Use la búsqueda de cumplimiento para buscar en todos los buzones de Exchange Server

La característica Búsqueda de cumplimiento de Exchange Server permite buscar en todos los buzones de correo de la organización. A diferencia de la exhibición de documentos electrónicos local donde se pueden buscar hasta 10.000 buzones, no existen límites para el número de buzones de destino en una sola búsqueda. En los escenarios que requieren realizar búsquedas en toda la organización, puede usar el cmdlet New-ComplianceSearch para buscar en todos los buzones. A continuación, puede usar las características de flujo de trabajo de exhibición de documentos electrónicos local para realizar otras tareas relacionadas con la exhibición de documentos electrónicos, como colocar buzones en suspensión y exportar resultados de la búsqueda. Por ejemplo, supongamos que tiene que buscar en todos los buzones para identificar administradores específicos que responden a un caso jurídico. Puede usar el cmdlet New-ComplianceSearch para buscar en todos los buzones de la organización para identificar a aquellos que responden al caso. A continuación, puede usar esa lista de buzones de administradores como los buzones de origen para una exhibición de documentos electrónicos local. El uso de la exhibición de documentos electrónicos local también permite poner en suspensión dichos buzones de origen, copiar los resultados de la búsqueda en un buzón de correo de detección y exportar los resultados de la búsqueda.

En este tema se incluye un script que se puede ejecutar para crear una búsqueda de exhibición de documentos electrónicos local mediante la lista de buzones de origen y la consulta de búsqueda desde una búsqueda de cumplimiento que se crea ejecutando el cmdlet New-ComplianceSearch.

Paso 1: Ejecutar el cmdlet New-ComplianceSearch para buscar en todos los buzones

El primer paso consiste en usar Shell de administración de Exchange para crear una búsqueda de cumplimiento que busque en todos los buzones de la organización. El número de buzones para una sola búsqueda de cumplimiento es ilimitado. Especifique una consulta de palabra clave adecuada (o una consulta de los tipos de información confidencial) para que la búsqueda devuelva solo los buzones de origen relevantes para su investigación. Si es necesario, refine la consulta de búsqueda para restringir el alcance de los resultados de la búsqueda y los buzones de origen que esta devuelve.

Nota:

Si la búsqueda de cumplimiento de origen no devuelve ningún resultado, una exhibición de documentos electrónicos local no se creará cuando se ejecute el script en el paso 3. Tal vez deba revisar la consulta de búsqueda y después volver a ejecutar la búsqueda de cumplimiento para devolver los resultados de la búsqueda.

Este es un ejemplo del uso del cmdlet New-ComplianceSearch para buscar en todos los buzones de la organización. La consulta de búsqueda devuelve todos los mensajes enviados entre el 1 y el 31 de octubre de 2015 y que contienen la frase "financial report" en la línea de asunto. El primer comando crea la búsqueda y el segundo comando la ejecuta.

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'

Start-ComplianceSearch -Identity "Search All-Financial Report"

Para obtener más información, consulte New-ComplianceSearch.

Importante

Al crear una búsqueda de cumplimiento mediante el cmdlet New-ComplianceSearch , se crea una sombra In-Place búsqueda de exhibición de documentos electrónicos (pero no se inicia) y se muestra en la página Exhibición de documentos electrónicos local & suspensión en el Centro de administración de Exchange (EAC). It's also returned by using the Get-MailboxSearch cmdlet. Esta búsqueda de buzones se denomina ComplianceSearchName -shadow. We recommend that you delete the shadow In-Place eDiscovery search, and use the script in Step 3 to create the In-Place eDiscovery search. The functionality of creating a shadow search will be removed in a cumulative update for Exchange 2016.

Paso 2 (opcional): Comprobar el número de buzones de origen en la búsqueda de cumplimiento

Una búsqueda de cumplimiento devolverá un máximo de 500 buzones de origen que contienen resultados de búsqueda. Si hay más de 500 buzones con contenido que coincida con la consulta de búsqueda, solo los primeros 500 buzones con la mayoría de los resultados de la búsqueda se incluyen en la búsqueda de cumplimiento que se creó en el paso anterior. De este modo, si más de 500 buzones contienen resultados de búsqueda, algunos de esos buzones no se incluirán en la lista de buzones de origen copiados a la nueva búsqueda de exhibición de documentos electrónicos local que se creó en el paso 3.

Para ayudarle a crear una búsqueda de cumplimiento que no tenga más de 500 buzones de origen, siga estos pasos para ejecutar un script que muestre el número de buzones de origen (que contengan resultados de búsqueda) devuelto por la búsqueda de cumplimiento que se creó en el paso 1.

1. Guarde el siguiente texto en un archivo de script de Windows PowerShell mediante un sufijo de nombre de archivo de .ps1. Por ejemplo, podría guardarlo en un archivo con el nombre SourceMailboxes.ps1.

   [CmdletBinding()]
   Param(
        [Parameter(Mandatory=$True,Position=1)]
        [string]$SearchName
   )
   $search = Get-ComplianceSearch $SearchName
   if ($search.Status -ne "Completed")
   {
                   "Please wait until the search finishes.";
                   break;
   }
   $results = $search.SuccessResults;
   if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
   {
                   "The compliance search " + $SearchName + " didn't return any useful results.";
                   break;
   }
   $mailboxes = @();
   $lines = $results -split '[\r\n]+';
   foreach ($line in $lines)
   {
       if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
       {
           $mailboxes += $matches[1];
       }
   }
   "Number of mailboxes that have search hits: " + $mailboxes.Count
   

2. En el Shell de administración de Exchange, vaya a la carpeta donde se encuentre el script creado en el paso anterior y ejecútelo, por ejemplo:

   .\SourceMailboxes.ps1
   

3. Cuando se lo solicite el script, escriba el nombre de la búsqueda de cumplimiento que se creó en el paso 1.

   El script muestra el número de buzones de origen que contienen resultados de búsqueda.

Si hay más de 500 buzones de origen, pruebe a crear dos (o más) búsquedas de cumplimiento. Por ejemplo, busque la mitad de los buzones de su organización en una búsqueda de cumplimiento y la otra mitad en otra búsqueda de cumplimiento. También puede cambiar los criterios de la búsqueda para reducir el número de buzones que contienen resultados de búsqueda. Por ejemplo, podría especificar un intervalo de fechas o refinar la consulta de palabras clave.

Paso 3: Ejecutar el script para crear una búsqueda de exhibición de documentos electrónicos local a partir de la búsqueda de cumplimiento

El siguiente paso es ejecutar un script que convierta una búsqueda de cumplimiento existente en una búsqueda de exhibición de documentos electrónicos local. Esto es lo que hace el script:

• Solicita el nombre de la búsqueda de cumplimiento que se va a convertir.

• Comprueba que la búsqueda de cumplimiento haya finalizado. Si la búsqueda de cumplimiento no devuelve ningún resultado, la exhibición de documentos electrónicos local no se creará.

• Guarda una lista de los buzones de origen de la búsqueda de cumplimiento que contienen los resultados de la búsqueda en una variable.

• Crea una nueva búsqueda de exhibición de documentos electrónicos local con las propiedades siguientes. Tenga en cuenta que la búsqueda nueva no se inicia. Empezará en el paso 4.

  • Nombre: el nombre de la nueva búsqueda usa este formato: <Nombre de la búsqueda> de cumplimiento_MBSearch1. Si vuelve a ejecutar el script y usa la misma búsqueda de cumplimiento de origen, la búsqueda se denominará <Nombre de la búsqueda> de cumplimiento_MBSearch2.

  • Buzones de origen: todos los buzones de la búsqueda de cumplimiento que contienen resultados de búsqueda.

  • Consulta de búsqueda: la nueva búsqueda usa la consulta de búsqueda de la búsqueda de cumplimiento. Si la búsqueda de cumplimiento incluye todo el contenido (cuando la consulta de búsqueda está en blanco), la búsqueda nueva también tendrá la consulta de búsqueda en blanco e incluirá todo el contenido encontrado en los buzones de origen.

  • Búsqueda de solo estimación: la nueva búsqueda se marca como una búsqueda de solo estimación. No se copiarán los resultados de búsqueda a un buzón de detección una vez que se haya iniciado.

1. Guarde el siguiente texto en un archivo de script de Windows PowerShell mediante un sufijo de nombre de archivo de ps1. Por ejemplo, podría guardarlo en un archivo con el nombre MBSearchFromComplianceSearch.ps1.

   [CmdletBinding()]
   Param(
       [Parameter(Mandatory=$True,Position=1)]
       [string]$SearchName,
       [switch]$original,
       [switch]$restoreOriginal
   )
   $search = Get-ComplianceSearch $SearchName
   if ($search.Status -ne "Completed")
   {
      "Please wait until the search finishes";
      break;
   }
   $results = $search.SuccessResults;
   if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
   {
      "The compliance search " + $SearchName + " didn't return any useful results";
      "A mailbox search object wasn't created";
      break;
   }
   $mailboxes = @();
   $lines = $results -split '[\r\n]+';
   foreach ($line in $lines)
   {
       if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
       {
           $mailboxes += $matches[1];
       }
   }
   $msPrefix = $SearchName + "_MBSearch";
   $I = 1;
   $mbSearches = Get-MailboxSearch;
   while ($true)
   {
       $found = $false;
       $mbsName = "$msPrefix$I";
       foreach ($mbs in $mbSearches)
       {
           if ($mbs.Name -eq $mbsName)
           {
               $found = $true;
               break;
           }
       }
       if (!$found)
       {
           break;
       }
       $I++;
   }
   $query = $search.KeywordQuery;
   if ([string]::IsNullOrWhiteSpace($query))
   {
       $query = $search.ContentMatchQuery;
   }
   if ([string]::IsNullOrWhiteSpace($query))
   {
      New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
   }
   else
   {
      New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
   }
   

2. En el Shell de administración de Exchange, vaya a la carpeta donde se encuentre el script creado en el paso anterior y ejecútelo, por ejemplo:

   .\MBSearchFromComplianceSearch.ps1
   

3. Cuando se lo solicite el script, escriba el nombre de la búsqueda de cumplimiento que quiere convertir en una búsqueda de exhibición de documentos electrónicos local (por ejemplo, la búsqueda que se creó en el paso 1) y, a continuación, presione ENTRAR.

   Si el script funciona, se crea una nueva búsqueda de exhibición de documentos electrónicos local con un estado NotStarted. Ejecute el comando Get-MailboxSearch <Name of compliance search>_MBSearch1 | FL para mostrar las propiedades de la nueva búsqueda.

Paso 4: Iniciar la búsqueda de exhibición de documentos electrónicos local

El script que se ejecuta en el paso 3 crea una nueva búsqueda de exhibición de documentos electrónicos local, pero no la inicia. El siguiente paso es iniciar la búsqueda para obtener una estimación de los resultados de búsqueda.

1. En el Centro de administración de Exchange (EAC), vaya a Administración> de cumplimientoen contexto eDiscovery & Suspensión.

2. En la vista de lista, seleccione la búsqueda de exhibición de documentos electrónicos local que ha creado en el paso 3.

3. Haga clic en Buscar (>Calcule los resultados de la búsqueda para iniciar la búsqueda y devolver una estimación del tamaño total y el número de elementos devueltos por la búsqueda.

   Las estimaciones se muestran en el panel de detalles. Haga clic en Actualizar () para actualizar la información mostrada en el panel de detalles.

4. Para obtener una vista previa de los resultados una vez completada la búsqueda, haga clic en Vista previa de los resultados de búsqueda en el panel de detalles.

Sugerencia

Como alternativa, puede usar el Shell de administración de Exchange para iniciar la búsqueda In-Place eDiscovery; por ejemplo Start-MailboxSearch -Identity <Name of compliance search>_MBSearch1, .

Pasos siguientes después de crear y ejecutar la búsqueda de exhibición de documentos electrónicos local

Después de crear e iniciar la búsqueda de exhibición de documentos electrónicos local que el script ha creado en el paso 3, puede usar el flujo de trabajo normal de la exhibición de documentos electrónicos local para realizar distintas acciones de exhibición de documentos electrónicos en los resultados de la búsqueda.

Crear una Conservación local

1. En el EAC, vaya a Administración de cumplimiento>en contexto eDiscovery & Suspensión.

2. En la vista de lista, seleccione el In-Place búsqueda de exhibición de documentos electrónicos que creó en el paso 3 y, a continuación, haga clic en Editar (

3. En la página Conservación local, active la casilla Pausar el contenido que coincida con la consulta de búsqueda en los buzones seleccionados y después seleccione una de las siguientes opciones:

   • Mantener indefinidamente: elija esta opción para colocar los elementos devueltos por la búsqueda en una suspensión indefinida. Los elementos en espera se conservarán hasta que quite el buzón de correo de la búsqueda o la búsqueda.

   • Especificar el número de días que se van a contener los elementos con respecto a su fecha de recepción: elija esta opción para contener elementos durante un período específico. La duración se calcula desde la fecha en que un elemento de buzón se recibe o se crea.

4. Haga clic en Guardar para crear la conservación local y reiniciar la búsqueda.

Copiar los resultados de la búsqueda

1. En el EAC, vaya a Administración de cumplimiento>en contexto eDiscovery & Suspensión.

2. En la vista de lista, seleccione la búsqueda de exhibición de documentos electrónicos local que ha creado en el paso 3.

3. Haga clic en Buscar ( y, a continuación, haga clic en Copiar resultados de búsqueda en la lista desplegable.

4. En Copiar resultados de búsqueda, seleccione entre las siguientes opciones:

   • Incluir elementos que no se pueden buscar: active esta casilla para incluir elementos de buzón que no se pudieron buscar (por ejemplo, mensajes con datos adjuntos de tipos de archivo que no se pudieron indexar mediante la búsqueda de Exchange).

   • Habilitar desduplicación: active esta casilla para excluir los mensajes duplicados. Solo una instancia del mensaje se copiará en el buzón de correo de detección.

   • Habilitar registro completo: active esta casilla para incluir un registro completo en los resultados de búsqueda.

   • Enviarme correo cuando se complete la copia: active esta casilla para obtener una notificación por correo electrónico cuando se complete la búsqueda.

   • Copiar resultados en este buzón de detección: haga clic en Examinar para seleccionar el buzón de detección en el que desea copiar los resultados de la búsqueda.

5. Haga clic en Copiar para iniciar el proceso de copia de los resultados de la búsqueda en el buzón de correo de detección especificado.

6. Haga clic en Actualizar () para actualizar la información sobre el estado de copia que se muestra en el panel de detalles.

7. Una vez que la copia esté completa, haga clic en Abrir para abrir el buzón de correo de detección y ver los resultados de la búsqueda.

Exportar los resultados de la búsqueda

1. En el EAC, vaya a Administración de cumplimiento>en contexto eDiscovery & Suspensión.

2. En la vista de lista, seleccione la búsqueda de exhibición de documentos electrónicos local que se creó en el paso 3 y luego haga clic en Exportar a un archivo PST.

3. En la vista de lista, seleccione la búsqueda de exhibición de documentos electrónicos local cuyos resultados quiere exportar y luego haga clic en Exportar a un archivo PST.

4. En la ventana de la herramienta de exportación de PST de exhibición de documentos electrónicos:

   • Haga clic en Examinar para especificar la ubicación donde quiere descargar el archivo PST.

   • Haga clic en la casilla Habilitar desduplicación para excluir los mensajes duplicados. Solo se incluirá una instancia de cada mensaje en el archivo PST.

   • Haga clic en la casilla Incluir elementos no aptos para la búsqueda si quiere incluir los elementos del buzón que no pudieron buscar (por ejemplo, los mensajes con datos adjuntos de tipos de archivo que la búsqueda de Exchange no pudo indexar). Los elementos no aptos para la búsqueda se exportan a un archivo PST independiente.

5. Haga clic en Inicio para exportar los resultados de búsqueda a un archivo PST.

   Se mostrará una ventana con información acerca del estado del proceso de exportación.