使用條件產生器在電子檔探索 (預覽) 中建立搜尋查詢
當您在電子檔探索 (預覽) 中建置搜尋查詢時,搜尋中的條件產生器會提供可視化條件式篩選體驗。 使用條件產生器來建構具有AND、OR) 運算子 (查詢,以協助您更有效率地建置查詢,並為要建構和檢閱的複雜關鍵詞查詢提供額外的空間。
提示
開始使用 Microsoft Copilot for Security,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security。
使用條件產生器
若要建立搜尋的查詢和自定義條件式篩選,請使用下列控件:
- AND/OR:這些條件式邏輯運算符可讓您選取套用至特定篩選和篩選子群組的查詢條件。 這些運算子可讓您使用多個篩選或子群組連線到查詢中的單一篩選器。
- 新增條件:可讓您為搜尋選取的特定數據源和位置新增條件。
- 選取運算符:根據選取的篩選條件,可以選取與篩選相容的運算符。 例如,如果選取 [日期 ] 篩選條件,則可用的運算符為 Before、 After 和 Between。 如果選 取 [大小] (位元組) 篩選條件,可用的運算符會是 [大於]、[ 大於] 或 [等於]、[ 小於]、[ 小於] 或 [等於]、[ 介於] 和 [ 等於]。
- 值:根據選取的篩選條件,可以使用與篩選相容的值。 此外,某些篩選條件支援多個值,而某些篩選器支援一個特定值。 例如,如果選取 [日期 ] 篩選條件,請選取日期值。 如果選取 [ 大小 (位元組) 篩選,請選取位元組的值。
- 拿掉篩選條件:若要移除個別篩選或子群組,請選取每個篩選條件行或子群組右邊的移除圖示。
- 全部清除:若要清除所有篩選條件和子群組的整個查詢,請選取 [ 全部清除]。
使用條件的指導方針
使用搜尋條件時,請記住下列事項。
- 條件會以邏輯方式連接到關鍵詞查詢, (由 AND 和 OR 運算子所) 的關鍵詞方塊中指定。 這表示結果中包含的項目必須同時滿足關鍵字查詢與條件。
- 如果您將兩個或多個唯一條件新增至搜尋查詢, (指定不同屬性) 的條件, 則這些 條件會以邏輯方式由 AND 和 OR 運算符連接。 這表示只會傳回除了任何關鍵詞查詢) 之外,滿足所有條件 (的專案。
- 如果您為相同的屬性新增多個條件,則 OR 運算 符會以邏輯方式連接這些條件。 這表示會傳回滿足關鍵詞查詢和任何一個條件的專案。 因此,OR 運算符會 將相同條件的群組彼此連接,然後 AND 運算符會連接一組唯一條件。
- 如果您將多個值 (以逗號或分號分隔) 加入至單一條件,這些值會以 OR 運算子連接。 這表示如果項目在條件中包含任何指定的屬性值,則會傳回項目。
- 使用具有 Contains 和 Equals 邏輯之運算符的任何條件,都會針對簡單的字串搜尋傳回類似的搜尋結果。 簡單字串搜尋是條件中的字串,不包含通配符) 。 例如,使用 Equals any 的條件會傳回與使用 Contains any 之條件相同的專案。
- 使用關鍵詞方塊和條件所建立的搜尋查詢會顯示在 [ 搜尋 ] 頁面上所選搜尋的詳細數據窗格中。 在查詢中,表示法
(c:c)右邊的所有項目都會指出加入查詢的條件。(c:c)不應用於手動輸入的查詢,且不等於 AND 或 OR。 - 條件只會將屬性新增至搜尋查詢;它們不會新增運算符。 這就是為什麼詳細數據窗格中顯示的查詢不會在表示法的
(c:c)右邊顯示運算元。 KQL 會根據執行查詢時) 先前說明的規則,新增邏輯運算子 (。 - 您可以使用拖放控件來重新排序條件的順序。 選取條件的控件,並將它向上或向下移動。
- 某些條件屬性可讓您輸入多個值, (以分號分隔) 。 OR 運算子會 以邏輯方式連接每個值,並產生查詢
(filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)。 下圖顯示具有多個值的條件範例。
案例範例
電子檔探索系統管理員必須建立查詢,以尋找在 2023 年 2 月 9 日到 2023 年 3 月 9 日之間傳送給 Adam Eham、Adele Vance 或 Aditya Dash 的電子郵件,其中包含關鍵詞合規性和稽核。 在這裡範例中,系統管理員會使用新的查詢產生器建立下列查詢:
- 在第一個篩選中,系統管理員會選取 [寄件者],然後選取 [等於任何運算符],然後從 [值] 控件中可用的使用者清單中選取 [Aimee Await]。
- 接下來,系統管理員選取 [ 新增子群組 ] 和 [OR 操作員],以定義 Aimee 可能已傳送電子郵件給的其他使用者,以瞭解合規性稽核。
- 在子群組中,系統管理員會選取 [ 要 篩選]、[ 等於任何運算 符] 和 [ 值 (使用者) ,以針對 Aimee 可能已傳送電子郵件給的每個其他使用者進行合規性稽核。 在此範例中,系統管理員會在 Adam Eham、Adele Vance 和 Aditya Dash 的子群組中建立篩選條件。
- 若要定義日期範圍,系統管理員會選取 [ 新增篩選 ],然後選取 [日期 ] 篩選、[ 介於] 運算符,以及 [值] 的開始和結束日期。
- 最後,系統管理員選取 關鍵詞列表 篩選、Equal 運算 符和 合規性,稽 核作為關鍵詞 Value。
使用搜尋條件
您可以將條件新增至搜尋查詢,以縮小搜尋範圍,並傳回一組更精簡的結果。 每個條件會將一個子句新增至 KQL 搜尋查詢,當您啟動搜尋時便會建立並執行。
特殊字元
某些特殊字元不會包含在搜尋索引中,因此無法搜尋。 這也包括代表搜尋查詢中搜尋運算元的特殊字元。 以下是特殊字元的清單,這些字元會由實際搜尋查詢中的空白空間取代,或是造成搜尋錯誤。
+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }
一般屬性的條件
在相同搜尋中搜尋信箱和網站時,使用一般屬性建立條件。 下表列出新增條件時要使用的可用屬性。
| 條件 | 描述 |
|---|---|
| 日期 | 針對電子郵件,這是從 PST 檔案建立或匯入訊息的日期。 若為檔,則為上次修改檔的日期。 如果您要搜尋特定時段的電子郵件訊息,如果您不確定是否已匯入電子郵件訊息,而不是在 Exchange 中原生建立,則應該使用 [ 已接收 ] 和 [ 已傳送 ] 條件訊息。 |
| 識別碼 | 針對電子郵件,為特定訊息的標識碼。
訊息標識 碼包含在稽核記錄、數據外洩防護 (DLP) 警示,或檢閱集元數據,並可讓您建立個別訊息的特定搜尋。 針對Microsoft Teams訊息、聊天或響應的標識碼。 ChatThreadID 包含在稽核記錄中、數據外洩防護 (DLP) 警示,或檢閱集元數據,並可讓您建立個別聊天或反應的特定搜尋。 |
| 寄件者/作者 | 對於電子郵件,則為傳送郵件的人員。 若為檔,則為 Office 檔中作者欄位中所引用的人員。 您可以輸入多個名稱,並以逗號分隔。 OR 運算符會 以邏輯方式連接兩個或多個值。 (請參閱收件者擴 充) |
| (位元組) 的大小 | 針對電子郵件和檔,專案大小 (位元組) 。 |
| 主旨/標題 | 若為電子郵件,則為郵件主旨行中的文字。 針對檔,為文件的標題。 Title 屬性是 Office 檔Microsoft指定的元數據。 您可以輸入多個主旨/標題值的名稱,並以逗號分隔。 OR 運算符會 以邏輯方式連接兩個或多個值。 注意:請勿在此條件的值中包含雙引號,因為使用此搜尋條件時會自動新增引號。 如果您將引號新增至值,則會將兩對雙引號新增至條件值,而搜尋查詢會傳回錯誤。 |
| 保留標籤 | 針對電子郵件和檔,保留標籤會套用至郵件和檔。 保留標籤可用來宣告記錄,並藉由強制執行標籤所指定的保留和刪除規則,協助您管理內容的數據生命週期。 如需保留標籤的詳細資訊,請 參閱瞭解保留原則和保留標籤。 |
| SIT) (敏感性資訊類型 | 針對電子郵件和檔,訊息和檔中包含敏感性信息類型。 SIT 是以模式為基礎的分類器,可偵測社會安全、信用卡或銀行帳戶號碼等敏感性資訊,以識別敏感性專案。 如需 SIT 的詳細資訊,請 參閱瞭解敏感性資訊類型。 |
| 敏感度標籤 | 針對電子郵件和檔,敏感度標籤會套用至訊息和檔。 敏感度標籤可讓您分類及保護組織的數據,同時確保用戶生產力及其共同作業能力不會受到阻礙。 如需敏感度標籤的詳細資訊,請參 閱瞭解敏感度標籤。 |
郵件屬性的條件
在 Exchange Online 中搜尋信箱或公用資料夾時,使用郵件屬性建立條件。 下表列出可用於條件的電子郵件屬性。 這些屬性是先前所述電子郵件屬性的子集。 為了方便起見,會重複這些描述。
| 條件 | 描述 |
|---|---|
| 訊息種類 | 要搜尋的訊息類型。 這是與 Kind email 屬性相同的屬性。 可能的值:
|
| 參與者 | 電子郵件訊息中的所有人員欄位。 這些欄位為From、To、Cc和 Bcc。 (請參閱收件者擴 充) |
| 類型 | 電子郵件專案的郵件類別屬性。 這是與 ItemClass 電子郵件屬性相同的屬性。 這也是多重值條件。 因此,若要選取多個訊息類別,請按 住 CTRL 鍵,然後在下拉式清單中選取您要新增至條件的兩個或多個訊息類別。 您在清單中選取的每個訊息類別,都會由對應搜尋查詢中的 OR 運算符以邏輯方式連接。 如需 Exchange 所使用的訊息類別 (及其對應訊息類別識別碼) 清單,以及您可以在 [訊息類別 ] 清單中選取的訊息類別清單,請參閱 專案類型和訊息類別。 |
| Received | 收件者收到電子郵件訊息的日期。 這是與 Received 電子郵件屬性相同的屬性。 |
| 收件者 | 電子郵件訊息中的所有收件者欄位。 這些欄位為 [至]、[副本] 和 [密件抄送]。 (請參閱收件者擴 充) |
| 寄件者 | 電子郵件訊息的寄件者。 |
| 寄件日期 | 寄件者傳送電子郵件訊息的日期。 這是與 Sent 電子郵件屬性相同的屬性。 |
| 主旨 | 電子郵件訊息主旨行中的文字。 注意:請勿在此條件的值中包含雙引號,因為使用此搜尋條件時會自動新增引號。 如果您將引號新增至值,則會將兩對雙引號新增至條件值,而搜尋查詢會傳回錯誤。 |
| 收件者 | [收件者] 欄位中電子郵件訊息的收件者。 |
檔屬性的條件
在 SharePoint 和 OneDrive 網站上搜尋檔時,使用文檔屬性建立條件。 下表列出可用於條件的文件屬性。 這些屬性是先前描述的網站屬性子集。 為了方便起見,會重複這些描述。
| 條件 | 描述 |
|---|---|
| 作者 | Office 檔中的作者欄位,如果複製檔,則會保存此欄位。 例如,如果使用者建立檔,並將它傳送給其他人,然後將它上傳至 SharePoint,則檔仍會保留原始作者。 |
| 標題 | 檔的標題。 Title 屬性是 Office 檔中指定的元數據。 它與文件的檔名不同。 |
| 已建立 | 檔的建立日期。 |
| 上次修改日期 | 檔上次變更的日期。 |
| 檔案類型 | 檔案的擴展名;例如,docx、one、pptx 或 xlsx。 這是與 FileExtension 網站屬性相同的屬性。
注意: 如果您在搜尋查詢中包含使用 Equals 或 Equals 任 一運算符的檔案類型條件,則無法在檔案類型結尾包含通配符 ( * ) ,以使用前置詞搜尋 (,) 傳回檔類型的所有版本。 如果您這樣做,則會忽略通配符。 例如,如果您包含條件 |
與條件搭配使用的運算符
當您新增條件時,可以選取與條件的屬性類型相關的運算符。 下表描述與條件搭配使用的運算符,並列出搜尋查詢中使用的對等運算符。
| 運算子 | 查詢對等專案 | 描述 |
|---|---|---|
| 之後 | property>date |
搭配日期條件使用。 傳回在指定日期之後傳送、接收或修改的專案。 |
| 之前 | property<date |
搭配日期條件使用。 傳回在指定日期之前傳送、接收或修改的專案。 |
| 之間 | date..date |
搭配日期和大小條件使用。 搭配日期條件使用時,傳回指定日期範圍內已傳送、接收或修改的專案。 搭配大小條件使用時,傳回大小在指定範圍內的專案。 |
| 包含任何一個 | (property:value) OR (property:value) |
與指定字串值之屬性的條件搭配使用。 傳回包含一或多個指定字串值之任何部分的專案。 |
| 不包含任何 | -property:value |
與指定字串值之屬性的條件搭配使用。 傳回不包含指定字串值任何部分的專案。 |
| 不等於任何 | -property=value |
與指定字串值之屬性的條件搭配使用。 傳回不包含特定字串的專案。 |
| 等於 | size=value |
傳回等於指定大小的專案。1 |
| 等於任何 | (property=value) OR (property=value) |
與指定字串值之屬性的條件搭配使用。 傳回符合一或多個指定字串值的專案。 |
| 大 | size>value |
傳回指定屬性大於指定值的專案。1 |
| 大於或等於 | size>=value |
傳回指定屬性大於或等於指定值的專案。1 |
| 少 | size<value |
傳回大於或等於特定值的專案。1 |
| 小於或等於 | size<=value |
傳回大於或等於特定值的專案。1 |
| 不等於 | size<>value |
傳回不等於指定大小的專案。1 |
注意事項
1 此運算子僅適用於使用 Size 屬性的條件。