Verwenden des Bedingungs-Generators zum Erstellen von Suchabfragen in eDiscovery (Vorschau)

  • Artikel

Der Bedingungs-Generator in der Suche bietet eine visuelle bedingte Filterung, wenn Sie Suchabfragen in eDiscovery (Vorschau) erstellen. Verwenden Sie den Bedingungs-Generator, um Abfragen mit Operatoren (AND, OR) zu erstellen, um Abfragen effektiver zu erstellen und zusätzlichen Platz für komplexe Schlüsselwortabfragen bereitzustellen, die erstellt und überprüft werden können.

Tipp

Beginnen Sie mit Microsoft Copilot for Security, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot for Security in Microsoft Purview.

Verwenden des Bedingungs-Generators

Verwenden Sie die folgenden Steuerelemente, um eine Abfrage und benutzerdefinierte bedingte Filterung für Ihre Suche zu erstellen:

  • AND/OR: Mit diesen bedingten logischen Operatoren können Sie die Abfragebedingung auswählen, die für bestimmte Filter und Filteruntergruppen gilt. Mit diesen Operatoren können Sie mehrere Filter oder Untergruppen verwenden, die mit einem einzelnen Filter in Ihrer Abfrage verbunden sind.
  • Bedingung hinzufügen: Ermöglicht das Hinzufügen einer Bedingung für die spezifischen Datenquellen und den Speicherort, die für die Suche ausgewählt wurden.
  • Operator auswählen: Je nach ausgewähltem Filter können die für den Filter kompatiblen Operatoren ausgewählt werden. Wenn beispielsweise der Filter Datum ausgewählt ist, sind die verfügbaren Operatoren Before, After und Between. Wenn der Filter Größe (in Bytes) ausgewählt ist, sind die verfügbaren Operatoren Größer als, Größer oder gleich, Kleiner als, Kleiner oder gleich, Zwischen und Gleich.
  • Wert: Abhängig vom ausgewählten Filter sind die für den Filter kompatiblen Werte verfügbar. Darüber hinaus unterstützen einige Filter mehrere Werte und einige Filter einen bestimmten Wert. Wenn beispielsweise der Filter Datum ausgewählt ist, wählen Sie Datumswerte aus. Wenn der Filter Größe (in Bytes) ausgewählt ist, wählen Sie einen Wert für Bytes aus.
  • Entfernen einer Filterbedingung: Um einen einzelnen Filter oder eine einzelne Untergruppe zu entfernen, wählen Sie das Symbol zum Entfernen rechts neben jeder Filterzeile oder Untergruppe aus.
  • Alle löschen: Um die gesamte Abfrage aller Filter und Untergruppen zu löschen, wählen Sie Alle löschen aus.

Richtlinien für die Verwendung von Bedingungen

Beachten Sie Folgendes bei der Verwendung von Suchbedingungen:

  • Eine Bedingung ist logisch mit der Schlüsselwortabfrage (im Schlüsselwortfeld angegeben) durch die Operatoren AND und OR verbunden. Dies bedeutet, dass Elemente sowohl die Schlüsselwortabfrage als auch die Bedingung erfüllen muss, damit sie in die Suchergebnisse aufgenommen werden.
  • Wenn Sie einer Suchabfrage zwei oder mehr eindeutige Bedingungen hinzufügen (Bedingungen, die unterschiedliche Eigenschaften angeben), werden diese Bedingungen durch die Operatoren AND und OR logisch verbunden. Das bedeutet, dass nur Elemente zurückgegeben werden, die neben der Schlüsselwortabfrage allen Bedingungen entsprechen.
  • Wenn Sie mehr als eine Bedingung für die gleiche Eigenschaft hinzufügen, werden diese Bedingungen mit dem OR-Operator logisch verknüpft. Das bedeutet, dass Elemente zurückgegeben werden, die der Schlüsselwortabfrage entsprechen und eine der Bedingungen erfüllen. Bedingungen, die sich auf die gleichen Eigenschaften beziehen, werden mit dem OR-Operator und die eindeutigen Bedingungen werden mit dem AND-Operator miteinander verknüpft.
  • Wenn Sie mehrere Werte (durch Kommas oder Semikolons getrennt) zu einer Bedingung hinzufügen, werden diese Werte mit dem OR-Operator verknüpft. Das bedeutet, es werden Elemente zurückgegeben, die einen der angegebenen Werte für die Eigenschaft in der Bedingung enthalten.
  • Jede Bedingung, die einen Operator mit der Logik Contains und Equals verwendet, gibt ähnliche Suchergebnisse für einfache Zeichenfolgensuchen zurück. Eine einfache Zeichenfolgensuche ist eine Zeichenfolge in der Bedingung, die keinen Wildcard enthält. Beispielsweise gibt eine Bedingung, die Equals any von verwendet, die gleichen Elemente wie eine Bedingung zurück, die Contains any von verwendet.
  • Die Suchabfrage, die mithilfe des Felds und der Bedingungen für Schlüsselwörter erstellt wird, wird auf der Seite Suchen im Detailbereich für die ausgewählte Suche angezeigt. In einer Abfrage gibt alles rechts neben der Notation (c:c) Bedingungen an, die der Abfrage hinzugefügt werden. (c:c) sollte nicht in manuell eingegebenen Abfragen verwendet werden und ist nicht gleich AND oder OR.
  • Bedingungen fügen der Suchabfrage nur Eigenschaften hinzu. Sie fügen keine Operatoren hinzu. Aus diesem Grund zeigt die im Detailbereich angezeigte Abfrage keine Operatoren rechts neben der (c:c) Notation an. KQL fügt die logischen Operatoren (entsprechend den bereits erläuterten Regeln) beim Ausführen der Abfrage hinzu.
  • Sie können das Drag-and-Drop-Steuerelement verwenden, um die Reihenfolge der Bedingungen zu ändern. Wählen Sie das Steuerelement für eine Bedingung aus, und verschieben Sie es nach oben oder unten.
  • Bei einigen Bedingungseigenschaften können Sie mehrere Werte eingeben (durch Semikolons getrennt). Jeder Wert ist durch den OR-Operator logisch verbunden und führt zu der Abfrage (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). Die folgende Abbildung zeigt ein Beispiel für eine Bedingung mit mehreren Werten.

Szenariobeispiel

Der eDiscovery-Administrator muss eine Abfrage erstellen, um E-Mails zu finden, die zwischen dem 9. Februar 2023 und dem 9. März 2023 an Adam Eham, Adele Vance oder Aditya Dash gesendet wurden und die die Schlüsselwörter Compliance und Audit enthalten. In diesem Beispiel erstellt der Administrator die folgende Abfrage mithilfe des neuen Abfrage-Generators:

  1. Für den ersten Filter wählt der Administrator Absender aus, wählt dann den Operator Gleich any von und dann Aimee Miller aus der Liste der Benutzer aus, die im Steuerelement Wert verfügbar sind.
  2. Als Nächstes wählt der Administrator Untergruppe hinzufügen und den Operator OR aus, um die anderen Benutzer zu definieren, an die Aimee möglicherweise eine E-Mail zur Konformitätsüberwachung gesendet hat.
  3. In der Untergruppe wählt der Administrator den Filter An , den Operator Gleich jedem von und den Wert (Benutzer) für jeden der anderen Benutzer aus, an die Aimee möglicherweise eine E-Mail zur Konformitätsüberwachung gesendet hat. In diesem Beispiel erstellt der Administrator einen Filter in der Untergruppe für Adam Eham, Adele Vance und Aditya Dash.
  4. Um den Datumsbereich zu definieren, wählt der Administrator Filter hinzufügen aus und wählt den Filter Datum , den Operator Zwischen sowie Start- und Enddaten für den Wert aus.
  5. Schließlich wählt der Administrator den Schlüsselwortlistenfilter , den Gleichheitsoperator und compliance, audit als Schlüsselwort Wert aus.

Beispiel für den Abfrage-Generator.

Verwenden von Suchbedingungen

Sie können einer Suchabfrage Bedingungen hinzufügen, um eine Suche einzugrenzen und einen optimierteren Satz von Ergebnissen zurückzugeben. Jede Bedingung fügt eine Klausel zu der KQL-Suchabfrage hinzu, die beim Starten der Suche erstellt und ausgeführt wird.

Sonderzeichen

Einige Sonderzeichen sind nicht im Suchindex enthalten und daher nicht durchsuchbar. Dies schließt auch die Sonderzeichen ein, die Suchoperatoren in der Suchabfrage darstellen. Hier finden Sie eine Liste von Sonderzeichen, die entweder durch ein Leerzeichen in der tatsächlichen Suchabfrage ersetzt werden oder einen Suchfehler verursachen.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Bedingungen für allgemeine Eigenschaften

Erstellen Sie eine Bedingung mit allgemeinen Eigenschaften, wenn Sie Postfächer und Websites in derselben Suche durchsuchen. In der folgenden Tabelle sind die verfügbaren Eigenschaften aufgeführt, die beim Hinzufügen einer Bedingung verwendet werden sollen.

Bedingung Beschreibung
Datum Bei E-Mails das Datum, an dem eine Nachricht erstellt oder aus einer PST-Datei importiert wurde. Bei Dokumenten das Datum, an dem ein Dokument zuletzt geändert wurde.

Wenn Sie für einen bestimmten Zeitraum nach E-Mail-Nachrichten suchen, sollten Sie die Bedingungen Empfangene Nachricht und Gesendet verwenden, wenn Sie nicht sicher sind, ob die E-Mail-Nachrichten importiert wurden, anstatt in Exchange nativ erstellt zu werden.
Bezeichner Bei E-Mail die ID für eine bestimmte Nachricht. Nachrichten-IDs sind in den Überwachungsdatensatz, DLP-Warnungen (Data Loss Prevention, Verhinderung von Datenverlust) oder Überprüfungssatzmetadaten enthalten und ermöglichen es Ihnen, eine bestimmte Suche nach einer einzelnen Nachricht zu erstellen.

Bei Microsoft Teams-Nachrichten die ID des Chats oder der Reaktion. Die ChatThreadID ist in den Überwachungsdatensatz, DLP-Warnungen (Data Loss Prevention, Verhinderung von Datenverlust) oder Überprüfungssatzmetadaten enthalten und ermöglicht es Ihnen, eine bestimmte Suche für einen einzelnen Chat oder eine einzelne Reaktion zu erstellen.
Absender/Autor Bei E-Mails: Die Person, die eine Nachricht gesendet hat. Bei Dokumenten die im Feld "Autor" angegebene Person aus Office-Dokumenten. Sie können mehrere Namen eingeben, getrennt durch Kommas. Zwei oder mehr Werte werden durch den OR-Operator logisch verbunden.
(Siehe Empfängererweiterung)
Größe (in Bytes) Sowohl bei E-Mails als auch bei Dokumenten die Größe des Elements (in Bytes).
Betreff/Titel Bei E-Mails: Der Text in der Betreffzeile einer Nachricht. Bei Dokumenten der Titel des Dokuments. Die Title-Eigenschaft sind Metadaten, die in Microsoft Office-Dokumenten angegeben sind. Sie können den Namen mehrerer Betreff-/Titelwerte durch Kommas getrennt eingeben. Zwei oder mehr Werte werden durch den OR-Operator logisch verbunden.

Hinweis: Schließen Sie den Werten für diese Bedingung keine doppelten Anführungszeichen ein, da bei Verwendung dieser Suchbedingung automatisch Anführungszeichen hinzugefügt werden. Wenn Sie dem Wert Anführungszeichen hinzufügen, werden dem Bedingungswert zwei Paare doppelter Anführungszeichen hinzugefügt, und die Suchabfrage gibt einen Fehler zurück.
Aufbewahrungsbezeichnung Sowohl für E-Mails als auch für Dokumente werden Aufbewahrungsbezeichnungen auf Nachrichten und Dokumente angewendet. Aufbewahrungsbezeichnungen können verwendet werden, um Datensätze zu deklarieren und Ihnen bei der Verwaltung des Datenlebenszyklus von Inhalten zu helfen, indem Aufbewahrungs- und Löschregeln erzwungen werden, die durch die Bezeichnung angegeben werden. Weitere Informationen zu Aufbewahrungsbezeichnungen finden Sie unter Informationen zu Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen.
Vertraulicher Informationstyp (SIT) Sowohl für E-Mails als auch für Dokumente sind in Nachrichten und Dokumenten enthaltene Typen vertraulicher Informationen enthalten. SITs sind musterbasierte Klassifizierer und erkennen vertrauliche Informationen wie Sozialversicherungs-, Kreditkarten- oder Bankkontonummern, um vertrauliche Elemente zu identifizieren. Weitere Informationen zu SITs finden Sie unter Informationen zu typen vertraulicher Informationen.
Vertraulichkeitsbezeichnung Sowohl für E-Mails als auch für Dokumente werden Vertraulichkeitsbezeichnungen auf Nachrichten und Dokumente angewendet. Mit Vertraulichkeitsbezeichnungen können Sie die Daten Ihrer Organisation klassifizieren und schützen und gleichzeitig sicherstellen, dass die Produktivität der Benutzer und ihre Fähigkeit zur Zusammenarbeit nicht beeinträchtigt werden. Weitere Informationen zu Vertraulichkeitsbezeichnungen finden Sie unter Informationen zu Vertraulichkeitsbezeichnungen.

Bedingungen für E-Mail-Eigenschaften

Erstellen Sie eine Bedingung mithilfe von E-Mail-Eigenschaften beim Durchsuchen von Postfächern oder öffentlichen Ordnern in Exchange Online. In der folgenden Tabelle sind die E-Mail-Eigenschaften aufgeführt, die Sie für eine Bedingung verwenden können. Diese Eigenschaften sind eine Teilmenge der zuvor beschriebenen E-Mail-Eigenschaften. Diese Beschreibungen werden zur Vereinfachung wiederholt.

Bedingung Beschreibung
Nachrichtenart Der Nachrichtentyp, nach dem gesucht wird. Dies ist die gleiche Eigenschaft wie die E-Mail-Eigenschaft „Art“. Mögliche Werte:
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Teilnehmer Alle Personenfelder in einer E-Mail-Nachricht. Diese Felder sind From, To, Cc und Bcc. (Siehe Empfängererweiterung)
Typ Die Nachrichtenklasseneigenschaft für ein E-Mail-Element. Dies ist dieselbe Eigenschaft wie die ItemClass-E-Mail-Eigenschaft. Es handelt sich auch um eine mehrwertige Bedingung. Wenn Sie also mehrere Nachrichtenklassen auswählen möchten, halten Sie die STRG-TASTE gedrückt, und wählen Sie dann zwei oder mehr Nachrichtenklassen in der Dropdownliste aus, die Sie der Bedingung hinzufügen möchten. Jede Nachrichtenklasse, die Sie in der Liste auswählen, ist durch den OR-Operator in der entsprechenden Suchabfrage logisch verbunden.

Eine Liste der Nachrichtenklassen (und deren entsprechende Nachrichtenklassen-ID), die von Exchange verwendet werden und die Sie in der Nachrichtenklassenliste auswählen können, finden Sie unter Elementtypen und Nachrichtenklassen.
Auszahlung Das Datum, an dem eine E-Mail-Nachricht von einem Empfänger empfangen wurde. Dies ist die gleiche Eigenschaft wie die E-Mail-Eigenschaft „Empfangen“.
Empfänger Alle Empfängerfelder in einer E-Mail-Nachricht. Diese Felder sind An, Cc und Bcc. (Siehe Empfängererweiterung)
Absender Der Absender einer E-Mail-Nachricht.
Gesendet Das Datum, an dem eine E-Mail vom Absender gesendet wurde. Dies ist die gleiche Eigenschaft wie die E-Mail-Eigenschaft „Gesendet“.
Betreff Der Text in der Betreffzeile einer E-Mail.

Hinweis: Schließen Sie den Werten für diese Bedingung keine doppelten Anführungszeichen ein, da bei Verwendung dieser Suchbedingung automatisch Anführungszeichen hinzugefügt werden. Wenn Sie dem Wert Anführungszeichen hinzufügen, werden dem Bedingungswert zwei Paare doppelter Anführungszeichen hinzugefügt, und die Suchabfrage gibt einen Fehler zurück.
An Der Empfänger einer E-Mail-Nachricht im Feld An.

Bedingungen für Dokumenteigenschaften

Erstellen Sie eine Bedingung mithilfe von Dokumenteigenschaften, wenn Sie auf SharePoint- und OneDrive-Websites nach Dokumenten suchen. In der folgenden Tabelle sind die Dokumenteigenschaften aufgeführt, die Sie für eine Bedingung verwenden können. Diese Eigenschaften sind eine Teilmenge der zuvor beschriebenen Standorteigenschaften. Diese Beschreibungen werden zur Vereinfachung wiederholt.

Bedingung Beschreibung
Ursprung Das Feld autor aus Office-Dokumenten, das beibehalten wird, wenn ein Dokument kopiert wird. Wenn ein Benutzer beispielsweise ein Dokument erstellt und es per E-Mail an eine andere Person sendet, die es dann in SharePoint hochlädt, behält das Dokument weiterhin den ursprünglichen Autor bei.
Position Der Titel des Dokuments. Die Title-Eigenschaft sind Metadaten, die in Office-Dokumenten angegeben sind. Er unterscheidet sich vom Dateinamen des Dokuments.
Erstellt Das Datum, an dem ein Dokument erstellt wird.
Zuletzt geändert Das Datum, an dem ein Dokument zuletzt geändert wurde.
Dateityp Die Erweiterung einer Datei; z. B. docx, one, pptx oder xlsx. Dies ist dieselbe Eigenschaft wie die FileExtension-Websiteeigenschaft.

Anmerkung: Wenn Sie eine Dateitypbedingung mit dem Operator Equals oder Equals any von in eine Suchabfrage einschließen, können Sie keine Präfixsuche (durch Einschließen des Wildcardzeichens ( * ) am Ende des Dateityps) verwenden, um alle Versionen eines Dateityps zurückzugeben. Wenn Sie dies tun, wird der Wildcard ignoriert. Wenn Sie beispielsweise die Bedingung Equals any of doc*einschließen, werden nur Dateien mit der Erweiterung zurückgegeben .doc . Dateien mit der Erweiterung werden .docx nicht zurückgegeben. Um alle Versionen eines Dateityps zurückzugeben, wurde das Paar property:value in einer Schlüsselwortabfrage verwendet. Beispiel: filetype:doc*.

Mit Bedingungen verwendete Operatoren

Beim Hinzufügen einer Bedingung können Sie einen Operator auswählen, der für den Typ der Eigenschaft für die Bedingung relevant ist. Die folgende Tabelle enthält die mit Bedingungen verwendeten Operatoren und die dazugehörigen Entsprechungen, die in der Suchabfrage verwendet werden.

Operator Entsprechung in der Abfrage Beschreibung
Nach property>date Wird mit Datumsbedingungen verwendet. Gibt die Elemente zurück, die nach dem angegebenen Datum gesendet, empfangen oder geändert wurden.
Vor property<date Wird mit Datumsbedingungen verwendet. Gibt die Elemente zurück, die vor dem angegebenen Datum gesendet, empfangen oder geändert wurden.
Between date..date Wird mit Datums- und Größenbedingungen verwendet. Bei Verwendung mit einer Datumsbedingung werden Elemente zurückgegeben, die innerhalb des angegebenen Datumsbereichs gesendet, empfangen oder geändert wurden. Bei Verwendung mit einer Größenbedingung werden Elemente zurückgegeben, deren Größe innerhalb des angegebenen Bereichs liegt.
Contains any of (property:value) OR (property:value) Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die mindestens einen Teil der angegebenen Zeichenfolgenwerte enthalten.
Doesn't contain any of -property:value

NOT property:value

 Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die keinen Teil des angegebenen Zeichenfolgenwerts enthalten.
Doesn't equal any of -property=value

NOT property=value

 Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die die angegebene Zeichenfolge nicht enthalten.
Gleich size=value Gibt Elemente zurück, die der angegebenen Größe entsprechen. 1
Equals any of (property=value) OR (property=value) Wird mit Bedingungen für Eigenschaften verwendet, die einen Zeichenfolgenwert angeben. Gibt Elemente zurück, die eine Übereinstimmung mit einem oder mehreren angegebenen Zeichenfolgenwerten sind.
Größer size>value Gibt Elemente zurück, bei denen die angegebene Eigenschaft größer als der angegebene Wert ist. 1
Greater or equal size>=value Gibt Elemente zurück, bei denen die angegebene Eigenschaft größer oder gleich dem angegebenen Wert ist. 1
Weniger size<value Gibt Elemente zurück, die größer oder gleich dem spezifischen Wert sind. 1
Less or equal size<=value Gibt Elemente zurück, die größer oder gleich dem spezifischen Wert sind. 1
Not equal size<>value Gibt Elemente zurück, die nicht der angegebenen Größe entsprechen. 1

Hinweis

1 Dieser Operator ist nur für Bedingungen verfügbar, die die Size-Eigenschaft verwenden.