通过

使用条件生成器在电子数据展示中创建搜索查询

在电子数据展示中生成搜索查询时,条件生成器提供易于使用的搜索体验。 在搜索和审阅集中使用条件生成器来构造简单和复杂的关键字 (keyword) 查询,使用运算符 (AND 和/或 OR) 查询,以帮助识别组织中的项目。

提示

开始使用智能 Microsoft Security Copilot 副驾驶®,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的智能 Microsoft Security Copilot 副驾驶®

使用条件生成器

若要为搜索创建查询和自定义条件筛选,请使用以下控件:

  • 关键字条件始终作为查询中的第一个条件提供,以便轻松开始搜索任务。 此条件仅支持 Equal 运算符,并使用 Delete 从查询 中删除。 在“关键字”条件的 “值 ”字段中,应用 ANDORNEAR 等逻辑运算符。 例如,输入 red AND blueAND 视为逻辑运算符,而不是文本关键字 (keyword) 。 若要搜索确切的短语(如 "red and blue"),请将文本括在引号内。 这会告知搜索引擎将文本视为单个字符串。 还可以在键盘上选择 Enter,为下一个关键字 (keyword) 创建新网格。 如果粘贴由换行符分隔的关键字列表 (回车) ,系统将为每个关键字 (keyword) 自动生成单独的网格。

    使用条件生成器输入多个关键字 (keyword) 段时,查询可以转换为KeyQL并且每个关键字 (keyword) 段由 c:s 分隔。 如果查询包含多个关键字 (keyword) 条件,则生成的KeyQL包括 c:s,以确保关键字 (keyword) 分段,以便按段查看命中数。 此行为是自动的,不需要在KeyQL生成器中手动输入 c:s。

    注意

    若要在统计信息视图中生成关键字 (keyword) 报表,必须填充至少两个或更多关键字 (keyword) 网格。 如果只输入单个关键字 (keyword) ,则显示的总命中计数反映了该关键字 (keyword) 的结果,并且不会生成关键字 (keyword) 报告。

  • 添加条件:为搜索的特定数据源添加条件。 若要向查询添加其他条件,请选择“ 添加条件 ”以显示可用条件列表。 每个条件值选择都会向查询添加一个新条件。 根据需要选择 AND/OR 运算符。

  • AND/OR:这些条件逻辑运算符允许选择应用于特定条件的查询作。 这些运算符允许使用连接到查询的多个条件。 关键字 (keyword) 条件后面的运算符必须是 AND

  • 选择运算符:根据所选条件,可以选择与条件兼容的运算符。 例如,如果选择 “日期 ”条件,则可用运算符为 BeforeAfterBetween。 如果选择“ 大小 (以字节为单位) 条件,则可用运算符为 ”大于“、” 大于或等于“、” 小于“、” 小于或等于“、” 介于“”等于”。

  • :根据所选条件,与条件兼容的值将显示在值详细信息窗格中,或者可以添加内联。 根据与值关联的条件类型,你将看到用于定义、筛选或搜索与所选条件关联的值的选项。 例如,如果选择“ 发件人” 作为条件,则可以搜索并添加组织或外部用户中的特定用户。 如果选择“ 以字节为单位) 大小 ( ”作为条件,则会看到用于输入大小的数字作为值的选项。 如果值为空,则值字段边框显示为红色,以帮助通知需要值。

  • 删除筛选条件:若要删除单个条件,请选择每个筛选器行右侧的删除图标。

  • 清除筛选器值: 若要清除特定条件的值,请选择每个筛选器行右侧的删除图标。

  • 另存为草稿:若要将当前条件集另存为草稿,请选择条件生成器区域上方的“ 另存为草稿 ”。

  • 放弃:若要放弃对搜索所做的任何更改(包括条件和数据源),请选择条件生成器区域上方的“ 放弃 ”。

使用条件的准则

使用搜索条件时,请记住以下准则:

  • 条件从逻辑上连接到 AND 运算符在关键字 (keyword) 条件) 中指定的关键字 (keyword) 查询 (。 该连接意味着项需要同时满足关键字 (keyword) 查询和结果中包含的条件。
  • 遵循关键字 (keyword) 条件的所有条件都分组在一起。
  • 如果将两个或更多唯一条件添加到搜索查询 (指定不同属性) 的条件,则这些条件通过 ANDOR 运算符在逻辑上连接。 该连接意味着搜索仅返回满足所有条件 (以及任何关键字 (keyword) 查询) 的项目。
  • 如果向单个条件添加多个值 (用逗号或分号分隔) ,则这些值由 OR 运算符连接。 该连接意味着,如果项包含条件中属性的任何指定值,则搜索将返回这些项。
  • 使用 包含等于 逻辑的运算符的任何条件都为简单字符串搜索返回类似的搜索结果。 简单字符串搜索是条件中不包含通配符的字符串。 例如,使用 Equals any 的条件 将返回与使用 Contains 的条件相同的项。
  • 使用关键字框和条件创建的搜索查询将显示在 “搜索 ”页上的所选搜索的详细信息窗格中。 在查询中,表示法 (c:c) 右侧的所有内容都指示添加到查询的条件。 请勿在手动输入的查询中使用 (c:c)(c:c) 不等于 ANDOR

查找和选择条件

在条件生成器中选择“ 添加条件 ”时,可以快速访问一些常用的条件,例如 “日期”、“ 主题/标题”和 “参与者” 以及最近使用的条件。 选择“ 显示更多 ”,此时会显示 “选择要添加 的浮出控件条件”窗格,以帮助你使用特定条件优化搜索查询。 使用以下部分中的选项来帮助你选择适用的条件。

按区域筛选条件

快速筛选邮箱和网站属性的条件视图,以帮助查找搜索查询的特定条件。 筛选以下全局组中的可用条件:

  • 全部:显示所有条件和条件组。
  • 常见:仅筛选并显示同时适用于邮箱和站点的条件。
  • Exchange 邮箱:仅筛选并显示适用于邮箱的条件。
  • SharePoint 和 OneDrive 网站:仅筛选并显示适用于 SharePoint 和 OneDrive 网站的条件。

条件选取器

若要快速搜索特定条件,请使用 “告诉我们你要查找的内容” 字段输入条件的名称。 结果自动限定为全局组的筛选器。 例如,若要搜索名为“类型 (”的任何条件或条件名称) 中包含术语类型的条件,请选择“全部”作为全局筛选器,然后在“告诉我们你要查找的内容”字段中输入类型。 条件视图返回包含术语 类型的所有条件组中的所有条件。 选择要添加到搜索查询的适用条件。

要选择要添加到搜索的条件的页面。

重要

在条件生成器中,每个条件只能使用关键字KeyQL条件一次。

方案示例

电子数据展示管理员需要创建一个查询来查找从 User1 发送到 User2 的电子邮件,这些电子邮件在 2024 年 9 月 15 日至 2024 年 10 月 15 日之间发送,其中包含关键字 合规性审核。 对于此示例,管理员使用新的查询生成器创建以下查询:

  1. 对于第一个筛选器,管理员使用关键字条件、Equal 运算符和符合性审核作为关键字 (keyword)
  2. 接下来,管理员选择“添加条件”,选择“发件人”,然后选择“包含任意”运算符,然后在“值”字段中输入 User1@contoso.com 。 这可以包括外部用户。
  3. 接下来,管理员选择“添加条件”,选择“筛选”,然后选择“包含任意”运算符,然后在“”字段中选择User2@contoso.com。 这可以包括外部用户。
  4. 若要定义日期范围,管理员选择 “添加条件”,选择“ 日期”,然后选择“ Between ”运算符,然后选择 “值”的开始日期和结束日期。
  5. 最后,管理员选择 “运行查询” 以返回与条件及其值匹配的结果。

条件生成器搜索的示例。

使用搜索条件

可以向搜索查询添加条件,以缩小搜索范围并返回更精细的结果集。 每个条件都会向KeyQL搜索查询添加子句,该查询在开始搜索时创建并运行。

特殊字符

某些特殊字符不包括在搜索索引中,因此不可搜索。 此限制也适用于在搜索查询中表示搜索运算符的特殊字符。 下面是特殊字符的列表,这些字符要么被实际搜索查询中的空格替换,要么会导致搜索错误。

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

通用属性的条件

在同一搜索中同时搜索邮箱和网站时,使用通用属性创建一个条件。 下表列出了添加条件时要使用的可用属性。

条件 说明
内容类型1 应用于 Exchange 和 SharePoint 项目,它指的是内容的类型或类别。

例如 ContentKind:SharePointDocumentContentKind:Copilot 等。
内容源应用程序1 标识内容源自的应用程序或服务。

例如, ContentSourceApplication:OneDriveForBusinessContentSourceApplication:SharePoint 等。
日期 对于电子邮件,是创建邮件或从 PST 文件导入邮件的日期。 对于文档,上次修改文档的日期。

如果要搜索特定时间段内的电子邮件,如果不确定电子邮件是否可能导入,而不是在 Exchange 中本机创建,请使用邮件 “已接收 ”和“ 已发送 ”条件。
标识符1 对于电子邮件,为特定邮件的 ID。 消息 ID 包含在审核记录、数据丢失防护 (DLP) 警报或查看集元数据中,并允许你为单个邮件生成特定搜索。

对于Microsoft Teams 消息,为聊天或反应的 ID。 ChatThreadID 包含在审核记录、数据丢失防护 (DLP) 警报或审阅集元数据中,并允许你为单个聊天或反应生成特定搜索。
发件人/作者 对于电子邮件而言,是指发送邮件的人。 对于文档而言,是指从 Office 文档的作者字段中引用的人员。 你可以键入多个名称,用逗号分隔。 通过 OR 运算符在逻辑上连接两个或多个值。
(请参阅收件人扩展)
大小 ((以字节为单位)) 对于电子邮件和文档而言,是项目的大小(以字节为单位)。
主题/标题 对电子邮件而言,是指邮件的主题行中的文本。 对于文档而言,是指文档的标题。 Title 属性是在 Office 文档Microsoft中指定的元数据。 可以键入多个主题/标题值的名称,用逗号分隔。 通过 OR 运算符在逻辑上连接两个或多个值。

注意:请勿在此条件的值中包含双引号,因为使用此搜索条件时会自动添加引号。 如果向值添加引号,则会向条件值添加两对双引号,并且搜索查询将返回错误。
保留标签 对于电子邮件和文档,保留标签应用于邮件和文档。 保留标签可用于声明记录,并通过强制执行标签指定的保留和删除规则来帮助管理内容的数据生命周期。 有关保留标签的详细信息,请参阅 了解保留策略和保留标签

邮件属性的条件

搜索 Exchange Online 中的邮箱或公用文件夹时,使用邮件属性创建条件。 下表列出了可以用于条件的电子邮件属性。 这些属性是前面所述的电子邮件属性的子集。 为了方便起见,将重复这些说明。

条件 说明
消息类型 要搜索的邮件类型。 此属性与 Kind 电子邮件属性相同。 可能的值:
  • 联系人
  • 文档
  • 电子邮件
  • externaldata
  • fax
  • 即时消息
  • 日志
  • 会议
  • microsoftteams
  • notes
  • 公告
  • RSS 源
  • 任务
  • 语音邮件
参与者 电子邮件中的所有人员字段。 这些字段为“发件人”、“收件人”、“抄送”和“密件抄送”。 (请参阅收件人扩展)
接收时间 收件人接收电子邮件的日期。 此属性与 Received email 属性相同。
收件人 电子邮件中的所有收件人字段。 这些字段为“收件人”、“抄送”和“密件抄送”。 (请参阅收件人扩展)
发件人 电子邮件的发件人。
发件箱 发件人发送电子邮件的日期。 此属性与“已发送邮件”属性相同。
主题 电子邮件主题行中的文本。

注意:请勿在此条件的值中包含双引号,因为使用此搜索条件时会自动添加引号。 如果向值添加引号,则会向条件值添加两对双引号,并且搜索查询将返回错误。
To “收件人”字段中电子邮件的收件人。
主题1 电子邮件会话或对话中讨论的主要主题或主题的摘要。
Item 类 电子邮件项的邮件类属性。 这是一个多值条件。 若要选择多个邮件类,请按住 Ctrl 键,并在下拉列表中选择两个或多个要添加到条件的邮件类。 列表中选择的每个消息类在逻辑上由相应搜索查询中的 OR 运算符连接。

有关 exchange 使用的邮件类 (及其相应的邮件类 ID) 的列表,以及可在 “邮件类 ”列表中选择的邮件类 ID,请参阅 项目类型和邮件类

文档属性的条件

在 SharePoint 和 OneDrive 网站上搜索文档时,使用文档属性创建条件。 下表列出了可以用于条件的文档属性。 这些属性是前面所述的网站属性的子集。 为了方便起见,将重复这些说明。

条件 说明
作者 作者字段位于 Office 文档中,复制文档后仍然存在其中。 例如,如果用户创建文档并将其通过电子邮件发送到其他人,然后将其上传到 SharePoint,则该文档仍保留原始作者。
已创建 创建文档的日期。
文件类型 文件的扩展名;例如,docx、one、pptx 或 xlsx。 此属性与 FileExtension 网站属性相同。

注意: 如果在搜索查询中包含使用 EqualsEquals 任 一运算符的文件类型条件,则不能通过将通配符 ( * ) 包含在文件类型) 末尾来返回文件类型的所有版本来使用前缀搜索 (。 如果这样做,则忽略通配符。 例如,如果包含 条件 Equals any of doc*,则仅返回扩展名为 的文件 .doc 。 不会返回扩展名 .docx 为 的文件。 若要返回文件类型的所有版本,请在关键字 (keyword) 查询中使用 property:value 对;例如 。 filetype:doc*
上次修改时间 上次修改文档的日期。
路径1 SharePoint 网站中文件或文件夹的 URL 或位置。
敏感信息类型 (SIT) 1 文档中包含的敏感信息类型。 SCT 是基于模式的分类器,可检测敏感信息,例如社会保障、信用卡或银行帐号,以识别敏感项目。 有关 SIT 的详细信息,请参阅 了解敏感信息类型
敏感度标签1 应用于文档的敏感度标签。 敏感度标签允许对组织数据进行分类和保护,同时确保用户的工作效率及其协作能力不受阻碍。 有关敏感度标签的详细信息,请参阅 了解敏感度标签。
标题 文档的标题。 Title 属性是 Office 文档中指定的元数据。 它不同于文档的文件名。

与条件一起使用的运算符

添加条件时,请选择与条件的属性类型匹配的运算符。 下表描述了使用条件的运算符,并列出了搜索查询中使用的等效运算符。

运算符 查询等效项 说明
活动后 property>date 与日期条件一起使用。 返回在指定日期后发送、接收或修改的项。
活动前 property<date 与日期条件一起使用。 返回在指定日期前发送、接收或修改的项。
Between date..date 使用日期和大小条件。 与日期条件一起使用时,返回在指定日期范围内发送、接收或修改的项目。 当使用大小条件时,返回大小在指定范围内的项。
包含任意 (property:value) OR (property:value) 对指定字符串值的属性使用 条件。 返回包含一个或多个指定字符串值任何部分的项目。
不包含任何 -property:value

NOT property:value

 对指定字符串值的属性使用 条件。 返回不包含指定字符串值任何部分的项目。
不等于任何 -property=value

NOT property=value

 对指定字符串值的属性使用 条件。 返回不包含特定字符串的项目。
等于2 size=value 返回与指定大小相等的项目。
等于任何 (property=value) OR (property=value) 对指定字符串值的属性使用 条件。 返回与一个或多个指定字符串值匹配的项。
2 size>value 返回指定属性大于指定值的项。
大于或等于2 size>=value 返回指定属性大于或等于指定值的项。
2 size<value 返回小于指定值的项。
小于或等于2 size<=value 返回小于或等于指定值的项。
不等于2 size<>value 返回与指定大小不相等的项目。

注意

1 此运算符是电子数据展示高级功能条件。

2 此运算符仅适用于使用 Size 属性的条件。

  • Last updated on