Propiedades del mensaje y operadores de búsqueda para In-Place eDiscovery en Exchange Server
En este tema se describen las propiedades de los mensajes de correo electrónico de Exchange que puede buscar mediante In-Place eDiscovery & Hold in Exchange Server 2016 o Exchange Server 2019. The topic also describes Boolean search operators and other search query techniques that you can use to refine eDiscovery search results.
La exhibición de documentos electrónicos local usa el lenguaje de consulta de palabras clave (KQL). Para obtener más información, vea Referencia de sintaxis del lenguaje de consulta de palabras clave.
Propiedades que permiten búsqueda en Exchange
En la tabla siguiente se enumeran las propiedades de los mensajes de correo electrónico que se pueden buscar mediante una búsqueda de exhibición de documentos electrónicos local o mediante el cmdlet New-MailboxSearch o Set-MailboxSearch. La tabla incluye un ejemplo de la sintaxis property:value para cada propiedad y una descripción de los resultados de búsqueda devueltos por los ejemplos.
| Propiedad | Descripción de la propiedad | Ejemplos | Resultados de la búsqueda devueltos por los ejemplos |
|---|---|---|---|
| Datos adjuntos | Los nombres de los archivos adjuntos a un mensaje de correo electrónico. | datos adjuntos: annualreport.ppt datos adjuntos: anual* |
Mensajes que tienen un archivo adjunto con un nombre que coincide con annualreport.ppt, por ejemplo, "annualreport.ppt" o "annualreport.ppt de 2017". En el segundo ejemplo, el uso del comodín devuelve los mensajes con la palabra "anual" en el nombre de un archivo adjunto. |
| Cco 2 | El campo CCO de un mensaje de correo electrónico.1 | Bcc: pilarp@contoso.com bcc:pilarp bcc:"Pilar Pinilla" |
Todos los ejemplos devuelven los mensajes que incluyen a Pilar Pinilla en el campo CCO. |
| Category | Las categorías para buscar. Los usuarios pueden definir categorías mediante Outlook o Outlook en la Web (anteriormente conocidas como Outlook Web App). Los valores admitidos son:
|
category:="Categoría roja" | Los mensajes a los que se ha asignado la categoría roja en los buzones de origen. |
| CC | El campo CC de un mensaje de correo electrónico.1 | Cc:pilarp@contoso.com cc:"Pilar Pinilla" |
En ambos ejemplos, los mensajes que especifican a Pilar Pinilla en el campo CC. |
| De | El remitente de un mensaje de correo electrónico.1 | De:pilarp@contoso.com de: contoso.com |
Los mensajes enviados por el usuario especificado o enviados desde un dominio especificado. |
| Importance | La importancia de un mensaje de correo electrónico, que un remitente puede especificar al enviar un mensaje. De manera predeterminada, los mensajes se envían con importancia normal, a menos que el remitente establezca la importancia como alta o baja. | importancia: alta importancia: medio importancia: baja |
Los mensajes que están marcados con importancia alta, importancia media o importancia baja. |
| Kind | El tipo de mensaje para buscar. Los valores admitidos son:
|
kind: email kind: email OR kind:im OR kind:voicemail |
Los mensajes de correo electrónico que cumplen los criterios de búsqueda. El segundo ejemplo devuelve los mensajes de correo electrónico, las conversaciones de mensajería instantánea y los mensajes de voz que cumplen los criterios de búsqueda. |
| Participantes2 | Todos los campos de personas en un mensaje de correo electrónico. Estos campos son De, Para, CC y CCO.1 | Participantes: garthf@contoso.com participantes: contoso.com |
Mensajes enviados por o enviados a garthf@contoso.com. El segundo ejemplo devuelve todos los mensajes enviados por o a un usuario en el dominio contoso.com. |
| Received | La fecha en la que un destinatario recibió un mensaje de correo electrónico. | recibido: 15/04/2015 received>=01/01/2015 AND received<=03/31/2015 |
Mensajes que se recibieron el 15 de abril de 2014. El segundo ejemplo devuelve todos los mensajes recibidos entre el 1 de enero de 2014 y el 31 de marzo de 2014. |
| Destinatarios2 | Todos los campos de destinatarios en un mensaje de correo electrónico. Estos campos son Para, CC y CCO.1 | Destinatarios: garthf@contoso.com destinatarios: contoso.com |
Mensajes enviados a garthf@contoso.com. El segundo ejemplo devuelve los mensajes enviados a todos los destinatarios en el dominio contoso.com. |
| Sent | La fecha en la que un remitente envió un mensaje de correo electrónico. | enviado: 07/01/2015 sent>=06/01/2015 AND sent<=07/01/2015 |
Mensajes que se enviaron en la fecha especificada o que se enviaron dentro del intervalo de fechas especificado. |
| Size | El tamaño de un elemento, en bytes. | tamaño>26214400 size:1..1048576 |
Mensajes de más de 25 MB. El segundo ejemplo devuelve los mensajes que tienen un tamaño comprendido entre 1 y 1.048.576 bytes (1 MB). |
| Subject | El texto en la línea de asunto de un mensaje de correo electrónico. | asunto:"Finanzas trimestrales" subject: northwind |
Mensajes que contienen la frase exacta "Finanzas trimestrales" en cualquier lugar de la línea de asunto. El segundo ejemplo devuelve todos los mensajes que contienen la palabra northwind en la línea de asunto. |
| To | El campo Para de un mensaje de correo electrónico.1 | Para: annb@contoso.com to:annb to:"Ann Beebe" |
Todos los ejemplos devuelven mensajes en los que Ann Beebe está especificada en la línea Para. |
1 En el caso del valor de una propiedad de destinatario, puede usar la dirección SMTP, el nombre para mostrar o el alias para especificar un usuario. Por ejemplo, puede usar annb@contoso.com, annb o "Ann Beebe" para especificar el usuario Ann Beebe.
2 Al usar las propiedades BCC, Participants o Recipients, asegúrese de que se centra en el buzón del remitente para obtener los resultados de búsqueda adecuados.
Operadores de búsqueda compatibles
Los operadores de búsqueda booleanos, tales como AND, OR y NOT, ayudan a definir búsquedas de buzón más precisas mediante la inclusión o exclusión de palabras específicas en la consulta de búsqueda. Otras técnicas, como el uso de operadores de propiedad (como >= o ..), comillas, paréntesis y comodines, le ayudan a refinar las consultas de búsqueda de exhibición de documentos electrónicos. En la siguiente tabla se muestran los operadores que puede usar para restringir o ampliar los resultados de la búsqueda.
| Operador | Uso | Descripción |
|---|---|---|
| Y | palabra clave 1 AND palabra clave 2 | Devuelve mensajes que incluyen todas las palabras clave o property: value expresiones especificadas. |
| + | palabra clave 1 + palabra clave 2 + palabra clave 3 | Devuelve elementos que contienenkeyword2 o keyword3y que también contienen keyword1. Por lo tanto, este ejemplo es equivalente a la consulta (keyword2 OR keyword3) AND keyword1. La consulta keyword1 + keyword2 (con un espacio después del + símbolo) no es la misma que el uso del operador AND . Esta consulta sería equivalente a "keyword1 + keyword2" y devolvería elementos con la fase "keyword1 + keyword2"exacta . |
| OR | palabra clave 1 OR palabra clave 2 | Devuelve mensajes que incluyen una o varias de las palabras clave o property: value expresiones especificadas. |
| NOT | palabra clave 1 NOT palabra clave 2 NOT from:"Ann Beebe" |
Excluye los mensajes especificados por una palabra clave o una property: value expresión. Por ejemplo, NOT from:"Ann Beebe" excluye los mensajes enviados por Ann Beebe. |
| - | palabra clave 1 - palabra clave 2 | Igual que el operador NOT. Esta consulta devuelve elementos que contienen keyword1 y excluyen elementos que contienen keyword2. |
| NEAR | palabra clave 1 NEAR(n) palabra clave 2 | Devuelve los mensajes con palabras cercanas entre sí, donde "n" indica el número de palabras que las separan. Por ejemplo, best NEAR(5) worst devuelve mensajes donde la palabra "worst" está dentro de cinco palabras de "best". Si no se especifica ningún número, la distancia predeterminada es de ocho palabras. |
| : | propiedad:valor | Los dos puntos (:) en la property:value sintaxis especifican que el valor de propiedad que se busca es igual al valor especificado. Por ejemplo, recipients:garthf@contoso.com devuelve cualquier mensaje enviado a garthf@contoso.com. |
| < | propiedad<valor | Indica que la propiedad que se busca es menor que el valor especificado. 1 |
| > | propiedad>valor | Indica que la propiedad que se busca es mayor que el valor especificado.1 |
| <= | propiedad<=valor | Indica que la propiedad que se busca es menor o igual que un valor especificado.1 |
| >= | propiedad>=valor | Indica que la propiedad que se busca es mayor o igual que un valor especificado.1 |
| .. | propiedad: value1.. value2 | Indica que la propiedad que se busca es mayor o igual que el valor 1 y menor o igual que el valor 2.1 |
| " " | "valor razonable" asunto:"Finanzas trimestrales" |
Use comillas dobles (" ") para buscar una frase o un término exactos en las consultas de palabras clave y property: value búsqueda. |
| * | Gato* subject:set* |
Las búsquedas con caracteres comodín de prefijo (donde el asterisco se coloca al final de una palabra) coinciden con cero o más caracteres en palabras clave o property: value consultas. Por ejemplo, subject:set* devuelve mensajes que contienen la palabra set, setup y setting (y otras palabras que comienzan por "set") en la línea del asunto. |
| ( ) | (justo o gratuito) Y de: contoso.com (IPO OR inicial) AND (acciones OR cuotas) (finanzas trimestrales) |
Los paréntesis agrupan frases booleanas, property: value elementos y palabras clave. Por ejemplo, (quarterly financials) devuelve elementos que contienen las palabras trimestrales y financieras. |
1 Use este operador para las propiedades que tienen valores numéricos o de fecha.
2 Los operadores de búsqueda booleanos deben estar en mayúsculas; por ejemplo, AND. El uso de operadores en minúsculas en consultas de búsqueda devolverá un error.
Caracteres no admitidos en las consultas de búsqueda
Los caracteres no admitidos en las consultas de búsqueda normalmente provocan un error de búsqueda o devuelven resultados no intencionados. Los caracteres no admitidos a menudo están ocultos y normalmente se agregan a una consulta cuando copia la consulta o partes de esta desde otras aplicaciones (como Microsoft Word o Microsoft Excel), y las copia al cuadro de palabras clave en la página de consulta de la búsqueda de In-Place eDiscovery.
Aquí se muestra una lista de los caracteres no admitidos para una consulta de búsqueda de In-Place eDiscovery.
Comillas inteligentes: no se admiten comillas simples y dobles inteligentes (también denominadas comillas rizas). Solo pueden usarse las comillas tipográficas en una consulta de búsqueda.
Caracteres de control y no imprimibles: los caracteres no imprimibles y de control no representan un símbolo escrito, como un carácter alfanumérico. Los ejemplos de caracteres de control no imprimibles incluyen caracteres que aplican formato al texto o que separan líneas de texto.
Marcas de izquierda a derecha y de derecha a izquierda: estos caracteres son caracteres de control que se usan para indicar la dirección del texto para los idiomas de izquierda a derecha (como inglés y español) y de derecha a izquierda (como árabe y hebreo).
Operadores booleanos en minúsculas: como se explicó anteriormente, debe usar operadores booleanos en mayúsculas, como AND y OR, en una consulta de búsqueda. La sintaxis de consulta a menudo indicará que se usa un operador booleano aunque se puedan usar operadores en minúsculas; por ejemplo,
(WordA or WordB) and (WordC or WordD).
¿Cómo puede evitar los caracteres no admitidos en sus consultas de búsqueda? La mejor manera de evitar los caracteres no admitidos es simplemente escribir la consulta en el cuadro de palabras clave. De manera alternativa, puede copiar una consulta de Word o Excel y, después, pegarla en un archivo de un editor de texto sin formato, como Microsoft Notepad. A continuación, guarde el archivo de texto y seleccione ANSI en la lista desplegable Codificación. Esta selección quitará cualquier formato y caracteres no admitidos. Después, podrá copiar y pegar la consulta del archivo de texto en el cuadro de consulta de palabras clave.
Trucos y sugerencias de búsqueda
Las búsquedas de palabras clave no distinguen mayúsculas de minúsculas. Por ejemplo, tanto si escribe gato como GATO, obtendrá los mismos resultados.
Un espacio entre dos palabras clave o dos
property: valueexpresiones es el mismo que el uso de AND. Por ejemplo,from:"Sara Davis" subject:reorganizationdevuelve todos los mensajes enviados por Sara Davis que contienen la palabra reorganización en la línea de asunto.Use la sintaxis que coincida con el
property: valueformato. Los valores no distinguen mayúsculas de minúsculas y no pueden tener un espacio después del operador. Si hay un espacio, solo se buscará el texto completo del valor proporcionado. Por ejemplo, to: pilarp busca "pilarp" como palabra clave, en vez de buscar mensajes que se enviaron a pilarp.Al buscar una propiedad de destinatario, como Para, De, Cc o los destinatarios, puede utilizar una dirección SMTP, un alias o un nombre para mostrar para indicar un destinatario. Por ejemplo, puede usar pilarp@contoso.com, pilarp o "Pilar Pinilla".
Solo puede usar búsquedas con caracteres comodín de sufijo (por ejemplo, cat* o set*). No se admiten búsquedas con caracteres comodín de prefijo (*cat) o búsquedas con caracteres comodín de subcadena (*cat*).
Al buscar una propiedad, use comillas dobles (" ") si el valor de búsqueda consta de varias palabras. Por ejemplo, subject:budget Q1 devuelve mensajes que contienen presupuesto en la línea de asunto y que contienen Q1 en cualquier lugar del mensaje o en cualquiera de las propiedades del mensaje. El uso de subject:"presupuesto T1" devuelve todos los mensajes que contienen presupuesto T1 en cualquier lugar de la línea de asunto.
Para excluir de los resultados de la búsqueda el contenido marcado con un valor de propiedad determinado, coloque un signo menos (-) delante del nombre de la propiedad. Por ejemplo, -from:"Sara Davis" excluirá los mensajes enviados por Sara Davis.