In-Place电子数据展示的邮件属性和Exchange Server
本主题介绍 Exchange 2016 或 Exchange Server 2019 中可以使用 In-Place 电子数据展示 & 保留搜索的 Exchange Server 电子邮件的属性。 The topic also describes Boolean search operators and other search query techniques that you can use to refine eDiscovery search results.
就地电子数据展示使用关键字查询语言 (KQL)。 有关详细信息,请参阅关键字 查询语言语法参考。
Exchange 中的可搜索属性
下表列出了电子邮件属性。这些属性可通过就地电子数据展示搜索或使用 New-MailboxSearch 或 Set-MailboxSearch cmdlet 进行搜索。该表包含了每个属性的 property:value 语法的示例,并介绍了这些示例返回的搜索结果。
| 属性 | 属性描述 | 示例 | 示例返回的搜索结果 |
|---|---|---|---|
| Attachment | 附加到电子邮件的文件名称。 | 附件:annualreport.ppt attachment:annual* |
具有一个附加文件,其名称与annualreport.ppt匹配的邮件,例如"annualreport.ppt"或"2017 annualreport.ppt"。 在第二个示例中,使用通配符返回附件名中带有单词"annual"的邮件。 |
| Bcc | 电子邮件的"密件抄送"字段。1 | bcc:pilarp@contoso.com bcc:pilarp bcc:"Pilar Pinilla" |
所有示例都返回"密件抄送"字段中包含"Pilar Pinilla"的邮件。 |
| Category | 搜索类别。 用户可以通过使用以前称为"自定义"Outlook Outlook 网页版 (自定义类别Outlook Web App) 。 有效值为:
|
category:"Red Category" | 在源邮箱中已指定红色类别的邮件。 |
| 抄送 | 电子邮件的"抄送"字段。1 | cc:pilarp@contoso.com cc:"Pilar Pinilla" |
在以上两个示例中,在"抄送"字段中指定了含有"Pilar Pinilla"的邮件。 |
| 发件人 | 电子邮件的发件人。1 | from:pilarp@contoso.com from: contoso.com |
由指定用户或指定域发送的邮件。 |
| Importance | The importance of an email message, which a sender can specify when sending a message. By default, messages are sent with normal importance, unless the sender sets the importance as high or low. | importance: high importance: medium importance: low |
将重要性标记为高、中等或低的邮件。 |
| Kind | 要搜索的邮件类型。 有效值为:
|
kind: email kind: email OR kind:im OR kind:voicemail |
满足搜索条件的电子邮件。第二个示例返回满足搜索条件的电子邮件、即时消息对话以及语音邮件。 |
| 参与者 | 电子邮件中的所有人员字段;这些字段分别为:发件人、收件人、抄送和密件抄送。1 | participants: garthf@contoso.com participants: contoso.com |
garthf@contoso.com 发送的邮件或发送至 garthf@contoso.com 的邮件。 第二个示例返回 contoso.com 域中的用户发送的所有邮件或发送至 contoso.com 域中的用户的所有邮件。 |
| Received | 收件人接收电子邮件的日期。 | received: 04/15/2015 received>=01/01/2015 AND received<=03/31/2015 |
2014 年 4 月 15 日接收的邮件。第二个示例返回 2014 年 1 月 1 日和 2014 年 3 月 31 日之间接收的所有邮件。 |
| 收件人 | 电子邮件中的所有收件人字段;这些字段分别为:收件人、抄送和密件抄送。1 | recipients: garthf@contoso.com recipients: contoso.com |
发送至 garthf@contoso.com 的邮件。 第二个示例返回发送至 contoso.com 域中的任何收件人的邮件。 |
| Sent | 发件人发送电子邮件的日期。 | sent: 07/01/2015 sent>=06/01/2015 AND sent<=07/01/2015 |
在指定日期或指定日期范围内发送的邮件。 |
| Size | 邮件的大小(以字节为单位)。 | size> 26214400 size:1..1048576 |
邮件超过 25 MB。 第二个示例返回大小介于 1 到 1,048,576 字节 (1 MB) 之间的邮件。 |
| Subject | 电子邮件主题行中的文本。 | subject:"Quarterly Financials" subject: northwind |
主题行的文本中包含精确短语"Quarterly Financials"的邮件。 第二个示例返回主题行中包含单词"northwind"的所有邮件。 |
| 收件人 | 电子邮件的"收件人"字段。1 | to: annb@contoso.com to:annb to:"Ann Beebe" |
所有示例返回在"收件人:"行中指定为 Ann Beebe 的邮件。 |
1 对于收件人属性的值,你可以使用 SMTP 地址、显示名称或别名来指定用户。例如,你可以使用 annb@contoso.com、annb 或"Ann Beebe"指定用户 Ann Beebe。
支持的搜索运算符
使用布尔运算符(如 AND 、 OR 和 NOT )可以在搜索查询中包括或排除特定单词,从而帮助定义更精确的邮箱搜索。使用其他技术(如使用诸如 >= or .. 的属性运算符、问号、圆括号和通配符)可帮助您优化电子数据展示搜索查询。下表列出了可以用于缩小或扩大搜索结果的运算符。
| 运算符 | 用法 | 说明 |
|---|---|---|
| AND | keyword1 AND keyword2 | 返回包含所有指定关键字或表达式 property: value 的邮件。 |
| + | keyword1 +keyword2 +keyword3 | 返回包含 或 且 keyword2 keyword3 也包含 的项 keyword1。 因此,此示例等效于查询 (keyword2 OR keyword3) AND keyword1。 查询 ( keyword1 + keyword2 符号 + 后具有空格) 与使用 AND 运算符不同。 此查询等效于 并 "keyword1 + keyword2" 返回具有确切阶段的项 "keyword1 + keyword2"。 |
| OR | keyword1 OR keyword2 | 返回包含一个或多个指定关键字或表达式 property: value 的邮件。 |
| NOT | keyword1 NOT keyword2 NOT from:"Ann Beebe" |
排除关键字或表达式指定的 property: value 邮件。 例如, NOT from:"Ann Beebe" 排除 Ann Beebe 发送的邮件。 |
| - | keyword1 -keyword2 | 与 NOT 运算符作用相同。 此查询返回包含 的项 keyword1 ,并排除包含 的项 keyword2。 |
| NEAR | keyword1 NEAR(n) keyword2 | 返回包含邻近字词的邮件,其中 n 表示间隔的字词数量。 例如,返回 best NEAR(5) worst 单词"worst"在五个单词"best"之内的邮件。 如果您没有指定数目,则默认距离是 8 个字词。 |
| : | property:value | 语法中的冒 (:) property:value 指定要搜索的属性值等于指定值。 例如, recipients:garthf@contoso.com 返回发送到邮件的任何 garthf@contoso.com。 |
| < | property<value | 表示正在搜索的属性小于指定的值。1 |
| > | property>value | 表示正在搜索的属性大于指定的值。1 |
| <= | property<=value | 表示正在搜索的属性小于等于指定的值。1 |
| >= | property>=value | 表示正在搜索的属性大于等于指定的值。1 |
| .. | property: value1..value2 | 表示正在搜索的属性大于等于 value1,小于等于 value2。1 |
| " " | "fair value" subject:"Quarterly Financials" |
使用双引号 (") 搜索关键字 property: value 和搜索查询中的确切短语或术语。 |
| * | cat* subject:set* |
前缀通配符 (在单词) 末尾 property: value 放置星号的位置搜索关键字或查询中的零个或多个字符。 例如,返回 subject:set* 包含单词 set、setup 和 setting (以及主题行中以"set") 的其他单词的邮件。 |
| ( ) | (公平或免费) 和从: contoso.com (IPO OR initial) AND (stock OR shares) (quarterly financials) |
括号将布尔 property: value 短语、项目和关键字组合在一起。 例如, (quarterly financials) 返回包含单词"quarterly"和"financials"的项。 |
1 为含有日期或数值的属性使用此运算符。
2 布尔搜索运算符必须为大写形式;例如, AND 。 在搜索查询中使用小写形式的运算符将返回错误。
搜索查询不支持的字符
搜索查询不支持的字符通常会导致搜索错误或返回意外结果。不受支持的字符通常是隐藏的。当你将查询或部分查询从其他应用程序(如 Microsoft Word 或 Microsoft Excel)复制到就地电子数据展示搜索查询页上的关键字框中时,不受支持的字符通常会被添加到查询中。
下面列出了就地电子数据展示搜索查询不支持的字符。
智能引号:不支持智能单引号 (双 引号,也) 引号。 只能在搜索查询中使用直双引号。
非打印字符 和控制字符:非打印字符和控制字符不代表书写符号,如字母数字字符。 非打印字符和控制字符示例包括设置文本格式的字符或文本换行字符。
从左到 右 和从右到左标记:这些字符是控制字符,用于指示从左到右语言的文本方向 (如英语和西班牙语) 以及从右到左的语言 (如阿拉伯语和希伯来语) 。
小写 Boolean 运算符:如上所述,您必须在搜索查询中使用大写的布尔运算符,如 AND 和 OR。 查询语法通常指示使用了布尔运算符,即使可能会使用小写运算符;例如,
(WordA or WordB) and (WordC or WordD)。
如何防止搜索查询中出现不受支持的字符? 防止出现不受支持的字符的最佳方式是,在关键字框中仅键入查询。 或者,也可以从 Word 或 Excel 复制查询,然后将其粘贴到纯文本编辑器(如 Microsoft 记事本)文件中。 接下来,保存文本文件,并在" 编码"下拉列表中选择" ANSI"。 此选择将删除任何格式和不受支持的字符。 然后,便可将文本文件中的查询复制并粘贴到关键字查询框中。
搜索提示和技巧
关键字搜索不区分大小写。例如,cat 和 CAT 将返回相同的结果。
两个关键字或两个表达式之间的
property: value空格与使用 AND 相同。 例如,from:"Sara Davis" subject:reorganization返回 Sara Davis 发送的所有邮件,这些邮件在主题 行中包含单词重新 组织。使用与格式匹配的
property: value语法。 值不区分大小写,并且它们不可以在运算符后留有空格。 如果有空格,则你的预期值将只会进行全文搜索。 例如, to:pilarp 搜索"pilarp"作为关键字,而非发送至 pilarp 的邮件。在搜索收件人属性(如 To、From、Cc 或 Recipients)时,您可以使用 SMTP 地址、别名或显示名来表示收件人。例如,您可以使用 pilarp@contoso.com、pilarp 或"Pilar Pinilla"。
只能使用前缀通配符搜索 (例如 *cat 或 *set) 。 后缀通配符搜索 (cat*) 或子字符串通配符 *搜索 (不支持) cat* 字符串。
在搜索属性时,如果搜索值包含多个单词,则使用双引号 (" ")。 例如, subject:budget Q1 返回主题行中包含 budget 且在邮件中的任何位置或任意邮件属性中包含 Q1 的邮件。 使用 subject:"budget Q1" 返回主题行中任意位置包含 budget Q1 的所有邮件。
若要将使用某个属性值标记的内容从搜索结果中排除,请在属性名称前放置减号 (-)。例如, -from:"Sara Davis" 将排除由 Sara Davis 发送的任何邮件。