查詢和篩選檢閱集中的內容

  • 發行項

在大部分情況下,更深入瞭解檢閱集中的內容並加以組織,以促進更有效率的檢閱很有用。 在檢閱集中使用篩選和查詢,可協助您專注於符合檢閱準則的檔子集。 如需可用搜尋條件的詳細資訊,請參閱 電子檔探索的關鍵詞查詢和搜尋條件

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

預覽) (進階篩選

在舊版中改善預設篩選,eDiscovery (Premium) 現在提供進階篩選,可讓您為檢閱集建置更有彈性和進階的篩選。 與 集合查詢產生器體驗類似,進階篩選功能可讓您:

  • 快速搜尋篩選條件。
  • 使用子群組、 ANDOR 條件建立複雜的篩選。
  • 使用 復原篩選查詢取消復原篩選查詢 控制項輕鬆變更查詢。
  • 管理已儲存的篩選條件,而不需要流覽至另一個區域。
  • 使用 是空 的, 而且不是 每個篩選條件的空白條件。

檢閱集篩選。

重要事項

檢閱集會顯示每個頁面最多 1,000 個專案,最多 10 頁 (每個檢閱集) 顯示總計 10,000 個專案。 視需要使用預設或自定義篩選來調整顯示的專案。 相符的項目計數是估計值。

預覽) (進階篩選控件

若要建立和自定義檢閱集的篩選,請使用下列控件:

  • AND/OR:這些條件式邏輯運算符可讓您選取套用至特定篩選和篩選子群組的查詢條件。 這些運算子可讓您使用多個篩選或子群組連線到查詢中的單一篩選器。
  • 選取篩選:可讓您選取特定數據源的篩選條件,以及針對集合選取的位置內容。
  • 新增篩選:可讓您將多個篩選條件新增至查詢。 在您定義至少一個查詢篩選器之後,即可使用。
  • 選取運算符:根據選取的篩選條件,可以選取與篩選相容的運算符。 例如,如果選取 [日期 ] 篩選條件,則可用的運算符為 BeforeAfterBetween。 如果選 取 [大小] (位元組) 篩選條件,可用的運算符會是 [大於]、[ 大於] 或 [等於]、[ 小於]、[ 小於] 或 [等於]、[ 介於] 和 [ 等於]
  • :根據選取的篩選條件,可以使用與篩選相容的值。 此外,某些篩選條件支援多個值,而某些篩選器支援一個特定值。 例如,如果選取 [日期 ] 篩選條件,請選取日期值。 如果選取 [ 大小 (位元組) 篩選,請選取位元組的值。
  • 新增子群組:定義篩選之後,您可以新增子群組來精簡篩選所傳回的結果。 您也可以將子群組新增至子群組,以進行多層式查詢精簡。
  • 拿掉篩選條件:若要移除個別篩選或子群組,請選取每個篩選條件行或子群組右邊的移除圖示。
  • 全部清除:若要清除所有篩選條件和子群組的整個查詢,請選取 [ 全部清除]

篩選類型

檢閱集中每個可搜尋的欄位都有對應的篩選條件,您可以根據特定欄位來用於篩選專案。

篩選條件有多種類型:

  • Freetext:Freetext 篩選會套用至文字字段,例如 Subject。 您可以使用逗號分隔多個搜尋字詞,以列出這些字詞。
  • 日期:日期篩選器用於日期欄位,例如 上次修改日期
  • 搜尋 選項:搜尋選項篩選器會提供可能值的清單 (每個值都會顯示一個複選框,您可以在檢閱中選取特定欄位的) 。 此篩選條件用於欄位,例如 Sender,其中檢閱集內可能的值有限。
  • 關鍵詞:關鍵詞條件是可用來搜尋字詞的特定 Freetext 條件實例。 您也可以在此類型的篩選中使用類似 KQL 的查詢語言。 如需詳細資訊,請參閱本文中的查詢語言和進階查詢產生器一節。

儲存和管理篩選查詢

對篩選器感到滿意之後,您可以將篩選組合儲存為篩選查詢。 此已儲存的篩選查詢可讓您在未來的檢閱會話中套用篩選。

若要儲存篩選 ,請在 [儲存 篩選查詢] 命令行上選取 [儲存],並將其命名為 。 您或其他檢閱者可以選取 [儲存的篩選查詢] 下拉式清單,然後選取要套用至檢閱集文件的篩選查詢,來執行先前儲存的篩選查詢。

儲存篩選查詢。

若要編輯或刪除已儲存的篩選查詢,請選取 [已儲存的 篩選查詢 ],然後展開篩選屬性,以顯示已儲存之篩選查詢的 [編輯 ] 和 [ 刪除 ] 選項。

編輯或刪除已儲存的篩選查詢。

使用 KQL 和關鍵詞篩選的查詢語言支援

使用 KQL關鍵字 篩選時,您可以使用類似 KQL 的查詢語言來建置檢閱集搜尋查詢。 這兩個篩選條件的查詢語言支援標準布爾運算元,例如 ANDORNOTNEAR。 它也支援單一字元通配符 (?) 和多字元通配符 (*) 。

注意事項

檢閱篩選器僅支援通配符 (?或 *) 單一字詞。 不支援在包含多個字詞的片語搜尋中使用通配符。

案例範例:篩選檢閱集中未標記的專案

電子檔探索系統管理員必須建立查詢,以尋找檢閱集中尚未套用任何標記的所有專案。 在此範例中,系統管理員會建立下列檢閱集篩選查詢:

  1. 針對第一個篩選條件,系統管理員會在篩選搜尋中選取篩選和類型 標籤 。 篩選 標記會 顯示為相符的選項,而系統管理員會選取它。
  2. 系統管理員接著選取 [ 選取操作員 ],然後選取 [是空 的] 運算符。 此運算符會傳回未套用任何標記的所有專案。

檢閱集會立即更新,且只會顯示未標記的專案。

未標記檢閱集專案的範例查詢。

案例範例:篩選檢閱集中的原生文件類型專案

電子檔探索系統管理員必須建立查詢,以尋找檢閱集中屬於特定類型的所有專案,例如 .csv、.msg或 .pdf。 在此範例中,系統管理員會建立下列檢閱集篩選查詢:

  1. 針對第一個篩選條件,系統管理員會在篩選搜尋中選取篩選和類型 檔案 。 篩選 原生擴展名 是搜尋結果中顯示的其中一個篩選選項,系統管理員會加以選取。
  2. 系統管理員接著選取 [ 選取操作員 ],然後選取 [等於任何運算 符]。 系統管理員選取 [ 任何 ] 字段,並選取要包含在篩選查詢中的檔類型複選框。

檢閱集會立即更新,而且只會顯示符合所選檔類型的專案。

檢閱集中特定檔類型的範例查詢。

案例範例:篩選部分編製索引的專案

如果您在將集合估計值認可至檢閱集時,選取了從其他數據源加入部分索引項目的選項。 您可能想要識別並檢視這些專案,以判斷專案是否可能與您的調查相關,以及是否需要補救導致專案部分編製索引的錯誤。

此時,檢閱集中沒有篩選選項可顯示部分編製索引的專案。 但我們正在處理它。 在那之前,您可以透過下列方式篩選並顯示您新增至檢閱集的部分索引專案。

  1. 建立集合並將其認可至新的檢閱集, 而不 需從其他數據源新增部分編製索引的專案。
  2. 從步驟 1 複製集合來建立新的集合。
  3. 將新的集合認可至相同的檢閱集。 但這次,從其他數據源新增部分編製索引的專案。 因為您在步驟 1 中建立的集合中的專案已新增至檢閱集,所以只有第二個集合中部分編製索引的專案會加入至檢閱集。
  4. 將這兩個集合新增至檢閱集之後,請選取檢閱集,然後選取 [載入集合]
  5. 複製或記下第二個集合的 負載標識 符, (您在步驟 2 中建立的) 。 集合名稱會在 [來源資訊] 資料行中 識別。
  6. 回到檢閱集,選取 [篩選],展開 [ 標識符 ] 區段,然後選取 [ 載入標識 符] 複選框。
  7. 展開 [ 負載標識 符] 篩選,然後選取對應至第二個集合的負載標識符複選框,以顯示部分索引的專案。