Create una ricerca di eDiscovery In-Place in Exchange 2013
Si applica a: Exchange Server 2013
Usare eDiscovery sul posto per eseguire ricerche in tutto il contenuto della cassetta postale, inclusi gli elementi eliminati e le versioni originali degli elementi modificati per gli utenti inseriti nel blocco sul posto e nel blocco per controversia legale.
Che cosa è necessario sapere prima di iniziare?
Tempo stimato per il completamento: 5 minuti
Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "In-Place eDiscovery" nell'argomento Messaging policy and compliance permissions (Criteri di messaggistica e autorizzazioni di conformità ).
Per creare ricerche eDiscovery, è necessario disporre di un indirizzo SMTP nell'organizzazione nella quale si stanno creando le ricerche.
Il programma di installazione di Exchange 2013 crea una cassetta postale di individuazione denominata Discovery Search Mailbox per copiare i risultati della ricerca. È possibile creare ulteriori cassette postali di individuazione. Per ulteriori informazioni, vedere Create a discovery mailbox..
Quando si crea una ricerca In-Place eDiscovery, i messaggi restituiti nei risultati della ricerca non vengono copiati automaticamente in una cassetta postale di individuazione. Una volta creata la ricerca, utilizzare l'Interfaccia di amministrazione di Exchange (EAC) per la stima, l'anteprima o la copia dei risultati della ricerca in una cassetta postale di individuazione. Per dettagli, vedere:
Per informazioni sui tasti di scelta rapida che possono essere applicati alle procedure in questo argomento, vedere Tasti di scelta rapida per l'interfaccia di amministrazione di Exchange in Exchange 2013.
Consiglio
Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum all'indirizzo Exchange Server.
Usare EAC per creare una ricerca di eDiscovery In-Place
Come indicato in precedenza, per creare ricerche eDiscovery è necessario accedere a un account utente che dispone di un indirizzo SMTP nell'organizzazione.
Passare a Gestione> della conformitàIn-place eDiscovery & blocco.
Fare clic su Nuova
In In-Place eDiscovery & Blocco, nella pagina Nome e descrizione digitare un nome per la ricerca, aggiungere una descrizione facoltativa e quindi fare clic su Avanti.
Nella pagina Cassette postali selezionare le cassette postali da cercare. È possibile eseguire ricerche in tutte le cassette postali o selezionare quelle specifiche da cercare.
Importante
Non è possibile usare l'opzione Search tutte le cassette postali per mettere tutte le cassette postali in attesa. Per creare un blocco In-Place, è necessario selezionare Specifica cassette postali per la ricerca. Per altri dettagli, vedere Create o rimuovere un blocco In-Place.
Nella pagina Query di ricerca compilare i seguenti campi:
Includi tutto il contenuto della cassetta postale utente Selezionare questa opzione per mettere tutto il contenuto nelle cassette postali selezionate in attesa. Se viene selezionata questa opzione, non è possibile specificare ulteriori criteri di ricerca.
Filtro basato su criteri Selezionare questa opzione per specificare i criteri di ricerca, inclusi parole chiave, data di inizio e fine, indirizzo di mittente e destinatario e tipi di messaggi.
Nota
I campi Da: e A/Cc/Ccn: sono connessi tramite un operatore OR nella query di ricerca che viene creata nel momento in cui si effettua la ricerca. Questo significa che tutti i messaggi inviati o ricevuti da qualsiasi utente specificato (e che corrisponde ai criteri di ricerca) sono inclusi nei risultati della ricerca. > Le date sono connesse da un operatore AND .
Nella pagina Impostazioni di blocco sul posto è possibile selezionare la casella di controllo Inserisci contenuto corrispondente alla query di ricerca nelle cassette postali selezionate in attesa e quindi selezionare una delle opzioni seguenti per inserire gli elementi in In-Place Blocco:
In mantenimento illimitato Selezionare questa opzione per impostare gli elementi restituiti su un mantenimento illimitato. Gli elementi conservati verranno mantenuti fino a quando la cassetta postale non sarà stata rimossa dalla ricerca o non sarà stata eliminata la ricerca.
Specifica numero di giorni di archiviazione degli elementi in relazione alla data di ricezione Utilizzare questa opzione per conservare gli elementi per un periodo determinato. Ad esempio, è possibile utilizzare questa opzione se l'organizzazione richiede che tutti i messaggi vengano conservati per almeno sette anni. È possibile utilizzare una conservazione in locale basata sul tempo insieme al criterio di conservazione per essere certi che gli elementi vengano eliminati dopo sette anni.
Importante
Quando si posizionano cassette postali o elementi in In-Place blocco per scopi legali, in genere è consigliabile mantenere gli elementi a tempo indeterminato e rimuovere il blocco al termine del caso o dell'indagine.
Selezionare Fine per salvare la ricerca e ottenere una stima delle dimensioni totali e del numeri di elementi che saranno restituiti dalla ricerca sulla base dei criteri specificati. Le stime vengono visualizzate nel riquadro dei dettagli. Fare clic su
Per aggiornare le informazioni visualizzate nel riquadro dei dettagli.
Usare Shell per creare una ricerca di eDiscovery In-Place
In questo esempio viene creata la ricerca In-Place eDiscovery denominata Discovery-CaseId012 che cerca elementi contenenti le parole chiave Contoso e ProjectA e che soddisfano anche i criteri seguenti:
Data di inizio: 1/1/2009
Data di fine: 31/12/2011
Cassetta postale di origine: DG-Finance
Cassetta postale di destinazione: Cassetta postale di individuazione
Tipi di messaggi: Email
Include elementi non ricercabili nelle statistiche di ricerca
Livello di registrazione: Completa
Importante
Se non si specificano parametri di ricerca aggiuntivi durante l'esecuzione di una ricerca In-Place eDiscovery, tutti gli elementi nelle cassette postali di origine specificate vengono restituiti nei risultati. Se non si specificano le cassette postali da cercare, vengono eseguite ricerche in tutte le cassette postali dell'organizzazione di Exchange.
New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2009" -EndDate "12/31/2011" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full
Nota
Quando si usano i parametri StartDate e EndDate , è necessario usare il formato data mm/gg/aaaa, anche se le impostazioni del computer locale sono configurate per l'uso di un formato di data diverso, ad esempio gg/MM/aaaa. Ad esempio, per cercare i messaggi inviati tra il 1° aprile 2013 e il 1° luglio 2013, è necessario usare il 01/01/04/2013 e il 07/01/2013 per le date di inizio e fine.
In questo esempio viene creata una ricerca eDiscovery sul posto denominata HRCase090116 che esegue la ricerca dei messaggi di posta elettronica inviati da Alex Darrow a Sara Davis nel 2015.
New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full
Dopo aver utilizzato Shell per creare una ricerca di eDiscovery In-Place, è necessario avviare la ricerca usando il cmdlet Start-MailboxSearch per copiare i messaggi nella cassetta postale di individuazione specificata nel parametro TargetMailbox . Per i dettagli, vedere Copiare i risultati della ricerca eDiscovery in una cassetta postale di individuazione.
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-MailboxSearch.
Utilizzare l'interfaccia di amministrazione di Exchange per visualizzare una stima o un'anteprima dei risultati di ricerca
Dopo aver creato una ricerca In-Place eDiscovery, è possibile usare EAC per ottenere una stima e un'anteprima dei risultati della ricerca. Se è stata creata una nuova ricerca usando il cmdlet New-MailboxSearch , è possibile usare Shell per avviare la ricerca per ottenere una stima dei risultati della ricerca. Non è possibile usare Shell per visualizzare in anteprima i messaggi restituiti nei risultati della ricerca.
Passare a Gestione> conformitàEDiscovery sul posto & blocco.
Nella visualizzazione elenco selezionare la ricerca In-Place eDiscovery e quindi eseguire una delle operazioni seguenti:
Fare clic sull'icona Search
>Stimare i risultati della ricerca per restituire una stima delle dimensioni totali e del numero di elementi che verranno restituiti dalla ricerca in base ai criteri specificati. Se viene selezionata questa opzione si riavvia la ricerca e si esegue una stima.Search Le stime vengono visualizzate nel riquadro dei dettagli. Fare clic su
Per aggiornare le informazioni visualizzate nel riquadro dei dettagli.
Fare clic su Anteprima risultati della ricerca nel riquadro dei dettagli per visualizzare un'anteprima dei risultati al termine della stima di ricerca. Selezionando questa opzione viene visualizzata la finestra Anteprima di ricerca eDiscovery. Vengono visualizzati tutti i messaggi restituiti dalle cassette postali in cui è stata eseguita la ricerca.
Nota
Le cassette postali in cui è stata eseguita la ricerca sono elencate nel riquadro a destra nella finestra di anteprima della ricerca di eDiscovery . Per ogni cassetta postale viene visualizzato anche il numero di elementi restituiti e le dimensioni totali di questi elementi. Tutti gli elementi restituiti dalla ricerca vengono elencati nel riquadro a destra e possono essere ordinati in base alla data più o meno recente. Gli elementi di ogni cassetta postale non possono essere visualizzati nel riquadro destro facendo clic su una cassetta postale nel riquadro sinistro. Per visualizzare gli elementi restituiti da una cassetta postale specifica, è possibile copiare i risultati della ricerca e visualizzare gli elementi nella cassetta postale di individuazione.
Usare Shell per stimare i risultati della ricerca
È possibile usare l'opzione EstimateOnly per restituire solo una stima dei risultati della ricerca e non copiare i risultati in una cassetta postale di individuazione. È necessario avviare una ricerca di tipo solo stime con il cmdlet Start-MailboxSearch. In seguito, è possibile recuperare i risultati di ricerca stimati utilizzando il cmdlet Get-MailboxSearch.
Ad esempio, è possibile eseguire i comandi seguenti per creare una nuova ricerca eDiscovery e quindi visualizzare una stima dei risultati della ricerca:
New-MailboxSearch "FY13 Q2 Financial Results" -StartDate "04/01/2013" -EndDate "06/30/2013" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics
Start-MailboxSearch "FY13 Q2 Financial Results"
Get-MailboxSearch "FY13 Q2 Financial Results"
Per visualizzare informazioni specifiche sui risultati di ricerca stimati nel precedente esempio, è possibile eseguire il comando seguente:
Get-MailboxSearch "FY13 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits
Altre informazioni sulle ricerche di eDiscovery
Dopo aver creato una nuova ricerca eDiscovery, è possibile copiare i risultati di ricerca nella cassetta postale di individuazione ed esportare tali risultati in un file PST. Per ulteriori informazioni, vedere:
Dopo aver eseguito una stima della ricerca eDiscovery (che include le parole chiave dei risultati della ricerca), è possibile visualizzare le statistiche sulle parole chiave facendo clic su Visualizza statistiche parole chiave nel riquadro dei dettagli per la ricerca selezionata. Queste statistiche sulle parole chiave consentono di consultare i dettagli sul numero di elementi restituiti per ciascuna parola chiave utilizzata nella query di ricerca. Tuttavia, se la ricerca include oltre 100 cassette postali di origine, viene visualizzato un errore quando si prova a consultare le statistiche sulle parole chiave. Per visualizzare le statistiche sulle parole chiave, non includere più di 100 cassette postale di origine nella ricerca.