在該值上加上引號,條件值會加上兩對雙引號,搜尋查詢會回傳錯誤。
收件者 收件人欄位中收到的電子郵件。
主題 電子郵件串或對話中討論的主要主題或主題摘要。
項目類別 電子郵件項目的訊息類別屬性。 這是一個多值條件。 要選擇多個訊息類別,按住 CTRL 鍵,並在下拉選單中選擇兩個或以上你想加入條件的訊息類別。 列表中所選的每個訊息類別,皆透過對應搜尋查詢中的 OR 運算子邏輯連結。

關於 Exchange 使用的訊息類別 (及其對應的訊息類別 ID 清單,您可以) 訊息類別列表中選擇,請參見項目類型與訊息類別。

文件屬性的條件

在 SharePoint 和 OneDrive 網站上搜尋文件時,使用文件屬性建立條件。 下表列出可用於條件的文件屬性。 這些物業是先前描述的場地物業的子集。 以下描述為方便你而重複說明。

條件 描述
作者 作者欄位來自 Office 文件。
已建立 文件建立的日期。
檔案類型 檔案的副檔名;例如,docx、one、pptx 或 XLX。 這和 FileExtension 網站的屬性是一樣的。

註: 如果您在搜尋查詢中包含使用 EqualsEquals 任意 運算子的檔案類型條件,則無法使用前綴搜尋 (,方法是在檔案類型末尾加上萬用字元 ( * ) ,) 回傳該檔案類型的所有版本。 如果你有,這個萬用卡就會被忽略。 例如,如果你包含 Equals any of doc*條件,只有副檔名為 的 .doc 檔案才會被回傳。 副檔名為 的 .docx Files 不會被回傳。 要回傳所有版本的檔案類型,請在關鍵字查詢中使用 property:value 對;例如, filetype:doc*
上次修改日期 文件最後一次更改的日期。
路徑 SharePoint 網站中檔案或資料夾的網址或位置。
敏感資訊類型 (SIT) 1 文件中包含的敏感資訊類型。 SIT是基於模式的分類器,能偵測敏感資訊如社會安全號碼、信用卡號碼或銀行帳號,以識別敏感項目。 欲了解更多關於SIT的資訊,請參閱 了解敏感資訊類型
靈敏度標籤1 敏感性標籤套用於文件上。 敏感度標籤讓你能分類並保護組織的資料,同時確保使用者的生產力與協作能力不受阻礙。 欲了解更多敏感度標籤資訊,請參閱 「了解敏感度標籤」。
標題 文件標題。 標題屬性是 Office 文件中指定的元資料。 它和文件的檔名是不同的。

條件下的運算子

加入條件時,選擇與條件屬性類型相符的運算子。 下表說明了適用於條件的運算子,並列出搜尋查詢中使用的等價運算子。

運算子 查詢等價 描述
之後 property>date 使用日期條件。 退回在指定日期後寄出、接收或修改的物品。
之前 property<date 使用日期條件。 退回在指定日期前寄出、接收或修改的物品。
介於 date..date 使用日期與大小條件。 若使用日期條件,則會回傳在指定日期範圍內已發送、接收或修改的項目。 當使用大小條件時,會回傳大小在指定範圍內的項目。
包含任一 (property:value) OR (property:value) 使用條件來指定字串值的屬性。 回傳包含一個或多個指定字串值任一部分的項目。
不包含任何 -property:value

NOT property:value

 使用條件來指定字串值的屬性。 回傳不包含指定字串值任何部分的項目。
不等於任何 -property=value

NOT property=value

 使用條件來指定字串值的屬性。 回傳不包含特定字串的項目。
等於2 size=value 回傳等於指定大小的物品。
等於任一 (property=value) OR (property=value) 使用條件來指定字串值的屬性。 回傳與一個或多個指定字串值相符的項目。
size>value 回傳指定屬性大於指定值的項目。
大或等2 size>=value 回傳指定屬性大於或等於指定值的項目。
2 size<value 回傳低於指定價值的項目。
大小於2 size<=value 回傳小於或等於指定值的項目。
不等於2 size<>value 退回不等於指定大小的物品。

注意事項

1 此操作員為 eDiscovery 高級功能條件。

2 此運算子僅適用於使用 Size 性質的條件。

  • Last updated on