Interroger et filtrer du contenu dans un jeu à réviser

Conseil

eDiscovery (préversion) est désormais disponible dans le nouveau portail Microsoft Purview. Pour en savoir plus sur l’utilisation de la nouvelle expérience eDiscovery, consultez En savoir plus sur eDiscovery (préversion).

Dans la plupart des cas, il est utile d’approfondir le contenu d’un ensemble de révisions et de l’organiser pour faciliter une révision plus efficace. L’utilisation de filtres et de requêtes dans un ensemble de révisions vous permet de vous concentrer sur un sous-ensemble de documents qui répondent aux critères de votre révision. Pour plus d’informations sur les conditions de recherche disponibles, consultez Requêtes par mot clé et conditions de recherche pour eDiscovery.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Filtres avancés (préversion)

En améliorant les filtres par défaut dans les versions précédentes, eDiscovery (Premium) fournit désormais des filtres avancés qui vous permettent de créer des filtres plus flexibles et avancés pour les jeux de révision. À l’instar de l’expérience du générateur de requêtes de collection, la fonctionnalité de filtrage avancée vous permet d’effectuer les opérations suivantes :

  • Recherchez rapidement les conditions de filtre.
  • Créez des filtres complexes à l’aide de conditions de sous-groupes, AND ou OR .
  • Modifiez facilement vos requêtes avec les contrôles Annuler la requête de filtre et Rétablir la requête de filtre .
  • Gérez les filtres enregistrés sans avoir à accéder à une autre zone.
  • Utilisez les conditions Est vide et N’est pas vide pour chaque filtre.

Passer en revue le filtre d’ensemble.

Importante

Un jeu de révisions affiche un maximum de 1 000 éléments par page et jusqu’à 10 pages (pour un total de 10 000 éléments affichés par jeu de révision). Utilisez des filtres par défaut ou personnalisés pour ajuster les éléments affichés en fonction des besoins. Les nombres d’éléments correspondants sont des estimations.

Contrôles de filtre avancés (préversion)

Pour créer et personnaliser le filtrage pour votre jeu de révisions, utilisez les contrôles suivants :

  • AND/OR : ces opérateurs logiques conditionnels vous permettent de sélectionner la condition de requête qui s’applique à des filtres et des sous-groupes de filtres spécifiques. Ces opérateurs vous permettent d’utiliser plusieurs filtres ou sous-groupes connectés à un seul filtre dans votre requête.
  • Sélectionner un filtre : vous permet de sélectionner des filtres pour les sources de données spécifiques et le contenu d’emplacement sélectionnés pour la collection.
  • Ajouter un filtre : vous permet d’ajouter plusieurs filtres à votre requête. Est disponible une fois que vous avez défini au moins un filtre de requête.
  • Sélectionner un opérateur : selon le filtre sélectionné, les opérateurs compatibles pour le filtre peuvent être sélectionnés. Par exemple, si le filtre Date est sélectionné, les opérateurs disponibles sont Before, After et Between. Si le filtre Taille (en octets) est sélectionné, les opérateurs disponibles sont Supérieur à, Supérieur ou égal, Inférieur à, Inférieur ou égal, Entre et Égal.
  • Valeur : Selon le filtre sélectionné, les valeurs compatibles pour le filtre sont disponibles. En outre, certains filtres prennent en charge plusieurs valeurs et certains filtres prennent en charge une valeur spécifique. Par exemple, si le filtre Date est sélectionné, sélectionnez des valeurs de date. Si le filtre Taille (en octets) est sélectionné, sélectionnez une valeur pour octets.
  • Ajouter un sous-groupe : une fois que vous avez défini un filtre, vous pouvez ajouter un sous-groupe pour affiner les résultats retournés par le filtre. Vous pouvez également ajouter un sous-groupe à un sous-groupe pour l’affinement des requêtes multicouches.
  • Supprimer une condition de filtre : pour supprimer un filtre ou un sous-groupe individuel, sélectionnez l’icône supprimer à droite de chaque ligne ou sous-groupe de filtre.
  • Effacer tout : pour effacer l’intégralité de la requête de tous les filtres et sous-groupes, sélectionnez Effacer tout.

Types de filtres

Chaque champ pouvant faire l’objet d’une recherche dans un jeu de révision a un filtre correspondant que vous pouvez utiliser pour filtrer les éléments en fonction d’un champ spécifique.

Il existe plusieurs types de filtres :

  • Texte libre : un filtre de texte libre est appliqué aux champs de texte tels que l’objet. Vous pouvez répertorier plusieurs termes de recherche en les séparant par une virgule.
  • Date : un filtre de date est utilisé pour les champs de date tels que Date de la dernière modification.
  • Options de recherche : un filtre d’options de recherche fournit une liste de valeurs possibles (chaque valeur est affichée avec une case à cocher que vous pouvez sélectionner) pour des champs particuliers dans la révision. Ce filtre est utilisé pour les champs, tels que l’expéditeur, où il existe un nombre fini de valeurs possibles dans le jeu de révision.
  • Mot clé : une condition de mot clé est une instance spécifique de condition de texte libre que vous pouvez utiliser pour rechercher des termes. Vous pouvez également utiliser un langage de requête de type KQL dans ce type de filtre. Pour plus d’informations, consultez les sections Langage de requête et Générateur de requêtes avancé dans cet article.

Enregistrer et gérer les requêtes de filtre

Une fois que vous êtes satisfait de vos filtres, vous pouvez enregistrer la combinaison de filtre en tant que requête de filtre. Cette requête de filtre enregistrée vous permet d’appliquer le filtre dans les prochaines sessions de révision.

Pour enregistrer un filtre, sélectionnez Enregistrer dans la barre de commandes Enregistrer les requêtes de filtre et nommez-le . Vous ou d’autres réviseurs pouvez exécuter des requêtes de filtre précédemment enregistrées en sélectionnant la liste déroulante Requêtes de filtre enregistrées et en sélectionnant une requête de filtre à appliquer à la révision des documents définis.

Enregistrez une requête de filtre.

Pour modifier ou supprimer une requête de filtre enregistrée, sélectionnez Requêtes de filtre enregistrées et développez les propriétés de filtre pour afficher les options Modifier et Supprimer de la requête de filtre enregistrée.

Modifier ou supprimer une requête de filtre enregistrée.

Utiliser la prise en charge du langage de requête pour les filtres KQL et mot clé

Lorsque vous utilisez les filtres KQL ou Keyword , vous pouvez utiliser un langage de requête de type KQL pour générer votre requête de recherche d’ensemble de révision. Le langage de requête pour ces deux filtres prend en charge les opérateurs booléens standard, tels que AND, OR, NOT et NEAR. Il prend également en charge un caractère générique à caractère unique ( ?) et un caractère générique à plusieurs caractères (*).

Remarque

Les filtres de révision prennent uniquement en charge les caractères génériques ( ? ou *) sur un seul terme. L’utilisation de caractères génériques dans les recherches sur des expressions composées de plusieurs termes n’est pas prise en charge.

Exemple de scénario : Filtrer les éléments non étiquetés dans un jeu de révision

Un administrateur eDiscovery doit créer une requête pour rechercher tous les éléments du jeu de révision qui n’ont pas été marqués. Pour cet exemple, l’administrateur crée la requête de filtre de jeu de révision suivante :

  1. Pour le premier filtre, l’administrateur sélectionne la balise filtre et tape dans la recherche de filtre. Le filtre Balises s’affiche sous la forme d’une option correspondante, et l’administrateur la sélectionne.
  2. L’administrateur sélectionne ensuite Sélectionner un opérateur , puis l’opérateur Est vide . Cet opérateur retourne tous les éléments auxquels aucune balise n’est appliquée.

L’ensemble de révisions est immédiatement mis à jour et seuls les éléments qui ne sont pas balisés sont affichés.

Exemple de requête pour les éléments de jeu de révision non étiquetés.

Exemple de scénario : Filtrer les éléments de type de fichier natif dans un jeu de révision

Un administrateur eDiscovery doit créer une requête pour rechercher tous les éléments du jeu de révision qui sont d’un certain type, tels que .csv, .msg ou .pdf. Pour cet exemple, l’administrateur crée la requête de filtre de jeu de révision suivante :

  1. Pour le premier filtre, l’administrateur sélectionne le filtre et tape le fichier dans la recherche de filtre. L’extension de fichier natif de filtre est l’une des options de filtre affichées dans les résultats de la recherche, et l’administrateur la sélectionne.
  2. L’administrateur sélectionne ensuite Sélectionner un opérateur et sélectionne l’opérateur Égal à n’importe quel opérateur . L’administrateur sélectionne le champ Any et sélectionne les cases à cocher pour les types de fichiers à inclure dans la requête de filtre.

Le jeu de révision est immédiatement mis à jour et seuls les éléments qui correspondent aux types de fichiers sélectionnés sont affichés.

Exemple de requête pour des types de fichiers spécifiques dans un jeu de révision.

Exemple de scénario : Filtrer les éléments partiellement indexés

Si vous avez sélectionné l’option permettant d’ajouter des éléments partiellement indexés à partir de sources de données supplémentaires lorsque vous avez commité l’estimation de la collection dans un jeu de révision. Vous voudrez probablement identifier et afficher ces éléments pour déterminer si un élément peut être pertinent pour votre investigation et si vous devez corriger l’erreur qui a entraîné l’indexation partielle de l’élément.

À l’heure actuelle, il n’existe pas d’option de filtre dans un jeu de révision pour afficher les éléments partiellement indexés. Mais nous y travaillons. En attendant, voici un moyen de filtrer et d’afficher les éléments partiellement indexés que vous avez ajoutés à un jeu de révision.

  1. Créez une collection et validez-la dans un nouveau jeu de révision sans ajouter d’éléments partiellement indexés à partir des sources de données supplémentaires.
  2. Créez une collection en copiant la collection à partir de l’étape 1.
  3. Validez la nouvelle collection dans le même jeu de révision. Mais cette fois, ajoutez les éléments partiellement indexés à partir des sources de données supplémentaires. Étant donné que les éléments de la collection que vous avez créée à l’étape 1 ont déjà été ajoutés au jeu de révision, seuls les éléments partiellement indexés de la deuxième collection sont ajoutés au jeu de révision.
  4. Une fois les deux regroupements ajoutés au jeu de révision, sélectionnez le jeu de révision, puis Charger les jeux.
  5. Copiez ou notez l’ID de chargement pour la deuxième collection (celle que vous avez créée à l’étape 2). Le nom de la collection est identifié dans la colonne Informations sources .
  6. De retour dans le jeu de révision, sélectionnez Filtrer, développez la section ID , puis cochez la case Id de chargement.
  7. Développez le filtre Id de chargement, puis cochez la case correspondant à l’ID de chargement correspondant à la deuxième collection pour afficher les éléments partiellement indexés.