Поиск содержимого при обнаружении электронных данных

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Функция поиск содержимого в Office 365 Центр безопасности и соответствия требованиям позволяет найти все почтовые ящики в вашей организации. В отличие от обнаружения электронных данных на месте в Exchange Online (где можно найти размером до 10 000 почтовых ящиков) не предусмотрено ограничений для числа целевой почтовых ящиков в одной операции поиска. Для сценариев, в которых необходимо выполнить поиск по всей организации можно использовать для поиска всех почтовых ящиков поиск контента. Затем можно использовать возможности рабочего процесса обнаружения электронных данных на месте для выполнения других задач, связанных с eDiscovery, например, причем почтовых ящиков на удержание и экспорт результатов. Например предположим, что вам нужно найти все почтовые ящики для идентификации конкретных custodians, которые являются реагировать на юридическое обращения. Поиск содержимого в Центр безопасности и соответствия требованиям можно использовать для поиска всех почтовых ящиков в организации, чтобы определить те, которые являются реагировать на регистр. Затем можно использовать этого списка почтовых ящиков custodian как исходные почтовые ящики для поиска в личный eDiscovery в Exchange Online. С помощью месте eDiscovery позволяет вам включить удержание их исходные почтовые ящики, копирование результатов поиска для почтового ящика обнаружения и экспорт результатов поиска.

В этой статье описан сценарий, с помощью которого можно создать запрос на обнаружение электронных данных на месте в Exchange Online на основе списка почтовых ящиков и поискового запроса, созданного в Центре безопасности и соответствия требованиям. Этот процесс состоит из перечисленных ниже этапов.

Шаг 1. Создание запроса в разделе "Поиск контента" для поиска сведений во всех почтовых ящиках организации.

Шаг 2. Подключение к Центру безопасности и соответствия требованиям и Exchange Online в рамках одного удаленного сеанса PowerShell.

Шаг 3. Запуск сценария для создания запроса на обнаружение электронных данных на месте среди результатов поиска контента.

Шаг 4. Запуск запроса на обнаружение электронных данных на месте.

Дальнейшие действия после создания и запуска запроса на обнаружение электронных данных на месте.

Шаг 1. Создание запроса в разделе "Поиск контента" для поиска сведений во всех почтовых ящиках организации

В первую очередь необходимо зайти в Центр безопасности и соответствия требованиям (или воспользоваться оболочкой Windows PowerShell), чтобы создать запрос на поиск контента во всех почтовых ящиках организации. Количество охватываемых запросом почтовых ящиков при этом не ограничено. В запросе следует указать ключевые слова (или типы конфиденциальной информации), чтобы в результатах отобразились только нужные почтовые ящики. Чем точнее выбраны ключевые слова, тем полезнее будет результат.

Примечание : Если поиск контента закончится безрезультатно, при запуске сценария на шаге 3 не будет создан запрос на обнаружение электронных данных на месте. В этом случае вам может потребоваться изменить запрос и выполнить поиск заново.

Поиск всех почтовых ящиков с помощью Центр безопасности и соответствия требованиям

  1. Откройте Центр безопасности и соответствия требованиям Office 365.

  2. Выберите пункт Поиск и исследования, а затем перейдите в раздел Поиск контента и нажмите кнопку Создать Добавить значок .

  3. На странице Новый поиск введите имя запроса.

  4. В разделе Где нужно искать? установите переключатель Поиск по всем почтовым ящикам, а затем нажмите кнопку Далее.

  5. В поле Что вы ищете? введите текст для запроса. Вы можете указать ключевые слова или свойства сообщений, например даты отправки и получения, или свойства документов, например имена файлов или дату последнего изменения. В Центре безопасности и соответствия требованиям можно создавать более сложные запросы с логическими операторами, такими как AND, OR, NOT и NEAR, или искать в сообщениях конфиденциальную информацию (например, номера социального страхования). Дополнительные сведения о создании поисковых запросов см. в статье Запросы с ключевыми словами для поиска контента.

  6. Нажмите кнопку Поиск, чтобы сохранить параметры поиска и начать процесс.

    Через некоторое время в области сведений отобразится информация о результатах. Будут указаны общий размер и количество найденных элементов. По завершении поиска вы можете просмотреть результаты. Чтобы данные в области сведений обновились, щелкните значок Обновить Значок "Обновить" .

  7. При необходимости вы можете изменить ключевые слова, чтобы добиться более точных результатов.

Поиск всех почтовых ящиков с помощью Windows PowerShell

Для поиска сведений во всех почтовых ящиках организации также можно воспользоваться командлетом New-ComplianceSearch. Для этого сначала следует подключиться к Центру безопасности и соответствия требованиям Office 365 с помощью удаленной командной оболочки PowerShell.

Ниже приведен пример использования оболочки Windows PowerShell для поиска сведений во всех почтовых ящиках организации. Поисковый запрос возвращает все сообщения, отправленные с 1 января по 30 июня 2015 года и содержащие словосочетание "финансовый отчет" в строке темы. С помощью первой команды запрос создается, а с помощью второй — запускается.

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'
Start-ComplianceSearch -Identity "Search All-Financial Report"

Дополнительные сведения см. в статье New-ComplianceSearch.

К началу

Проверка числа почтовых ящиков, найденных с помощью функции "Поиск контента"

Максимальное число почтовых ящиков с результатами запроса, возвращаемых функцией "Поиск контента", составляет 1000. Если содержимое, соответствующее созданному на предыдущем шаге поисковому запросу, было найдено в более чем 1000 почтовых ящиков, в результатах отобразятся только первые 1000 ящиков с максимальным количеством совпадений. Таким образом, если результаты запроса содержатся в более чем 1000 почтовых ящиков, некоторые из этих ящиков не будут включены в список, копируемый в новый запрос на обнаружение электронных данных на месте, который создается на шаге 3.

Чтобы избежать этого, вы можете воспользоваться сценарием, при котором отображается число почтовых ящиков, возвращенных созданным на шаге 1 запросом. Для этого выполните указанные ниже действия.

  1. Сохраните приведенный ниже текст в файл сценария Windows PowerShell с расширением PS1. Например, можно создать файл SourceMailboxes.ps1.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True,Position=1)]
        [string]$SearchName
    )
    
    $search = Get-ComplianceSearch $SearchName
    if ($search.Status -ne "Completed")
    {
                    "Please wait until the search finishes.";
                    break;
    }
    
    $results = $search.SuccessResults;
    if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
    {
                    "The Content Search " + $SearchName + " didn't return any useful results.";
                    break;
    }
    
    $mailboxes = @();
    $lines = $results -split '[\r\n]+';
    foreach ($line in $lines)
    {
        if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
        {
            $mailboxes += $matches[1];
        }
    }
    
    "Number of mailboxes that have search hits: " + $mailboxes.Count
  2. В сеансе Windows PowerShell, подключенном к Центру безопасности и соответствия требованиям, перейдите в папку с созданным на предыдущем этапе сценарием, а затем запустите его. Пример:

    .\SourceMailboxes.ps1
  3. Когда будет предложено, введите имя запроса на поиск контента, созданного на шаге 1.

    Отобразится число почтовых ящиков, удовлетворяющих критериям поиска.

Если найдено более 1000 почтовых ящиков, попробуйте создать несколько запросов (два или более). Например, в первой половине почтовых ящиков организации вы можете выполнить поиск с помощью одного запроса, а во второй — с помощью другого. Вы также можете изменить критерии поиска, чтобы уменьшить число найденных ящиков (например, указать ограничение по дате или изменить ключевые слова).

К началу

Шаг 2: Подключение к Центр безопасности и соответствия требованиям и Exchange Online в течение одного удаленного сеанса PowerShell

Теперь следует подключить оболочку Windows PowerShell к Центру безопасности и соответствия требованиям, а также к службе Exchange Online организации. Это требуется для того, чтобы у запускаемого на шаге 3 сценария был доступ как к командлетам поиска контента в Центре безопасности и соответствия требованиям, так и к командлетам обнаружения электронных данных на месте в Exchange Online.

  1. Сохраните приведенный ниже текст в файл сценария Windows PowerShell с расширением PS1. Например, можно создать файл ConnectEXO-CC.ps1.

    $UserCredential = Get-Credential
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -DisableNameChecking
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -AllowClobber -DisableNameChecking
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Compliance Center)"
  2. На локальном компьютере откройте Windows PowerShell, а затем — папку с созданным на предыдущем шаге сценарием. Запустите этот сценарий. Пример:

    .\ConnectEXO-CC.ps1

Как убедиться, что все получилось? После запуска сценария командлеты из Центра безопасности и соответствия требованиям и Exchange Online будут импортированы в ваш локальный сеанс Windows PowerShell. Если нет сообщения об ошибке, это означает, что подключение успешно установлено. Для проверки вы можете запустить командлет Центра безопасности и соответствия требованиям, например Install-UnifiedCompliancePrerequisite, а также командлет Exchange Online, например Get-Mailbox.

К началу

Шаг 3. Запуск сценария для создания запроса на обнаружение электронных данных на месте среди результатов поиска контента

После создания двойного сеанса Windows PowerShell на шаге 2 следует запустить сценарий, который преобразует результаты запроса на поиск контента в запрос на обнаружение электронных данных на месте. Этот сценарий будет выполнять следующие действия:

  • запрашивать имя преобразуемого запроса на поиск контента;

  • проверять, завершен ли поиск контента с помощью соответствующего запроса (если поиск закончится безрезультатно, запрос на обнаружение электронных данных на месте не будет создан);

  • сохранять в переменную список почтовых ящиков, в которых обнаружены результаты, соответствующие запросу на поиск контента;

  • создавать новый запрос на обнаружение электронных данных на месте с указанными ниже параметрами (обратите внимание, что новый запрос запускается только на шаге 4).

    • Имя   . Имя нового запроса в следующем формате: <имя запроса на поиск контента>_MBSearch1. Если повторно запустить сценарий и использовать в качестве исходного тот же запрос на поиск контента, новый запрос получит название <имя запроса на поиск контента>_MBSearch2.

    • Исходные почтовые ящики   . Все почтовые ящики, в которых были обнаружены результаты, соответствующие запросу на поиск контента.

    • Поисковый запрос   . Для нового запроса будут использованы результаты запроса на поиск контента. Если результатам запроса удовлетворяет все содержимое (т. е. запрос пустой), новый запрос также будет пустым, т. е. будет возвращать все данные, найденные в исходных почтовых ящиках.

    • Запрос только для оценки   . Новый заброс будет предназначен только для оценки предыдущих результатов. После его запуска письма не будут копироваться в почтовый ящик найденных сообщений.

  1. Сохраните приведенный ниже текст в файл сценария Windows PowerShell с расширением PS1. Например, можно создать файл CreateMBSearchFromComplianceSearch.ps1.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True,Position=1)]
        [string]$SearchName,
    
        [switch]$original,
    
        [switch]$restoreOriginal
    )
    
    $search = Get-ComplianceSearch $SearchName
    if ($search.Status -ne "Completed")
    {
    	"Please wait until the search finishes";
    	break;
    }
    
    $results = $search.SuccessResults;
    if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
    {
    	"The Content Search " + $SearchName + " didn't return any useful results";
    	"A mailbox search object wasn't created";
    	break;
    }
    
    $mailboxes = @();
    $lines = $results -split '[\r\n]+';
    foreach ($line in $lines)
    {
        if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
        {
            $mailboxes += $matches[1];
        }
    }
    
    $msPrefix = $SearchName + "_MBSearch";
    $I = 1;
    $mbSearches = Get-MailboxSearch;
    while ($true)
    {
        $found = $false;
        $mbsName = "$msPrefix$I";
        foreach ($mbs in $mbSearches)
        {
            if ($mbs.Name -eq $mbsName)
            {
                $found = $true;
                break;
            }
        }
    
        if (!$found)
        {
            break;
        }
    
        $I++;
    }
    
    $query = $search.KeywordQuery;
    if ([string]::IsNullOrWhiteSpace($query))
    {
        $query = $search.ContentMatchQuery;
    }
    
    if ([string]::IsNullOrWhiteSpace($query))
    {
    	New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
    }
    else
    {
    	New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
    }
    
  2. В начатом на шаге 2 сеансе Windows PowerShell откройте папку с созданным на предыдущем этапе сценарием, а затем запустите этот сценарий. Пример:

    .\CreateMBSearchFromComplianceSearch.ps1

  3. Когда будет предложено, введите имя запроса на поиск контента, результаты которого требуется преобразовать в запрос на обнаружение электронных данных на месте (например, имя запроса, созданного на шаге 1). После этого нажмите клавишу ВВОД.

    В случае успеха будет создан новый запрос на обнаружение электронных данных на месте со статусом NotStarted. Чтобы посмотреть параметры нового запроса, выполните команду Get-MailboxSearch <Name of Content Search>_MBSearch1 | FL.

К началу

Шаг 4. Запуск запроса на обнаружение электронных данных на месте

Созданный на шаге 3 сценарий создает новый запрос на обнаружение электронных данных на месте, но не запускает его. Теперь вам потребуется начать новый поиск, чтобы оценить результаты.

  1. В Центр администрирования Exchange (EAC), перейдите на страницу управления соответствия > удержания и eDiscovery на месте.

  2. В списке выберите запрос, созданный на шаге 3.

  3. Щелкните значок Поиск Значок "Поиск" и выберите команду Оценить результаты поиска, чтобы запустить поиск и получить общий размер и число найденных элементов.

    Эти данные отобразятся в области сведений. Чтобы данные в области сведений обновились, щелкните значок Обновить Значок "Обновить" .

  4. Для предварительного просмотра результатов после завершения поиска выберите команду Предварительный просмотр результатов поиска    в области сведений.

К началу

Дальнейшие действия после создания и запуска запроса на обнаружение электронных данных на месте

После запуска запроса, созданного с помощью сценария на шаге 3, вы можете воспользоваться стандартными функциями обнаружения электронных данных на месте для дальнейшей обработки результатов поиска.

Хранение на месте

  1. В Центре администрирования Exchange выберите Управление соответствием требованиям > Обнаружение электронных данных и хранение на месте.

  2. В списке выберите запрос, созданный на шаге 3, а затем щелкните значок Изменить Значок ''Изменить'' .

  3. В разделе хранение на месте установите флажок Поместить содержимое, соответствующее поисковому запросу в выбранных источниках, на удержание, а затем выберите один из указанных ниже вариантов.

    • Хранить неопределенное время. Найденные элементы будут храниться, пока вы не удалите соответствующие почтовые ящики из запроса или сам запрос.

    • Указать время хранения элементов (в днях) исходя из даты их получения. Хранение элементов в течение определенного срока, задаваемого относительно даты получения или создания элемента почтового ящика.

  4. Нажмите кнопку Сохранить, чтобы начать хранение на месте и перезапустить поиск.

К началу

Копирование результатов поиска

  1. В Центре администрирования Exchange выберите Управление соответствием требованиям > Обнаружение электронных данных и хранение на месте.

  2. В списке выберите запрос, созданный на шаге 3.

  3. Нажмите кнопку Поиск Значок "Поиск" и выберите в раскрывающемся списке команду Копировать результаты поиска.

  4. В окне Копировать результаты поиска выберите один из перечисленных ниже вариантов.

    • Включить элементы, не включаемые в поиск. Установите этот флажок, чтобы включить в результаты элементы почтовых ящиков, на которые поиск не распространялся (например, сообщения с вложенными файлами, индексирование которых оказалось невозможно в Exchange).

    • Включить дедупликацию. Установите этот флажок, чтобы исключить из результатов дублирующиеся сообщения. В этом случае такие письма будут скопированы в почтовый ящик найденных сообщений только в одном экземпляре.

    • Включить ведение полного журнала. Установите этот флажок, чтобы добавить в результаты поиска полный журнал.

    • Отправить мне сообщение по окончании копирования. Установите этот флажок, чтобы получить на свой почтовый адрес уведомление об окончании поиска.

    • Копировать результаты в почтовый ящик найденных сообщений. Нажмите кнопку Обзор, чтобы выбрать почтовый ящик найденных сообщений, в который хотите скопировать результаты поиска.

  5. Нажмите кнопку Копировать, чтобы начать копирование результатов поиска в указанный почтовый ящик найденных сообщений.

  6. Нажмите кнопку Обновить Значок "Обновить" , чтобы обновить информацию о состоянии копирования в области сведений.

  7. Когда копирование завершится, нажмите кнопку Открыть, чтобы перейти в почтовый ящик найденных сообщений и просмотреть результаты поиска.

К началу

Экспорт результатов поиска

  1. В Центре администрирования Exchange выберите Управление соответствием требованиям > Обнаружение электронных данных и хранение на месте.

  2. В списке щелкните запрос, созданный на шаге 3, а затем выберите команду Экспортировать в PST-файл.

  3. Щелкните запрос на обнаружение электронных данных на месте, результаты которого хотите экспортировать, а затем выберите команду Экспортировать в PST-файл.

  4. В окне Средства экспорта PST eDiscovery выполните указанные ниже действия.

    • Нажмите кнопку Обзор, чтобы выбрать расположение для экспортируемого PST-файла.

    • Установите флажок Включить дедупликацию, чтобы исключить дублирующиеся сообщения. Такие письма будут включены в PST-файл только в одном экземпляре.

    • Установите флажок Включить элементы, не включаемые в поиск, чтобы включить в результаты элементы почтовых ящиков, на которые поиск не распространялся (например, сообщения с вложенными файлами, индексирование которых оказалось невозможно в Exchange). После этого в отдельный PST-файл будут экспортированы элементы, поиск которых был невозможен.

  5. Нажмите кнопку Начать, чтобы экспортировать результаты поиска в PST-файл.

    Появится окно с информацией о состоянии экспорта.

К началу

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×