Nachrichteneigenschaften und Suchoperatoren für In-Place eDiscovery in Exchange Server
In diesem Thema werden die Eigenschaften von Exchange E-Mail-Nachrichten beschrieben, die Sie mit In-Place eDiscovery & Hold in Exchange Server 2016 oder Exchange Server 2019 durchsuchen können. Außerdem werden in diesem Thema Boolesche Suchoperatoren und andere Suchabfragetechniken beschrieben, die Sie verwenden können, um eDiscovery-Suchergebnisse zu verfeinern.
Compliance-eDiscovery verwendet Keyword Query Language (KQL). Weitere Informationen finden Sie unter Syntaxreferenz für die Schlüsselwortabfragesprache.
Durchsuchbare Eigenschaften in Exchange
In der folgenden Tabelle sind Eigenschaften von E-Mails aufgelistet, nach denen in einer Compliance-eDiscovery-Suche oder mithilfe von New-MailboxSearch oder des Cmdlets Set-MailboxSearch gesucht werden kann. Die Tabelle enthält ein Beispiel für die property:value-Syntax für jede Eigenschaft und eine Beschreibung der für jedes Beispiel zurückgegebenen Suchergebnisse.
| Eigenschaft | Beschreibung der Eigenschaft | Beispiele | Von den Beispielen zurückgegebene Suchergebnisse |
|---|---|---|---|
| Anhang | Die Namen der an eine E-Mail angefügten Dateien. | Attachment: annualreport.ppt Anlage: jährlich* |
Nachrichten mit einer angefügten Datei, deren Name annualreport.ppt entspricht, z. B. "annualreport.ppt" oder "2017 annualreport.ppt". Im zweiten Beispiel werden, wenn Sie das Platzhalterzeichen verwenden, Nachrichten mit dem Wort "Jahresbericht" im Dateinamen eines Anhangs zurückgegeben. |
| Bcc | Das Feld „BCC" einer E-Mail-Nachricht.1 | bcc: pilarp@contoso.com bcc:pilarp bcc:"Pilar Pinilla" |
In allen Beispielen werden Nachrichten mit dem Namen "Pilar Pinilla" im Bcc-Feld zurückgegeben. |
| Kategorie | Die Kategorien, nach denen gesucht wird. Kategorien können von Benutzern mithilfe von Outlook oder Outlook im Web (früher als Outlook Web App bezeichnet) definiert werden. Gültige Werte sind:
|
Kategorie:="Rote Kategorie" | Nachrichten, denen in den Quellpostfächern die rote Kategorie zugewiesen wurde. |
| Cc | Das Feld „CC" einer E-Mail-Nachricht.1 | cc:pilarp@contoso.com cc:"Pilar Pinilla" |
In beiden Fällen Nachrichten mit dem Namen "Pilar Pinilla" im CC-Feld. |
| Von | Der Absender einer E-Mail-Nachricht.1 | from:pilarp@contoso.com from: contoso.com |
Nachrichten, die vom angegebenen Benutzer oder einer bestimmten Domäne gesendet wurden. |
| Wichtigkeit | Die Wichtigkeit einer E-Mail-Nachricht, die ein Absender festlegen kann, wenn er eine Nachricht sendet. Standardmäßig werden Nachrichten mit normaler Wichtigkeit gesendet, außer wenn der Absender die Wichtigkeit auf Hoch oder Niedrig setzt. | Wichtigkeit: hoch importance: medium wichtigkeit: niedrig |
Nachrichten, deren Wichtigkeit auf "Hoch", "Mittel" bzw. "Niedrig" eingestellt ist. |
| Art | Der Nachrichtentyp, nach dem gesucht wird. Gültige Werte sind:
|
Art: E-Mail art: email OR kind:im OR kind:voicemail |
E-Mails, die den Suchkriterien entsprechen. Im zweiten Beispiel werden E-Mails, Instant Messaging-Konversationen und Sprachnachrichten zurückgegeben, die den Suchkriterien entsprechen. |
| Teilnehmer | Alle Felder mit Personen in einer E-Mail-Nachricht. Diese Felder sind „Von", „An", „CC" und „BCC".1 | Teilnehmer: garthf@contoso.com Teilnehmer: contoso.com |
Nachrichten, die von oder an garthf@contoso.com gesendet wurden. Im zweiten Beispiel werden alle Nachrichten zurückgegeben, die von oder an einen Benutzer in der Domäne contoso.com gesendet wurden. |
| Empfangen | Das Datum, an dem eine E-Mail-Nachricht von einem Empfänger empfangen wurde. | received: 15.04.2015 received>=01/01/2015 AND received<=03/31/2015 |
Nachrichten, die am 15. April 2014 empfangen wurden. Im zweiten Beispiel werden alle Nachrichten zurückgegeben, die zwischen dem 1. Januar 2014 und dem 31. März 2014 empfangen wurden. |
| Empfänger | Alle Felder mit Empfängern in einer E-Mail-Nachricht. Diese Felder sind „An", „CC" und „BCC".1 | recipients: garthf@contoso.com recipients: contoso.com |
Nachrichten, die an garthf@contoso.com gesendet wurden. Im zweiten Beispiel werden Nachrichten zurückgegeben, die an einen beliebigen Empfänger in der Domäne contoso.com geschickt wurden. |
| Gesendet | Das Datum, an dem eine E-Mail vom Absender gesendet wurde. | gesendet: 01.07.2015 sent>=06/01/2015 AND sent<=07/01/2015 |
Nachrichten, die am angegebenen Tag oder im angegebenen Datumsbereich gesendet wurden. |
| Größe | Die Größe eines Elements in Byte. | Größe> 26214400 size:1..1048576 |
Nachrichten mit mehr als 25 MB. Im zweiten Beispiel werden Nachrichten mit einer Größe von 1 bis 1.048.576 Byte (1 MB) zurückgegeben. |
| Betreff | Der Text in der Betreffzeile einer E-Mail. | Betreff:"Vierteljährliche Finanzdaten" Betreff: Northwind |
Nachrichten mit dem exakten Ausdruck „Vierteljährliche Finanzdaten" in der Betreffzeile. Im zweiten Beispiel werden alle Nachrichten mit dem Wort "northwind" in der Betreffzeile zurückgegeben. |
| An | Das Feld „An" einer E-Mail-Nachricht.1 | to: annb@contoso.com an:annb an:"Ann Beebe" |
In allen Beispielen wegen Nachrichten zurückgegeben, in deren Zeile "An" der Name "Ann Beebe" angegeben ist. |
1 Für den Wert einer Empfängereigenschaft können sie die SMTP-Adresse, den Anzeigenamen oder den Alias verwenden, um einen Benutzer anzugeben. Sie können z. B. annb@contoso.com, Annb oder „Ann Beebe" verwenden, um den Benutzer Ann Beebe anzugeben.
Unterstützte Suchoperatoren
Boolesche Suchoperatoren wie AND, OR und NOT helfen Ihnen bei der Definition präziserer Postfachsuchen durch Einschluss oder Ausschluss bestimmter Wörter in die bzw. aus der Suchanfrage. Andere Verfahren wie die Verwendung von Eigenschaftsoperatoren (wie >= or ..), Fragezeichen, Klammern und Platzhaltern helfen Ihnen, eDiscovery-Suchanfragen zu verfeinern. In der folgenden Tabelle sind die Operatoren aufgelistet, die Sie verwenden können, um Ihre Suchergebnisse einzugrenzen oder zu erweitern.
| Operator | Verwendung | Beschreibung |
|---|---|---|
| AND | Wort1 AND Wort2 | Gibt Nachrichten zurück, die alle angegebenen Schlüsselwörter oder property: value Ausdrücke enthalten. |
| + | Wort1 +Wort2 +Wort3 | Gibt Elemente zurück, die entweder keyword2 oder keyword3 auch enthalten keyword1. Daher entspricht dieses Beispiel der Abfrage (keyword2 OR keyword3) AND keyword1. Die Abfrage keyword1 + keyword2 (mit einem Leerzeichen hinter dem + Symbol) ist nicht identisch mit der Verwendung des AND-Operators . Diese Abfrage wäre gleichbedeutend "keyword1 + keyword2" mit Elementen mit der genauen Phase "keyword1 + keyword2"und gibt diese zurück. |
| OR | Wort1 OR Wort2 | Gibt Nachrichten zurück, die mindestens eines der angegebenen Schlüsselwörter oder property: value Ausdrücke enthalten. |
| NOT | Wort1 NOT Wort2 NOT Von:"Ann Beebe" |
Schließt Nachrichten aus, die durch ein Schlüsselwort oder einen property: value Ausdruck angegeben werden. Schließt beispielsweise Nachrichten aus, NOT from:"Ann Beebe" die von Ann Beebe gesendet werden. |
| - | Wort1 - Wort2 | Identisch mit dem Operator NOT. Diese Abfrage gibt Elemente zurück, die Elemente enthalten keyword1 und ausschließen, die keyword2enthalten. |
| NEAR | Wort1 NEAR(n) Wort2 | Gibt Nachrichten mit Wörtern zurück, die sich nah sind, wobei "n" der Anzahl der Wörter entspricht, die den Abstand zwischen den gesuchten Wörtern darstellen. Gibt beispielsweise Nachrichten zurück, best NEAR(5) worst bei denen das Wort "am schlechtesten" innerhalb von fünf Wörtern von "am besten" liegt. Wenn keine Anzahl angegeben wird, wird der Standardabstand von 8 Wörtern verwendet. |
| : | Eigenschaftswert | Doppelpunkt (:) gibt in der property:value Syntax an, dass der gesuchte Eigenschaftswert dem angegebenen Wert entspricht. Gibt beispielsweise recipients:garthf@contoso.com eine an garthf@contoso.com gesendete Nachricht zurück. |
| < | Eigenschaft<Wert | Zeigt an, dass die Eigenschaft, nach der gesucht wird, kleiner ist als der angegebene Wert.1 |
| > | Eigenschaft>Wert | Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer ist als der angegebene Wert.1 |
| <= | Eigenschaft<=Wert | Zeigt an, dass die Eigenschaft, nach der gesucht wird, kleiner gleich dem angegebenen Wert ist.1 |
| >= | Eigenschaft>=Wert | Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer gleich dem angegebenen Wert ist.1 |
| .. | property: value1.. Wert2 | Zeigt an, dass die Eigenschaft, nach der gesucht wird, größer gleich Wert1 und kleiner gleich Wert2 ist.1 |
| " " | "fair Value" Betreff:"Vierteljährliche Finanzdaten" |
Verwenden Sie doppelte Anführungszeichen (" ") zum Suchen nach einem exakten Ausdruck oder Begriff in Stichwort- und property: value Suchabfragen. |
| * | cat* Betreff:set* |
Präfix-Platzhaltersuchen (wobei das Sternchen am Ende eines Worts platziert wird) stimmen mit Null oder mehr Zeichen in Schlüsselwörtern oder property: value Abfragen überein. Gibt z. B. Nachrichten zurück, subject:set* die die Wörter "set", "setup" und "setting" (und andere Wörter, die mit "set" beginnen) in der Betreffzeile enthalten. |
| ( ) | (fair ODER kostenlos) UND von: contoso.com (IPO OR Initiale) AND (Aktien OR Anteile) (Vierteljährliche Finanzdaten) |
Klammern gruppieren boolesche Ausdrücke, property: value Elemente und Schlüsselwörter. Gibt beispielsweise Elemente zurück, (quarterly financials) die die Wörter Vierteljährlich und Finanzen enthalten. |
1 Verwenden Sie diesen Operator für Eigenschaften mit Datums- oder Numerischen Werten.
2 boolesche Suchoperatoren müssen groß geschrieben sein; z. B. AND. Bei Suchoperatoren in Kleinbuchstaben in Suchabfragen wird ein Fehler zurückgegeben.
Nicht unterstützte Zeichen in Suchabfragen
Nicht unterstützte Zeichen in einer Suchabfrage führen gewöhnlich zu einem Suchfehler oder zu unerwarteten Ergebnissen. Nicht unterstützte Zeichen sind häufig ausgeblendet und werden der Abfrage hinzugefügt, wenn Sie die Abfrage oder Teile davon aus anderen Anwendungen (z. B. Microsoft Word oder Microsoft Excel) in das Schlüsselwortfeld auf der Abfrageseite der In-Situ-eDiscovery-Suche kopieren.
Im Folgenden finden Sie eine Liste der nicht unterstützten Zeichen für eine In-Situ-eDiscovery-Suchabfrage.
Intelligente Anführungszeichen: Intelligente einfache und doppelte Anführungszeichen (auch als geschweifte Anführungszeichen bezeichnet) werden nicht unterstützt. Nur gerade Anführungszeichen können in einer Suchabfrage verwendet werden.
Nicht druckbare Zeichen und Steuerzeichen: Nicht druckbare Zeichen und Steuerelementzeichen stellen kein geschriebenes Symbol dar, z. B. ein alphanumerisches Zeichen. Beispiele für nicht druckbare Zeichen und Steuerzeichen sind Zeichen, die Text formatieren oder Textzeilen trennen.
Links-nach-rechts- und rechts-nach-links-Zeichen: Bei diesen Zeichen handelt es sich um Steuerzeichen, mit denen die Textrichtung für Sprachen von links nach rechts (z. B. Englisch und Spanisch) und Von-rechts-nach-links-Sprachen (z. B. Arabisch und Hebräisch) angegeben wird.
Boolesche Operatoren in Kleinbuchstaben: Wie zuvor erläutert, müssen Sie boolesche Operatoren in Großbuchstaben wie AND und OR in einer Suchabfrage verwenden. Die Abfragesyntax weist häufig darauf hin, dass ein boolescher Operator verwendet wird, obwohl Operatoren in Kleinbuchstaben verwendet werden können. Beispiel:
(WordA or WordB) and (WordC or WordD).
Wie können Sie nicht unterstützte Zeichen in Ihren Suchabfragen verhindern? Die beste Möglichkeit zur Verhinderung nicht unterstützter Zeichen besteht darin, die Abfrage direkt in das Schlüsselwortfeld einzugeben. Alternativ können Sie eine Abfrage aus Word oder Excel kopieren und in einem Nur-Text-Editor, z. B. Microsoft Editor, in eine Datei einfügen. Speichern Sie dann die Textdatei, und wählen Sie ANSI in der Dropdownliste Codierung aus. Durch diese Auswahl werden alle Formatierungen und nicht unterstützten Zeichen entfernt. Anschließend können Sie die Abfrage aus der Textdatei kopieren und im Schlüsselwort-Abfragefeld einfügen.
Tipps und Tricks für die Suche
Schlüsselwortsuchen unterscheiden nicht zwischen Groß- und Kleinschreibung. Beispielsweise geben katze und KATZE dieselben Ergebnisse zurück.
Ein Leerzeichen zwischen zwei Schlüsselwörtern oder zwei
property: valueAusdrücken ist identisch mit der Verwendung von AND. Gibt z. B. alle von Sara David gesendeten Nachrichten zurück,from:"Sara Davis" subject:reorganizationdie das Wort "neu" in der Betreffzeile enthalten.Verwenden Sie eine Syntax, die dem
property: valueFormat entspricht. Bei Werten wird die Groß-/Kleinschreibung nicht beachtet, und nach dem Operator kann kein Leerzeichen vorhanden sein. Wenn dort ein Leerzeichen steht, wird eine Volltextsuche nach dem gewünschten Wert durchgeführt. Beispiel:An: pilarp wird z B. nach „pilarp“ als Schlüsselwort gesucht statt nach Nachrichten, die an pilarp gesendet wurden.Wenn Sie nach einer Empfängereigenschaft wie An, Von, Cc oder Empfänger suchen, können Sie eine SMTP-Adresse, einen Alias oder einen Anzeigenamen verwenden, um einen Empfänger anzugeben. Sie können z. B. pilarp@contoso.com, pilarp oder "Pilar Pinilla" verwenden.
Sie können nur Präfix-Platzhaltersuchen (z. B *. Katze oder *Satz) verwenden. Suffix-Platzhaltersuchen (Cat*) oder Teilzeichenfolgen-Platzhaltersuchen (*Cat*) werden nicht unterstützt.
Wenn Sie nach einer Eigenschaft suchen, verwenden Sie doppelte Anführungszeichen (" "), wenn der Suchwert aus mehreren Wörtern besteht. Beispielsweise gibt subject:budget Q1 Nachrichten zurück, die das Budget in der Betreffzeile enthalten und Q1 an einer beliebigen Stelle in der Nachricht oder in einer der Nachrichteneigenschaften enthalten. Für Betreff:"Budget Q1" werden alle Nachrichten zurückgegeben, deren „Betreff“-Zeile Budget Q1 enthält.
Wenn Sie Inhalte mit einem bestimmten Eigenschaftswert in den Suchergebnissen ausschließen möchten, fügen Sie ein Minuszeichen (-) vor dem Namen der Eigenschaft hinzu. Mit -Von: Sara "Davis" werden z. B. alle Nachrichten ausgeschlossen, die von Sara Davis gesendet wurden.