Создание поискового запроса на обнаружение электронных данных на местеCreate an In-Place eDiscovery search

Примечание

We've postponed the July 1, 2017 deadline for creating new In-Place eDiscovery searches in Exchange Online (in Office 365 and Exchange Online standalone plans).We've postponed the July 1, 2017 deadline for creating new In-Place eDiscovery searches in Exchange Online (in Office 365 and Exchange Online standalone plans). But later this year or early next year, you won't be able to create new searches in Exchange Online.But later this year or early next year, you won't be able to create new searches in Exchange Online. Чтобы создать поиск eDiscovery, начните использовать Поиск контента в центре безопасности & безопасности Office 365.To create eDiscovery searches, please start using Content Search in the Office 365 Security & Compliance Center. После списания новых поисков на месте вы сможете изменить существующие запросы на обнаружение электронных данных на месте и создать новые функции поиска обнаружения электронных данных на месте в Exchange Server и гибридных развертываниях Exchange.After we decommission new In-Place eDiscovery searches, you'll still be able to modify existing In-Place eDiscovery searches, and creating new In-Place eDiscovery searches in Exchange Server and Exchange hybrid deployments will still be supported.

Используйте Обнаружение электронных данных на месте для поиска по всему содержимому почтового ящика, включая удаленные элементы и исходные версии измененных элементов для пользователей, помещенных на хранение на месте и хранениедля судебного разбирательства.Use In-Place eDiscovery to search across all mailbox content, including deleted items and original versions of modified items for users placed on In-Place Hold and Litigation Hold.

Что нужно знать перед началом работы?What do you need to know before you begin?

  • Предполагаемое время для завершения: 5 минут.Estimated time to complete: 5 minutes

  • Для выполнения этих процедур необходимы соответствующие разрешения.You need to be assigned permissions before you can perform this procedure or procedures. Чтобы просмотреть необходимые разрешения, обратитесь к разделу "обнаружение электронных данных на месте" в разделе " Политика обмена сообщениями и соответствие требованиям ".To see what permissions you need, see the "In-Place eDiscovery" entry in the Messaging Policy and Compliance Permissions topic.

  • Чтобы создать поиск обнаружения электронных данных, необходимо иметь SMTP-адрес в Организации, в которой вы создаете поисковые запросы.To create eDiscovery searches, you have to have an SMTP address in the organization that you're creating the searches in. Таким образом, в Exchange Online необходимо иметь лицензированный почтовый ящик Exchange Online (план 2) для создания запросов на обнаружение электронных данных.So in Exchange Online, you must have a licensed Exchange Online (Plan 2) mailbox to create eDiscovery searches. В гибридной организации Exchange локальный почтовый ящик Exchange должен иметь соответствующую учетную запись пользователя почты в организации Office 365, чтобы можно было выполнять поиск почтовых ящиков Exchange Online.In an Exchange hybrid organization, your on-premises Exchange mailbox must have a corresponding mail user account in your Office 365 organization so that you can search Exchange Online mailboxes. Если вы входите в систему с учетной записью, которая существует только в Office 365, например учетной записи администратора клиента, эта учетная запись должна быть назначена лицензии на Exchange Online (план 2).Or, if you sign in with an account that only exists in Office 365, such as the tenant administrator account, that account must be assigned an Exchange Online (Plan 2) license.

  • Программа установки Exchange Server создает почтовый ящик обнаружения с именем " поисковый почтовый ящик " для копирования результатов поиска.Exchange Server Setup creates a Discovery mailbox called Discovery Search Mailbox to copy search results. Почтовый ящик поиска обнаружения также создается по умолчанию в Exchange Online.The Discovery Search Mailbox is also created by default in Exchange Online. Вы можете создать дополнительные почтовые ящики обнаружения.You can create additional Discovery mailboxes. Для получения дополнительных сведений обратитесь к разделу Создание почтового ящика обнаружения.For details, see Create a discovery mailbox.

  • Когда вы создаете Поиск с обнаружением электронных данных на месте, сообщения, возвращенные в результатах поиска, не копируются автоматически в почтовый ящик обнаружения.When you create an In-Place eDiscovery search, messages returned in search results aren't copied automatically to a discovery mailbox. После создания поиска вы можете оценить и просмотреть результаты поиска, скопировать их в почтовый ящик найденных сообщений или экспортировать в PST-файл, используя Центр администрирования Exchange (EAC).After you create the search, you can use the Exchange admin center (EAC) to estimate and preview search results or copy them to a discovery mailbox. в следующих статьях:For details, see:

  • Дополнительные сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этой статье, приведены в разделе сочетания клавиш для центра администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts for the Exchange admin center.

Совет

Возникли проблемы?Having problems? Обратитесь за помощью к участникам форумов Exchange.Ask for help in the Exchange forums. Посетите форумы по Exchange Online или Exchange Online Protection.Visit the forums at Exchange Online or Exchange Online Protection.

Как объяснялось ранее, для создания поисков eDiscovery необходимо войти в учетную запись пользователя с адресом SMTP в вашей организации.As previously explained, to create eDiscovery searches, you have to sign in to a user account that has an SMTP address in your organization.

  1. Перейдите к функции > обнаружения электронных данных на местедля управления соответствием требованиям & удержание.Go to Compliance management > In-place eDiscovery & hold.

  2. Нажмите кнопку создать значокдобавить.Click New Add Icon.

  3. В & хранения обнаружения электронныхданных на месте на странице имя и описание введите имя для поиска, добавьте дополнительное описание и нажмите кнопку Далее.In In-Place eDiscovery & Hold, on the Name and description page, type a name for the search, add an optional description, and then click Next.

  4. На странице **** почтовые ящики выберите почтовые ящики для поиска.On the Mailboxes page, select the mailboxes to search. Вы можете вести поиск по всем почтовым ящикам или выбрать для поиска конкретные ящики.You can search across all mailboxes or select specific ones to search. В Exchange Online можно также выбрать группы Office 365 в качестве источника контента для поиска.In Exchange Online, you can also select Office 365 groups as a content source for the search.

    Важно!

    Вы не можете использовать параметр Поиск всех почтовых ящиков, чтобы перевести все почтовые ящики на удержание.You can't use the Search all mailboxes option to place all mailboxes on hold. Чтобы создать хранение на месте, следует выбрать вариант Указать почтовые ящики для поиска.To create an In-Place Hold, you must select Specify mailboxes to search. Более подробную информацию можно узнать в статье Создание или удаление удержания на месте.For more details, see Create or remove an In-Place Hold.

  5. На странице Поисковый запрос заполните следующие поля:On the Search query page, complete the following fields:

    • Включить все содержимое почтового ящика пользователя. Выберите этот параметр, чтобы поместить все содержимое выбранных почтовых ящиков на удержание.Include all user mailbox content: Select this option to place all content in the selected mailboxes on hold. Если выбрать этот вариант, указать дополнительные критерии поиска будет невозможно.If you select this option, you can't specify additional search criteria.

    • Фильтр на основе критериев: Выберите этот параметр, чтобы задать условия поиска, включая ключевые слова, начальную и конечную даты, адреса отправителей и получателей, а также типы сообщений.Filter based on criteria: Select this option to specify search criteria, including keywords, start and end dates, sender and recipient addresses, and message types.

    Настройка поискового запроса для обнаружения электронных данных на месте

    Примечание

    Поля От: и Кому/копия/скрытая копия: объединены с помощью оператора ИЛИ в поисковом запросе, который создается при запуске поиска. Это означает, что в результаты поиска включаются все сообщения, отправленные или полученные указанными пользователями (и соответствующие условиям поиска). > Даты объединены с помощью оператора И.The From: and To/Cc/Bcc: fields are connected by an OR operator in the search query that's created when you run the search. That means any message sent or received by any of the specified users (and matches the other search criteria) is included in the search results. > The dates are connected by an AND operator.

  6. На странице Параметры хранения на месте установите флажок поместить содержимое, соответствующее поисковому запросу в выбранные почтовые ящики при удержании , а затем выберите один из следующих параметров, чтобы поместить элементы на удержание на месте:On the In-place hold settings page, you can select the Place content matching the search query in selected mailboxes on hold check box, and then select one of the following options to place items on In-Place Hold:

    • Хранить бессрочно: Выберите этот параметр, чтобы поместить возвращенные элементы в неопределенное удержание.Hold indefinitely: Select this option to place the returned items on an indefinite hold. Такие элементы будут храниться до удаления почтового ящика из поиска или до удаления поиска.Items on hold will be preserved until you remove the mailbox from the search or remove the search.

    • Укажите количество дней хранения элементов относительно даты получения: Используйте этот параметр для хранения элементов за определенный период.Specify number of days to hold items relative to their received date: Use this option to hold items for a specific period. Например, эту функцию можно использовать, если для вашей организации необходимо, чтобы все сообщения сохранялись на протяжении не менее семи лет.For example, you can use this option if your organization requires that all messages be retained for at least seven years. Можно использовать хранение на месте на основе времени вместе с политикой хранения, чтобы убедиться, что через семь лет элементы будут удалены.You can use a time-based In-Place Hold along with a retention policy to make sure items are deleted in seven years.

    Важно!

    При постановке почтовых ящиков или отдельных элементов на хранение по юридическим причинам обычно рекомендуется использовать неограниченный срок хранения и снимать хранение только после завершения тяжбы или расследования.When placing mailboxes or items on In-Place Hold for legal purposes, it is generally recommended to hold items indefinitely and remove the hold when the case or investigation is completed.

  7. Нажмите кнопку Готово, чтобы сохранить поиск и получить оценку общего размера и количества элементов, которые будут возвращены на основании установленных критериев.Click Finish to save the search and return an estimate of the total size and number of items that will be returned by the search based on the criteria you specified. Оценки отображаются в области сведений.Estimates are displayed in the details pane. Нажмите кнопку Обновить значок обновления, чтобы обновить сведения, отображаемые в области сведений.Click Refresh Refresh Icon to update the information displayed in the details pane.

В этом примере создается поиск с обнаружением электронных данных на месте с именем Discovery – CaseId012, который выполняет поиск элементов, содержащих ключевые слова Contoso и Project и которые также удовлетворяют следующим условиям:This example creates the In-Place eDiscovery search named Discovery-CaseId012 that searches for items containing the keywords Contoso and ProjectA and that also meet the following criteria:

  • Дата начала: 1/1/2009Start date: 1/1/2009

  • Дата окончания: 12/31/2011End date: 12/31/2011

  • Исходный почтовый ящик: Финансы группы рассылкиSource mailbox: DG-Finance

  • Целевой почтовый ящик: Почтовый ящик поиска методом обнаруженияTarget mailbox: Discovery Search Mailbox

  • Типы сообщений: Электронная почтаMessage types: Email

  • Включает элементы, не включаемые в поиск, в статистике поискаIncludes unsearchable items in the search statistics

  • Уровень ведения журнала: ПолноеLog level: Full

Важно!

Если при выполнении поиска с обнаружением электронных данных на месте не указаны дополнительные параметры поиска, все элементы в указанных исходных почтовых ящиках будут возвращены в результатах.If you don't specify additional search parameters when running an In-Place eDiscovery search, all items in the specified source mailboxes are returned in the results. Если вы не укажете почтовые ящики для поиска, выполняется поиск во всех почтовых ящиках в организации Exchange или Exchange Online.If you don't specify mailboxes to search, all mailboxes in your Exchange or Exchange Online organization are searched.

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2009" -EndDate "12/31/2011" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full

Примечание

Если используются параметры StartDate и EndDate, необходимо указать дату в формате мм/дд/гггг, даже если в настройках локального компьютера используется другой формат, например дд/мм/гггг.When using the StartDate and EndDate parameters, you have to use the date format of mm/dd/yyyy, even if your local machine settings are configured to use a different date format, such as dd/mm/yyyy. Например, чтобы искать сообщения, отправленные между 1 апреля, 2013 и 1 июля 2013, вы можете использовать 04/01/2013 и 07/01/2013 для дат начала и окончания.For example, to search for messages sent between April 1, 2013 and July 1, 2013, you would use 04/01/2013 and 07/01/2013 for the start and end dates.

В этом примере создается поиск с обнаружением электронных данных на месте HRCase090116 для сообщений электронной почты, отправленных пользователем Alex Darrow пользователю Sara Davis в 2015 году.This example creates an In-Place eDiscovery search named HRCase090116 that searches for email messages sent by Alex Darrow to Sara Davis in 2015.

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes  alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

После использования Exchange Online PowerShell для создания поискового запроса на обнаружение электронных данных на месте необходимо запустить поиск с помощью командлета Start-MailboxSearch , чтобы копировать сообщения в почтовый ящик обнаружения, указанный в параметре TargetMailbox .After using Exchange Online PowerShell to create an In-Place eDiscovery search, you have to start the search by using the Start-MailboxSearch cmdlet to copy messages to the discovery mailbox specified in the TargetMailbox parameter. Сведения о том, как копировать результаты поиска обнаружения электронных данных в почтовый ящик обнаружения.For details, see Copy eDiscovery Search Results to a Discovery Mailbox.

Подробные сведения о синтаксисе и параметрах см. в разделе New-MailboxSearch.For detailed syntax and parameter information, see New-MailboxSearch.

Использование Центра администрирования Exchange для оценки или предварительного просмотра результатов поискаUse the EAC to estimate or preview search results

После создания поискового запроса на обнаружение электронных данных на месте можно использовать центр администрирования Exchange для получения оценки и предварительного просмотра результатов поиска.After you create an In-Place eDiscovery search, you can use the EAC to get an estimate and preview of the search results. Если вы создали новый поиск с помощью командлета New-MailboxSearch , вы можете запустить поиск, чтобы получить оценку результатов поиска с помощью Exchange Online PowerShell.If you created a new search using the New-MailboxSearch cmdlet, you can use Exchange Online PowerShell to start the search to get an estimate of the search results. Вы не можете использовать Exchange Online PowerShell для предварительного просмотра сообщений, возвращенных в результатах поиска.You can't use Exchange Online PowerShell to preview messages returned in search results.

  1. Перейдите к функции > обнаружения электронных данных на месте в управлении соответствием требованиям & удержание.Navigate to Compliance management > In-place eDiscovery & hold.

  2. В представлении списка выберите Поиск с обнаружением электронных данных на месте, а затем выполните одно из следующих действий.In the list view, select the In-Place eDiscovery search, and then do one of the following:

    • Нажмите кнопку Поиск поиска > Оценка результатов поиска , чтобы получить оценку общего размера и количества элементов, которые будут возвращены при поиске на основе заданных критериев.Click Search Search icon > Estimate search results to return an estimate of the total size and number of items that will be returned by the search based on the criteria you specified. Этот параметр перезапускает поиск и выполняет оценку.Selecting this option restarts the search and performs an estimate.

      Оценки поиска отображаются в области сведений.Search Estimates are displayed in the details pane. Нажмите кнопку Обновить значок обновления, чтобы обновить сведения, отображаемые в области сведений.Click Refresh Refresh Icon to update the information displayed in the details pane.

    • Выберите элемент Предварительный просмотр результатов поиска в области сведений, чтобы просмотреть результаты после оценки.Click Preview search results in the details pane to preview the results after the search estimate is completed. Если выбрать этот вариант, откроется окно просмотра результатов поиска методом обнаружение электронных данных.Selecting this option opens the eDiscovery search preview window. Отображаются все сообщения, возвращенные из почтовых ящиков, в которых выполнялся поиск.All messages returned from the mailboxes that were searched are displayed.

      Примечание

      Почтовые ящики, в которых выполнялся поиск, перечислены в правой области окна предварительного просмотра поиска eDiscovery .The mailboxes that were searched are listed in the right pane in the eDiscovery search preview window. Для каждого почтового ящика также отображается количество возвращаемых элементов и общий размер этих элементов.For each mailbox, the number of items returned and the total size of these items is also displayed. Все найденные элементы отображаются на правой панели и могут быть отсортированы по дате.All items returned by the search are listed in the right pane, and can be sorted by newest or oldest date. Элементы из каждого почтового ящика невозможно отобразить на правой панели, щелкнув почтовый ящик в левой области.Items from each mailbox can't be displayed in the right pane by clicking a mailbox in the left pane. Чтобы просмотреть все элементы, найденные в определенном почтовом ящике, скопируйте результаты поиска и просмотрите их в почтовом ящике найденных сообщений.To view the items returned from a specific mailbox, you can copy the search results and view the items in the discovery mailbox.

Оценка и предварительный просмотр результатов поиска

Оценка результатов поиска с помощью Exchange Online PowerShellUse Exchange Online PowerShell to estimate search results

С помощью параметра ESTIMATEONLY можно получить только оценку результатов поиска и не копировать результаты в почтовый ящик обнаружения.You can use the EstimateOnly switch to return only get an estimate of the search results and not copy the results to a discovery mailbox. Необходимо запустить поиск только с оценкой с помощью командлета Start-MailboxSearch.You have to start an estimate-only search with the Start-MailboxSearch cmdlet. Затем можно извлечь оценку результатов поиска, выполнив командлет Get-MailboxSearch.Then you can retrieve the estimated search results by using the Get-MailboxSearch cmdlet.

Например, чтобы создать новый поиск обнаружения электронных данных, а затем отобразить оценку результатов поиска, выполните следующие команды:For example, you would run the following commands to create a new eDiscovery search and then display an estimate of the search results:

New-MailboxSearch "FY13 Q2 Financial Results" -StartDate "04/01/2013" -EndDate "06/30/2013" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics
Start-MailboxSearch "FY13 Q2 Financial Results"
Get-MailboxSearch "FY13 Q2 Financial Results"

Чтобы отобразить определенную информацию об оценке результатов поиска с предыдущего примера, выполните следующую команду:To display specific information about the estimated search results from the previous example, you could run the following command:

Get-MailboxSearch "FY13 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

Дополнительные сведения о поиске eDiscoveryMore information about eDiscovery searches

  • После создания нового поиска eDiscovery можно скопировать результаты поиска в почтовый ящик найденных сообщений и экспортировать их в файл PST. Дополнительные сведения:After you create a new eDiscovery search, you can copy search results to the discovery mailbox and export those search results to a PST file. For more information, see:

  • После запуска оценки результатов поиска для обнаружения электронных данных (включительно со словами в условиях поиска), вы можете просмотреть статистику ключевых слов, щелкнув элемент Просмотреть статистику ключевых слов в области сведений для выбранного поиска. Она содержит сведения о количестве элементов, возвращаемых для каждого ключевого слова в поисковом запросе. Но если поиск включает более 100 исходных почтовых ящиков, при попытке просмотреть статистику ключевых слов возвращается ошибка. Для просмотра статистики ключевых слов поиск должен включать не более 100 исходных почтовых ящиков.After you run an eDiscovery search estimate (that includes keywords in the search criteria), you can view keyword statistics by clicking View keyword statistics in the details pane for the selected search. These statistics show details about the number of items returned for each keyword used in the search query. However, if more than 100 source mailboxes are included in the search, an error will be returned if you try to view keyword statistics. To view keyword statistics, no more than 100 source mailboxes can be included in the search.

  • При использовании Get-MailboxSearch в Exchange Online для получения сведений о поиске eDiscovery необходимо указать имя поиска, чтобы возвратить полный список свойств поиска; Пример: Get-MailboxSearch "Contoso Legal Case".If you use Get-MailboxSearch in Exchange Online to retrieve information about an eDiscovery search, you have to specify the name of a search to return a complete list of the search properties; for example, Get-MailboxSearch "Contoso Legal Case". Если запустить командлет Get-MailboxSearch без использования каких-либо параметров, не будут возвращены следующие свойства:If you run the Get-MailboxSearch cmdlet without using any parameters, the following properties aren't returned:

    • SourceMailboxesSourceMailboxes

    • SourcesSources

    • SearchQuerySearchQuery

    • РесултслинкResultsLink

    • ПревиевресултслинкPreviewResultsLink

    • ОшибкиErrors

    Это связано с тем, что для возврата этих свойств для всех поисковых запросов по обнаружению электронных данных в организации требуется много ресурсов.The reason is that it requires a lot of resources to return these properties for all eDiscovery searches in your organization.