다음을 통해 공유

조건 작성기를 사용하여 eDiscovery에서 검색 쿼리 만들기(미리 보기)

  • 아티클

조건 작성기에서는 eDiscovery(미리 보기)에서 검색 쿼리를 빌드할 때 사용하기 쉬운 검색 환경을 제공합니다. 검색 및 검토 집합에서 조건 작성기를 사용하여 간단하고 복잡한 키워드(keyword) 쿼리, 연산자(AND, OR) 또는 둘 다로 쿼리를 구성하여 organization 항목을 식별할 수 있습니다.

Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.

조건 작성기 사용

검색에 대한 쿼리 및 사용자 지정 조건부 필터링을 만들려면 다음 컨트롤을 사용합니다.

  • 키워드: 이 일반적인 조건은 항상 쿼리의 첫 번째 조건으로 사용할 수 있으며 검색 작업을 빠르게 시작하는 데 도움이 됩니다. 키워드 조건은 Equal 연산자만 지원하며 값 필드를 비워 두어 쿼리에서 제외할 수 있습니다. 추가 키워드 조건을 추가하려면 조건 추가를 선택하고 키워드를 선택합니다.
  • 조건 추가: 검색에 대한 특정 데이터 원본에 대한 조건을 추가할 수 있습니다. 쿼리에 조건을 추가하려면 조건 추가 를 선택하여 사용 가능한 조건 목록을 표시합니다. 각 조건 값 선택은 쿼리에 새 조건을 추가합니다. 적절하게 AND/OR 연산자를 선택합니다.
  • AND/OR: 이러한 조건부 논리 연산자를 사용하면 특정 조건에 적용되는 쿼리 작업을 선택할 수 있습니다. 이러한 연산자를 사용하면 쿼리에 연결된 여러 조건을 사용할 수 있습니다.
  • 연산자 선택: 선택한 조건에 따라 조건에 호환되는 연산자를 선택할 수 있습니다. 예를 들어 날짜 조건이 선택된 경우 사용 가능한 연산자는 Before, AfterBetween입니다. 크기(바이트)를 선택한 경우 사용 가능한 연산자는 보다 큼, 크거나 같음, 작음, 작거나 같음, 사이같음입니다.
  • : 선택한 조건에 따라 조건에 호환되는 값을 값 세부 정보 창에서 사용할 수 있거나 인라인으로 추가할 수 있습니다. 값과 연결된 조건 유형에 따라 선택한 조건과 연결된 값을 정의, 필터링 또는 검색하는 옵션이 표시됩니다. 예를 들어 발신자를 조건으로 선택하는 경우 organization 또는 외부 사용자에서 특정 사용자를 검색하고 추가할 수 있습니다. 크기(바이트)를 조건으로 선택하면 크기에 대한 숫자를 값으로 입력하는 옵션이 표시됩니다. 값이 비어 있으면 값이 필요하다는 것을 알리기 위해 값 필드 테두리가 빨간색으로 표시됩니다.
  • 필터 조건 제거: 개별 조건을 제거하려면 각 필터 줄 오른쪽에 있는 제거 아이콘을 선택합니다.
  • 초안으로 저장: 현재 조건 집합을 초안으로 저장하려면 쿼리 드롭다운에서 초안으로 저장 을 선택합니다.
  • 삭제: 조건 및 데이터 원본을 포함하여 검색에 대한 변경 내용을 삭제하려면 초안으로 저장 드롭다운에서 삭제를 선택합니다.

조건 사용에 대한 지침

검색 조건을 사용할 때 다음에 유의하세요.

  • 조건은 ANDOR 연산자를 통해 키워드(keyword) 쿼리(키워드(keyword) 상자에 지정됨)에 논리적으로 연결됩니다. 즉, 결과에 포함되려면 항목이 키워드 쿼리와 조건을 모두 만족해야 합니다.
  • 검색 쿼리에 두 개 이상의 고유한 조건(다른 속성을 지정하는 조건)을 추가하는 경우 이러한 조건은 ANDOR 연산자에 의해 논리적으로 연결됩니다. 즉, 모든 조건(및 키워드 쿼리)을 만족하는 항목만 반환됩니다.
  • 동일한 속성에 대해 둘 이상의 조건을 추가하면 해당 조건은 OR 연산자에 의해 논리적으로 연결됩니다. 즉, 키워드 쿼리와 조건 중 하나를 만족하는 항목이 반환됩니다. 따라서 동일한 조건 그룹이 OR 연산자에 의해 서로 연결된 후 고유한 조건 집합이 AND 연산자로 연결됩니다.
  • 단일 조건에 여러 값을 추가하면(쉼표나 세미콜론으로 구분) 해당 값이 OR 연산자로 연결됩니다. 즉, 조건의 속성에 대해 지정된 값을 하나라도 포함하는 항목이 반환됩니다.
  • Contains 및 Equals 논리가 있는 연산자를 사용하는 모든 조건은 간단한 문자열 검색에 대해 유사한 검색 결과를 반환합니다. 단순 문자열 검색은 와일드카드를 포함하지 않는 조건의 문자열입니다.) 예를 들어 Equals를 사용하는 조건은 Contains를 사용하는 조건과 동일한 항목을 반환 합니다.
  • 키워드 상자 및 조건을 사용하여 만든 검색 쿼리는 검색 페이지의 선택한 검색에 대한 세부 정보 창에 표시됩니다. 쿼리에서 표기법 (c:c) 오른쪽에 있는 모든 항목은 쿼리에 추가되는 조건을 나타냅니다. (c:c) 수동으로 입력한 쿼리에서 사용하면 안 되며 AND 또는 OR와 같지 않습니다.
  • 조건은 검색 쿼리에 속성만 추가합니다. 연산자를 추가하지 않습니다. 따라서 세부 정보 창에 표시되는 쿼리가 표기법 오른쪽에 연산자를 (c:c) 표시하지 않습니다. KQL은 쿼리를 실행할 때 논리 연산자를 추가합니다(이전에 설명한 규칙을 따름).
  • 끌어서 놓기 컨트롤을 사용하여 조건 순서를 다시 지정할 수 있습니다. 조건에 대한 컨트롤을 선택하고 위 또는 아래로 이동합니다.
  • 일부 조건 속성을 사용하면 여러 값(세미콜론으로 구분)을 입력할 수 있습니다. 각 값은 OR 연산자에 의해 논리적으로 연결되고 쿼리 (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)가 발생합니다. 다음 그림에서는 여러 값이 있는 조건의 예를 보여 줍니다.

조건 찾기 및 선택

조건 작성기에서 조건 추가 를 선택하면 특정 조건으로 검색 쿼리를 구체화하는 데 도움이 되는 플라이아웃을 추가할 조건 선택 창이 표시됩니다. 다음 섹션의 옵션을 사용하여 적용 가능한 조건을 선택할 수 있습니다.

영역별 조건 필터링

사서함 및 사이트 속성에 대한 조건 보기를 빠르게 필터링하여 검색 쿼리에 대한 특정 조건을 찾는 데 도움이 됩니다. 다음 전역 그룹에서 사용 가능한 조건을 필터링합니다.

  • 모두: 모든 조건 및 조건 그룹을 표시합니다.
  • 일반: 사서함과 사이트 모두에 적용되는 조건만 필터링하고 표시합니다.
  • Exchange 사서함: 사서함에 적용되는 조건만 필터링하고 표시합니다.
  • SharePoint 및 OneDrive 사이트: SharePoint 및 OneDrive 사이트에 적용되는 조건만 필터링하고 표시합니다.

조건 선택기

특정 조건을 빠르게 검색하려면 원하는 항목 입력 필드를 사용하여 조건의 이름을 입력합니다. 결과는 자동으로 전역 그룹에 대한 필터로 범위가 지정됩니다. 예를 들어 Type이라는 조건(또는 조건 이름에 용어 형식이 포함된 조건)을 검색하려면 전역 필터로 모두를 선택한 다음 찾고 있는 항목 입력 필드에 형식을 입력합니다. 조건 뷰는 용어 형식을 포함하는 모든 조건 그룹의 모든 조건을 반환 합니다. 검색 쿼리에 추가할 해당 조건을 선택합니다.

조건 선택기 예제입니다.

시나리오 예제

eDiscovery 관리자는 2024년 9월 15일부터 2024년 10월 15일 사이에 키워드 준수감사를 포함하는 User1에서 User4로 전송된 이메일을 찾기 위해 쿼리를 만들어야 합니다. 이 예제에서 관리자는 새 쿼리 작성기를 사용하여 다음 쿼리를 만듭니다.

  1. 첫 번째 필터의 경우 관리자는 키워드 조건, 등호 연산자 및 규정 준수를 키워드(keyword) 으로 사용합니다.
  2. 다음으로 관리자는 조건 추가를 선택하고 보낸 사람, 운영자 포함을 차례로 선택한 다음 세부 정보 창에서 사용할 수 있는 사용자 목록에서 User1을 선택합니다. 여기에는 외부 사용자가 포함될 수 있습니다.
  3. 다음으로 관리자는 조건 추가를 선택하고, 필터링할 대상을 선택한 다음, 연산자 포함을 선택한 다음, 세부 정보 창에서 사용할 수 있는 사용자 목록에서 User4를 선택합니다. 여기에는 외부 사용자가 포함될 수 있습니다.
  4. 날짜 범위를 정의하려면 관리자가 조건 추가를 선택하고 날짜를 선택한 다음 Between 연산자를 선택한 다음 의 시작 및 종료 날짜를 선택합니다.
  5. 마지막으로 관리자는 쿼리 실행을 선택하여 해당 결과를 반환합니다.

조건 작성기 예제입니다.

검색 조건 사용

검색 쿼리에 조건을 추가하여 검색 범위를 좁혀 보다 구체화된 결과 집합을 반환할 수 있습니다. 각 조건은 검색을 시작할 때 생성 및 실행되는 KQL 검색 쿼리에 절을 추가합니다.

특수 문자

일부 특수 문자는 검색 인덱스 에 포함되지 않으므로 검색할 수 없습니다. 여기에는 검색 쿼리의 검색 연산자를 나타내는 특수 문자도 포함됩니다. 다음은 실제 검색 쿼리의 빈 공간으로 대체되거나 검색 오류가 발생하는 특수 문자 목록입니다.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

공용 속성에 대한 조건

동일한 검색에서 사서함 및 사이트를 검색할 때 공용 속성을 사용하는 조건을 만듭니다. 다음 표에서는 조건을 추가할 때 사용할 수 있는 속성을 나열합니다.

조건 설명
콘텐츠 종류 Exchange 및 SharePoint 항목 모두에 적용되며 콘텐츠의 형식 또는 범주를 나타냅니다.

예를 들어 ContentKind:SharePointDocument, ContentKind:Copilot 등이 있습니다.
콘텐츠 원본 애플리케이션 콘텐츠가 시작된 애플리케이션 또는 서비스를 식별합니다.

예를 들어 ContentSourceApplication:OneDriveForBusiness, ContentSourceApplication:SharePoint
날짜 전자 메일의 경우 메시지를 만들거나 PST 파일에서 가져온 날짜입니다. 문서의 경우 문서가 마지막으로 수정된 날짜입니다.

특정 기간 동안 전자 메일 메시지를 검색하는 경우 Exchange에서 고유하게 만든 것이 아니라 전자 메일 메시지를 가져왔는지 확실하지 않은 경우 받은 메시지 및 보낸 사람 조건을 사용해야 합니다.
식별자 전자 메일의 경우 특정 메시지의 ID입니다. 메시지 ID 는 감사 레코드, DLP(데이터 손실 방지) 경고 또는 설정된 메타데이터를 검토하여 개별 메시지에 대한 특정 검색을 빌드할 수 있도록 합니다.

Microsoft Teams 메시지의 경우 채팅 또는 반응의 ID입니다. ChatThreadID는 감사 레코드, DLP(데이터 손실 방지) 경고 또는 집합 메타데이터를 검토하여 개별 채팅 또는 반응에 대한 특정 검색을 빌드할 수 있도록 합니다.
보낸 사람/작성자 전자 메일의 경우 메시지를 보낸 사람입니다. 문서의 경우 Office 문서의 만든 이 필드에 지정된 사람입니다. 여러 개의 이름을 쉼표로 구분하여 입력할 수 있습니다. 두 개 이상의 값은 OR 연산자를 사용하여 논리적으로 연결됩니다.
(받는 사람 확장 참조)
크기(바이트) 전자 메일 및 문서의 경우 항목의 크기(바이트)입니다.
제목/제목 전자 메일의 경우 메시지 제목 줄의 텍스트입니다. 문서의 경우 문서 제목입니다. Title 속성은 Microsoft Office 문서에 지정된 메타데이터입니다. 둘 이상의 제목/제목 값의 이름을 쉼표로 구분하여 입력할 수 있습니다. 두 개 이상의 값은 OR 연산자를 사용하여 논리적으로 연결됩니다.

참고: 이 검색 조건을 사용할 때 따옴표가 자동으로 추가되므로 이 조건의 값에 큰따옴표를 포함하지 마세요. 값에 따옴표를 추가하면 두 쌍의 큰따옴표가 조건 값에 추가되고 검색 쿼리에서 오류를 반환합니다.
보존 레이블 전자 메일과 문서 모두에 대해 메시지 및 문서에 적용된 보존 레이블입니다. 보존 레이블을 사용하여 레코드를 선언하고 레이블에 지정된 보존 및 삭제 규칙을 적용하여 콘텐츠의 데이터 수명 주기를 관리할 수 있습니다. 보존 레이블에 대한 자세한 내용은 보존 정책 및 보존 레이블에 대해 알아보기를 참조하세요.
SIT(중요한 정보 유형) 전자 메일과 문서 모두의 경우 메시지 및 문서에 포함된 중요한 정보 유형입니다. SID는 패턴 기반 분류자이며 사회 보장, 신용 카드 또는 은행 계좌 번호와 같은 중요한 정보를 감지하여 중요한 항목을 식별합니다. SIT에 대한 자세한 내용은 중요한 정보 유형에 대해 알아보기를 참조하세요.
민감도 레이블 전자 메일과 문서 모두에 대해 메시지 및 문서에 적용된 민감도 레이블입니다. 민감도 레이블을 사용하면 organization 데이터를 분류하고 보호할 수 있으며, 사용자 생산성과 공동 작업 기능이 방해되지 않도록 할 수 있습니다. 민감도 레이블에 대한 자세한 내용은 민감 도 레이블에 대해 알아보기를 참조하세요.

메일 속성에 대한 조건

Exchange Online 사서함 또는 공용 폴더를 검색할 때 메일 속성을 사용하여 조건을 만듭니다. 다음 표에서 조건을 사용할 수 있는 전자 메일 속성을 나열 합니다. 이러한 속성은 이전에 설명한 전자 메일 속성의 하위 집합입니다. 이러한 설명은 편의를 위해 반복됩니다.

조건 설명
메시지 종류 검색할 메시지의 유형입니다. Kind 전자 메일 속성과 같은 속성입니다. 사용 가능한 값:
  • 연락처
  • 문서
  • 전자 메일
  • externaldata
  • 팩스
  • im(im)
  • 저널
  • 회의
  • microsoftteams
  • 노트
  • 게시물
  • rssfeeds
  • 작업
  • 음성 메일
참가자 전자 메일 메시지의 모든 사람 필드입니다. 이러한 필드는 From, To, Cc 및 숨은 참조입니다. (받는 사람 확장 참조)
수신됨 받는 사람이 전자 메일 메시지를 받은 날짜입니다. Received 전자 메일 속성과 같은 속성입니다.
받는 사람 전자 메일 메시지의 모든 받는 사람 필드입니다. 이러한 필드는 받는 사람, 참조 및 숨은 참조입니다. (받는 사람 확장 참조)
보낸 사람 전자 메일 메시지의 보낸 사람입니다.
전송 보낸 사람이 전자 메일 메시지를 보낸 날짜입니다. Sent 전자 메일 속성과 같은 속성입니다.
제목 전자 메일 메시지 제목 줄의 텍스트입니다.

참고: 이 검색 조건을 사용할 때 따옴표가 자동으로 추가되므로 이 조건의 값에 큰따옴표를 포함하지 마세요. 값에 따옴표를 추가하면 두 쌍의 큰따옴표가 조건 값에 추가되고 검색 쿼리에서 오류를 반환합니다.
받는 사람 받는 사람 필드에 있는 전자 메일 메시지의 받는 사람입니다.
항목 전자 메일 스레드 또는 대화에서 설명하는 기본 주제 또는 테마의 요약입니다.
유형 전자 메일 항목의 메시지 클래스 속성입니다. ItemClass 전자 메일 속성과 동일한 속성입니다. 다중 값 조건이기도 합니다. 따라서 여러 메시지 클래스를 선택하려면 Ctrl 키를 누른 다음 조건에 추가할 드롭다운 목록에서 두 개 이상의 메시지 클래스를 선택합니다. 목록에서 선택한 각 메시지 클래스는 해당 검색 쿼리의 OR 연산자에 의해 논리적으로 연결됩니다.

Exchange에서 사용하고 메시지 클래스 목록에서 선택할 수 있는 메시지 클래스(및 해당 메시지 클래스 ID)의 목록은 항목 유형 및 메시지 클래스를 참조하세요.

문서 속성에 대한 조건

SharePoint 및 OneDrive 사이트에서 문서를 검색할 때 문서 속성을 사용하여 조건을 만듭니다. 다음 표에서는 조건에 사용할 수 있는 문서 속성 목록을 제공합니다. 이러한 속성은 이전에 설명한 사이트 속성의 하위 집합입니다. 이러한 설명은 편의를 위해 반복됩니다.

조건 설명
만든 이 문서를 복사하는 경우 유지되는 Office 문서의 만든 이 필드입니다. 예를 들어 사용자가 문서를 만들고 다른 사람에게 전자 메일을 보낸 다음 SharePoint에 업로드하는 경우 문서는 여전히 원래 작성자를 유지합니다.
생성 문서를 만든 날짜입니다.
파일 형식 파일의 확장자입니다. 예를 들어 docx, one, pptx 또는 xlsx입니다. FileExtension 사이트 속성과 같은 속성입니다.

메모: 검색 쿼리에서 Equals 또는 Equals 연산자를 사용하여 파일 형식 조건을 포함하는 경우 파일 형식의 끝에 와일드카드 문자(* )를 포함하여 접두사 검색을 사용하여 파일 형식의 모든 버전을 반환할 수 없습니다. 이렇게 하면 와일드카드가 무시됩니다. 예를 들어 조건을 Equals any of doc*포함하는 경우 확장이 인 .doc 파일만 반환됩니다. 확장이 인 .docx 파일은 반환되지 않습니다. 파일 형식의 모든 버전을 반환하려면 키워드(keyword) 쿼리에서 property:value 쌍(예: filetype:doc*)을 사용했습니다.
마지막으로 수정한 날짜 문서를 마지막으로 변경한 날짜입니다.
경로 SharePoint 사이트 내의 파일 또는 폴더의 URL 또는 위치입니다.
제목 문서의 제목입니다. Title 속성은 Office 문서에 지정된 메타데이터입니다. 문서의 파일 이름과 다릅니다.

조건과 함께 사용되는 연산자

조건을 추가할 때 조건에 대한 속성 유형과 관련된 연산자를 선택할 수 있습니다. 다음 표에서는 조건과 함께 사용되는 연산자를 설명하고 검색 쿼리에 사용되는 것과 동일한 연산자를 제공합니다.

연산자 연산자와 동일한 쿼리 설명
이후 property>date 날짜 조건과 함께 사용됩니다. 지정된 날짜 이후에 전송, 수신 또는 수정된 항목을 반환합니다.
Before property<date 날짜 조건과 함께 사용됩니다. 지정된 날짜 이전에 전송, 수신 또는 수정된 항목을 반환합니다.
사이 date..date 날짜 및 크기 조건과 함께 사용됩니다. 날짜 조건과 함께 사용될 경우 지정된 날짜 범위 내에서 전송, 수신 또는 수정된 항목을 반환합니다. 크기 조건과 함께 사용될 경우 해당 크기가 지정된 범위 내에 속하는 항목을 반환합니다.
Contains any of (property:value) OR (property:value) 문자열 값을 지정하는 속성에 대한 조건과 함께 사용됩니다. 하나 이상의 지정된 문자열 값의 일부를 포함하는 항목을 반환합니다.
Doesn't contain any of -property:value

NOT property:value

 문자열 값을 지정하는 속성에 대한 조건과 함께 사용됩니다. 지정된 문자열 값의 어떤 부분도 포함하지 않는 항목을 반환합니다.
Doesn't equal any of -property=value

NOT property=value

 문자열 값을 지정하는 속성에 대한 조건과 함께 사용됩니다. 특정 문자열을 포함하지 않는 항목을 반환합니다.
같음 size=value 지정된 크기와 같은 항목을 반환합니다. 1
Equals any of (property=value) OR (property=value) 문자열 값을 지정하는 속성에 대한 조건과 함께 사용됩니다. 하나 이상의 지정된 문자열 값과 일치하는 항목을 반환합니다.
size>value 지정된 속성이 지정된 값보다 큰 항목을 반환합니다. 1
Greater or equal size>=value 지정된 속성이 지정된 값보다 크거나 같은 항목을 반환합니다. 1
size<value 특정 값보다 크거나 같은 항목을 반환합니다. 1
Less or equal size<=value 특정 값보다 크거나 같은 항목을 반환합니다. 1
Not equal size<>value 지정된 크기와 같지 않은 항목을 반환합니다. 1

참고

1 이 연산자는 Size 속성을 사용하는 조건에서만 사용할 수 있습니다.