Свойства сообщений и операторы поиска для In-Place в Exchange Server

В этом разделе описываются свойства Exchange сообщений электронной почты, которые можно искать с помощью In-Place eDiscovery & Hold в Exchange Server 2016 или Exchange Server 2019 г. The topic also describes Boolean search operators and other search query techniques that you can use to refine eDiscovery search results.

Для обнаружения электронных данных на месте используется язык Keyword Query Language (KQL). Для получения более подробных сведений см. Справочник по синтаксису языка Keyword Query Language.

Свойства, доступные для поиска в Exchange

В следующей таблице перечислены свойства сообщений электронной почты, доступные для поиска при обнаружении электронных данных на месте или с помощью команды New-MailboxSearch или Set-MailboxSearch. В таблице приводится пример синтаксиса свойства:значение для каждого свойства и описание результатов поиска, возвращаемого в примерах.

Свойство Описание свойства Примеры Результаты поиска, возвращаемые примерами
Attachment Имена файлов, вложенных в сообщение электронной почты. attachment:annualreport.ppt

attachment:annual*
Сообщения с присоединенным файлом с именем, annualreport.ppt, например "annualreport.ppt" или "2017 annualreport.ppt".

Во втором примере при использовании подстановочного знака возвращаются сообщения со вложениями, в названиях которых есть слово "annual".
Bcc Поле "СК" электронного письма.1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"
Все примеры возвращают сообщения, в поле "Скрытая копия" которых добавлен пользователь "Pilar Pinilla".
Category Категории поиска. Категории могут быть определены пользователями с помощью Outlook или Outlook в Интернете (ранее известный как Outlook Web App). Допустимые значения:
• синий
• зеленый цвет
• оранжевый
• фиолетовый
• красный
• желтый
category:"Красная категория" Сообщения, которым в исходных почтовых ящиках назначена красная категория.
Cc Поле "Копия" электронного письма.1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"
В обоих примерах возвращаются сообщения, в поле "Копия" которых указан пользователь "Pilar Pinilla".
From Отправитель электронного письма.1 from:pilarp@contoso.com

from:contoso.com
Сообщения, отправленные указанным пользователем или с указанного домена.
Importance Важность сообщения, которую отправитель может указать при отправке. По умолчанию сообщения отправляются с обычной важностью, если отправитель не укажет высокую или низкую важность. importance:high
importance:medium
importance:low
Сообщения, которым назначена высокая, средняя или низкая важность.
Kind Тип сообщений для поиска. Допустимые значения:
• контакты
• документы
• электронная почта
• факсы
• im
• журналы
• собрания
• заметки
• сообщения
• rssfeeds
• задачи
• голосовая почта
kind:email

kind:email OR kind:im OR kind:voicemail
Сообщения, соответствующие критериям поиска. Второй пример возвращает сообщения электронной почты, сеансы обмена мгновенными сообщениями и голосовые сообщения, соответствующие критериям поиска.
Participants Все поля пользователей в электронном письме: "От", "Кому", "Копия" и "СК".1 participants:garthf@contoso.com

participants:contoso.com
Сообщения, отправленные с адреса garthf@contoso.com или на него.

Второй пример возвращает все сообщения, отправленные или полученные пользователем домена contoso.com.
Received Дата получения сообщения адресатом. received:04/15/2015

received>=01/01/2015 AND received<=03/31/2015
Сообщения, полученные 15 апреля 2014 г. Второй пример возвращает все сообщения, полученные с 1 января до 31 марта 2014 г.
Recipients Все поля получателей в электронном письме: "Кому", "Копия" и "СК".1 recipients:garthf@contoso.com

recipients:contoso.com
Сообщения, отправленные по адресу garthf@contoso.com.

Второй пример возвращает сообщения, отправленные получателям на домене contoso.com.
Sent Дата отправки сообщения отправителем. sent:07/01/2015

sent>=06/01/2015 AND sent<=07/01/2015
Сообщения, отправленные в указанный день или диапазон дат.
Size Размер элемента в байтах. размер > 26214400

размер:1..1048576
Сообщения больше 25 МБ.

Во втором примере возвращаются сообщения размером от 1 до 1 048 576 байт (1 МБ).
Subject Текст в строке темы сообщения электронной почты. subject:"Квартальное финансирование"

subject:northwind
Сообщения, которые содержат точную фразу "Квартальное финансирование" в строке темы.

Второй пример возвращает все сообщения, которые содержат слово northwind в строке темы.
Кому Поле "Кому" электронного письма.1 to:annb@contoso.com

to:annaye

to: "Анна Ермолаева"
Все примеры возвращают сообщения, в поле "Кому" которых указано имя "Анна Ермолаева".

1 В качестве значения свойства получателя вы можете использовать SMTP-адрес, отображаемое имя или псевдоним пользователя. Например, можно использовать значения annaye@contoso.com, annaye или "Анна Ермолаева".

Поддерживаемые операторы поиска

Логические операторы, например AND, OR и NOT, помогают задавать более определенные выражения для поиска в почтовых ящиках, включая какие-либо слова в поисковый запрос или исключая их из него. Другие методы, например использование операторов свойств (например, >= or ..), кавычек, скобок и подстановочных знаков, помогают уточнять поисковые запросы обнаружения электронных данных. В следующей таблице перечислены операторы, позволяющие сократить или расширить область результатов поиска.

Оператор Использование Описание
AND keyword1 AND keyword2 Возвращает сообщения, которые включают все указанные ключевые слова или property:value выражения.
+ keyword1 +keyword2 +keyword3 Возвращает элементы, которые содержат либо keyword2 keyword3 и которые также содержат keyword1 . Таким образом, этот пример эквивалентен запросу (keyword2 OR keyword3) AND keyword1 .

Обратите внимание, что запрос (с пробелом после символа) не то же самое, что с keyword1 + keyword2 + помощью оператора AND. Этот запрос будет эквивалентен и возвращает элементы "keyword1 + keyword2" с точной фазой "keyword1 + keyword2" .
OR keyword1 OR keyword2 Возвращает сообщения, которые включают одно или несколько указанных ключевых слов или property:value выражений.
NOT keyword1 NOT keyword2

NOT from:"Анна Ермолаева"
Исключает сообщения, указанные ключевым словом или property:value выражением. Например, NOT from:"Ann Beebe" исключает сообщения, отправленные Ann Beebe.
- keyword1 -keyword2 Аналогичен оператору NOT. Этот запрос возвращает элементы, содержащие и keyword1 исключающий элементы, содержащие keyword2 .
NEAR keyword1 NEAR(n) keyword2 Возвращает сообщения, в которых слова располагаются рядом друг с другом, где "n" означает количество слов по отдельности. Например, возвращает сообщения, в которых слово "худший" находится в best NEAR(5) worst пяти словах "best". Если число не указано, расстояние по умолчанию — восемь слов.
: свойство:значение Двоеточие (:) в синтаксис указывается, что значение свойства, которое искали, равно property:value указанному значению. Например, recipients:garthf@contoso.com возвращает любое сообщение, отправленное в garthf@contoso.com.
< свойство<значение Указывает, что значение искомого свойства меньше указанного значения.1
> свойство>значение Указывает, что значение искомого свойства больше указанного значения.1
<= свойство<=значение Указывает, что значение искомого свойства меньше или равно указанному значению.1
>= свойство>=значение Указывает, что значение искомого свойства больше или равно указанному значению.1
.. property:value1.. value2 Указывает, что значение искомого свойства больше или равно значению 1 и меньше или равно значению 2.1
" " "реальная стоимость"

subject:"Квартальное финансирование"
Используйте двойные кавычные знаки ("") для поиска точной фразы или термина в ключевом слове и property:value поисковых запросах.
* cat*

subject:set*
Поиск подложки префикса (где звездочка расположена в конце слова) соответствует нулю или более символов в ключевых словах или property:value запросах. Например, возвращаются сообщения, содержащие набор слов, настройку и параметр (и другие слова, которые начинаются с subject:set* "set") в строке темы.
( ) (реальная OR бесплатная) AND from:contoso.com

(IPO OR первичное) AND (биржа OR акции)

(квартальное финансирование)
Скобки группу вместе Boolean фраз, property:value элементов и ключевых слов. Например, (quarterly financials) возвращает элементы, содержащие слова ежеквартно и финансовые.

1 Этот оператор используется для свойств, значения которых являются числами или датами.

2 Логические операторы поиска необходимо указывать прописными буквами, например AND. В противном случае будет возвращена ошибка.

Неподдерживаемые символы в поисковых запросах

Как правило, при использовании неподдерживаемых символов в поисковом запросе возникает ошибка поиска или возвращаются неподходящие результаты. Как правило, неподдерживаемые символы скрыты и добавляются в запрос при его полном или частичном копировании из других приложений (например, Microsoft Word или Microsoft Excel) и вставке в поле ключевых слов на странице запроса поиска с помощью функции обнаружения электронных данных.

Ниже представлен список неподдерживаемых символов для поисковых запросов с использованием функции обнаружения электронных данных.

  • Smart quote marks: Smart single and double quote marks (also called curly quotes) aren't supported. В поисковом запросе можно использовать только прямые кавычки.

  • Непечатаемые символы и символы управления: непечатаемые символы и символы управления не представляют письменного символа, например альфа-числительный символ. К непечатаемым и управляющим символам относятся символы, которые форматируют текст или разделяют его на строки.

  • Метки слева направо и справа налево. Это символы управления, используемые для указания направления текста для языков слева направо (таких как английский и испанский) и справа налево (например, арабского и иврита).

  • Операторы lowercase Boolean. Как было объяснено ранее, в поисковом запросе необходимо использовать операторы uppercase Boolean, такие как AND и OR. Обратите внимание, что синтаксис запросов часто указывает на то, что используется оператор Boolean, даже если могут использоваться операторы нижнего регистра; например, (WordA or WordB) and (WordC or WordD) .

Как предотвратить появление неподдерживаемых символов в поисковых запросах? Лучший способ избежать неподдерживаемых символов — просто ввести запрос в поле ключевых слов. Кроме того, вы можете скопировать запрос из Word или Excel, а затем вставить его в файл в обычном текстовом редакторе, например "Блокноте". После этого сохраните текстовый файл и выберите ANSI в раскрывающемся списке Кодировка. Так вы удалите все форматирование и неподдерживаемые символы. Затем вы можете скопировать запрос из текстового файла и вставить его в поле запроса по ключевым словам.

Советы по поиску

  • Поиск по ключевым словам производится без учета регистра. Например, результаты поиска по словам кот и КОТ будут одинаковыми.

  • Пространство между двумя ключевыми словами или двумя выражениями такое же, как property:value и использование И. Например, возвращает все сообщения, отправленные Сарой Дэвис, содержащие слово from:"Sara Davis" subject:reorganization реорганизация в строке темы.

  • Используйте синтаксис, который соответствует property:value формату. В значениях регистр не учитывается, а после оператора нельзя ставить пробел. При наличии пробела будет выполнен полнотекстовый поиск значения. Например, если указать to: artemk, будет выполнен поиск ключевого слова "artemk", а не сообщений, отправленных пользователю artemk.

  • При поиске свойства получателя, например To, From, Cc или Recipients, можно использовать SMTP-адрес, псевдоним или отображаемое имя получателя. Например, можно указать значение pilarp@contoso.com, pilarp или "Pilar Pinilla".

  • Можно использовать только поиск под диктовки префикса (например, * cat или * set). Поиск подстановок Suffix (cat) или подстановка поиска * подстановок * * (cat) не поддерживаются.

  • Если искомое значение состоит из нескольких слов, то используйте двойные кавычки (" "). Например subject:budget Q1 возвращает сообщения, содержащие бюджет в строке темы и содержащие Q1 в любом месте сообщения или в любом из свойств сообщения. Выражение subject:"бюджет КВ1" возвращает все сообщения, содержащие фразу бюджет КВ1 в строке темы.

  • Чтобы исключить из результатов поиска контент с определенным значением свойства, поставьте знак минус (-) перед именем свойства. Например, укажите -from:"Sara Davis", чтобы исключить все сообщения, отправленные пользователем Sara Davis.