Usar o editor de KQL para criar consultas de pesquisas

  • Artigo

A opção de consulta KQL (Linguagem de Consulta de Palavra-Chave) na pesquisa de ferramentas Descoberta Eletrônica do Microsoft Purview fornece comentários e diretrizes ao criar consultas de pesquisa em Pesquisa de conteúdo, Descoberta Eletrônica do Microsoft Purview (Standard) e descoberta eletrônica (Premium). Quando você insere consultas no editor, ele fornece autocompleção para propriedades e condições pesquisáveis com suporte e fornece listas de valores com suporte para propriedades e condições padrão. Por exemplo, se você especificar a propriedade de kind email em sua consulta, o editor apresentará uma lista de valores compatíveis que você pode selecionar. O editor do KQL também exibe possíveis erros de consulta em tempo real que você pode corrigir antes de executar a pesquisa. O melhor de tudo é que você pode colar consultas complexas diretamente no editor sem precisar criar consultas manualmente usando as palavras-chave e os cartões de condições no construtor de condições padrão.

Aqui estão os principais benefícios para usar o editor KQL:

  • Fornece diretrizes e ajuda você a criar consultas de pesquisa do zero.
  • Permite colar rapidamente consultas longas e complexas diretamente no editor. Por exemplo, se você receber uma consulta complexa de um advogado adversário, poderá colar isso no editor KQL em vez de ter que usar o construtor de condições.
  • Identifica rapidamente possíveis erros e exibe dicas sobre como resolve problemas.

O editor KQL também está disponível quando você cria retenções baseadas em consulta em eDiscovery (Standard) e eDiscovery (Premium).

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Exibindo o editor KQL

Quando você cria ou edita uma pesquisa de descoberta eletrônica, a opção de exibir e usar o editor KQL está localizada na página Condições no assistente de pesquisa ou coleções.

Editor KQL na pesquisa de conteúdo e descoberta eletrônica (Standard)

Editor KQL na pesquisa de conteúdo e descoberta eletrônica (Standard)

Editor KQL na descoberta eletrônica (Premium)

Editor KQL na descoberta eletrônica (Premium)

Usando o editor KQL

As seções a seguir mostram exemplos de como o editor do KQL fornece sugestões e detecta possíveis erros.

Autocompilação de propriedades e operadores de pesquisa

Quando você começa a inserir uma consulta de pesquisa no editor do KQL, o editor exibe a autocompleção sugerida de propriedades de pesquisa com suporte (também chamadas de restrições de propriedade) que você pode selecionar. Você precisa digitar um mínimo de dois caracteres para exibir uma lista de propriedades com suporte que começam com esses dois caracteres. Por exemplo, a captura de tela a seguir mostra as propriedades de pesquisa sugeridas que começam com Se.

O editor do KQL sugere propriedades com suporte

Além disso, o editor também sugere que fornece uma lista de operadores com suporte (como :, = e <>) quando você digita um nome de propriedade completo. Por exemplo, a captura de tela a seguir mostra os operadores sugeridos para a Date propriedade.

O editor do KQL sugere operadores

Para obter mais informações sobre as propriedades e operadores de pesquisa com suporte, confira Consultas de palavra-chave e condições de pesquisa para descoberta eletrônica.

Sugestões de valor da propriedade

O editor do KQL fornece sugestões para possíveis valores de algumas propriedades. Por exemplo, a captura de tela a seguir mostra os valores sugeridos para a Kind propriedade.

O editor do KQL sugere valores para algumas propriedades

O editor também sugere uma lista de usuários (no formato UPN) ao digitar propriedades do destinatário de email, como From, Toe ParticipantsRecipients .

Editor do KQL sugere usuários para propriedades de email do destinatário

Detecção de possíveis erros

O editor do KQL detecta possíveis erros em consultas de pesquisa e fornece uma dica do que está causando o erro para ajudá-lo a resolve o erro. O editor também indica um erro potencial quando uma propriedade não tem uma operação ou valor correspondente. Erros potenciais na consulta são realçados em texto vermelho, e explicações e possíveis correções para o erro são exibidas na seção suspenso Erros potenciais .

Importante

Aspas aninhadas não têm suporte no editor do KQL.

Por exemplo, se você colasse a consulta a seguir no editor do KQL, quatro erros potenciais seriam detectados.

Detecção de erro do editor do KQL

Nesse caso, você pode usar as dicas de erro potenciais para solucionar problemas e corrigir a consulta.

Mais informações

  • Você pode alternar entre o construtor de condições e o editor KQL. Por exemplo, se você usar o construtor de condições para configurar uma consulta usando a caixa Palavras-chave e vários cartões de condição, poderá exibir a consulta resultante no editor KQL. No entanto, se você criar uma consulta complexa (com palavras-chave e condições) no editor do KQL, a consulta resultante será exibida somente na caixa Palavras-chave quando você a exibir no construtor de condições.

  • Se você colar uma consulta complexa no editor do KQL, o editor detectará possíveis erros e sugerirá possíveis soluções para resolve erros.