在 Exchange 2013 中建立 In-Place 電子檔探索搜尋

適用於：Exchange Server 2013

使用 就地電子檔探索 來搜尋所有信箱內容，包括已刪除的專案，以及放置在 就地保留和訴訟保留中之使用者的已修改專案原始版本。

開始之前有哪些須知？

• 預估完成時間：5 分鐘

• 您必須已獲指派權限，才能執行此程序或這些程序。 若要查看您需要的許可權，請參閱 傳訊原則和合規性 許可權主題中的專案。

• 若要建立 eDiscovery 搜尋，您必須在目前建立搜尋的組織中有 SMTP 位址。

• Exchange 2013 安裝程式會建立名為探索 搜尋信箱 的探索信箱，以複製搜尋結果。 您可以建立額外的探索信箱。 如需詳細資訊，請參閱建立探索信箱。

• 當您建立就地 eDiscovery 搜尋時，搜尋結果傳回的郵件並不會自動複製到探索信箱。 建立搜尋之後，您可以使用 Exchange 系統管理中心 (EAC) 來預估和預覽搜尋結果，或將它們複製到探索信箱。 如需詳細資訊，請參閱：

  • 使用EAC來預估或預覽 本主題稍後 (搜尋結果)

  • 將 eDiscovery 搜尋結果複製到探索信箱

• 如需可能適用於本主題中程式的鍵盤快捷方式相關信息，請參閱 Exchange 2013 中 Exchange 系統管理中心的鍵盤快捷方式。

提示

有問題嗎？ 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。

使用 EAC 建立就地 eDiscovery 搜尋

如先前所述，若要建立 eDiscovery 搜尋，您必須登入在您的組織中有 SMTP 位址的使用者帳戶。

1. 移至合規性管理>就地電子檔探索 & 保留。

2. 按兩下 [新增。

3. 在 [ 就地電子檔探索 & 保留] 中，於 [ 名稱和描述 ] 頁面上輸入搜尋的名稱，新增選擇性描述，然後按 [ 下一步]。

4. 在 [ 信箱] 頁面上，選取要搜尋的信箱。 可於所有信箱中搜尋或選擇特定信箱進行搜尋。

   重要事項

   您無法使用 [搜尋所有信箱 ] 選項來保留所有信箱。 若要建立 In-Place 保留，您必須選取 [指定要搜尋的信箱]。 如需詳細資訊，請參閱建立或移除 In-Place 保留。

5. 在 [ 搜尋查詢 ] 頁面上，完成下列欄位：

   • 包含所有使用者信箱內容 選取此選項可保留所選信箱中的所有內容。 如果選取這個選項，便無法指定其他搜尋準則。

   • 根據準則篩選 選取此選項可指定搜尋準則，包括關鍵詞、開始和結束日期、發件人和收件者位址，以及訊息類型。

     

     注意事項

     From ： 和 To/Cc/Bcc： 欄位是由您執行搜尋時所建立之搜尋查詢中的 OR 運算子所連接。 這表示任何指定的使用者所傳送或接收的任何訊息 (並符合搜尋結果中包含的其他搜尋準則) 。 > 日期是由 AND 運算子連接。

6. 在 [ 就地保留設定 ] 頁面上，您可以選取 [將 符合搜尋查詢的內容放在選取的信箱 保留] 複選框，然後選取下列其中一個選項，將專案放在 [保留] In-Place：

   • 無限期保留 選取此選項，將傳回的專案放在無限期保留中。 除非您從搜尋中移除信箱或移除搜尋，否則保留的項目會一直保存下來。

   • 指定保留項目相對於其接收日期的天數 使用此選項可保留特定期間的專案。 例如，若您的組織要求所有郵件都必須至少保存七年時，即可使用此選項。 您可使用「以時間為基礎」的就地保留和保留原則，以確保項目會在七年後受到刪除。

     重要事項

     當為法律目的進行信箱或項目的 In-Place Hold 保留時，一般建議無限期保留項目並於案件或調查完成時移除保留。

7. 單擊 [完成 ] 以儲存搜尋，並根據您指定的準則，傳回搜尋將傳回之總大小和專案數的估計值。 估計結果會顯示在詳細資料窗格中。 按兩下 [ 以更新詳細數據窗格中顯示的資訊。

使用命令介面來建立就地 eDiscovery 搜尋

此範例會建立名為 Discovery-CaseId012 的 In-Place 電子檔探索搜尋，以搜尋包含 Contoso 和 ProjectA 關鍵詞的專案，而且這些專案也符合下列準則：

• 開始日期：1/1/2009

• 結束日期：12/31/2011

• 來源信箱：DG-Finance

• 目標信箱：探索搜尋信箱

• 郵件類型：Email

• 在搜尋統計數據中包含無法搜尋的專案

• 記錄層級：完整

重要事項

如果不指定執行就地 eDiscovery 搜尋時的其他搜尋參數，則結果會傳回所指定來源信箱中的所有項目。 如果您未指定要搜尋的信箱，則會搜尋 Exchange 組織中的所有信箱。

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2009" -EndDate "12/31/2011" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full

注意事項

使用 StartDate 和 EndDate 參數時，您必須使用 MM/dd/yyyy 的日期格式，即使您的本機電腦設定設定為使用不同的日期格式，例如 dd/MM/yyyy 也一樣。 例如，若要搜尋在 2013 年 4 月 1 日到 2013 年 7 月 1 日之間傳送的訊息，您會使用 04/01/2013 和 07/01/2013 作為開始和結束日期。

此範例會建立名為 HRCase090116 的 In-Place 電子檔探索搜尋，以搜尋 Alex Darrow 在 2015 年傳送至SarAlture 的郵件。

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

使用 Shell 建立 In-Place 電子檔探索搜尋之後，您必須使用 Start-MailboxSearch Cmdlet 來啟動搜尋，以將訊息複製到 TargetMailbox 參數中指定的探索信箱。 如需詳細資訊，請參閱 將 eDiscovery 搜尋結果複製到探索信箱。

如需詳細的語法及參數資訊，請參閱 New-MailboxSearch。

使用 EAC 預估或預覽搜尋結果

建立就地 eDiscovery 搜尋之後，您可以使用 EAC 取得搜尋結果的預估和預覽。 如果您使用 New-MailboxSearch Cmdlet 建立新的搜尋，您可以使用 Shell 來開始搜尋，以取得搜尋結果的估計值。 您不能使用命令介面來預覽搜尋結果中傳回的郵件。

1. 流覽至合規性管理>就地電子檔探索 & 保留。

2. 在清單檢視中，選取 In-Place 電子檔探索搜尋，然後執行下列其中一項：

   • 按兩下 [搜尋搜尋>估計搜尋結果 ，以根據您指定的準則，傳回搜尋將傳回之總大小和項目數的估計值。 選取這個選項，即可重新開始搜尋並執行預估。

     預估搜尋結果會顯示在詳細資料窗格中。 按兩下 [ 以更新詳細數據窗格中顯示的資訊。

• 按兩下詳細資料窗格中的 [預覽搜尋結果 ]，在搜尋估計完成之後預覽結果。 選取此選項會開啟 電子檔案探索搜尋預覽 視窗。 其中會顯示從搜尋的信箱傳回的所有郵件。

  注意事項

  搜尋的信箱會列在 電子檔探索搜尋預覽 視窗的右窗格中。 針對每個信箱，也會顯示傳回的項目數目以及這些項目的總大小。 搜尋傳回的所有項目都會列在右窗格中，並可依照最新或最舊的日期排序。 按一下左窗格中的信箱，並無法讓各信箱中的項目顯示在右窗格中。 若要檢視從特定信箱傳回的項目，您可以複製搜尋結果及檢視探索信箱中的項目。

使用命令介面預估搜尋結果

您可以使用 EstimateOnly 參數只傳回搜尋結果的估計值，而不會將結果複製到探索信箱。 您必須使用 Start-MailboxSearch Cmdlet 來開始僅限估計的搜尋。 然後，您可以使用 Get-MailboxSearch Cmdlet 來擷取估計的搜尋結果。

例如，您可執行下列命令來建立新的 eDiscovery 搜尋，然後顯示預估搜尋結果。

New-MailboxSearch "FY13 Q2 Financial Results" -StartDate "04/01/2013" -EndDate "06/30/2013" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics

Start-MailboxSearch "FY13 Q2 Financial Results"

Get-MailboxSearch "FY13 Q2 Financial Results"

若要顯示先前範例中有關預估搜尋結果的特定資訊，您可以執行下列命令：

Get-MailboxSearch "FY13 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

eDiscovery 搜尋的詳細資訊

• 建立新的 eDiscovery 搜尋後，即可將搜尋結果複製到探索信箱並將這些搜尋結果複製到 PST 檔案。 如需詳細資訊，請參閱：

  • 將 eDiscovery 搜尋結果複製到探索信箱

  • 將 eDiscovery 搜尋結果匯出至 PST 檔

• 執行在搜尋準則) 中包含關鍵詞的電子檔探索搜尋估計 (之後，您可以按下所選搜尋詳細數據窗格中的 [ 檢視關鍵詞統計數據 ] 來檢視關鍵詞統計數據。 這些統計資料會顯示搜尋查詢中使用的每個關鍵字所返回項目數的詳細資訊。 不過，如果搜尋中包含超過100個來源信箱，如果您嘗試檢視關鍵詞統計數據，則會傳回錯誤。 若要檢視關鍵詞統計數據，搜尋中不能包含超過100個來源信箱。