Usar Búsqueda de contenido en el flujo de trabajo de eDiscovery

Importante:  Este artículo se ha traducido con traducción automática; vea la declinación de responsabilidades. Para su referencia, puede encontrar la versión en inglés de este artículo aquí.

La característica de búsqueda de contenido en el Centro de cumplimiento y seguridad de Office 365 le permite buscar todos los buzones de la organización. A diferencia de exhibición de documentos electrónicos en contexto en Exchange Online (donde puede buscar buzones hasta 10.000), no existen límites para el número de buzones de destino con una única búsqueda. Escenarios que requieren realizar búsquedas de toda la organización, puede usar la búsqueda de contenido para buscar todos los buzones. A continuación, puede usar las características de flujo de trabajo de exhibición de documentos electrónicos en contexto para realizar otras tareas relacionadas con la exhibición de documentos electrónicos, como colocar buzones en mantenga y los resultados de búsqueda exportación. Por ejemplo, supongamos que tiene que buscar todos los buzones para identificar a Custodios específicas que se responde a un caso legal. Puede usar la búsqueda de contenido en el Centro de cumplimiento y seguridad para buscar todos los buzones en su organización para identificarlos que se responden en el caso. A continuación, puede usar esa lista de buzones custodio como los buzones de origen para una búsqueda de exhibición de documentos electrónicos en contexto en Exchange Online. Exhibición de documentos electrónicos en contexto utilizando también permite poner una suspensión en los buzones de origen, copiar los resultados de búsqueda a un buzón de detección y exportar los resultados de búsqueda.

Este tema incluye un script que se puede ejecutar para crear una búsqueda de exhibición de documentos electrónicos local en Exchange Online usando la lista de buzones de origen y la consulta de búsqueda de una búsqueda creada en el Centro de cumplimiento y seguridad. A continuación encontrará una descripción general del proceso:

Paso 1: Crear una Búsqueda de contenido para todos los buzones de la organización

Paso 2: Conectarse al Centro de seguridad y cumplimiento y a Exchange Online en una única sesión de PowerShell en remoto

Paso 3: Ejecutar el script para crear una búsqueda de eDiscovery local a partir de la búsqueda de contenido

Paso 4: Iniciar la búsqueda de exhibición de documentos electrónicos local

Next steps after creating and running the In-Place eDiscovery search

Paso 1: Crear una Búsqueda de contenido para todos los buzones de la organización

El primer paso es usar el Centro de cumplimiento y seguridad (o Windows PowerShell) para crear una búsqueda de contenido que busque en todos los buzones de la organización. No existe un límite para el número de buzones de una búsqueda de contenido. Especifique una consulta de palabras clave adecuada (o una consulta de los tipos de información confidencial) para que la búsqueda devuelva solo los buzones de origen relevantes para la investigación. Si es necesario, restrinja la consulta de búsqueda para limitar el ámbito de los resultados de la búsqueda y los buzones de origen devueltos.

Nota: Si la búsqueda de contenido de origen no devuelve ningún resultado, no se creará un eDiscovery local al ejecutar el script en el paso 3. Revise la consulta de búsqueda y, después, vuelva a ejecutar la búsqueda de contenido para mostrar los resultados de la búsqueda.

Usar el Centro de cumplimiento y seguridad para buscar todos los buzones

  1. Vaya al Centro de seguridad y cumplimiento de Office 365.

  2. Haga clic en Búsqueda e investigación, seleccione Búsqueda de contenido y, después, haga clic en Nueva Icono de agregar .

  3. En la página Nueva búsqueda, escriba un nombre para la búsqueda de contenido.

  4. En ¿Dónde desea buscar?, haga clic en Buscar en todos los buzones y, a continuación, haga clic en Siguiente.

  5. En ¿Qué desea buscar?, escriba una consulta de búsqueda en el cuadro. Puede especificar palabras clave, propiedades del mensaje como la fecha de envío y de recepción, o propiedades del documento como nombres de archivo o la fecha de la última modificación de un documento. Puede usar consultas más complejas en las que se use un operador booleano, como AND, OR, NOT o NEAR, o también puede buscar información confidencial (como los números de la seguridad social) en los mensajes. Para obtener más información acerca de cómo crear consultas de búsqueda, consulte Keyword queries for Content Search.

  6. Haga clic en Búsqueda para guardar la configuración de la búsqueda e iniciar la búsqueda.

    Después de un tiempo, se muestra una estimación de los resultados de la búsqueda en el panel de detalles. La estimación incluye el tamaño total y el número de elementos de los resultados de la búsqueda. Una vez finalizada la búsqueda, puede obtener una vista previa de los resultados de la búsqueda. Si es necesario, haga clic en Actualizar Icono Actualizar para actualizar la información que aparece en el panel de detalles.

  7. Si es necesario, refine la consulta de búsqueda para restringir el alcance de los resultados de la búsqueda y, a continuación, reinicie la búsqueda.

Usar Windows PowerShell para buscar todos los buzones

También puede usar el cmdlet New-ComplianceSearch para buscar en todos los buzones de la organización. El primer paso es Conectarse al Centro de seguridad y cumplimiento de Office 365 mediante PowerShell remoto.

A continuación se presenta un ejemplo del uso de Windows PowerShell para buscar en todos los buzones de la organización. La consulta de búsqueda devuelve todos los mensajes enviados entre el 1 de enero de 2015 y el 30 de junio de 2015 y que contienen la frase "informe financiero" en la línea del asunto. El primer comando crea la búsqueda y el segundo comando la ejecuta.

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'
Start-ComplianceSearch -Identity "Search All-Financial Report"

Para obtener más información, consulte New-ComplianceSearch.

Volver al principio

Comprobar el número de buzones de origen en la búsqueda de contenido

Búsqueda de contenido devuelve un máximo de 1.000 buzones de origen que contienen los resultados de búsqueda. Si hay más de 1.000 buzones que contienen contenido que coincida con la consulta de búsqueda, los buzones de principio 1.000 con los resultados de búsqueda mayoría se incluyen en la búsqueda de contenido que creó en el paso anterior. Así que si más de 1.000 buzones contienen los resultados de búsqueda, algunos de los buzones no se incluirán en la lista de buzones de origen copiado a la nueva búsqueda de exhibición de documentos electrónicos en contexto creada en el paso 3.

Para ayudarle a crear una búsqueda de contenido con no más de buzones de origen de 1.000, siga estos pasos para ejecutar un script que muestra el número de buzones de origen (que contienen los resultados de búsqueda) devuelto por la búsqueda de contenido que creó en el paso 1.

  1. Guarde el texto siguiente en un archivo de script de Windows PowerShell con .ps1 como sufijo de nombre de archivo. Por ejemplo, podría guardarlo en un archivo con el nombre SourceMailboxes.ps1.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True,Position=1)]
        [string]$SearchName
    )
    
    $search = Get-ComplianceSearch $SearchName
    if ($search.Status -ne "Completed")
    {
                    "Please wait until the search finishes.";
                    break;
    }
    
    $results = $search.SuccessResults;
    if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
    {
                    "The Content Search " + $SearchName + " didn't return any useful results.";
                    break;
    }
    
    $mailboxes = @();
    $lines = $results -split '[\r\n]+';
    foreach ($line in $lines)
    {
        if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
        {
            $mailboxes += $matches[1];
        }
    }
    
    "Number of mailboxes that have search hits: " + $mailboxes.Count
  2. En una sesión de Windows PowerShell conectada al Centro de cumplimiento y seguridad, vaya a la carpeta en la que se encuentra el script que ha creado en el paso anterior y, a continuación, ejecute el script; por ejemplo:

    .\SourceMailboxes.ps1
  3. Cuando el script se lo pida, escriba el nombre de la búsqueda de contenido que creó en el paso 1.

    El script muestra el número de buzones de origen que contienen los resultados de la búsqueda.

Si hay más de 1.000 buzones de origen, intente crear búsquedas de contenido de dos (o más). Por ejemplo, buscar la mitad de los buzones de su organización en una búsqueda de contenido y la otra mitad en otra búsqueda de contenido. También puede cambiar los criterios de búsqueda para reducir el número de buzones que contienen los resultados de búsqueda. Por ejemplo, puede incluir un intervalo de fechas o refinar la consulta de palabras clave.

Volver al principio

Paso 2: Conectar a los Centro de cumplimiento y seguridad y Exchange Online en una única sesión remota de PowerShell

El paso siguiente es conectar Windows PowerShell al Centro de cumplimiento y seguridad y a la organización de Exchange Online. Esto es necesario porque el script que se ejecuta en el paso 3 necesita tener acceso a los cmdlets de búsqueda de contenido en el Centro de cumplimiento y seguridad y a los cmdlets de eDiscovery local en Exchange Online.

  1. Guarde el texto siguiente en un archivo de script de Windows PowerShell con .ps1 como sufijo de nombre de archivo. Por ejemplo, podría guardarlo en un archivo con el nombre ConnectEXO-CC.ps1.

    $UserCredential = Get-Credential
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -DisableNameChecking
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -AllowClobber -DisableNameChecking
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Compliance Center)"
  2. En el equipo local, abra Windows PowerShell, vaya a la carpeta donde se encuentra el script que ha creado en el paso anterior y, a continuación, ejecute el script. Por ejemplo:

    .\ConnectEXO-CC.ps1

¿Cómo se sabe si se ha completado correctamente? Después de ejecutar el script, los cmdlets del Centro de cumplimiento y seguridad y de Exchange Online se importan a la sesión local de Windows PowerShell. Si no aparece ningún error, la conexión se habrá establecido correctamente. Una prueba rápida es ejecutar un cmdlet de Centro de cumplimiento y seguridad (por ejemplo, Install-UnifiedCompliancePrerequisite) y un cmdlet de Exchange Online (como Get-Mailbox).

Volver al principio

Paso 3: Ejecutar el script para crear una búsqueda de eDiscovery local a partir de la búsqueda de contenido

Después de crear la sesión doble de Windows PowerShell en el paso 2, el paso siguiente es ejecutar un script que convierta una búsqueda de contenido existente en una búsqueda de eDiscovery local. Esto es lo que hace el script:

  • Le pide el nombre de la búsqueda de contenido que quiere convertir.

  • Comprueba que se ha completado la búsqueda de contenido. Si la búsqueda de contenido no devuelve ningún resultado, no se creará el eDiscovery local.

  • Guarda una lista de los buzones de origen de la búsqueda de contenido que contienen los resultados de la búsqueda en una variable.

  • Crea una nueva búsqueda de exhibición de documentos electrónicos local con las propiedades siguientes. Tenga en cuenta que la búsqueda nueva no se inicia. Empezará en el paso 4.

    • Nombre      El nombre de la nueva búsqueda tiene este formato: <Nombre de la búsqueda de contenido>_MBSearch1. Si vuelve a ejecutar el script y usa la misma búsqueda de contenido de origen, la búsqueda se llamará <Nombre de la búsqueda de contenido>_MBSearch2.

    • Buzones de origen      Todos los buzones de la búsqueda de contenido que contienen resultados de la búsqueda.

    • Consulta de búsqueda      La nueva búsqueda usa la consulta de búsqueda de la búsqueda de contenido. Si en la búsqueda de contenido se incluye todo el contenido (cuando la consulta de búsqueda está en blanco), la nueva búsqueda también tendrá una consulta de búsqueda en blanco donde se incluirá todo el contenido encontrado en los buzones de origen.

    • Búsqueda de solo estimación      La búsqueda nueva se marca como una búsqueda de solo estimación. No copiará los resultados de la búsqueda a un buzón de detección una vez que la inicie.

  1. Guarde el texto siguiente en un archivo de script de Windows PowerShell con .ps1 como sufijo de nombre de archivo. Por ejemplo, podría guardarlo en un archivo con el nombre CreateMBSearchFromComplianceSearch.ps1.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True,Position=1)]
        [string]$SearchName,
    
        [switch]$original,
    
        [switch]$restoreOriginal
    )
    
    $search = Get-ComplianceSearch $SearchName
    if ($search.Status -ne "Completed")
    {
    	"Please wait until the search finishes";
    	break;
    }
    
    $results = $search.SuccessResults;
    if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
    {
    	"The Content Search " + $SearchName + " didn't return any useful results";
    	"A mailbox search object wasn't created";
    	break;
    }
    
    $mailboxes = @();
    $lines = $results -split '[\r\n]+';
    foreach ($line in $lines)
    {
        if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
        {
            $mailboxes += $matches[1];
        }
    }
    
    $msPrefix = $SearchName + "_MBSearch";
    $I = 1;
    $mbSearches = Get-MailboxSearch;
    while ($true)
    {
        $found = $false;
        $mbsName = "$msPrefix$I";
        foreach ($mbs in $mbSearches)
        {
            if ($mbs.Name -eq $mbsName)
            {
                $found = $true;
                break;
            }
        }
    
        if (!$found)
        {
            break;
        }
    
        $I++;
    }
    
    $query = $search.KeywordQuery;
    if ([string]::IsNullOrWhiteSpace($query))
    {
        $query = $search.ContentMatchQuery;
    }
    
    if ([string]::IsNullOrWhiteSpace($query))
    {
    	New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
    }
    else
    {
    	New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
    }
    
  2. En la sesión de Windows PowerShell que ha creado en el paso 2, vaya a la carpeta donde se encuentra el script que ha creado en el paso anterior y, a continuación, ejecute el script. Por ejemplo:

    .\CreateMBSearchFromComplianceSearch.ps1

  3. Cuando el script se lo pida, escriba el nombre de la búsqueda de contenido que quiera convertir a una búsqueda de eDiscovery local (por ejemplo, la búsqueda que creó en el paso 1) y, después, presione Entrar.

    Si el script funciona, se crea una nueva búsqueda de exhibición de documentos electrónicos local con un estado NotStarted. Ejecute el comando Get-MailboxSearch <Name of Content Search>_MBSearch1 | FL para mostrar las propiedades de la nueva búsqueda.

Volver al principio

Paso 4: Iniciar la búsqueda de exhibición de documentos electrónicos local

El script que ha ejecutado en el paso 3 crea una nueva búsqueda de exhibición de documentos electrónicos local, pero no la inicia. El siguiente paso es iniciar la búsqueda para obtener una estimación de los resultados.

  1. En la Centro de administración de Exchange (CAF), vaya a administración de cumplimiento > exhibición de documentos electrónicos en contexto y suspensión.

  2. En la vista de lista, seleccione la búsqueda de exhibición de documentos electrónicos local que ha creado en el paso 3.

  3. Haga clic en Búsqueda Icono Buscar > Resultados de búsqueda estimados para iniciar la búsqueda y que esta devuelva una estimación del tamaño y el número total de elementos devueltos por la búsqueda.

    Las estimaciones se muestran en el panel de detalles. Haga clic en Actualizar Icono Actualizar para actualizar la información que se muestra en el panel de detalles.

  4. Para obtener una vista previa de los resultados una vez finalizada la búsqueda, haga clic en Vista previa de los resultados de la búsqueda    en el panel de detalles.

Volver al principio

Pasos siguientes después de crear y ejecutar la búsqueda de exhibición de documentos electrónicos local

Después de crear e iniciar la búsqueda de exhibición de documentos electrónicos local que el script ha creado en el paso 3, puede usar el flujo de trabajo normal de la exhibición de documentos electrónicos local para realizar distintas acciones de exhibición de documentos electrónicos en los resultados de la búsqueda.

Crear una Conservación local

  1. En el EAC, vaya a Administración de cumplimiento > Exhibición de documentos electrónicos y retención locales.

  2. En la vista de lista, seleccione la búsqueda de exhibición de documentos electrónicos local que creó en el paso 3 y después haga clic en Editar Icono Editar .

  3. En la página Conservación local, seleccione la casilla Pausar el contenido que coincida con la consulta de búsqueda en los buzones seleccionados y, a continuación, seleccione una de las opciones siguientes:

    • Retener de manera indefinida   Elija esta opción para poner los elementos devueltos por la búsqueda en retención indefinida. Los elementos retenidos se conservarán hasta que elimine la búsqueda o quite el buzón de la búsqueda.

    • Especificar el número de días para guardar los elementos relacionados con la fecha de recepción   Elija esta opción para retener los elementos durante un período concreto. La duración se calcula desde la fecha en que un elemento de buzón se recibe o se crea.

  4. Haga clic en Guardar para crear la retención local y reiniciar la búsqueda.

Volver al principio

Copiar los resultados de la búsqueda

  1. En el EAC, vaya a Administración de cumplimiento > Exhibición de documentos electrónicos y retención locales.

  2. En la vista de lista, seleccione la búsqueda de exhibición de documentos electrónicos local que ha creado en el paso 3.

  3. Haga clic en Buscar Icono Buscar y luego haga clic en Copiar los resultados de la búsqueda en la lista desplegable.

  4. En Copiar resultados de la búsqueda, seleccione una de las opciones siguientes:

    • Incluir elementos que no se pueden buscar   Active esta casilla para incluir elementos de los buzones que no se han podido buscar (por ejemplo, mensajes con datos adjuntos de tipos de archivo que Exchange Search no ha podido indexar).

    • Habilitar la desduplicación   Active esta casilla para excluir los mensajes duplicados. Solo una instancia del mensaje se copiará en el buzón de detección.

    • Habilitar registro completo   Active esta casilla para incluir un registro completo en los resultados de la búsqueda.

    • Enviarme un correo cuando se haya completado la copia   Active esta casilla para recibir una notificación por correo electrónico cuando la búsqueda se haya completado.

    • Copia los resultados en este buzón de correo de detección   Haga clic en Examinar para seleccionar el buzón de detección en el que desea que se copien los resultados de la búsqueda.

  5. Haga clic en Copiar para iniciar el proceso de copia de los resultados de la búsqueda en el buzón de detección especificado.

  6. Haga clic en Actualizar Icono Actualizar para actualizar la información sobre el estado de la copia que se muestra en el panel de detalles.

  7. Una vez que la copia esté completa, haga clic en Abrir para abrir el buzón de detección y ver los resultados de la búsqueda.

Volver al principio

Exportar los resultados de la búsqueda

  1. En el EAC, vaya a Administración de cumplimiento > Exhibición de documentos electrónicos y retención locales.

  2. En la vista de lista, seleccione la búsqueda de exhibición de documentos electrónicos local que ha creado en el paso 3 y, a continuación, haga clic en Exportar a un archivo PST.

  3. En la vista de lista, seleccione la búsqueda de exhibición de documentos electrónicos local cuyos resultados desea exportar y, luego, haga clic en Exportar a un archivo PST.

  4. En la ventana Herramienta de exportación de PST de exhibición de documentos electrónicos, haga lo siguiente:

    • Haga clic en Examinar para especificar la ubicación donde quiere descargar el archivo PST.

    • Haga clic en la casilla Habilitar desduplicación para excluir los mensajes duplicados. Solo se incluirá una instancia de cada mensaje en el archivo PST.

    • Haga clic en la casilla Incluir elementos que no se pueden buscar si desea incluir elementos de los buzones que no se han podido buscar (por ejemplo, mensajes con datos adjuntos de tipos de archivo que Exchange Search no ha podido indexar). Los elementos que no se pueden buscar se exportan a un archivo PST independiente.

  5. Haga clic en Inicio para exportar los resultados de la búsqueda a un archivo PST.

    Se mostrará una ventana con información de estado sobre el proceso de exportación.

Volver al principio

Nota: Declinación de responsabilidades de traducción automática: Este artículo se ha traducido con un sistema informático sin intervención humana. Microsoft ofrece estas traducciones automáticas para que los hablantes de otros idiomas distintos del inglés puedan disfrutar del contenido sobre los productos, los servicios y las tecnologías de Microsoft. Puesto que este artículo se ha traducido con traducción automática, es posible que contenga errores de vocabulario, sintaxis o gramática.

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×