Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Evaluar y refinar los resultados de la búsqueda es un paso importante en la investigación de eDiscovery. La consulta de búsqueda que configure y los resultados que devuelven le ayudarán a determinar si detecta elementos e información aplicables a la investigación o si necesita modificar la búsqueda para intentar detectar elementos pertinentes adicionales. Esta búsqueda inicial de elementos y la revisión inicial de la información le ayudan a determinar qué acciones son necesarias después de finalizar los parámetros de búsqueda.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Evaluación de los resultados de la búsqueda
Después de crear y ejecutar una búsqueda, vea las estadísticas de búsqueda para ayudarle a comprobar si se encuentra contenido relevante y las ubicaciones de contenido con más visitas. También puede revisar un ejemplo de los resultados de la búsqueda para ayudarle a determinar si el contenido está dentro del ámbito de la investigación.
Panel de estadísticas
Si selecciona Estadísticas como el tipo de resultado inicial de la búsqueda, la búsqueda le redirigirá automáticamente a este panel cuando se completen los resultados de la búsqueda. Si ya está familiarizado con versiones anteriores de eDiscovery, la información de la pestaña Estadísticas es similar a las estimaciones de la colección. Los resultados de búsqueda del panel Estadísticas se incluyen en las secciones siguientes:
Resumen: en esta sección se muestra el número de visitas de búsqueda, las ubicaciones, los orígenes de datos y el tamaño total del archivo de los elementos parcialmente indexados.
- Aciertos de búsqueda: muestra el número total de aciertos de búsqueda y el volumen de todos los elementos que coinciden con los criterios de consulta de las ubicaciones buscadas.
- Ubicaciones: muestra la fracción de ubicaciones con aciertos fuera de todas las ubicaciones buscadas. El numerador muestra las ubicaciones con aciertos y denominador que muestra el número de ubicaciones buscadas. Las ubicaciones con errores se muestran en rojo. Para ver los detalles completos de todas las ubicaciones y los aciertos y errores asociados, seleccione Descargar informe para descargar el informe de .csv completo.
- Orígenes de datos: muestra la fracción de orígenes de datos con aciertos de todos los orígenes de datos buscados. El numerador muestra los orígenes de datos con aciertos y denominador que muestra el número de orígenes de datos incluidos en la búsqueda. Este origen de datos es coherente con el origen de datos en el flujo de diseño de búsqueda y debe coincidir con el número de personas o grupos incluidos en la búsqueda. Un origen de datos de todo el inquilino de Todas las personas y todos los grupos cuenta como un único origen de datos.
- Elementos indizados parcialmente o "Aciertos de elementos indizados avanzados": muestra el recuento y el volumen de elementos parcialmente y sin indexar devueltos como parte de la búsqueda. Esta tarjeta muestra información de elementos parcialmente indexados si decide incluir elementos parcial o no indexados como parte de la configuración de búsqueda. Si decide incluir elementos parcial y no indizados y habilitar opciones avanzadas de indexación, esta tarjeta muestra los aciertos adicionales que obtiene de los elementos indizados avanzados. El recuento de aciertos indexado avanzado procede de un ejemplo de estadística en los elementos parcialmente indexados, los aciertos reales pueden ser más y se deben confirmar mediante el uso de agregar a un conjunto de revisión y exportar acciones de resultados de búsqueda.
Tendencias de aciertos de búsqueda: en esta sección se muestran las siguientes tarjetas de resultados de búsqueda. Los gráficos son interactivos, mantienen el puntero para mostrar los nombres de sección, los porcentajes y los números de elemento. Seleccione Ver los 100 principales para obtener más información sobre los elementos incluidos en cada tendencia y descargar los resultados en un archivo .csv:
Principales orígenes de datos: muestra los cinco principales orígenes de datos que componen la mayoría de los resultados de búsqueda que coinciden con la consulta. El nombre de estos orígenes de datos (nombres de usuarios, grupos o ubicaciones de toda la organización) aparece con el recuento de aciertos. Estos orígenes de datos deben coincidir con lo que seleccionó en el flujo de trabajo de orígenes de datos al compilar la consulta de búsqueda.
Principales tipos de información confidencial (SIT): muestra los cinco principales tipos de información confidencial (SIT) en archivos de SharePoint que se incluyen con más frecuencia en los resultados de búsqueda que coinciden con la consulta. Agregar el recuento de cada SIT no equivale necesariamente al número total de aciertos porque un solo elemento o documento puede contener más de un tipo SIT. Por ejemplo, un documento contiene una contraseña y un número de seguro social (SSN). En este ejemplo, se cuenta dos veces. Se recomienda seleccionar Ver los 100 principales para obtener un conocimiento más profundo de las ubicaciones de estos recuentos sit para comprobar si se superponen o no.
Palabras clave principales: palabras clave de consulta, que dieron lugar a la mayoría de los resultados de búsqueda que coinciden con la consulta.
Nota:
Para generar un informe de palabras clave en la vista de estadísticas, debe rellenar al menos dos o más cuadrículas de palabras clave. Si escribe solo una sola palabra clave, el recuento total de aciertos que se muestra refleja los resultados de esa palabra clave y no se genera un informe de palabras clave.
Tipos de elementos principales: tipos de elementos más frecuentes dentro de los resultados de búsqueda que coinciden con la consulta. Este recuento viene determinado por itemClass para el contenido de Exchange y ContentType para el contenido de SharePoint.
Estado de indexación: desglose de elementos de datos sin indexar (incluidos parcialmente indizados) y totalmente indexados.
Principales participantes de comunicación: remitentes o destinatarios de correos electrónicos, chats de Microsoft Teams e invitaciones de calendario en ubicaciones de Exchange.
Tipo de ubicación superior: recuento de aciertos por tipo de ubicación (buzón frente a sitio).
Seleccione Regenerar vista para volver a ejecutar la consulta y revisar los resultados más recientes. Seleccione Descargar informe para combinar todos los resultados de Estadísticas en un único archivo .csv. Al ver los 100 primeros resultados de cualquier área de tendencia, seleccione Descargar informe para obtener un archivo .csv de los 100 primeros resultados de la tendencia de aciertos seleccionada.
Nota:
Las estadísticas de búsqueda expiran después de 14 días. Vuelva a ejecutar las estadísticas de búsqueda para las búsquedas anteriores a 14 días para ver las estadísticas actuales.
Descripción de las estadísticas y los resultados de búsqueda
En función de cuándo ejecute una búsqueda en eDiscovery, las estadísticas de la búsqueda pueden mostrar resultados diferentes. Por ejemplo, si ejecuta dos búsquedas con las mismas condiciones exactas, pero en momentos diferentes, es probable que vea resultados de estadísticas diferentes. Estas diferencias pueden producirse por los siguientes motivos:
- La organización está activa: dado que tiene usuarios activos en un entorno de producción, los datos de la organización se mueven, agregan, eliminan y se retiran constantemente. Las mismas condiciones de búsqueda se ejecutan en las mismas ubicaciones probablemente devuelven resultados de búsqueda diferentes porque los datos de esas ubicaciones cambiaron entre el momento en que ejecutó las búsquedas.
- Errores transitorios: al ejecutar una búsqueda (o exportar o agregar a un conjunto de revisión), pueden producirse errores de procesamiento transitorios, especialmente para grandes conjuntos de datos. Estos errores suelen producirse debido a tiempos de espera de procesamiento y se pueden mitigar dividiendo las búsquedas en intervalos de fechas más pequeños y exportando los datos en paralelo. Intente dividir siempre las búsquedas en tamaños más pequeños con condiciones de búsqueda más específicas y más dirigidas a ubicaciones seleccionadas. Este enfoque ayuda a que el proceso se ejecute de forma más eficaz con menos posibilidades de errores.
- Acceso a la ubicación: algunos escenarios hacen que las ubicaciones incluidas en una búsqueda no sean válidas, no sean accesibles o agote el tiempo de espera durante el procesamiento. Al comparar los resultados entre dos búsquedas con las mismas condiciones, asegúrese de que las ubicaciones que ha buscado coinciden correctamente. Por ejemplo, una búsqueda en 1000 ubicaciones podría tener una ubicación con errores en la primera ejecución y ninguna ubicaciones con errores en la segunda ejecución. Este ejemplo significa que la primera ejecución solo ha buscado 999 ubicaciones correctamente y la segunda ejecución ha buscado 1000 ubicaciones. La diferencia de una ubicación es la razón por la que los resultados de búsqueda entre dos ejecuciones son diferentes. Use el informelocations.csv para buscar, exportar y agregar para revisar los procesos establecidos a fin de ver un informe completo sobre qué ubicaciones se han realizado correctamente y qué ubicaciones han producido errores. Volver a ejecutar busca ubicaciones con errores.
- Usuario que ejecuta la búsqueda: en función del usuario que inicia el proceso de búsqueda, es posible que el usuario tenga o no aplicado el límite de cumplimiento o el filtro de búsqueda de cumplimiento. Este filtro filtra las ubicaciones en función de las propiedades del buzón o filtra el contenido en función de la ruta de acceso de contenido (sitios de SharePoint). Los resultados del usuario pueden estar limitados si se aplica un límite de cumplimiento o un filtro de permisos de búsqueda. Por ejemplo, un usuario no tiene un límite de cumplimiento aplicado, pero un segundo usuario tiene aplicado un límite de cumplimiento que restringe este usuario a los buzones de usuario y los sitios de OneDrive a una región específica. Una búsqueda del primer usuario devuelve todos los buzones de correo y OneDrive coincide con las condiciones de búsqueda de todas las regiones y una búsqueda del segundo usuario devuelve solo coincidencias para buzones y sitios de OneDrive solo para la región permitida.
- Los recuentos de resultados de búsqueda pueden variar entre búsquedas debido a retenciones legales: si ejecuta la misma consulta de búsqueda en momentos diferentes, el número de elementos de la búsqueda o exportación puede diferir. Esta diferencia puede producirse cuando los elementos se editan o eliminan entre las búsquedas. Por ejemplo, los elementos en suspensión legal conservan versiones anteriores y pueden aparecer en exportaciones posteriores, mientras que los elementos que no están en suspensión pueden cambiar o quitarse si ya no cumplen los criterios de suspensión.
- Las estadísticas de búsqueda son estimaciones: estas estimaciones no deben usarse para compararse con el almacenamiento de sitio de OneDrive y SharePoint. Las estimaciones usan aproximaciones basadas en índices, por lo que el tamaño estimado del contenido de eDiscovery puede diferir. El almacenamiento del sitio suele incluir datos que no se reflejan en las estimaciones de eDiscovery, como las versiones de archivos y los elementos de la Papelera de reciclaje. Para ver el contenido del sitio, use el proceso de exportación en lugar de la estimación del tamaño del panel de estadísticas.
Panel de ejemplo
Si selecciona Ejemplo como tipo de resultado inicial para la búsqueda, se le redirigirá automáticamente a este panel cuando se completen los resultados de la búsqueda. Los resultados de la búsqueda de las columnas de panel de ejemplo contienen la siguiente información para cada elemento:
- Asunto o título: asunto o título de los elementos incluidos en el ejemplo.
- Fecha: fecha en que se creó o envió el elemento.
- Remitente o autor: remitente o autor del elemento.
Los ejemplos permiten inspeccionar un subconjunto representativo de elementos individuales y detalles de cada elemento devuelto para la búsqueda. El número de muestras por ubicación y el número de ubicaciones de ejemplo definidas en la búsqueda determinan el número de elementos de ejemplo y la representación de ubicación en los elementos de ejemplo.
Seleccione un elemento de ejemplo para ver la información de origen del elemento. Si está disponible para el elemento, esta vista muestra una vista enriquecida de un elemento seleccionado para que pueda evaluar la relevancia del elemento en relación con el origen de datos de búsqueda definido y las condiciones.
Nota:
Los elementos de ejemplo que se generan son válidos durante 24 horas. Si generó la vista hace más de 24 horas, vuelva a generarla para recuperar los ejemplos más recientes que coincidan con la consulta de búsqueda.
Seleccione Regenerar vista para volver a ejecutar la consulta y revisar los resultados más recientes. Seleccione Descargar informes para combinar todos los resultados de ejemplo en un único archivo .csv. Seleccione Ver configuración para ver la configuración aplicada a la generación de vista de ejemplo.
Refinar resultados de búsqueda
En función de las estimaciones y estadísticas que devuelve la búsqueda, puede editar y refinar la búsqueda. Cambie los orígenes de datos que incluye la búsqueda y cambie la consulta de búsqueda para expandir o restringir la búsqueda. Puede actualizar y ejecutar la búsqueda de nuevo hasta que esté seguro de que los resultados de la búsqueda contienen el contenido más relevante para su caso.
Una vez que esté satisfecho con los resultados de la búsqueda, puede realizar las siguientes acciones:
- Agregar los resultados de búsqueda a un conjunto de revisión
- Exportación de los resultados de la búsqueda
- Crear una retención
Diferencias entre estadísticas y resultados de exportación
Al ejecutar una búsqueda de exhibición de documentos electrónicos, las estadísticas devuelven una estimación del número de elementos (y su tamaño total) que coinciden con los criterios de búsqueda. Sin embargo, el tamaño y el número de resultados de búsqueda exportados reales que se descargan difieren del tamaño estimado y el número de resultados de búsqueda.
Varias razones posibles explican estas diferencias:
La forma en que se calculan los resultados: la estimación proporciona una estimación (y no un recuento real) de los elementos que cumplen los criterios de consulta de búsqueda. Para compilar la estimación de elementos de Exchange, eDiscovery solicita a la base de datos de Exchange una lista de los identificadores de mensaje que cumplen los criterios de búsqueda. Pero al exportar los resultados de la búsqueda, la búsqueda se vuelve a ejecutar y los mensajes reales se recuperan de la base de datos de Exchange. Las diferencias pueden dar lugar a cómo se determina el número estimado de elementos y el número real de elementos.
La forma en que se calcula el tamaño de los resultados: durante la estimación, el tamaño es aproximado. El sistema recopila un gran número de elementos y suma los tamaños mediante aproximaciones. Debe considerar la estimación de tamaño como un orden de magnitud, no una medida específica de tamaño. Por ejemplo, una estimación de tamaño de 10 MB indica que se espera que los datos estén entre 1 MB y 100 MB. Cuanto mayor sea el número, más varianza habrá en la estimación.
- En el caso del contenido basado en Exchange, el tamaño del archivo es el tamaño del texto en los bytes de mensajes y datos adjuntos. Cuando se exporta, el formato se convierte a .msg y se agrega a archivos .pst o .zip. Ambas operaciones pueden afectar significativamente al tamaño.
- Para el contenido basado en SharePoint, el tamaño del archivo es de bytes aproximados del archivo. En muchos casos para los datos basados en SharePoint, el tamaño del archivo no se puede calcular durante la búsqueda.
Cambios que se producen entre el momento en que se estiman y exportan los resultados de búsqueda: al exportar los resultados de búsqueda, la búsqueda se reinicia para recopilar los elementos más recientes del índice de búsqueda que cumplen los criterios de búsqueda. Es posible que se hayan creado, enviado o recibido elementos adicionales que cumplan los criterios de búsqueda en el tiempo comprendido entre el momento en que se recopilaron los resultados de búsqueda estimados y el momento en que se exportaron los resultados de la búsqueda. También es posible que los elementos que estaban en el índice de búsqueda cuando se calcularon los resultados de búsqueda ya no estén allí porque se purgan de la ubicación de contenido antes de que se exporten los resultados de la búsqueda. Para mitigar este problema, especifique un intervalo de fechas para una búsqueda de exhibición de documentos electrónicos o coloque una suspensión en las ubicaciones de contenido para que los elementos se conserven y no se puedan purgar.
Otros problemas que pueden dar lugar a diferencias entre los resultados de búsqueda estimados y exportados son:
Aumento de elementos al usar una consulta de fecha. Este problema suele deberse a las dos cosas siguientes:
- Control de versiones en SharePoint: si se elimina un documento de un sitio que está en espera y el control de versiones de documentos está habilitado, se conservan todas las versiones del documento eliminado.
- Elementos de calendario: acepte y rechace mensajes y las reuniones periódicas continúen creando automáticamente nuevos elementos en segundo plano con fechas antiguas.
Con las retenciones, puede haber casos en los que el mismo elemento se conserve en el buzón principal de un usuario y en su buzón de archivo. Esta situación puede ocurrir cuando un usuario mueve manualmente un elemento a su archivo.
Aunque es poco frecuente, incluso en el caso de que se aplique una suspensión, el mantenimiento de elementos de calendario integrados (que el usuario no puede modificar, pero que se incluyen en muchos resultados de búsqueda) puede quitarse de vez en cuando. Esta eliminación periódica de elementos de calendario da como resultado menos elementos que se exportan.
Elementos sin indexar: los elementos que no están indexados para la búsqueda pueden provocar diferencias entre los resultados de búsqueda estimados y reales. Puede incluir elementos sin indexar al exportar los resultados de la búsqueda. Si incluye elementos sin indexar al exportar resultados de búsqueda, es posible que haya más elementos que se exporten. Esta diferencia provoca una diferencia entre los resultados de búsqueda estimados y exportados.
Al usar la búsqueda, puede incluir elementos no indexados al exportar los resultados de la búsqueda. El número de elementos sin indexar devueltos por la búsqueda se muestra en la página de estadísticas. Al exportar los resultados de búsqueda, puede elegir incluir o no incluir elementos sin indexar. La configuración de estas opciones puede dar lugar a diferencias entre los resultados estimados y los resultados reales exportados.
Versiones de documentos en SharePoint y OneDrive: al buscar sitios de SharePoint y cuentas de OneDrive, no se incluyen varias versiones de un documento en el recuento de resultados de búsqueda estimados. Pero tiene la opción de incluir versiones de documentos al exportar los resultados de la búsqueda. Si incluye versiones de documento al exportar resultados de búsqueda, aumenta el número real (y el tamaño total) de los elementos exportados.
Carpetas de SharePoint: si las carpetas de SharePoint coinciden con una consulta de búsqueda, por ejemplo, la búsqueda por fecha, la estimación de búsqueda incluye un recuento de esas carpetas con el intervalo de fechas de última modificación (pero no los elementos de esas carpetas). Al exportar los resultados de la búsqueda, tiene la opción de elegir exportar elementos dentro de subcarpetas de una carpeta coincidente o incluir solo elementos que coincidan con la consulta de búsqueda. Esta opción puede afectar al número de elementos exportados. Si una carpeta está vacía, el número de resultados de búsqueda reales exportados se reduce en un elemento, ya que la carpeta real no se exporta.
Listas de SharePoint: si el nombre de una lista de SharePoint coincide con una consulta de búsqueda, la estimación de búsqueda incluye un recuento de todos los elementos de la lista. Al exportar los resultados de la búsqueda, la lista (y los elementos de lista) se exporta como un único archivo CSV. Puede elegir la configuración de exportación que incluya datos adjuntos de lista, los datos adjuntos se exportan como documentos independientes, lo que podría aumentar el número de elementos exportados.
Formatos de archivo sin formato frente a formatos de archivo exportados: en el caso de los elementos de Exchange, el tamaño estimado de los resultados de búsqueda se calcula mediante el uso de los tamaños de mensajes de Exchange sin procesar. Sin embargo, los mensajes de correo electrónico se exportan en un archivo PST o como mensajes individuales. Ambas opciones de exportación usan un formato de archivo diferente al de los mensajes de Exchange sin procesar, lo que hace que el tamaño total del archivo exportado sea diferente del tamaño estimado del archivo.