Abfragen und filtern von Inhalten in einem Prüfdateisatz

  • Artikel

In den meisten Fällen ist es hilfreich, den Inhalt eines Überprüfungssatzes genauer zu untersuchen und zu organisieren, um eine effizientere Überprüfung zu ermöglichen. Mithilfe von Filtern und Abfragen in einem Überprüfungssatz können Sie sich auf eine Teilmenge von Dokumenten konzentrieren, die die Kriterien Ihrer Überprüfung erfüllen. Weitere Informationen zu verfügbaren Suchbedingungen finden Sie unter Schlüsselwortabfragen und Suchbedingungen für eDiscovery.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Erweiterte Filter (Vorschau)

eDiscovery (Premium) bietet jetzt erweiterte Filter, mit denen Sie flexiblere und erweiterte Filter für Review-Sätze erstellen können. Ähnlich wie beim Sammlungsabfrage-Generator ermöglicht die erweiterte Filterfunktion Folgendes:

  • Suchen Sie schnell nach Filterbedingungen.
  • Erstellen Sie komplexe Filter mithilfe von Untergruppen, AND- oder OR-Bedingungen .
  • Ändern Sie Ihre Abfragen ganz einfach mit den Steuerelementen "Filterabfrage rückgängig " und "Redo filter query ".
  • Verwalten Sie gespeicherte Filter, ohne zu einem anderen Bereich navigieren zu müssen.
  • Verwenden Sie für jeden Filter die Bedingungen Ist leer und Ist nicht leer .

Überprüfen Sie den Filter für den Satz.

Wichtig

Ein Überprüfungssatz zeigt maximal 1.000 Elemente pro Seite und bis zu 10 Seiten an (für insgesamt 10.000 Elemente, die pro Reviewsatz angezeigt werden). Verwenden Sie Standardfilter oder benutzerdefinierte Filter, um die angezeigten Elemente nach Bedarf anzupassen. Übereinstimmend sind Die Anzahl der elemente sind Schätzungen.

Erweiterte Filtersteuerelemente (Vorschau)

Verwenden Sie die folgenden Steuerelemente, um eine benutzerdefinierte Filterung für Ihren Überprüfungssatz zu erstellen:

  • AND/OR: Mit diesen bedingten logischen Operatoren können Sie die Abfragebedingung auswählen, die für bestimmte Filter und Filteruntergruppen gilt. Mit diesen Operatoren können Sie mehrere Filter oder Untergruppen verwenden, die mit einem einzelnen Filter in Ihrer Abfrage verbunden sind.
  • Filter auswählen: Hiermit können Sie Filter für die spezifischen Datenquellen und speicherortbezogenen Inhalte auswählen, die für die Sammlung ausgewählt wurden.
  • Filter hinzufügen: Ermöglicht das Hinzufügen mehrerer Filter zu Ihrer Abfrage. Ist verfügbar, nachdem Sie mindestens einen Abfragefilter definiert haben.
  • Operator auswählen: Je nach ausgewähltem Filter können die für den Filter kompatiblen Operatoren ausgewählt werden. Wenn beispielsweise der Filter Datum ausgewählt ist, sind die verfügbaren Operatoren Before, After und Between. Wenn der Filter Größe (in Bytes) ausgewählt ist, sind die verfügbaren Operatoren Größer als, Größer oder gleich, Kleiner als, Kleiner oder gleich, Zwischen und Gleich.
  • Wert: Abhängig vom ausgewählten Filter sind die für den Filter kompatiblen Werte verfügbar. Darüber hinaus unterstützen einige Filter mehrere Werte und einige Filter einen bestimmten Wert. Wenn beispielsweise der Filter Datum ausgewählt ist, wählen Sie Datumswerte aus. Wenn der Filter Größe (in Bytes) ausgewählt ist, wählen Sie einen Wert für Bytes aus.
  • Untergruppe hinzufügen: Nachdem Sie einen Filter definiert haben, können Sie eine Untergruppe hinzufügen, um die vom Filter zurückgegebenen Ergebnisse zu verfeinern. Sie können einer Untergruppe auch eine Untergruppe für mehrschichtige Abfrageeinschränkungen hinzufügen.
  • Entfernen einer Filterbedingung: Um einen einzelnen Filter oder eine einzelne Untergruppe zu entfernen, wählen Sie das Symbol zum Entfernen rechts neben jeder Filterzeile oder Untergruppe aus.
  • Alle löschen: Um die gesamte Abfrage aller Filter und Untergruppen zu löschen, wählen Sie Alle löschen aus.

Filtertypen

Jedes durchsuchbare Feld in einem Überprüfungssatz verfügt über einen entsprechenden Filter, den Sie zum Filtern von Elementen basierend auf einem bestimmten Feld verwenden können.

Es gibt mehrere Filtertypen:

  • Freitext: Ein Freitextfilter wird auf Textfelder wie Betreff angewendet. Sie können mehrere Suchbegriffe auflisten, indem Sie sie durch ein Komma trennen.
  • Datum: Ein Datumsfilter wird für Datumsfelder verwendet, z. B . Datum der letzten Änderung.
  • Search Optionen: Ein Suchoptionenfilter stellt eine Liste möglicher Werte (jeder Wert wird mit einem Kontrollkästchen angezeigt, das Sie aktivieren können) für bestimmte Felder in der Überprüfung bereit. Dieser Filter wird für Felder wie Absender verwendet, in denen der Überprüfungssatz eine begrenzte Anzahl möglicher Werte enthält.
  • Schlüsselwort: Eine Schlüsselwort (keyword) Bedingung ist eine bestimmte instance der Freitextbedingung, die Sie zum Suchen nach Begriffen verwenden können. In diesem Filtertyp können Sie auch eine KQL-ähnliche Abfragesprache verwenden. Weitere Informationen finden Sie in diesem Artikel in den Abschnitten Abfragesprache und Generator für erweiterte Abfragen.

Speichern und Verwalten von Filterabfragen

Nachdem Sie mit Ihren Filtern zufrieden sind, können Sie die Filterkombination als Filterabfrage speichern. Mit dieser gespeicherten Filterabfrage können Sie den Filter in zukünftigen Überprüfungssitzungen anwenden.

Wählen Sie zum Speichern eines Filters in der Befehlsleiste Filterabfragen speichern die Option Speichern aus, und benennen Sie ihn. Sie oder andere Prüfer können zuvor gespeicherte Filterabfragen ausführen, indem Sie die Dropdownliste Gespeicherte Filterabfragen auswählen und eine Filterabfrage auswählen, die auf Überprüfungssatzdokumente angewendet werden soll.

Speichern Sie eine Filterabfrage.

Um eine gespeicherte Filterabfrage zu bearbeiten oder zu löschen, wählen Sie Gespeicherte Filterabfragen aus, und erweitern Sie die Filtereigenschaften, um die Optionen Bearbeiten und Löschen für die gespeicherte Filterabfrage anzuzeigen.

Bearbeiten oder Löschen einer gespeicherten Filterabfrage.

Verwenden der Abfragesprachunterstützung für KQL- und Schlüsselwortfilter

Wenn Sie die KQL - oder Schlüsselwortfilter verwenden, können Sie eine KQL-ähnliche Abfragesprache verwenden, um Ihre Überprüfungssatz-Suchabfrage zu erstellen. Die Abfragesprache für diese beiden Filter unterstützt boolesche Standardoperatoren wie AND, OR, NOT und NEAR. Außerdem werden ein Platzhalter mit nur einem Zeichen (?) und ein platzhalter mit mehreren Zeichen (*) unterstützt.

Hinweis

Überprüfungsfilter unterstützen nur Wildcards (? oder *) für einen einzelnen Begriff. Die Verwendung von Wildcards bei Suchvorgängen für Ausdrücke, die aus mehreren Begriffen bestehen, wird nicht unterstützt.

Szenariobeispiel: Filtern nach nicht markierten Elementen in einem Überprüfungssatz

Ein eDiscovery-Administrator muss eine Abfrage erstellen, um alle Elemente im Überprüfungssatz zu finden, für die keine Tags angewendet wurden. In diesem Beispiel erstellt der Administrator die folgende Überprüfungssatzfilterabfrage:

  1. Für den ersten Filter wählt der Administrator das Tag filter und types in der Filtersuche aus. Der Filter Tags wird als übereinstimmende Option angezeigt, und der Administrator wählt sie aus.
  2. Der Administrator wählt dann Operator auswählen und den Operator Ist leer aus. Dieser Operator gibt alle Elemente zurück, auf die keine Tags angewendet wurden.

Der Überprüfungssatz wird sofort aktualisiert, und es werden nur die Elemente angezeigt, die nicht gekennzeichnet sind.

Beispielabfrage für nicht markierte Überprüfungssatzelemente.

Szenariobeispiel: Filtern nach nativen Dateitypelementen in einem Überprüfungssatz

Ein eDiscovery-Administrator muss eine Abfrage erstellen, um alle Elemente im Überprüfungssatz zu finden, die einen bestimmten Typ aufweisen, z. B. .csv, .msg oder .pdf. In diesem Beispiel erstellt der Administrator die folgende Überprüfungssatzfilterabfrage:

  1. Für den ersten Filter wählt der Administrator die Filter - und Typdatei in der Filtersuche aus. Die filter Native Dateierweiterung ist eine der Filteroptionen, die in den Suchergebnissen angezeigt werden, und der Administrator wählt sie aus.
  2. Der Administrator wählt dann Operator auswählen und den Operator Gleich beliebiger von aus . Der Administrator wählt das Feld Beliebig aus und aktiviert die Kontrollkästchen für die Dateitypen, die in die Filterabfrage eingeschlossen werden sollen.

Der Überprüfungssatz wird sofort aktualisiert, und es werden nur die Elemente angezeigt, die den ausgewählten Dateitypen entsprechen.

Beispielabfrage für bestimmte Dateitypen in einem Überprüfungssatz.

Szenariobeispiel: Filtern von teilweise indizierten Elementen

Wenn Sie die Option zum Hinzufügen von teilweise indizierten Elementen aus zusätzlichen Datenquellen ausgewählt haben, wenn Sie die Sammlungsschätzung zu einem Überprüfungssatz committet haben. Sie sollten diese Elemente wahrscheinlich identifizieren und anzeigen, um festzustellen, ob ein Element für Ihre Untersuchung relevant ist und ob Sie den Fehler beheben müssen, der dazu geführt hat, dass das Element teilweise indiziert wurde.

Derzeit gibt es keine Filteroption in einem Überprüfungssatz, um teilweise indizierte Elemente anzuzeigen. Aber wir arbeiten daran. Bis dahin können Sie die teilweise indizierten Elemente filtern und anzeigen, die Sie einem Überprüfungssatz hinzugefügt haben.

  1. Erstellen Sie eine Sammlung, und committen Sie sie in einen neuen Überprüfungssatz, ohne teilweise indizierte Elemente aus den zusätzlichen Datenquellen hinzuzufügen.
  2. Erstellen Sie eine neue Sammlung, indem Sie die Auflistung aus Schritt 1 kopieren.
  3. Committen Sie die neue Sammlung in denselben Überprüfungssatz. Fügen Sie dieses Mal jedoch die teilweise indizierten Elemente aus den zusätzlichen Datenquellen hinzu. Da Elemente aus der Sammlung, die Sie in Schritt 1 erstellt haben, dem Überprüfungssatz bereits hinzugefügt wurden, werden dem Überprüfungssatz nur die teilweise indizierten Elemente aus der zweiten Sammlung hinzugefügt.
  4. Nachdem beide Sammlungen dem Überprüfungssatz hinzugefügt wurden, wählen Sie den Prüfsatz und dann Sätze laden aus.
  5. Kopieren Oder notieren Sie sich die Lade-ID für die zweite Sammlung (die, die Sie in Schritt 2 erstellt haben). Der Sammlungsname wird in der Spalte Quellinformationen angegeben.
  6. Wählen Sie im Überprüfungssatz Filter aus, erweitern Sie den Abschnitt IDs , und aktivieren Sie dann das Kontrollkästchen Id laden .
  7. Erweitern Sie den Filter Load Id , und aktivieren Sie dann das Kontrollkästchen für die Lade-ID, die der zweiten Sammlung entspricht, um die teilweise indizierten Elemente anzuzeigen.