Создание In-Place поиска eDiscovery в Exchange Server

Используйте In-Place поиск электронных данных для поиска содержимого во всех почтовых ящиках и общедоступных папках в Exchange Server организации. Дополнительные сведения об этих операциях поиска см. Дополнительные сведения об этих поисках см. в разделе Обнаружение электронных данных на месте в Exchange Server.

Перед началом работы

• Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Обнаружение электронных данных на месте" в разделе Политика обмена сообщениями и разрешения на соответствие требованиям Exchange Server.

• Для создания поиска eDiscovery необходимо иметь SMTP-адрес в организации, в которую вы создаете поисковые запросы. В гибридной организации Exchange локальный почтовый ящик Exchange должен иметь соответствующую учетную запись почтового пользователя в microsoft 365 или Office 365 организации, например учетную запись администратора клиента. Этой учетной записи должна быть назначена лицензия Exchange Online. Дополнительные сведения о требованиях к лицензированию Microsoft 365 или Office 365 для поиска обнаружения электронных данных на месте см. в разделе Описание службы Exchange Online.

• Exchange Server программа установки создает почтовый ящик обнаружения с именем Почтовый ящик поиска обнаружения для копирования результатов поиска. Вы можете создать дополнительные почтовые ящики обнаружения. Дополнительные сведения см. в статье Создание почтового ящика обнаружения.

• Сообщения, возвращаемые в результатах поиска, не копируются автоматически в почтовый ящик найденных сообщений. После создания поиска вы можете оценить и просмотреть результаты поиска, скопировать их в почтовый ящик найденных сообщений или экспортировать в PST-файл, используя Центр администрирования Exchange (EAC). Дополнительные сведения см. в следующих статьях:

  • Использование Центра администрирования Exchange для оценки или предварительного просмотра результатов поиска (далее в этой статье)

  • Копирование результатов поиска с обнаружением электронных данных в почтовый ящик обнаружения

  • Экспорт результатов поиска при обнаружении электронных данных в PST-файл

• Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

Создание поискового запроса с помощью Центра администрирования Exchange

Как объяснялось ранее, для создания поисков eDiscovery необходимо войти в учетную запись пользователя с адресом SMTP в вашей организации.

1. Перейдите в раздел Управление соответствием> наместе eDiscovery & Удержание, а затем щелкните

2. В окне Новый инцидент обнаружения электронных данных и хранения на месте, на странице Имя и описание, введите имя, добавьте описание (необязательно) и нажмите кнопку Далее.

3. На странице Почтовые ящики и общедоступные папки выберите источники контента для поиска:

   • Чтобы включить все почтовые ящики в поиск, выберите пункт Поиск во всех почтовых ящиках. При выборе этого варианта поиск будет выполняться без хранения данных на месте.

   • Чтобы исключить почтовые ящики из поиска и выполнить поиск только в общедоступных папках, нажмите кнопку Не выполнять поиск в почтовых ящиках.

   • Чтобы выполнить поиск в определенных почтовых ящиках, выберите пункт Указать почтовые ящики для поиска, а затем добавьте нужные почтовые ящики.

   • Чтобы включить общедоступные папки в поиск (или поместить их на хранение), нажмите кнопку Поиск во всех общедоступных папках. Дополнительные сведения о поиске в общедоступных папках см. в статье Поиск и удержание общедоступных папок с помощью In-Place обнаружения электронных данных.

   

4. На странице Поисковый запрос заполните следующие поля:

   • Включить все содержимое. Выберите этот параметр, чтобы включить все содержимое в результаты поиска. Если выбрать этот вариант, указать дополнительные критерии поиска будет невозможно.

   • Фильтр на основе условий. Выберите этот параметр, чтобы указать критерии поиска, включая ключевые слова, даты начала и окончания, адреса отправителей и получателей, а также типы сообщений. Дополнительные сведения о поисковых запросах см. в разделе Свойства сообщений и операторы поиска для In-Place обнаружения электронных данных в Exchange Server.

     

     Примечание.

     Поля От: и Кому/копия/скрытая копия: объединены с помощью оператора ИЛИ в поисковом запросе, который создается при запуске поиска. Это означает, что в результаты поиска включаются все сообщения, отправленные или полученные указанными пользователями (и соответствующие условиям поиска). Даты объединены с помощью оператора И.

5. На странице Параметры хранения на месте установите флажок Поместить содержимое, соответствующее поисковому запросу в выбранных источниках, на удержание, а затем выберите один из следующих вариантов хранения элементов на месте:

   • Удержание на неопределенный срок. Выберите этот параметр, чтобы поместить возвращенные элементы на неопределенное удержание. Такие элементы будут храниться, пока вы не удалите источник контента из поиска или не удалите поиск.

   • Указать число дней для хранения элементов с даты получения Используйте этот вариант для хранения элементов в течение указанного времени. Например, эту функцию можно использовать, если для вашей организации необходимо, чтобы все сообщения сохранялись на протяжении не менее семи лет. Можно использовать хранение на месте на основе времени вместе с политикой хранения, чтобы убедиться, что через семь лет элементы будут удалены.

     Важно!

     Рекомендуем помещать источники контента или отдельные элементы на бессрочное хранение и отключать хранение после завершения судебного дела или расследования.

6. Нажмите кнопку Готово, чтобы сохранить поиск и получить оценку общего размера и количества элементов, которые будут возвращены на основании установленных критериев. Оценки отображаются в области сведений. Нажмите чтобы обновить сведения, отображаемые в области сведений.

Создание поиска с помощью Командная консоль Exchange

Ниже приведены четыре примера использования командной консоли Exchange для поиска и удержания содержимого в почтовых ящиках и общедоступных папках. Подробные сведения о синтаксисе и параметрах об использовании командной консоли Exchange для создания поиска eDiscovery см. в статье New-MailboxSearch.

Пример 1

В этом примере создается запрос Discovery-CaseId012 на поиск элементов, содержащих ключевые слова Contoso и ProjectA. Результаты поиска помещаются на бессрочное хранение на месте. Поисковый запрос также включает следующие критерии:

• Дата начала: 1/1/2013

• Дата окончания: 12/31/2015

• Исходный почтовый ящик: Финансы группы рассылки

• Целевой почтовый ящик: Почтовый ящик поиска методом обнаружения

• Типы сообщений: Электронная почта

• Уровень ведения журнала: Полное

Важно!

Если не указать поисковый запрос, диапазон дат или тип сообщения, в результаты будут включены все элементы в исходных почтовых ящиках и общедоступных папках. Результаты будут такими же, как при выборе варианта Включить все содержимое на странице Поисковый запрос в Центре администрирования Exchange.

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2013" -EndDate "12/31/2015" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full -InPlaceHoldEnabled $true

Start-MailboxSearch "Discovery-CaseId012"

После использования командной консоли Exchange для создания поиска In-Place обнаружения электронных данных необходимо начать поиск с помощью командлета Start-MailboxSearch , чтобы скопировать сообщения в почтовый ящик обнаружения, указанный в параметре TargetMailbox . Дополнительные сведения см. в статье Copy eDiscovery search results to a discovery mailbox.

Примечание.

Если используются параметры StartDate и EndDate, необходимо указать дату в формате мм/дд/гггг, даже если в настройках локального компьютера используется другой формат, например дд/мм/гггг. Например, чтобы найти сообщения, отправленные в период с 1 апреля 2015 г. по 1 июля 2015 г., укажите дату начала 04/01/2015 и дату окончания 07/01/2015.

Пример 2

В этом примере создается поиск с обнаружением электронных данных на месте HRCase090116 для сообщений электронной почты, отправленных пользователем Alex Darrow пользователю Sara Davis в 2015 году.

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

Start-MailboxSearch "HRCase090116"

Пример 3

В этом примере создается оценочный поиск элементов, отправленных между 1 января 2015 г. и 30 июня 2015 г. и содержащих фразу "patent infringement", во всех общедоступных папках в организации. В этот поиск не включаются почтовые ящики. Для запуска оценочного поиска используется командлет Start-MailboxSearch.

New-MailboxSearch -Name "Northwind Subpoena-All PFs" -AllPublicFolderSources $true -AllSourceMailboxes $false -SearchQuery "patent infringement" -StartDate "01/01/2015" -EndDate "06/30/2015" -TargetMailbox "Discovery Search Mailbox" -EstimateOnly

Start-MailboxSearch "Northwind Subpoena-All PFs"

Пример 4

В этом примере во всех почтовых ящиках и общедоступных папках выполняется поиск содержимого со словами "прайс-лист" и "Contoso", которое было отправлено после 1 января 2015 г. Для запуска поиска и копирования его результатов в почтовый ящик найденных сообщений используется командлет Start-MailboxSearch.

New-MailboxSearch -Name "Contoso Litigation" -AllSourceMailboxes $true -AllPublicFolderSources $true -SearchQuery '"price list" AND "contoso"' -StartDate "01/01/2015" -TargetMailbox "Discovery Search Mailbox"

Start-MailboxSearch "Contoso Litigation"

Использование Центра администрирования Exchange для оценки или предварительного просмотра результатов поиска

Результаты поиска методом обнаружения электронных данных можно оценить и просмотреть в Центре администрирования Exchange. Если поиск создан с помощью командлета New-MailboxSearch, вы можете запустить его с помощью Командная консоль Exchange для оценки результатов.

1. Перейдите в раздел Управление соответствием> требованиямна месте & удержание электронных данных.

2. В списке выберите поисковый запрос, а затем выполните одно из следующих действий:

   • Щелкните Значок Поиска>Оцените результаты поиска , чтобы получить оценку общего размера и количества элементов, которые будут возвращены поиском на основе указанных вами критериев. Этот параметр перезапускает поиск и выполняет оценку.

     Оценка результатов поиска отображается в области сведений. Нажмите чтобы обновить сведения, отображаемые в области сведений.

   • Выберите элемент Предварительный просмотр результатов поиска в области сведений, чтобы просмотреть результаты после оценки. Если выбрать этот вариант, откроется окно просмотра результатов поиска методом обнаружение электронных данных. Отображаются все сообщения, найденные в почтовых ящиках или общедоступных папках, включенных в поиск.

     Примечание.

     Почтовые ящики или общедоступные папки, включенные в поиск, отображаются на правой панели окна просмотра результатов поиска методом обнаружение электронных данных. Кроме того, отображается количество элементов, найденных в каждом источнике, и их общий размер. Все найденные элементы отображаются на правой панели и могут быть отсортированы по дате. Элементы из каждого почтового ящика или общедоступной папки невозможно отобразить на правой панели, выбрав источник на левой панели. Чтобы просмотреть элементы из определенного почтового ящика или общедоступной папки, скопируйте результаты поиска и просмотрите их в почтовом ящике найденных сообщений.

   

Оценка результатов поиска с помощью Командная консоль Exchange

Вы можете использовать параметр EstimateOnly , чтобы получить оценку результатов поиска и не копировать результаты в почтовый ящик обнаружения. Необходимо запустить поиск только с оценкой с помощью командлета Start-MailboxSearch. Затем можно извлечь оценку результатов поиска, выполнив командлет Get-MailboxSearch. Командная консоль Exchange невозможно использовать для предварительного просмотра сообщений, возвращенных в результатах поиска.

Например, чтобы создать новый поиск, а затем отобразить оценку результатов поиска, выполните следующие команды:

New-MailboxSearch "FY15 Q2 Financial Results" -StartDate "04/01/2015" -EndDate "06/30/2015" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics

Start-MailboxSearch "FY15 Q2 Financial Results"

Get-MailboxSearch "FY15 Q2 Financial Results"

Чтобы отобразить определенную информацию об оценке результатов поиска с предыдущего примера, выполните следующую команду:

Get-MailboxSearch "FY15 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

Дополнительная информация

• После создания нового поиска eDiscovery можно скопировать результаты поиска в почтовый ящик найденных сообщений и экспортировать их в файл PST. Дополнительные сведения:

  • Копирование результатов поиска с обнаружением электронных данных в почтовый ящик обнаружения

  • Экспорт результатов поиска при обнаружении электронных данных в PST-файл

• После запуска оценки результатов поиска для обнаружения электронных данных (включительно со словами в условиях поиска), вы можете просмотреть статистику ключевых слов, щелкнув элемент Просмотреть статистику ключевых слов в области сведений для выбранного поиска. Она содержит сведения о количестве элементов, возвращаемых для каждого ключевого слова в поисковом запросе. Но если поиск включает более 100 исходных почтовых ящиков, при попытке просмотреть статистику ключевых слов возвращается ошибка. Для просмотра статистики ключевых слов поиск должен включать не более 100 исходных почтовых ящиков.

• Если вы используете Get-MailboxSearch в Exchange Online для получения сведений о поиске eDiscovery, необходимо указать имя поиска, чтобы вернуть полный список свойств поиска, например Get-MailboxSearch "Contoso Legal Case". Если запустить командлет Get-MailboxSearch без использования каких-либо параметров, не будут возвращены следующие свойства:

  • SourceMailboxes

  • Sources

  • PublicFolderSources

  • SearchQuery

  • ResultsLink

  • PreviewResultsLink

  • Errors

    Это связано с тем, что для возврата этих свойств для всех поисковых запросов по обнаружению электронных данных в организации требуется много ресурсов.