Compartir a través de

Uso del generador de condiciones para crear consultas de búsqueda en eDiscovery

El generador de condiciones proporciona una experiencia de búsqueda fácil de usar al crear consultas de búsqueda en eDiscovery. Use el generador de condiciones en conjuntos de búsqueda y revisión para construir consultas de palabras clave simples y complejas, consultas con operadores (AND, OR) o ambas para ayudar a identificar elementos de su organización.

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Uso del generador de condiciones

Para crear una consulta y un filtrado condicional personalizado para la búsqueda, use los siguientes controles:

  • La condición Palabras clave siempre está disponible como la primera condición de la consulta, lo que facilita la introducción a las tareas de búsqueda. Esta condición solo admite el operador Equal y se quita de la consulta mediante Delete. En el campo Valor de la condición Palabras clave, aplique operadores lógicos como AND, OR y NEAR. Por ejemplo, escribir red AND blue trata AND como un operador lógico en lugar de una palabra clave literal. Para buscar una frase exacta como "red and blue", incluya el texto entre comillas. Esto indica al motor de búsqueda que trate el texto como una sola cadena. También puede seleccionar Entrar en el teclado para crear una nueva cuadrícula para la palabra clave siguiente. Si pega una lista de palabras clave separadas por saltos de línea (retornos de carro), el sistema genera automáticamente una cuadrícula independiente para cada palabra clave.

    Cuando se escriben varios segmentos de palabras clave mediante el generador de condiciones, la consulta se puede convertir en KeyQL y cada segmento de palabra clave está separado por c:s. Si la consulta incluye varias condiciones de palabra clave, el KeyQL resultante incluye c:s para garantizar la segmentación de palabras clave para que vea los aciertos por segmento. Este comportamiento es automático y no requiere la entrada manual de c:s en el generador de KeyQL.

    Nota:

    Para generar un informe de palabras clave en la vista de estadísticas , debe rellenar al menos dos o más cuadrículas de palabras clave. Si escribe solo una sola palabra clave, el recuento total de aciertos que se muestra refleja los resultados de esa palabra clave y no se genera un informe de palabras clave.

  • Agregar condiciones: agregue una condición para los orígenes de datos específicos para la búsqueda. Para agregar condiciones adicionales a la consulta, seleccione Agregar condiciones para mostrar la lista de condiciones disponibles. Cada selección de valor de condición agrega una nueva condición a la consulta. Elija el operador AND/OR según corresponda.

  • AND/OR: estos operadores lógicos condicionales permiten seleccionar la operación de consulta que se aplica a una condición específica. Estos operadores permiten usar varias condiciones conectadas a la consulta. El operador que sigue la condición de palabra clave debe ser AND.

  • Seleccionar un operador: en función de la condición seleccionada, los operadores compatibles con la condición están disponibles para seleccionar. Por ejemplo, si selecciona la condición Date , los operadores disponibles son Before, After y Between. Si selecciona la condición Tamaño (en bytes), los operadores disponibles son Mayor que, Mayor o igual, Menor que, Menor o igual, Entre y Igual.

  • Valor: en función de la condición seleccionada, los valores compatibles con la condición aparecen en el panel de detalles del valor o puede agregar en línea. En función del tipo de condición asociado al valor, verá opciones para definir, filtrar o buscar valores asociados a la condición seleccionada. Por ejemplo, si selecciona Remitente como condición, puede buscar y agregar usuarios específicos de su organización o usuarios externos. Si selecciona Tamaño (en bytes) como condición, verá la opción para especificar un número para el tamaño como valor. Si el valor está en blanco, el borde del campo de valor aparece en rojo para ayudarle a notificar que se necesita un valor.

  • Eliminar una condición de filtro: para quitar una condición individual, seleccione el icono de eliminación situado a la derecha de cada línea de filtro.

  • Borrar un valor de filtro: Para borrar el valor de una condición específica, seleccione el icono quitar situado a la derecha de cada línea de filtro.

  • Guardar como borrador: para guardar el conjunto actual de condiciones como borrador, seleccione Guardar como borrador encima del área del generador de condiciones.

  • Descartar: para descartar los cambios realizados en la búsqueda, incluidas las condiciones y el origen de datos, seleccione Descartar encima del área del generador de condiciones.

Directrices para el uso de condiciones

Tenga en cuenta las siguientes directrices al usar condiciones de búsqueda:

  • Una condición se conecta lógicamente a la consulta de palabra clave (especificada en la condición de palabra clave) por el operador AND . Esa conexión significa que los elementos deben satisfacer la consulta de palabra clave y la condición que se va a incluir en los resultados.
  • Todas las condiciones que siguen la condición de palabra clave se agrupan.
  • Si agrega dos o más condiciones únicas a una consulta de búsqueda (condiciones que especifican propiedades diferentes), esas condiciones se conectan lógicamente mediante los operadores AND y OR . Esa conexión significa que la búsqueda solo devuelve elementos que cumplen todas las condiciones (además de cualquier consulta de palabra clave).
  • Si agrega varios valores (separados por comas o punto y coma) a una sola condición, esos valores se conectan mediante el operador OR . Esa conexión significa que la búsqueda devuelve elementos si contienen cualquiera de los valores especificados para la propiedad en la condición.
  • Cualquier condición que use un operador con lógica Contains e Equals devuelve resultados de búsqueda similares para búsquedas de cadenas simples. Una búsqueda de cadenas simple es una cadena en la condición que no incluye un carácter comodín. Por ejemplo, una condición que usa Equals cualquiera de devuelve los mismos elementos que una condición que usa Contains any of.
  • La consulta de búsqueda que se crea mediante el cuadro palabras clave y las condiciones aparece en la página Buscar , en el panel de detalles de la búsqueda seleccionada. En una consulta, todo lo que se encuentra a la derecha de la notación (c:c) indica las condiciones que se agregan a la consulta. No use (c:c) en consultas especificadas manualmente. (c:c) no es igual a AND o OR.

Buscar y seleccionar condiciones

Al seleccionar Agregar condiciones en el generador de condiciones, obtiene acceso rápido a algunas condiciones de uso frecuente, como Fecha, Asunto/Título y Participantes , junto con las condiciones que usó más recientemente. Seleccione Mostrar más y aparecerá el panel Desplegable Elegir qué condiciones agregar para ayudarle a refinar la consulta de búsqueda con condiciones específicas. Use las opciones de las secciones siguientes para ayudarle a elegir las condiciones aplicables.

Condiciones de filtro por área

Filtre rápidamente la vista de condición para los buzones y las propiedades del sitio para ayudar a localizar una condición específica para la consulta de búsqueda. Filtre las condiciones disponibles en los siguientes grupos globales:

  • Todos: muestra todas las condiciones y los grupos de condiciones.
  • Común: filtra y muestra solo las condiciones que se aplican tanto a los buzones como a los sitios.
  • Buzones de Exchange: filtra y muestra solo las condiciones que se aplican a los buzones.
  • Sitios de SharePoint y OneDrive: filtra y muestra solo las condiciones que se aplican a los sitios de SharePoint y OneDrive.

Selector de condición

Para buscar rápidamente una condición específica, use el campo Indicarnos lo que busca para escribir el nombre de la condición. Los resultados se limitan automáticamente al filtro de los grupos globales. Por ejemplo, para buscar cualquier condición denominada Tipo (o una que contenga el tipo de término en el nombre de la condición), seleccione Todo como filtro global y escriba el tipo en el campo Indicarnos lo que busca . La vista de condición devuelve todas las condiciones de todos los grupos de condición que contienen el tipo de término. Seleccione la condición aplicable que se va a agregar a la consulta de búsqueda.

Página para elegir qué condición se va a agregar a una búsqueda.

Importante

Solo puede usar la palabra clave y las condiciones de KeyQL una vez en el generador de condiciones.

Ejemplo de escenario

El administrador de eDiscovery debe crear una consulta para buscar correos electrónicos enviados de User1 a User2 que se enviaron entre el 15 de septiembre de 2024 y el 15 de octubre de 2024 que contienen el cumplimiento y la auditoría de palabras clave. En este ejemplo, el administrador crea la siguiente consulta mediante el nuevo generador de consultas:

  1. Para el primer filtro, el administrador usa la condición Keywords , el operador Equal y compliance, audit como la palabra clave Value.
  2. A continuación, el administrador selecciona Agregar condiciones, remitente, contienecualquiera de los operadores y, a continuación, escribe User1@contoso.com en el campo Valor . Esto puede incluir usuarios externos.
  3. A continuación, el administrador selecciona Agregar condiciones, selecciona el filtro Para , después, selecciona el operador Contiene cualquiera de y, a continuación, selecciona User2@contoso.com en el campo Valor . Esto puede incluir usuarios externos.
  4. Para definir el intervalo de fechas, el administrador selecciona Agregar condiciones, fecha, operadorBetween y, a continuación, las fechas de inicio y finalización del valor.
  5. Por último, el administrador selecciona Ejecutar consulta para devolver resultados que coincidan con las condiciones y sus valores.

Ejemplo de una búsqueda del generador de condiciones.

Uso de condiciones de búsqueda

Puede agregar condiciones a una consulta de búsqueda para restringir una búsqueda y devolver un conjunto de resultados más refinado. Cada condición agrega una cláusula a la KeyQL consulta de búsqueda que se crea y ejecuta al iniciar la búsqueda.

Caracteres especiales

Algunos caracteres especiales no se incluyen en el índice de búsqueda y, por tanto, no se pueden buscar. Esta limitación también se aplica a los caracteres especiales que representan operadores de búsqueda en la consulta de búsqueda. Esta es una lista de caracteres especiales que se reemplazan por un espacio en blanco en la consulta de búsqueda real o provocan un error de búsqueda.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Condiciones para las propiedades comunes

Cree una condición mediante propiedades comunes al buscar en buzones y sitios de la misma búsqueda. En la tabla siguiente se enumeran las propiedades disponibles que se usarán al agregar una condición.

Condición Description
Tipo de contenido1 Aplicado a los elementos de Exchange y SharePoint, hace referencia al tipo o categoría del contenido.

Por ejemplo, ContentKind:SharePointDocument, ContentKind:Copilot, etc.
Aplicación de origen de contenido1 Identifica la aplicación o el servicio donde se originó el contenido.

Por ejemplo, ContentSourceApplication:OneDriveForBusiness, ContentSourceApplication:SharePoint, etc.
Fecha En el caso del correo electrónico, la fecha en que se creó o importó un mensaje desde un archivo PST. En el caso de los documentos, la fecha en que se modificó por última vez un documento.

Si busca mensajes de correo electrónico durante un período de tiempo específico, use las condiciones de mensaje Recibido y Enviado si no está seguro de si los mensajes de correo electrónico se pueden importar en lugar de crearse de forma nativa en Exchange.
Identificador1 En el caso del correo electrónico, el identificador de un mensaje específico. Los identificadores de mensaje se incluyen en el registro de auditoría, las alertas de prevención de pérdida de datos (DLP) o los metadatos del conjunto de revisiones y permiten crear una búsqueda específica de un mensaje individual.

Para los mensajes de Microsoft Teams, el identificador del chat o la reacción. ChatThreadID se incluye en el registro de auditoría, las alertas de prevención de pérdida de datos (DLP) o los metadatos del conjunto de revisiones y le permiten crear una búsqueda específica de un chat o reacción individuales.
Remitente/autor Para correo electrónico, la persona que envió un mensaje. Para los documentos, la persona mencionada en el campo del autor de documentos de Office. Puede escribir más de un nombre, separados por comas. Dos o más valores están conectados de forma lógica por el operador de OR.
(Consulte Expansión de destinatarios)
Tamaño (en bytes) Para los correos electrónicos y documentos, el tamaño del elemento (en bytes).
Asunto o título Para correo electrónico, el texto en la línea de asunto de un mensaje. Para los documentos, el título del documento. La propiedad Title es metadatos especificados en documentos de Microsoft Office. Puede escribir el nombre de más de un valor de asunto o título, separados por comas. Dos o más valores están conectados de forma lógica por el operador de OR.

Nota: No incluya comillas dobles en los valores de esta condición porque las comillas se agregan automáticamente al usar esta condición de búsqueda. Si agrega comillas al valor, se agregan dos pares de comillas dobles al valor de condición y la consulta de búsqueda devuelve un error.
Etiqueta de retención Para el correo electrónico y los documentos, etiquetas de retención aplicadas a mensajes y documentos. Las etiquetas de retención se pueden usar para declarar registros y ayudarle a administrar el ciclo de vida de los datos del contenido mediante la aplicación de reglas de retención y eliminación especificadas por la etiqueta. Para obtener más información sobre las etiquetas de retención, consulte Información sobre las directivas de retención y las etiquetas de retención.

Condiciones para las propiedades de correo

Cree una condición mediante propiedades de correo al buscar buzones o carpetas públicas en Exchange Online. En la tabla siguiente se enumeran las propiedades de correo electrónico que puede usar para una condición. Estas propiedades son un subconjunto de las propiedades de correo electrónico que se describieron anteriormente. Estas descripciones se repiten para su comodidad.

Condición Description
Tipo de mensaje El tipo de mensaje para buscar. Esta propiedad es la misma que la propiedad de correo electrónico Kind. Posibles valores:
  • contactos
  • documentos
  • correo electrónico
  • externaldata
  • fax
  • mensajería instantánea
  • diarios
  • reuniones
  • microsoftteams
  • notas
  • entradas
  • fuentes rss
  • tareas
  • correo de voz
Participantes Todos los campos de personas de un mensaje de correo electrónico. Estos campos son From, To, Cc y Bcc. (Consulte Expansión de destinatarios)
Cantidad.Recibida La fecha en la que un destinatario recibió un mensaje de correo electrónico. Esta propiedad es la misma que la propiedad De correo electrónico recibido.
Recipientes Todos los campos de destinatario de un mensaje de correo electrónico. Estos campos son To, Cc y Bcc. (Consulte Expansión de destinatarios)
Remitente El remitente de un mensaje de correo electrónico.
Sent La fecha en la que un remitente envió un mensaje de correo electrónico. Esta propiedad es la misma que la propiedad De correo electrónico enviado.
Asunto El texto en la línea de asunto de un mensaje de correo electrónico.

Nota: No incluya comillas dobles en los valores de esta condición porque las comillas se agregan automáticamente al usar esta condición de búsqueda. Si agrega comillas al valor, se agregan dos pares de comillas dobles al valor de condición y la consulta de búsqueda devuelve un error.
To Destinatario de un mensaje de correo electrónico en el campo Para.
Tema1 Resumen del tema o asunto principal tratados en una conversación o subproceso de correo electrónico.
Clase Item Propiedad de clase de mensaje para un elemento de correo electrónico. Es una condición multivalor. Para seleccionar varias clases de mensajes, mantenga presionada la tecla CTRL y seleccione dos o más clases de mensaje en la lista desplegable que desea agregar a la condición. Cada clase de mensaje seleccionada en la lista está conectada lógicamente por el operador OR en la consulta de búsqueda correspondiente.

Para obtener una lista de las clases de mensaje (y su identificador de clase de mensaje correspondiente) usadas por Exchange y que puede seleccionar en la lista Clase de mensaje, vea Tipos de elementos y Clases de mensaje.

Condiciones para las propiedades de documento

Cree una condición mediante propiedades de documento al buscar documentos en sitios de SharePoint y OneDrive. En la tabla siguiente se enumeran las propiedades del documento que puede usar para una condición. Estas propiedades son un subconjunto de las propiedades del sitio que se describieron anteriormente. Estas descripciones se repiten para su comodidad.

Condición Description
Autor El campo de autor de los documentos de Office, que persiste si se copia un documento. Por ejemplo, si un usuario crea un documento y lo envía por correo electrónico a otra persona que luego lo carga en SharePoint, el documento conserva el autor original.
Creados La fecha en la que se creó el documento.
Tipo de archivo Extensión de un archivo; por ejemplo, docx, one, pptx o xlsx. Se trata de la misma propiedad que la propiedad del sitio FileExtension.

Nota: Si incluye una condición de tipo File mediante el operador Equals o Equals en una consulta de búsqueda, no puede usar una búsqueda de prefijo (incluyendo el carácter comodín ( * ) al final del tipo de archivo) para devolver todas las versiones de un tipo de archivo. Si lo hace, se omite el carácter comodín. Por ejemplo, si incluye la condición Equals any of doc*, solo se devuelven los archivos con una extensión de .doc . Los archivos con una extensión de .docx no se devuelven. Para devolver todas las versiones de un tipo de archivo, use el par property:value en una consulta de palabra clave; por ejemplo, filetype:doc*.
Última modificación La fecha en la que el documento se modificó por última vez.
Rutade acceso 1 Dirección URL o ubicación de un archivo o carpeta dentro de un sitio de SharePoint.
Tipo de información confidencial (SIT)1 Tipos de información confidencial incluidos en los documentos. Los SIT son clasificadores basados en patrones y detectan información confidencial como seguridad social, tarjeta de crédito o números de cuenta bancaria para identificar elementos confidenciales. Para obtener más información sobre los SIT, consulte Información sobre los tipos de información confidencial.
Etiqueta de confidencialidad1 Etiquetas de confidencialidad aplicadas a documentos. Las etiquetas de confidencialidad le permiten clasificar y proteger los datos de su organización, a la vez que se asegura de que la productividad del usuario y su capacidad de colaboración no se ve obstaculizada. Para obtener más información sobre las etiquetas de confidencialidad, consulte Información sobre las etiquetas de confidencialidad.
Title El título del documento. La propiedad Título son metadatos que se especifican en los documentos de Office. Es diferente del nombre de archivo del documento.

Operadores usados con condiciones

Al agregar una condición, seleccione un operador que coincida con el tipo de propiedad de la condición. En la tabla siguiente se describen los operadores que funcionan con condiciones y se muestra el operador equivalente usado en la consulta de búsqueda.

Operador Equivalente de consulta Description
Después property>date Use con condiciones de fecha. Devuelve los elementos que se enviaron, recibieron o modificaron después de la fecha especificada.
Antes property<date Use con condiciones de fecha. Devuelve los elementos que se enviaron, recibieron o modificaron antes de la fecha especificada.
Between date..date Se usa con condiciones de fecha y tamaño. Cuando se usa con una condición de fecha, devuelve los elementos que se enviaron, recibieron o modificaron dentro del intervalo de fechas especificado. Cuando se usa con una condición de tamaño, devuelve los elementos cuyo tamaño está dentro del intervalo especificado.
Contiene cualquiera de (property:value) OR (property:value) Use con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que contienen cualquier parte de uno o más valores de cadena especificados.
No contiene ninguno de -property:value

NOT property:value

 Use con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que no contienen ninguna parte del valor de cadena especificado.
No es igual a ninguno de -property=value

NOT property=value

 Use con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que no contienen la cadena especificada.
Es igual a2 size=value Devuelve elementos que son iguales al tamaño especificado.
Es igual a cualquiera de (property=value) OR (property=value) Use con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que coinciden con uno o varios valores de cadena especificados.
Mayor2 size>value Devuelve elementos en los que la propiedad especificada es mayor que el valor especificado.
Mayor o igualque 2 size>=value Devuelve elementos en los que la propiedad especificada es mayor o igual que el valor especificado.
Menos2 size<value Devuelve elementos que son menores que el valor especificado.
Menor o igualque 2 size<=value Devuelve elementos que son menores o iguales que el valor especificado.
No es igual a2 size<>value Devuelve elementos que no son iguales al tamaño especificado.

Nota:

1 Este operador es una condición de característica premium de eDiscovery.

2 Este operador solo está disponible para las condiciones que usan la propiedad Size .

  • Last updated on