Свойства сообщений и операторы поиска для In-Place обнаружения электронных данных в Exchange Server
В этом разделе описаны свойства сообщений электронной почты Exchange, которые можно искать с помощью In-Place & удержания электронных данных в Exchange Server 2016 или Exchange Server 2019 г. The topic also describes Boolean search operators and other search query techniques that you can use to refine eDiscovery search results.
In-Place eDiscovery использует язык запросов по ключевым словам (KQL). Дополнительные сведения см. в справочнике по синтаксису языка запросов ключевых слов.
Свойства, доступные для поиска в Exchange
В следующей таблице перечислены свойства сообщений электронной почты, доступные для поиска при обнаружении электронных данных на месте или с помощью команды New-MailboxSearch или Set-MailboxSearch. Таблица содержит пример синтаксиса property:value для каждого свойства и описание результатов поиска, возвращаемых примерами.
| Свойство | Описание свойства | Примеры | Результаты поиска, возвращаемые примерами |
|---|---|---|---|
| Вложение | Имена файлов, вложенных в сообщение электронной почты. | вложение: annualreport.ppt вложение: ежегодно* |
Сообщения с вложенным файлом с именем, соответствующим annualreport.ppt, например "annualreport.ppt" или "2017 annualreport.ppt". Во втором примере при использовании подстановочного знака возвращаются сообщения со вложениями, в названиях которых есть слово "annual". |
| СК2 | Поле "СК" электронного письма.1 | Bcc: pilarp@contoso.com bcc:pilarp bcc:"Pilar Pinilla" |
Все примеры возвращают сообщения, в поле "Скрытая копия" которых добавлен пользователь "Pilar Pinilla". |
| Category | Категории поиска. Категории могут быть определены пользователями с помощью Outlook или Outlook в Интернете (прежнее название — Outlook Web App). Допустимые значения:
|
category:"Красная категория" | Сообщения, которым в исходных почтовых ящиках назначена красная категория. |
| Cc | Поле "Копия" электронного письма.1 | См3:pilarp@contoso.com cc:"Pilar Pinilla" |
В обоих примерах возвращаются сообщения, в поле "Копия" которых указан пользователь "Pilar Pinilla". |
| From | Отправитель электронного письма.1 | От:pilarp@contoso.com От: contoso.com |
Сообщения, отправленные указанным пользователем или с указанного домена. |
| Importance | Важность сообщения, которую отправитель может указать при отправке. По умолчанию сообщения отправляются с обычной важностью, если отправитель не укажет высокую или низкую важность. | важность: высокая важность: средняя важность: низкая |
Сообщения, которым назначена высокая, средняя или низкая важность. |
| Kind | Тип сообщений для поиска. Допустимые значения:
|
kind: email kind: email OR kind:im OR kind:voicemail |
Сообщения, соответствующие критериям поиска. Второй пример возвращает сообщения электронной почты, сеансы обмена мгновенными сообщениями и голосовые сообщения, соответствующие критериям поиска. |
| Участники2 | Все поля пользователей в электронном письме: "От", "Кому", "Копия" и "СК".1 | Участников: garthf@contoso.com участники: contoso.com |
Сообщения, отправленные или отправленные в garthf@contoso.com. Второй пример возвращает все сообщения, отправленные или полученные пользователем домена contoso.com. |
| Received | Дата получения сообщения адресатом. | получено: 15.04.2015 received>=01/01/2015 AND received<=03/31/2015 |
Сообщения, полученные 15 апреля 2014 г. Второй пример возвращает все сообщения, полученные с 1 января до 31 марта 2014 г. |
| Получатели2 | Все поля получателей в электронном письме: "Кому", "Копия" и "СК".1 | Получателей: garthf@contoso.com получатели: contoso.com |
Сообщения, отправленные в garthf@contoso.com. Второй пример возвращает сообщения, отправленные получателям на домене contoso.com. |
| Sent | Дата отправки сообщения отправителем. | отправлено: 01.07.2015 sent>=06/01/2015 AND sent<=07/01/2015 |
Сообщения, отправленные в указанный день или диапазон дат. |
| Size | Размер элемента в байтах. | размер>26214400 size:1..1048576 |
Сообщения больше 25 МБ. Во втором примере возвращаются сообщения размером от 1 до 1 048 576 байт (1 МБ). |
| Subject | Текст в строке темы сообщения электронной почты. | subject:"Квартальное финансирование" тема: северный ветер |
Сообщения, которые содержат точную фразу "Квартальное финансирование" в строке темы. Второй пример возвращает все сообщения, которые содержат слово northwind в строке темы. |
| Кому | Поле "Кому" электронного письма.1 | Кому: annb@contoso.com to:annaye to: "Анна Ермолаева" |
Все примеры возвращают сообщения, в поле "Кому" которых указано имя "Анна Ермолаева". |
1 В качестве значения свойства получателя вы можете использовать SMTP-адрес, отображаемое имя или псевдоним пользователя. Например, можно использовать annb@contoso.com, annb или "Ann Beebe", чтобы указать пользователя Ann Beebe.
2 При использовании свойств СК, Участников или Получателей убедитесь, что вы сосредоточены на почтовом ящике отправителя для получения правильных результатов поиска.
Поддерживаемые операторы поиска
Логические операторы, например AND, OR и NOT, помогают задавать более определенные выражения для поиска в почтовых ящиках, включая какие-либо слова в поисковый запрос или исключая их из него. Другие методы, например использование операторов свойств (например, >= or ..), кавычек, скобок и подстановочных знаков, помогают уточнять поисковые запросы обнаружения электронных данных. В следующей таблице перечислены операторы, позволяющие сократить или расширить область результатов поиска.
| Оператор | Применение | Описание |
|---|---|---|
| И | keyword1 AND keyword2 | Возвращает сообщения, включающие все указанные ключевые слова или property: value выражения. |
| + | keyword1 +keyword2 +keyword3 | Возвращает элементы, содержащие илиkeyword2keyword3, а также содержащие keyword1. Таким образом, этот пример эквивалентен запросу (keyword2 OR keyword3) AND keyword1. Запрос keyword1 + keyword2 (с пробелом после символа + ) не совпадает с использованием оператора AND . Этот запрос будет эквивалентен "keyword1 + keyword2" и возвращает элементы с точной фазой "keyword1 + keyword2". |
| ИЛИ | keyword1 OR keyword2 | Возвращает сообщения, включающие одно или несколько указанных ключевых слов или property: value выражений. |
| NOT | keyword1 NOT keyword2 NOT from:"Анна Ермолаева" |
Исключает сообщения, указанные ключевое слово или выражениемproperty: value. Например, исключает сообщения, NOT from:"Ann Beebe" отправленные Энн Биб. |
| - | keyword1 -keyword2 | Аналогичен оператору NOT. Этот запрос возвращает элементы, содержащие keyword1 и исключающие элементы, содержащие keyword2. |
| NEAR | keyword1 NEAR(n) keyword2 | Возвращает сообщения, в которых слова располагаются рядом друг с другом, где "n" означает количество слов по отдельности. Например, возвращает сообщения, best NEAR(5) worst в которых слово "худший" находится в пяти словах от "best". Если число не указано, расстояние по умолчанию восемь слов. |
| : | свойство:значение | Двоеточие (:) в синтаксисе property:value указывает, что искомое значение свойства равно указанному значению. Например, возвращает любое сообщение, recipients:garthf@contoso.com отправленное в garthf@contoso.com. |
| < | свойство<значение | Указывает, что значение искомого свойства меньше указанного значения. 1 |
| > | свойство>значение | Указывает, что значение искомого свойства больше указанного значения.1 |
| <= | свойство<=значение | Указывает, что значение искомого свойства меньше или равно указанному значению.1 |
| >= | свойство>=значение | Указывает, что значение искомого свойства больше или равно указанному значению.1 |
| .. | property: value1.. value2 | Указывает, что значение искомого свойства больше или равно значению 1 и меньше или равно значению 2.1 |
| " " | "реальная стоимость" subject:"Квартальное финансирование" |
Используйте двойные кавычки (" ") для поиска точной фразы или термина в ключевое слово и property: value поисковых запросах. |
| * | Кошка* subject:set* |
Префикс поиска с подстановочными знаками (где звездочка помещается в конец слова) соответствует нулю или нескольким символам в ключевых словах или property: value запросах. Например, возвращает сообщения, subject:set* содержащие набор слов, установку и настройку (а также другие слова, начинающиеся с "set") в строке темы. |
| ( ) | (fair OR free) and from: contoso.com (IPO OR первичное) AND (биржа OR акции) (квартальное финансирование) |
Круглые скобки группировать логические фразы, property: value элементы и ключевые слова. Например, возвращает элементы, (quarterly financials) содержащие слова ежеквартально и финансовые. |
1 Этот оператор используется для свойств, значения которых являются числами или датами.
2 Логические операторы поиска необходимо указывать прописными буквами, например AND. В противном случае будет возвращена ошибка.
Неподдерживаемые символы в поисковых запросах
Как правило, при использовании неподдерживаемых символов в поисковом запросе возникает ошибка поиска или возвращаются неподходящие результаты. Как правило, неподдерживаемые символы скрыты и добавляются в запрос при его полном или частичном копировании из других приложений (например, Microsoft Word или Microsoft Excel) и вставке в поле ключевых слов на странице запроса поиска с помощью функции обнаружения электронных данных.
Ниже представлен список неподдерживаемых символов для поисковых запросов с использованием функции обнаружения электронных данных.
Интеллектуальные кавычки. Интеллектуальные одиночные и двойные кавычки (также называемые фигурными кавычками) не поддерживаются. В поисковом запросе можно использовать только прямые кавычки.
Непечатаемые и управляющие символы. Непечатаемые и управляющие символы не представляют собой письменный символ, например буквенно-цифровой символ. К непечатаемым и управляющим символам относятся символы, которые форматируют текст или разделяют его на строки.
Знаки слева направо и справа налево. Эти символы являются контрольными знаками, используемыми для указания направления текста для языков слева направо (например, английского и испанского) и языков справа налево (например, арабского и иврита).
Логические операторы в нижнем регистре. Как уже говорилось ранее, в поисковом запросе необходимо использовать логическое операторы верхнего регистра, такие как AND и OR. Синтаксис запроса часто указывает, что используется логический оператор, даже если могут использоваться операторы нижнего регистра; например,
(WordA or WordB) and (WordC or WordD).
Как предотвратить появление неподдерживаемых символов в поисковых запросах? Лучший способ избежать неподдерживаемых символов просто ввести запрос в поле ключевых слов. Кроме того, вы можете скопировать запрос из Word или Excel, а затем вставить его в файл в обычном текстовом редакторе, например "Блокноте". После этого сохраните текстовый файл и выберите ANSI в раскрывающемся списке Кодировка. Этот выбор приведет к удалению форматирования и неподдерживаемых символов. Затем вы можете скопировать запрос из текстового файла и вставить его в поле запроса по ключевым словам.
Советы по поиску
Поиск по ключевым словам производится без учета регистра. Например, результаты поиска по словам кот и КОТ будут одинаковыми.
Интервал между двумя ключевыми словами или двумя
property: valueвыражениями такой же, как и при использовании И. Например, возвращает все сообщения,from:"Sara Davis" subject:reorganizationотправленные Сарой Дэвис, которые содержат слово "реорганизация " в строке темы.Используйте синтаксис, соответствующий формату
property: value. В значениях регистр не учитывается, а после оператора нельзя ставить пробел. При наличии пробела будет выполнен полнотекстовый поиск значения. Например, если указать to: artemk, будет выполнен поиск ключевого слова "artemk", а не сообщений, отправленных пользователю artemk.При поиске свойства получателя, например To, From, Cc или Recipients, можно использовать SMTP-адрес, псевдоним или отображаемое имя получателя. Например, можно использовать pilarp@contoso.com, pilarp или "Pilar Pinilla".
Можно использовать только поиск суффиксов с подстановочными знаками (например, cat* или set*). Поиск с подстановочными знаками префиксов (*cat) или поиск подстрок (*cat*) не поддерживается.
Если искомое значение состоит из нескольких слов, то используйте двойные кавычки (" "). Например, subject:budget Q1 возвращает сообщения, содержащие бюджет в строке темы и содержащие Q1 в любом месте сообщения или в любом из свойств сообщения. Выражение subject:"бюджет КВ1" возвращает все сообщения, содержащие фразу бюджет КВ1 в строке темы.
Чтобы исключить из результатов поиска контент с определенным значением свойства, поставьте знак минус (-) перед именем свойства. Например, укажите -from:"Sara Davis", чтобы исключить все сообщения, отправленные пользователем Sara Davis.