Поиск соответствия требованиям для поиска по всем почтовым ящикам в Exchange Server

Функция поиска соответствия требованиям в Exchange Server позволяет выполнять поиск по всем почтовым ящикам в организации. В отличие от функции обнаружения электронных данных на месте (где максимальное количество почтовых ящиков, в которых можно выполнять поиск, составляет 10 000), в этом случае количество почтовых ящиков для одной операции поиска не ограничено. Если вам нужно выполнить поиск во всех почтовых ящиках организации, можно использовать командлет New-ComplianceSearch. В то же время с помощью функций рабочего процесса для обнаружения электронных данных на месте можно выполнять другие задачи, связанные с таким обнаружением, например помещать почтовые ящики на удержание или экспортировать результаты поиска. Предположим, вам нужно выполнить поиск во всех почтовых ящиках, чтобы определить те ящики, в которых хранятся сведения, имеющие отношение к судебному делу. Для этого можно использовать командлет New-ComplianceSearch. Почтовые ящики с такой информацией затем можно использовать в качестве исходных для обнаружения электронных данных на месте. С помощью функции обнаружения электронных данных на месте можно также поставить на удержание эти исходные почтовые ящики, скопировать результаты поиска в почтовый ящик найденных сообщений, а затем экспортировать их.

В этом разделе содержится скрипт, который можно запустить для создания поиска In-Place eDiscovery с помощью списка исходных почтовых ящиков и поискового запроса из поиска соответствия требованиям, созданного с помощью командлета New-ComplianceSearch .

Шаг 1. Запуск командлета New-ComplianceSearch для поиска по всем почтовым ящикам

Сначала воспользуйтесь консолью Командная консоль Exchange, чтобы создать операцию поиска соответствия по всем почтовым ящикам организации. Количество почтовых ящиков для одной операции поиска соответствия не ограничено. Укажите запрос по соответствующему ключевому слову (или запрос по типам конфиденциальной информации), чтобы поиск возвратил только те исходные почтовые ящики, которые подходят для расследования. При необходимости уточните поисковый запрос, чтобы сузить область результатов поиска и исходных почтовых ящиков, которые будут возвращены.

Примечание.

Если поиск в исходных почтовых ящиках для обеспечения соответствия требованиям не возвращает результатов, операция обнаружения данных на месте не будет создана при выполнении скрипта, описанного для шага 3. Возможно, потребуется изменить поисковый запрос, а затем повторно выполнить поиск для обеспечения соответствия требованиям, чтобы возвратить результаты поиска.

Ниже приведен пример использования командлета New-ComplianceSearch для поиска по всем почтовым ящикам в организации. Этот поисковый запрос возвращает все сообщения, отправленные в период с 1 по 31 октября 2015 г. и содержащие фразу "financial report" (финансовый отчет) в строке темы. Первая команда создает запрос на поиск, а вторая выполняет его.

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'

Start-ComplianceSearch -Identity "Search All-Financial Report"

Дополнительные сведения см. в статье New-ComplianceSearch.

Важно!

При создании поиска соответствия требованиям с помощью командлета New-ComplianceSearch создается (но не запущена) теневая In-Place поиска eDiscovery, которая отображается на странице "Обнаружение электронных данных & удержание на месте " в Центре администрирования Exchange (EAC). It's also returned by using the Get-MailboxSearch cmdlet. Этот поиск в почтовом ящике называется ComplianceSearchName -shadow. We recommend that you delete the shadow In-Place eDiscovery search, and use the script in Step 3 to create the In-Place eDiscovery search. The functionality of creating a shadow search will be removed in a cumulative update for Exchange 2016.

Шаг 2 (необязательно). Проверка количества исходных почтовых ящиков в запросе на поиск для обеспечения соответствия требованиям

Запрос на поиск для обеспечения соответствия требованиям возвращает не более 500 исходных почтовых ящиков, содержащих результаты поиска. При наличии более 500 почтовых ящиков с данными, соответствующими поисковому запросу, в поиск соответствия, созданный на предыдущем шаге, включаются только первые 500, которые содержат наибольшее количество результатов поиска. Если результаты поиска содержат более 500 почтовых ящиков, некоторые из этих почтовых ящиков не будут включены в список исходных почтовых ящиков, которые были скопированы в новый запрос на поиск с обнаружением электронных данных на месте, созданный при выполнении шага 3.

Чтобы создать запрос на поиск для обеспечения соответствия требованиям, в который будет включено не более 500 исходных почтовых ящиков, выполните следующие действия. С их помощью можно выполнить скрипт, который покажет число исходных почтовых ящиков, содержащих результаты поиска и возвращенных при выполнении запроса на поиск для обеспечения соответствия требованиям (шаг 1).

1. Сохраните приведенный ниже текст в файле скрипта Windows PowerShell, используя суффикс .ps1 в имени файла. Этот файл можно назвать, например, SourceMailboxes.ps1.

   [CmdletBinding()]
   Param(
        [Parameter(Mandatory=$True,Position=1)]
        [string]$SearchName
   )
   $search = Get-ComplianceSearch $SearchName
   if ($search.Status -ne "Completed")
   {
                   "Please wait until the search finishes.";
                   break;
   }
   $results = $search.SuccessResults;
   if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
   {
                   "The compliance search " + $SearchName + " didn't return any useful results.";
                   break;
   }
   $mailboxes = @();
   $lines = $results -split '[\r\n]+';
   foreach ($line in $lines)
   {
       if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
       {
           $mailboxes += $matches[1];
       }
   }
   "Number of mailboxes that have search hits: " + $mailboxes.Count
   

2. В Командная консоль Exchange перейдите к папке, содержащей скрипт, созданный на предыдущем этапе, а затем запустите его. Например:

   .\SourceMailboxes.ps1
   

3. При отображении запроса во время выполнения скрипта введите имя запроса на поиск для обеспечения соответствия требованиям, созданного при выполнении шага 1.

   Скрипт отобразит количество исходных почтовых ящиков, которые содержат результаты поиска.

При наличии более 500 исходных почтовых ящиков попробуйте создать два или более запроса на поиск для обеспечения соответствия требованиям. Например, разделите почтовые ящики организации на две половины и выполните в них поиск для обеспечения соответствия требованиям за две отдельные операции. Кроме того, можно изменить условия поиска, чтобы уменьшить количество почтовых ящиков, которые содержат результаты поиска. Например, можно указать диапазон дат или уточнить запрос по ключевому слову.

Шаг 3. Скрипт для создания запроса на поиск с обнаружением электронных данных на месте на основе поиска для обеспечения соответствия требованиям

Теперь нужно запустить скрипт, который позволит преобразовать существующий запрос на поиск для обеспечения соответствия требованиям в запрос на поиск с обнаружением электронных данных на месте. Скрипт работает так:

• Запрашивает имя запроса на поиск для обеспечения соответствия требованиям, который требуется преобразовать.

• Проверяет, завершен ли поиск соответствия. Если поиск соответствия не возвращает результатов, поиск с обнаружением электронных данных на месте не будет создан.

• Сохраняет список исходных почтовых ящиков из поиска соответствия, которые содержат результаты поиска, в переменной.

• Создает поиск с обнаружением электронных данных на месте с указанными ниже свойствами. Обратите внимание, что новый поиск не запускается. Он запускается на шаге 4.

  • Имя: имя нового поиска использует следующий формат: <Имя поиска> соответствия требованиям_MBSearch1. Если вы снова запустите скрипт и используете тот же поиск по соответствию источнику, поиск будет называться <Имя поиска> соответствия требованиям_MBSearch2.

  • Исходные почтовые ящики: все почтовые ящики из поиска соответствия требованиям, содержащие результаты поиска.

  • Поисковый запрос. Новый поиск использует поисковый запрос из поиска соответствия требованиям. Если поиск соответствия включает все содержимое (при пустом поисковом запросе), новый поиск также будет иметь пустой поисковый запрос и включать все содержимое, найденное в исходных почтовых ящиках.

  • Оценка только поиска. Новый поиск помечается как поиск только для оценки. После выполнения такого поиска результаты не копируются в почтовый ящик найденных сообщений.

1. Сохраните приведенный ниже текст в файле скрипта Windows PowerShell, используя суффикс .ps1 в имени файла. Этот файл можно назвать, например, MBSearchFromComplianceSearch.ps1.

   [CmdletBinding()]
   Param(
       [Parameter(Mandatory=$True,Position=1)]
       [string]$SearchName,
       [switch]$original,
       [switch]$restoreOriginal
   )
   $search = Get-ComplianceSearch $SearchName
   if ($search.Status -ne "Completed")
   {
      "Please wait until the search finishes";
      break;
   }
   $results = $search.SuccessResults;
   if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
   {
      "The compliance search " + $SearchName + " didn't return any useful results";
      "A mailbox search object wasn't created";
      break;
   }
   $mailboxes = @();
   $lines = $results -split '[\r\n]+';
   foreach ($line in $lines)
   {
       if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
       {
           $mailboxes += $matches[1];
       }
   }
   $msPrefix = $SearchName + "_MBSearch";
   $I = 1;
   $mbSearches = Get-MailboxSearch;
   while ($true)
   {
       $found = $false;
       $mbsName = "$msPrefix$I";
       foreach ($mbs in $mbSearches)
       {
           if ($mbs.Name -eq $mbsName)
           {
               $found = $true;
               break;
           }
       }
       if (!$found)
       {
           break;
       }
       $I++;
   }
   $query = $search.KeywordQuery;
   if ([string]::IsNullOrWhiteSpace($query))
   {
       $query = $search.ContentMatchQuery;
   }
   if ([string]::IsNullOrWhiteSpace($query))
   {
      New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
   }
   else
   {
      New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
   }
   

2. В Командная консоль Exchange перейдите к папке, содержащей скрипт, созданный на предыдущем этапе, а затем запустите его. Например:

   .\MBSearchFromComplianceSearch.ps1
   

3. При отображении запроса во время выполнения скрипта введите имя запроса на поиск для обеспечения соответствия требованиям, который необходимо преобразовать в запрос на поиск с обнаружением электронных данных на месте (например, запрос на поиск, созданный на шаге 1), и нажмите клавишу Ввод.

   При успешном выполнении сценария создается поиск с обнаружением электронных данных на месте с состоянием NotStarted. Выполните команду Get-MailboxSearch <Name of compliance search>_MBSearch1 | FL , чтобы отобразить свойства нового поиска.

Шаг 4. Запуск поиска с обнаружением электронных данных на месте

Сценарий, выполняемый на шаге 3, создает запрос на поиск с обнаружением электронных данных на месте, но не запускает его. Теперь необходимо запустить поиск, чтобы получить оценку его результатов.

1. В Центре администрирования Exchange перейдите в раздел Управление соответствием> наместе & удержание электронных данных.

2. В списке выберите поиск с обнаружением электронных данных на месте, созданный на шаге 3.

3. Щелкните Поиск (>Оцените результаты поиска, чтобы начать поиск, и верните оценку общего размера и количества элементов, возвращаемых поиском.

   Оценка отображается в области сведений. Щелкните Обновить ( Чтобы обновить сведения, отображаемые в области сведений.

4. Для предварительного просмотра результатов после завершения поиска нажмите кнопку Предварительный просмотр результатов поиска в области сведений.

Совет

Кроме того, можно использовать командную консоль Exchange для запуска поиска In-Place eDiscovery. например Start-MailboxSearch -Identity <Name of compliance search>_MBSearch1.

Действия после создания и запуска поиска с обнаружением электронных данных на месте

После создания и запуска поиска с обнаружением электронных данных на месте, который был создан с помощью сценария на шаге 3, можно выполнять различные стандартные действия над результатами поиска.

Создание хранения на месте

1. В EAC перейдите в раздел Управление соответствием> наместе обнаружение электронных данных & удержание.

2. В представлении списка выберите поиск In-Place eDiscovery, созданный на шаге 3, и нажмите кнопку Изменить (

3. На странице Удержание на месте установите флажок Поставить содержимое выбранных почтовых ящиков, соответствующее поисковому запросу, на удержание, а затем выберите один из следующих параметров:

   • Удержание на неопределенный срок. Выберите этот параметр, чтобы поместить элементы, возвращенные поиском, на неопределенное удержание. Такие элементы будут храниться до удаления почтового ящика из поиска или до удаления поиска.

   • Укажите количество дней для хранения элементов относительно даты их получения. Выберите этот параметр, чтобы хранить элементы в течение определенного периода. Длительность будет вычислена с даты получения или создания элемента почтового ящика.

4. Нажмите кнопку Сохранить, чтобы создать запрос на удержание на месте, а затем повторите поиск.

Копирование результатов поиска

1. В EAC перейдите в раздел Управление соответствием> наместе обнаружение электронных данных & удержание.

2. В списке выберите поиск с обнаружением электронных данных на месте, созданный на шаге 3.

3. Щелкните Поиск ( Затем выберите Копировать результаты поиска из раскрывающегося списка.

4. В окне Копировать результаты поиска выберите один из следующих вариантов:

   • Включить элементы, не доступные для поиска. Выберите это поле проверка, чтобы включить элементы почтового ящика, в которых не удается найти (например, сообщения с вложениями типов файлов, которые не могут быть проиндексированы поиском Exchange).

   • Включить отмену дублирования. Выберите этот проверка поле, чтобы исключить повторяющиеся сообщения. В почтовый ящик найденных сообщений будет копироваться только один экземпляр сообщения.

   • Включить полное ведение журнала. Выберите это поле проверка, чтобы включить полный журнал в результаты поиска.

   • Отправить мне сообщение по завершении копирования. Выберите это поле проверка, чтобы получить уведомление по электронной почте по завершении поиска.

   • Скопируйте результаты в этот почтовый ящик обнаружения. Нажмите кнопку Обзор , чтобы выбрать почтовый ящик обнаружения, в который нужно скопировать результаты поиска.

5. Нажмите кнопку Копировать, чтобы начать процесс копирования результатов поиска в указанный почтовый ящик найденных сообщений.

6. Щелкните Обновить ( Чтобы обновить сведения о состоянии копирования, отображаемые в области сведений.

7. После завершения копирования нажмите кнопку Открыть, чтобы открыть почтовый ящик найденных сообщений для просмотра результатов поиска.

Экспорт результатов поиска

1. В EAC перейдите в раздел Управление соответствием> наместе обнаружение электронных данных & удержание.

2. В списке выберите запрос на поиск с обнаружением электронных данных на месте, созданный на шаге 3, и нажмите кнопку Экспорт в PST-файл.

3. В списке выберите запрос на поиск методом обнаружения электронных данных на месте, результаты которого необходимо экспортировать, а затем нажмите Экспортировать в PST-файл.

4. В окне Средства экспорта PST eDiscovery выполните следующие действия:

   • Нажмите кнопку Обзор, чтобы указать, откуда нужно загрузить PST-файл.

   • Установите флажок Включить дедупликацию, чтобы исключить повторяющиеся сообщения. В PST-файл будет включен только один экземпляр сообщения.

   • Установите флажок Включить элементы, недоступные для поиска, чтобы добавить недоступные для поиска элементы почтовых ящиков (например, сообщения с вложенными файлами таких типов, которые не могут быть индексированы при поиске в Exchange). Недоступные для поиска элементы экспортируются в отдельный PST-файл.

5. Нажмите кнопку Начать, чтобы экспортировать результаты поиска в PST-файл.

   Откроется окно, содержащее сведения о состоянии экспорта.