Freigeben über

Durchsuchen von Inhalten in einem Überprüfungssatz in eDiscovery (Vorschau)

  • Artikel

In den meisten Fällen ist es hilfreich, den Inhalt eines Überprüfungssatzes genauer zu untersuchen und zu organisieren, um eine effizientere Überprüfung zu ermöglichen. Mithilfe von Filtern und Abfragen in einem Überprüfungssatz können Sie sich auf eine Teilmenge von Dokumenten konzentrieren, die die Kriterien Ihrer Überprüfung erfüllen. Weitere Informationen zu verfügbaren Suchbedingungen finden Sie unter Verwenden des Bedingungs-Generators zum Erstellen von Suchabfragen in eDiscovery (Vorschau).

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Erweiterte Filter (Vorschau)

eDiscovery (Vorschau) verbessert die Standardfilter in früheren Versionen und bietet erweiterte Filter, mit denen Sie flexiblere und erweiterte Filter für Review-Sätze erstellen können. Die erweiterte Filterung ermöglicht Folgendes:

  • Suchen Sie schnell nach Filterbedingungen.
  • Erstellen Sie komplexe Filter mithilfe von Untergruppen, AND- oder OR-Bedingungen .
  • Ändern Sie Ihre Abfragen ganz einfach mit den Steuerelementen "Filterabfrage rückgängig " und "Redo filter query ".
  • Verwalten Sie gespeicherte Filter, ohne zu einem anderen Bereich navigieren zu müssen.
  • Verwenden Sie die Bedingungen Ist leer und Ist nicht leer für jeden Filter.

Wichtig

Ein Überprüfungssatz zeigt maximal 1.000 Elemente pro Seite und bis zu 10 Seiten an (für insgesamt 10.000 Elemente, die pro Reviewsatz angezeigt werden). Verwenden Sie Standardfilter oder benutzerdefinierte Filter, um die angezeigten Elemente nach Bedarf anzupassen. Übereinstimmend sind Die Anzahl der elemente sind Schätzungen.

Erweiterte Filtersteuerelemente (Vorschau)

Verwenden Sie die folgenden Steuerelemente, um eine benutzerdefinierte Filterung für Ihren Überprüfungssatz zu erstellen:

  • AND/OR: Mit diesen bedingten logischen Operatoren können Sie die Abfragebedingung auswählen, die für bestimmte Filter und Filteruntergruppen gilt. Mit diesen Operatoren können Sie mehrere Filter oder Untergruppen verwenden, die mit einem einzelnen Filter in Ihrer Abfrage verbunden sind.
  • Filter auswählen: Hiermit können Sie Filter für die spezifischen Datenquellen und standortbezogenen Inhalte auswählen, die für die Suche ausgewählt wurden.
  • Filter hinzufügen: Ermöglicht das Hinzufügen mehrerer Filter zu Ihrer Abfrage. Ist verfügbar, nachdem Sie mindestens einen Abfragefilter definiert haben.
  • Operator auswählen: Je nach ausgewähltem Filter können die für den Filter kompatiblen Operatoren ausgewählt werden. Wenn beispielsweise der Filter Datum ausgewählt ist, sind die verfügbaren Operatoren Before, After und Between. Wenn der Filter Größe (in Bytes) ausgewählt ist, sind die verfügbaren Operatoren Größer als, Größer oder gleich, Kleiner als, Kleiner oder gleich, Zwischen und Gleich.
  • Wert: Abhängig vom ausgewählten Filter sind die für den Filter kompatiblen Werte verfügbar. Darüber hinaus unterstützen einige Filter mehrere Werte und einige Filter einen bestimmten Wert. Wenn beispielsweise der Filter Datum ausgewählt ist, wählen Sie Datumswerte aus. Wenn der Filter Größe (in Bytes) ausgewählt ist, wählen Sie einen Wert für Bytes aus.
  • Untergruppe hinzufügen: Nachdem Sie einen Filter definiert haben, können Sie eine Untergruppe hinzufügen, um die vom Filter zurückgegebenen Ergebnisse zu verfeinern. Sie können einer Untergruppe auch eine Untergruppe für mehrschichtige Abfrageeinschränkungen hinzufügen.
  • Entfernen einer Filterbedingung: Um einen einzelnen Filter oder eine einzelne Untergruppe zu entfernen, wählen Sie rechts neben jeder Filterzeile oder Untergruppe das Symbol Entfernen aus.
  • Alle löschen: Um die gesamte Abfrage aller Filter und Untergruppen zu löschen, wählen Sie Alle löschen aus.

Um die erweiterten Filtersteuerelemente aus dem Überprüfungssatz zu entfernen, wählen Sie Verwalten>Erweiterte Filter ausblenden (Vorschau) aus. Um erweiterte Filter anzuzeigen, verwalten Erweiterte>Filter anzeigen (Vorschau). Vorhandene Filter werden entfernt, wenn erweiterte Filter angezeigt oder ausgeblendet werden. Um Filter beizubehalten, speichern Sie sie als Abfrage.

Filtertypen

Jedes durchsuchbare Feld in einem Überprüfungssatz verfügt über einen entsprechenden Filter, den Sie zum Filtern von Elementen basierend auf einem bestimmten Feld verwenden können.

Es gibt mehrere Filtertypen:

  • Freitext: Ein Freitextfilter wird auf Textfelder wie Betreff angewendet. Sie können mehrere Suchbegriffe auflisten, indem Sie sie durch ein Komma trennen.
  • Datum: Ein Datumsfilter wird für Datumsfelder verwendet, z. B . Datum der letzten Änderung.
  • Suchoptionen: Ein Suchoptionenfilter bietet eine Liste möglicher Werte (jeder Wert wird mit einem Kontrollkästchen angezeigt, das Sie auswählen können) für bestimmte Felder in der Überprüfung. Dieser Filter wird für Felder wie Absender verwendet, in denen der Überprüfungssatz eine begrenzte Anzahl möglicher Werte enthält.
  • Schlüsselwort: Eine Schlüsselwort (keyword) Bedingung ist eine bestimmte instance der Freitextbedingung, die Sie zum Suchen nach Begriffen verwenden können. In diesem Filtertyp können Sie auch eine KQL-ähnliche Abfragesprache verwenden. Weitere Informationen finden Sie in diesem Artikel in den Abschnitten Abfragesprache und Generator für erweiterte Abfragen.

Speichern und Verwalten von Filterabfragen

Nachdem Sie mit Ihren Filtern zufrieden sind, können Sie die Filterkombination als Filterabfrage speichern. Mit dieser gespeicherten Filterabfrage können Sie den Filter in zukünftigen Überprüfungssitzungen anwenden.

Wählen Sie zum Speichern eines Filters in der Befehlsleiste Filterabfragen speichern die Option Speichern aus, und benennen Sie ihn. Sie oder andere Prüfer können zuvor gespeicherte Filterabfragen ausführen, indem Sie die Dropdownliste Gespeicherte Filterabfragen auswählen und eine Filterabfrage auswählen, die auf Überprüfungssatzdokumente angewendet werden soll.

Um eine gespeicherte Filterabfrage zu bearbeiten oder zu löschen, wählen Sie Gespeicherte Filterabfragen aus, und erweitern Sie die Filtereigenschaften, um die Optionen Bearbeiten und Löschen für die gespeicherte Filterabfrage anzuzeigen.

Verwenden der Abfragesprachunterstützung für KQL- und Schlüsselwortfilter

Wenn Sie die KQL - oder Schlüsselwortfilter verwenden, können Sie eine KQL-ähnliche Abfragesprache verwenden, um Ihre Überprüfungssatz-Suchabfrage zu erstellen. Die Abfragesprache für diese beiden Filter unterstützt boolesche Standardoperatoren wie AND, OR, NOT und NEAR. Außerdem werden ein Platzhalter mit nur einem Zeichen (?) und ein platzhalter mit mehreren Zeichen (*) unterstützt.

Hinweis

Überprüfungsfilter unterstützen nur Wildcards (? oder *) für einen einzelnen Begriff. Die Verwendung von Wildcards bei Suchvorgängen für Ausdrücke, die aus mehreren Begriffen bestehen, wird nicht unterstützt.

Szenariobeispiele

Filtern nach nicht markierten Elementen in einem Überprüfungssatz

Ein eDiscovery-Administrator muss eine Abfrage erstellen, um alle Elemente im Überprüfungssatz zu finden, ohne dass tags angewendet werden. In diesem Beispiel erstellt der Administrator die folgende Überprüfungssatzfilterabfrage:

  1. Für den ersten Filter wählt der Administrator das Tag filter und types in der Filtersuche aus. Der Filter Tags wird als übereinstimmende Option angezeigt, und der Administrator wählt sie aus.
  2. Der Administrator wählt dann Operator auswählen und den Operator Ist leer aus. Dieser Operator gibt alle Elemente zurück, auf die keine Tags angewendet wurden.

Der Überprüfungssatz wird sofort aktualisiert, und nur die Elemente, die nicht markiert sind, werden angezeigt.

Filtern nach nativen Dateitypelementen in einem Überprüfungssatz

Ein eDiscovery-Administrator muss eine Abfrage erstellen, um alle Elemente im Überprüfungssatz zu finden, die einen bestimmten Typ aufweisen, z. B. .csv, .msg oder .pdf. In diesem Beispiel erstellt der Administrator die folgende Überprüfungssatzfilterabfrage:

  1. Für den ersten Filter wählt der Administrator die Filter - und Typdatei in der Filtersuche aus. Die filter Native Dateierweiterung ist eine der Filteroptionen, die in den Suchergebnissen angezeigt werden, und der Administrator wählt sie aus.
  2. Der Administrator wählt dann Operator auswählen und den Operator Gleich beliebiger von aus .
  3. Der Administrator wählt das Feld Beliebig aus und aktiviert die entsprechenden Kontrollkästchen für die Dateitypen, die in die Filterabfrage eingeschlossen werden sollen.

Der Überprüfungssatz wird sofort aktualisiert, und es werden nur die Elemente angezeigt, die den ausgewählten Dateitypen entsprechen.

Filtern von teilweise indizierten Elementen

Wenn Sie die Option zum Hinzufügen von teilweise indizierten Elementen aus zusätzlichen Datenquellen ausgewählt haben, wenn Sie die Suchschätzung einem Überprüfungssatz zugesichert haben. Sie sollten diese Elemente wahrscheinlich identifizieren und anzeigen, um festzustellen, ob ein Element für Ihre Untersuchung relevant ist und ob Sie den Fehler beheben müssen, der dazu geführt hat, dass das Element teilweise indiziert wurde.

Derzeit gibt es keine Filteroption in einem Überprüfungssatz, um teilweise indizierte Elemente anzuzeigen. Hier ist jedoch eine Möglichkeit zum Filtern und Anzeigen der teilweise indizierten Elemente, die Sie einem Überprüfungssatz hinzugefügt haben.

  1. Erstellen Sie eine Suche, und fügen Sie sie einem neuen Überprüfungssatz hinzu, ohne teilweise indizierte Elemente aus den zusätzlichen Datenquellen hinzuzufügen.
  2. Erstellen Sie einen neuen Searcg, indem Sie die Suche aus Schritt 1 kopieren.
  3. Fügen Sie die neue Suche demselben Überprüfungssatz hinzu. Fügen Sie dieses Mal jedoch die teilweise indizierten Elemente aus den zusätzlichen Datenquellen hinzu. Da Elemente aus der Suche, die Sie in Schritt 1 erstellt haben, dem Überprüfungssatz bereits hinzugefügt wurden, werden dem Überprüfungssatz nur die teilweise indizierten Elemente aus der zweiten Suche hinzugefügt.
  4. Nachdem beide Suchvorgänge dem Überprüfungssatz hinzugefügt wurden, wählen Sie den Prüfsatz und dann Sätze laden aus.
  5. Kopieren Oder notieren Sie sich die Lade-ID für die zweite Suche (die in Schritt 2 erstellte). Der Suchname wird in der Spalte Quellinformationen angegeben.
  6. Wählen Sie im Überprüfungssatz Filter aus, erweitern Sie den Abschnitt IDs , und aktivieren Sie dann das Kontrollkästchen Id laden .
  7. Erweitern Sie den Filter Load Id (Id laden), und aktivieren Sie dann das Kontrollkästchen für die Lade-ID, die der zweiten Suche entspricht, um die teilweise indizierten Elemente anzuzeigen.

Filtern von Dokumenten nach Design

Das Filtern von Dokumenten nach Design kann beim Überprüfen von Dokumenten erheblich Zeit sparen. Wenn Sie z. B. nach Dokumenten suchen, in denen ein bestimmtes Thema behandelt wird, können Sie die Dokumente nach dem dominanten Design filtern, das sich auf dieses Thema bezieht. Sie können Dokumente auch nach anderen Designs in der Designliste filtern, um Dokumente zu finden, die einem Für Sie interessanten Dokument ähneln. Um die Designs für ein Dokument als Spalte in der Dokumentliste für den Überprüfungssatz anzuzeigen, wählen Sie Spalten anpassen und dann Dominantes Design und Designliste aus.

Führen Sie die folgenden Schritte aus, um Dokumente nach Design zu filtern:

  1. Wählen Sie in einem Überprüfungssatz Filter auswählen und dann Dominantes Design aus.
  2. Wählen Sie einen Operator aus, der mit dem Design Dominant verwendet werden soll, und definieren Sie den Wert, der mit dem Operator verwendet werden soll.
  3. Verwenden Sie einen zusätzlichen Listenfilter Designs sowie den Operator und die Werte, die auf diesen Filter anwendbar sind. Sie können die Operatoren AND und OR so konfigurieren, dass Dokumente nach einer Kombination aus den Listenwertendominantes Design und Designs gefiltert werden.