共用方式為

評估並優化電子發現中的搜尋結果

評估並精煉您的搜尋結果是電子發現調查中的重要一步。 你設定的搜尋查詢及其結果,有助於判斷是否發現與調查相關的項目和資訊,或是需要調整搜尋以嘗試發現更多相關項目。 這項初步的項目搜尋與資訊的初步審查,有助於你確定搜尋參數後需要採取哪些行動。

提示

立即開始使用 Microsoft Security Copilot,探索利用 AI 力量更聰明、更快速地工作的新方法。 在 Microsoft Purview 中了解更多關於 Microsoft Security Copilot 的資訊。

評估搜尋結果

建立並執行搜尋後,查看搜尋統計數據,以協助你確認是否找到相關內容以及點擊率最高的內容位置。 您也可以查看搜尋結果範例,進一步判斷內容是否屬於您的調查範圍。

統計儀表板

如果您 選擇統計 作為搜尋的初始結果類型,搜尋結果完成後,搜尋會自動將您重新導向至此儀表板。 如果你已經熟悉先前版本的電子發現, 統計標籤上的 資訊與收款估算相似。 統計儀表板的搜尋結果包含於以下章節:

  • 摘要:本節顯示搜尋結果數、地點、資料來源,以及部分索引項目的總檔案大小。

    • 搜尋結果:顯示所有符合查詢條件的項目的總搜尋結果與數量,來自搜尋地點。
    • 地點:顯示所有搜尋地點中有命中位置的比例。 分子表示有結果的地點,分母表示搜尋的地點數量。 有錯誤的位置以紅色顯示。 欲查看所有地點及相關命中與錯誤的完整細節,請選擇 下載 報告以下載完整 .csv 報告。
    • 資料來源:顯示所有搜尋資料來源中,有命中紀錄的資料來源比例。 分子表示有命中的數據來源,分母表示搜尋中包含的資料來源數量。 此資料來源與搜尋設計流程中的資料來源一致,且應與搜尋中包含的人數或群組數量相符。 一個租戶範圍的「 所有人」和「所有群組 」資料來源,算作一個單一資料來源。
    • 部分索引項目 或「進階索引項目結果」:顯示部分索引及未索引項目的數量與數量,作為搜尋一部分。 若您選擇將部分或未索引的項目納入搜尋設定,此卡片會顯示部分索引項目資訊。 如果你選擇包含部分且未索引的項目並啟用進階索引選項,這張卡片會顯示你從進階索引項目中獲得的額外結果。 進階索引的命中率是從部分索引項目的統計樣本中取得,實際命中可能更多,應透過「加入檢視集」和「匯出搜尋結果」動作來確認。

  • 搜尋點擊趨勢:本區塊顯示以下搜尋結果卡。 圖表具互動性,滑鼠移至可顯示區名、百分比及項目編號。 選擇 「查看前100 名」以獲取每個趨勢中包含項目的更多資訊,並將結果下載到 .csv 檔案:

    • 頂尖資料來源:顯示包含最多搜尋結果與你查詢匹配的前五大資料來源。 這些資料來源的名稱 (使用者、群組或組織整體地點的名稱) 會與點擊數一同列出。 這些資料來源應該與你在建立搜尋查詢時所選擇的資料來源工作流程相符。

    • 最敏感的資訊類型 (SITs) :顯示 SharePoint 檔案) 中最常包含的五大敏感資訊類型 (SITs,這些檔案最常包含在與你的查詢匹配的搜尋結果中。 將每個 SIT 的計數加總不一定對應總計數,因為單一項目或文件可能包含多種 SIT 類型。 例如,一份文件同時包含密碼和社會安全號碼 (社會安全號碼) 。 在這個例子中,它被計算兩次。 我們建議選擇 「查看前100 名」,以更深入了解這些SIT計數的位置,以確認是否重疊。

    • 熱門關鍵字:查詢關鍵字,帶來與你查詢匹配的搜尋結果最多。

      注意事項

      要在統計檢視中產生關鍵字報告,您必須填入至少兩個或以上的關鍵字網格。 如果你只輸入一個關鍵字,顯示的總點擊數會反映該關鍵字的結果,且不會產生關鍵字報告。

    • 熱門項目類型:搜尋結果中最常與你查詢相符的項目類型。 這個計數由 Exchange內容的 itemClassSharePoint內容的ContentType 決定。

    • 索引狀態:未編入 (的細分,包括部分索引的) 及完全索引的資料項目。

    • 主要溝通參與者:電子郵件、Microsoft Teams 聊天及 Exchange 地點行事曆邀請的發送者或收件人。

    • 頂尖地點類型:依地點類型 (信箱與網站) 的點擊數。

選擇 重新生成檢視 以重新執行查詢並檢視最新結果。 選擇 下載報告 ,將所有 統計 結果合併成單一 .csv 檔案。 在查看任何趨勢領域的前100名結果時,請選擇 下載報告 ,即可獲得該熱門趨勢前100名的 .csv 檔案。

注意事項

搜尋統計資料在14天後失效。 請重新執行超過 14 天的搜尋統計數據以查看最新統計數據。

了解統計數據與搜尋結果

根據你在電子發現中執行搜尋的時間,搜尋統計數據可能會顯示不同的結果。 例如,如果你在完全相同的條件下執行兩次搜尋,但時間不同,你很可能會看到不同的統計結果。 這些差異可能由以下原因產生:

  • 你的組織是活躍的:因為你在生產環境中有活躍使用者,組織中的資料會不斷被移動、新增、刪除和退休。 相同的搜尋條件在相同地點執行時,可能會回傳不同的搜尋結果,因為這些地點的資料在搜尋期間有變化。
  • 暫時性錯誤:當你執行搜尋 (、匯出或新增到審查集) 時,可能會發生暫時性處理錯誤,尤其是對大量資料而言。 這些錯誤常因處理逾時而發生,可以透過將搜尋拆分成較小的日期範圍並並同步匯出資料來減輕。 務必嘗試將搜尋拆分成較小的規模,並以更具體的搜尋條件和針對特定地點進行精準定位。 這種做法有助於流程更有效率地運作,並降低錯誤機率。
  • 位置存取:某些情境會導致搜尋中包含的位置無效、無法存取或在處理過程中逾時。 當你比較兩個條件相同搜尋的結果時,請確保你成功搜尋的地點是否相符。 例如,對 1,000 個地點的搜尋,可能第一次搜尋有一個失敗地點,第二次則沒有失敗地點。 此例表示第一次搜尋成功搜尋了999個地點,第二次搜尋了1,000個地點。 同一地點的差異是兩次搜尋結果差異的原因。 使用 locations.csv報告 進行搜尋、匯出及新增,以檢視既定流程,以檢視哪些地點成功、哪些失敗的完整報告。 重播搜尋任何失敗地點。
  • 執行搜尋的使用者:依使用者開始搜尋流程,使用者可能已套用或未套用合規邊界或合規搜尋篩選器。 此篩選器會根據信箱屬性篩選位置,或根據內容路徑篩選 SharePoint 網站) (。 若使用合規邊界或搜尋權限篩選,使用者的結果可能會受到限制。 例如,有一位使用者沒有套用合規邊界,但另一位使用者套用了合規邊界,限制該使用者只能使用使用者信箱和 OneDrive 網站到特定區域。 第一位使用者的搜尋會回傳所有區域的信箱和 OneDrive 搜尋條件,而第二位使用者的搜尋則只會對應到允許區域的信箱和 OneDrive 網站。
  • 由於法律限制,搜尋結果數量可能因不同搜尋而有所差異:若您在不同時間執行相同搜尋查詢,搜尋或匯出項目數量可能不同。 這種差異可能發生在搜尋間隙的編輯或刪除項目時。 例如,合法扣押中的商品會保留先前版本,並可能出現在後續的匯出中;而未暫停的商品若不再符合保留條件,可能會改變或被移除。
  • 搜尋統計數據僅為估計值:這些估計不應用來與 OneDrive 及 SharePoint 網站儲存空間做比較。 估計使用基於索引的近似,因此估計的電子發現內容大小可能有所不同。 網站儲存通常包含電子發現估算中未反映的資料,例如檔案版本及回收筒中的項目。 若要查看網站內容,請使用 匯出流程 ,而非統計儀表板的大小估計。

範例儀表板

如果您選擇「 範例 」作為搜尋的初始結果類型,搜尋結果完成後,您將自動導向至此儀表板。 範例 儀表板欄位 的搜尋結果包含每個項目的以下資訊:

  • 主題/標題:範例中所包含項目的主題或標題。
  • 日期:物品創建或寄送的日期。
  • 寄件人/作者:物品的寄件人或作者。

樣本可以讓你檢視代表性的個別項目子集,以及每個回傳項目的細節。 每個地點的樣本數量以及搜尋中定義的樣本位置數量,決定了樣本項目的數量及樣本項目中的位置表示。

選擇一個範例項目以查看該項目的 來源 資訊。 若該項目有此選項,此檢視會顯示所選項目的豐富視圖,讓您能評估該項目與定義搜尋資料來源及條件的相關性。

注意事項

你產生的範例項目有效期為 24 小時。 如果你在超過 24 小時前產生了檢視,請重新生成檢視以取得與搜尋查詢相符的最新樣本。

選擇 重新生成檢視 以重新執行查詢並檢視最新結果。 選擇 下載報告 ,將所有 樣本 結果合併成單一 .csv 檔案。 選擇 檢視 設定以查看套用到取樣檢視產生的設定。

精煉搜尋結果

根據搜尋結果的估計與統計數據,您可以編輯並精細搜尋結果。 更改搜尋中包含的資料來源,並更改搜尋查詢以擴展或縮小搜尋範圍。 你可以不斷更新並執行搜尋,直到有信心搜尋結果中包含與你案件最相關的內容。

當您對搜尋結果感到滿意後,可以採取以下步驟:

統計數據與出口結果的差異

當你執行電子發現搜尋時,統計資料會回傳符合搜尋條件的 (項目數量及其總大小) 估計值。 然而,您下載的實際匯出搜尋結果的大小與數量,與估計的搜尋結果大小及數量有所不同。

有幾個可能的原因解釋這些差異:

  • 結果估算方式:估算提供的是 (的估計,而非符合搜尋查詢條件的項目的實際數量) 。 為了彙整 Exchange 項目的估算,電子發現會向 Exchange 資料庫請求符合搜尋條件的訊息 ID 清單。 但當你匯出搜尋結果時,搜尋會重新執行,實際訊息也會從 Exchange 資料庫中取得。 差異可能因估算項目數量與實際項目數量的判定方式而產生。

  • 結果大小的估算方式:在估計過程中,會對結果進行近似。 系統會收集大量物品,並用近似值將大小加總。 你應該把尺寸估計看作一個數量級,而不是具體的尺寸衡量。 例如,大小估計為 10 MB,表示資料預期介於 1 MB 到 100 MB 之間。 數字越大,估計值的變異性越大。

    • 對於基於 Exchange 的內容,檔案大小即為訊息與附件位元組中文字的大小。 匯出後,格式會轉換成.msg並加入 .pst 或 .zip 檔案。 這兩種操作都能顯著影響規模。
    • 對於基於 SharePoint 的內容,檔案大小為檔案的近似位元組。 在許多情況下,基於 SharePoint 的資料無法在搜尋時估算檔案大小。

  • 估算到匯出搜尋結果之間的變化:當你匯出搜尋結果時,搜尋會重新啟動,收集符合搜尋條件的最新項目。 在估計搜尋結果收集到匯出之間,可能還產生、傳送或接收符合搜尋條件的其他項目。 也有可能在搜尋結果估算時還在搜尋索引中的項目,因為在匯出前被內容位置清除,所以已經不存在了。 為了減輕此問題,請指定電子發現搜尋的日期範圍,或暫停內容位置,確保項目被保留且無法被清除。

    其他可能導致估計值與匯出搜尋結果差異的問題包括:

    • 使用日期查詢時項目數量增加。 這個問題通常由以下兩個原因引起:

      • SharePoint 的暫停版本控制:如果文件從暫停中刪除且啟用了版本控制,所有已刪除文件的版本都會被保留。
      • 行事曆項目:接受與拒絕訊息,定期會議會自動在背景中用舊日期持續建立新項目。

    • 保留時,可能會同時保存同一項目於使用者的主要信箱和存檔信箱中。 這種情況可能發生在使用者手動將項目移至其檔案庫時。

    • 雖然罕見,但即使是在被暫停的情況下,內建行事曆項目的維護 (用戶無法編輯,但會包含在許多搜尋結果中,) 可能會不時被移除。 這種定期移除行事曆項目的做法,導致出口項目減少。

  • 未索引項目:未索引的項目可能導致估計結果與實際搜尋結果差異。 你可以在匯出搜尋結果時加入未被索引的項目。 如果你在匯出搜尋結果時包含未索引的項目,可能會有更多被匯出的項目。 此差異導致估計值與匯出結果之間的差異。

    使用搜尋時,匯出搜尋結果時可以包含未被索引的項目。 統計 頁面會列出搜尋中回傳的未索引項目數量。 匯出搜尋結果時,你可以選擇是否包含未索引的項目。 你 如何設定這些選項 ,可能會導致估計值和匯出結果之間的差異。

  • SharePoint 與 OneDrive 文件版本:搜尋 SharePoint 網站與 OneDrive 帳號時,文件的多個版本不會包含在估計搜尋結果的統計中。 但你在匯出搜尋結果時可以選擇包含文件版本。 如果你在匯出搜尋結果時包含文件版本,匯出項目的實際數量 (和總大小) 會增加。

  • SharePoint 資料夾:如果 SharePoint 中的資料夾與搜尋查詢相符,例如依日期搜尋,搜尋估計會包含這些資料夾中最近修改日期範圍 (的資料夾數量,但不包含該資料夾) 的項目。 匯出搜尋結果時,你可以選擇匯出匹配資料夾子資料夾中的項目,或只包含與搜尋查詢相符的項目。 這個選項會影響出口物品的數量。 如果資料夾是空的,實際匯出的搜尋結果數量會減少一個項目,因為實際的資料夾沒有匯出。

  • SharePoint 清單:如果 SharePoint 清單名稱與搜尋查詢相符,搜尋估算會包含清單中所有項目的計數。 當你匯出搜尋結果時,清單 (,清單項目) 會匯出成一個 CSV 檔案。 你可以選擇包含清單附件的匯出設定,附件會匯出成獨立文件,這可能會增加匯出項目數量。

  • 原始檔案格式與匯出檔案格式:對於 Exchange 項目,搜尋結果的估計大小是利用原始 Exchange 訊息大小計算。 然而,電子郵件會匯出成 PST 檔案或作為單封郵件。 這兩種匯出選項使用的檔案格式與原始 Exchange 訊息不同,導致匯出總檔案大小與預估檔案大小不同。

  • Last updated on