通过

使用条件生成器在电子数据展示 (预览版) 中创建搜索查询

  • 项目

在电子数据展示 (预览) 中生成搜索查询时,搜索中的条件生成器提供可视条件筛选体验。 使用条件生成器使用运算符 (AND、OR) 构造查询,以帮助更有效地生成查询,并为要构造和审阅的复杂关键字 (keyword) 查询提供额外的空间。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

使用条件生成器

若要为搜索创建查询和自定义条件筛选,请使用以下控件:

  • AND/OR:这些条件逻辑运算符允许选择应用于特定筛选器和筛选器子组的查询条件。 这些运算符允许你在查询中使用连接到单个筛选器的多个筛选器或子组。
  • 添加条件:允许为为搜索选择的特定数据源和位置添加条件。
  • 选择运算符:根据所选筛选器,可选择与筛选器兼容的运算符。 例如,如果选择 了日期 筛选器,则可用运算符为 BeforeAfterBetween。 如果选择了“ 大小 (字节) 筛选器,则可用运算符为 ”大于“、” 大于或等于“、” 小于“、” 小于或等于“、” 介于“”等于”。
  • :根据所选筛选器,可以使用与筛选器兼容的值。 此外,某些筛选器支持多个值,某些筛选器支持一个特定值。 例如,如果选择了 “日期 ”筛选器,请选择日期值。 如果选择了“ 大小 () 筛选器,请为字节选择一个值。
  • 删除筛选条件:若要删除单个筛选器或子组,请选择每个筛选器行或子组右侧的删除图标。
  • 全部清除:若要清除所有筛选器和子组的整个查询,请选择“ 全部清除”。

使用条件的准则

在使用搜索条件时,请牢记以下几点。

  • 条件在逻辑上连接到 AND 和OR 运算符) 关键字 (keyword) 框中指定的关键字 (keyword) 查询 (。 这意味着,项目必须满足关键字查询和要在结果中包括的条件。
  • 如果将两个或更多个唯一条件添加到搜索查询 (指定不同属性) 的条件,则这些条件在逻辑上由 ANDOR 运算符连接。 这意味着仅返回满足所有条件(除了任何关键字查询以外)的项目。
  • 如果您对相同属性添加多个条件,则使用 OR 运算符在逻辑上对这些条件进行连接。 这意味着将返回满足关键字查询以及任何一个条件的项。 因此,相同条件的组通过 OR 运算符彼此相连,然后唯一性条件集通过 AND 运算符彼此相连。
  • 如果向单个条件中添加多个值(用逗号或分号分隔),这些值将通过 OR 运算符来连接。 这意味着如果这些项包含条件中指定的任何属性值,则返回这些项。
  • 使用 包含等于 逻辑的运算符的任何条件都为简单字符串搜索返回类似的搜索结果。 简单字符串搜索是条件中不包含通配符) 的字符串。 例如,使用 Equals any 的条件 将返回与使用 Contains 的条件相同的项。
  • 使用关键字框和条件创建的搜索查询显示在 “搜索 ”页上所选搜索的详细信息窗格中。 在查询中,表示法 (c:c) 右侧的所有内容都指示添加到查询的条件。 (c:c) 不应在手动输入的查询中使用,并且不等于 ANDOR
  • 条件仅向搜索查询添加属性;它们不会添加运算符。 这就是详细信息窗格中显示的查询不显示表示法右侧的 (c:c) 运算符的原因。 执行查询时,KQL 会添加逻辑运算符(根据前面所述的规则)。
  • 可以使用拖放控件重新排列条件的顺序。 选择条件的控件,并将其向上或向下移动。
  • 某些条件属性允许键入多个值 (用分号分隔) 。 每个值在逻辑上由 OR 运算符连接,并生成查询 (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)。 下图显示了具有多个值的条件示例。

方案示例

电子数据展示管理员需要创建一个查询来查找从 Aimee Miller 发送到 Adam Eham、Adele Vance 或 Aditya Dash 的电子邮件,这些电子邮件在 2023 年 2 月 9 日至 2023 年 3 月 9 日之间发送,其中包含 关键字合规性审核。 对于此示例,管理员使用新的查询生成器创建以下查询:

  1. 对于第一个筛选器,管理员选择“发件人”,然后选择“等于任意”运算符,然后从“值”控件中可用的用户列表中选择“Aimee Miller”。
  2. 接下来,管理员选择 “添加子组 ”和 “OR ”运算符,以定义 Aimee 可能已向其发送有关合规性审核的电子邮件的其他用户。
  3. 在子组中,管理员为 Aimee 可能已向其发送有关合规性审核的电子邮件的每个用户选择“ To 筛选器”、“ 等于任意 ”运算符和 “值 (用户) ”。 在此示例中,管理员在亚当·Eham、Adele Vance 和 Aditya Dash 的子组中创建筛选器。
  4. 若要定义日期范围,管理员选择“ 添加筛选器 ”,并选择 “日期 ”筛选器、“ Between ”运算符以及 “值”的开始和结束日期。
  5. 最后,管理员选择关键字列表筛选器、Equal 运算符和合规性审核作为关键字 (keyword)

查询生成器示例。

使用搜索条件

可以向搜索查询添加条件,以缩小搜索范围并返回更精细的结果集。 每个条件向开始搜索时创建和运行的 KQL 搜索查询添加一个子句。

特殊字符

某些特殊字符不包括在搜索索引中,因此不可搜索。 这还包括表示搜索查询中搜索运算符的特殊字符。 下面是特殊字符的列表,这些字符要么被实际搜索查询中的空格替换,要么会导致搜索错误。

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

通用属性的条件

在同一搜索中同时搜索邮箱和网站时,使用通用属性创建一个条件。 下表列出了添加条件时要使用的可用属性。

条件 说明
日期 对于电子邮件,是创建邮件或从 PST 文件导入邮件的日期。 对于文档,上次修改文档的日期。

如果要搜索特定时间段的电子邮件,如果不确定电子邮件是否已导入,而不是在 Exchange 中本机创建,则应使用邮件 “已接收 ”和“ 已发送 ”条件。
标示符 对于电子邮件,为特定邮件的 ID。 消息 ID 包含在审核记录、数据丢失防护 (DLP) 警报或查看集元数据中,并允许你为单个邮件生成特定搜索。

对于Microsoft Teams 消息,为聊天或反应的 ID。 ChatThreadID 包含在审核记录、数据丢失防护 (DLP) 警报或审阅集元数据中,并允许你为单个聊天或反应生成特定搜索。
发件人/作者 对于电子邮件而言,是指发送邮件的人。 对于文档而言,是指从 Office 文档的作者字段中引用的人员。 你可以键入多个名称,用逗号分隔。 通过 OR 运算符在逻辑上连接两个或多个值。
(请参阅收件人扩展)
大小 ((以字节为单位)) 对于电子邮件和文档而言,是项目的大小(以字节为单位)。
主题/标题 对电子邮件而言,是指邮件的主题行中的文本。 对于文档而言,是指文档的标题。 Title 属性是在 Office 文档Microsoft中指定的元数据。 可以键入多个主题/标题值的名称,用逗号分隔。 通过 OR 运算符在逻辑上连接两个或多个值。

注意:请勿在此条件的值中包含双引号,因为使用此搜索条件时会自动添加引号。 如果向值添加引号,则会向条件值添加两对双引号,搜索查询将返回错误。
保留标签 对于电子邮件和文档,保留标签应用于邮件和文档。 保留标签可用于声明记录,并通过强制执行标签指定的保留和删除规则来帮助管理内容的数据生命周期。 有关保留标签的详细信息,请参阅 了解保留策略和保留标签
敏感信息类型 (SIT) 对于电子邮件和文档,邮件和文档中包含的敏感信息类型。 SCT 是基于模式的分类器,可检测敏感信息,例如社会保障、信用卡或银行帐号,以识别敏感项目。 有关 SIT 的详细信息,请参阅 了解敏感信息类型
敏感度标签 对于电子邮件和文档,敏感度标签应用于邮件和文档。 敏感度标签允许对组织数据进行分类和保护,同时确保用户的工作效率及其协作能力不受阻碍。 有关敏感度标签的详细信息,请参阅 了解敏感度标签

邮件属性的条件

搜索 Exchange Online 中的邮箱或公用文件夹时,使用邮件属性创建条件。 下表列出了可以用于条件的电子邮件属性。 这些属性是前面所述的电子邮件属性的子集。 为了方便起见,将重复这些说明。

条件 说明
消息类型 要搜索的邮件类型。 此属性与“Kind”电子邮件属性相同。 可能的值:
  • 联系人
  • 文档
  • 电子邮件
  • externaldata
  • fax
  • 即时消息
  • 日志
  • 会议
  • microsoftteams
  • notes
  • 公告
  • RSS 源
  • 任务
  • 语音邮件
参与者 电子邮件中的所有人员字段。 这些字段为“发件人”、“收件人”、“抄送”和“密件抄送”。 (请参阅收件人扩展)
类型 电子邮件项的邮件类属性。 此属性与 ItemClass 电子邮件属性相同。 这也是一个多值条件。 因此,若要选择多个邮件类,请按住 Ctrl 键,然后在要添加到条件的下拉列表中选择两个或多个邮件类。 在列表中选择的每个消息类在逻辑上由相应的搜索查询中的 OR 运算符连接。

有关 Exchange 使用的邮件类 (及其相应的邮件类 ID) 的列表,可以在 “邮件类 ”列表中选择,请参阅 项目类型和邮件类
接收时间 收件人接收电子邮件的日期。 此属性与“Received”电子邮件属性相同。
收件人 电子邮件中的所有收件人字段。 这些字段为“收件人”、“抄送”和“密件抄送”。 (请参阅收件人扩展)
发件人 电子邮件的发件人。
发件箱 发件人发送电子邮件的日期。 此属性与“Sent”电子邮件属性相同。
主题 电子邮件主题行中的文本。

注意:请勿在此条件的值中包含双引号,因为使用此搜索条件时会自动添加引号。 如果向值添加引号,则会向条件值添加两对双引号,搜索查询将返回错误。
To “收件人”字段中电子邮件的收件人。

文档属性的条件

在 SharePoint 和 OneDrive 网站上搜索文档时,使用文档属性创建条件。 下表列出了可以用于条件的文档属性。 这些属性是前面所述的网站属性的子集。 为了方便起见,将重复这些说明。

条件 说明
作者 作者字段位于 Office 文档中,复制文档后仍然存在其中。 例如,如果用户创建文档并将其通过电子邮件发送到其他人,然后将其上传到 SharePoint,则该文档仍将保留原始作者。
标题 文档的标题。 Title 属性是 Office 文档中指定的元数据。 它不同于文档的文件名。
已创建 创建文档的日期。
上次修改时间 上次修改文档的日期。
文件类型 文件的扩展名;例如,docx、one、pptx 或 xlsx。 此属性与 FileExtension 网站属性相同。

注意: 如果在搜索查询中包含使用 EqualsEquals 任 一运算符的文件类型条件,则不能通过将通配符 ( * ) 包含在文件类型) 末尾来返回文件类型的所有版本来使用前缀搜索 (。 如果这样做,则忽略通配符。 例如,如果包含 条件 Equals any of doc*,则仅返回扩展名 .doc 为 的文件。 不会返回扩展名 .docx 为 的文件。 若要返回文件类型的所有版本,请在关键字 (keyword) 查询中使用 property:value 对;例如 。 filetype:doc*

与条件一起使用的运算符

当您添加一个条件时,您可以选择与该条件的属性类型相关的运算符。 下表描述了与条件一起使用的运算符,并列出了在搜索查询中使用的等效项。

运算符 查询等效项 说明
活动后 property>date 使用日期条件。 返回在指定日期后发送、接收或修改的项。
活动前 property<date 使用日期条件。 返回在指定日期前发送、接收或修改的项。
Between date..date 使用日期和大小条件。 当使用日期条件时,返回在指定的日期范围内发送、接收或修改的项。 当使用大小条件时,返回大小在指定范围内的项。
包含任意 (property:value) OR (property:value) 与指定字符串值的属性条件一起使用。 返回包含一个或多个指定字符串值任何部分的项目。
不包含任何 -property:value

NOT property:value

 与指定字符串值的属性条件一起使用。 返回不包含指定字符串值任何部分的项目。
不等于任何 -property=value

NOT property=value

 与指定字符串值的属性条件一起使用。 返回不包含特定字符串的项目。
等于 size=value 返回等于指定大小的项。1
等于任何 (property=value) OR (property=value) 与指定字符串值的属性条件一起使用。 返回与一个或多个指定字符串值匹配的项。
size>value 返回指定属性大于指定值的项。1
大于或等于 size>=value 返回指定属性大于或等于指定值的项。1
size<value 返回大于或等于特定值的项。1
小于或等于 size<=value 返回大于或等于特定值的项。1
不等于 size<>value 返回不等于指定大小的项。1

注意

1 此运算符仅适用于使用 Size 属性的条件。