流程報告
電子檔探索包含一個 進程管理員 ,其中列出範圍為目前電子檔探索頁面的所有進程。 例如,如果您在 「搜尋 」頁面上,「流程管理員」會列出與目前搜尋相關的所有流程。 如果您位於案例中,「流程管理員」會列出與目前案例相關的所有流程。 「程序管理員」清單中的每個程序都包含詳細的報告 .zip 檔案,其中包含程序完成後程序的詳細資訊。 您可以下載程序報告 .zip 檔案,以取得有關程序執行時間、套用的設定、使用的查詢,以及程序是否有任何項目層級或位置層級錯誤的詳細資訊。
若要深入瞭解程式報表電子檔探索,請觀看下列影片:
重要事項
您無法刪除或移除 [進程管理員 ] 頁面上列出的進程。 長時間執行的進程會在 7 天後自動逾時。
處理程序類型和描述
使用者動作會在管理搜尋、檢閱集和保留時觸發這些程式。
| 製程類型 | 區域 | 說明 |
|---|---|---|
| 加入評論 | 檢閱集 | 使用者將搜尋結果新增至檢閱集,或從另一個檢閱集將專案新增至檢閱集。 專案會複製到 Azure 儲存體位置,然後重新編製 Azure 儲存體位置中的這些專案索引。 查詢和分析資料集中的項目時會使用此新索引。 |
| 套用或更新保留 | Hold | 使用者將資料來源置於保留狀態或更新保留。 |
| 匯出 | 搜尋 檢閱集 |
使用者會從搜尋或檢閱集匯出檔。 匯出過程完成後,他們可以將匯出的資料下載到本機電腦。 |
| 產生範例 | 搜尋 | 在使用者建立並執行新的搜尋估計值 (或重新執行現有的搜尋估計值) 之後,搜尋工具會準備符合您可以預覽的搜尋查詢) 的項目子集範例子集 (。 預覽搜尋結果可協助您判斷搜尋的有效性。 |
| 產生統計資料 | 搜尋 | 使用者建立並執行或重新執行搜尋估計值之後,搜尋工具會在索引中搜尋符合搜尋查詢的項目,並準備估計值,其中包括搜尋中所有項目的數目和總大小、搜尋的資料來源數目,以及搜尋點擊的其他相關模式,例如關鍵字, 敏感資訊類型等等。 |
| 執行分析 | 搜尋 | 使用者會藉由執行電子檔探索分析工具來分析檢閱集中的數據,例如接近重複偵測、電子郵件線程分析和主題分析。 |
| Tag | 檢閱集 | 當使用者在檢閱檢閱集中的檔時,在 [ 標記 ] 面板中選取 [ 開始標記程式 ] 時,就會觸發此程式。 使用者可以在檢閱集中標記檔,然後在檢視檔面板中大量選取檔之後,啟動此程式。 |
處理狀態
下表說明進程的不同狀態:
| 狀態 | 描述 |
|---|---|
| 廢棄 | 該過程已自動停止。 此停止可能是由於處理時間過長或其他原因造成的。 |
| 已取消 | 使用者取消了該過程。 |
| 已完成 | 該過程順利完成。 |
| 失敗 | 程序發生錯誤且未完成。 此錯誤可能是由格式錯誤的查詢所造成。 |
| 進行中。 | 該過程正在進行中。 您可以在區域的 「流程管理員 」中監控流程的進度。 |
下載報告
所有程序都支援下載封裝報告的功能。 封裝的報告名稱為 Reports-*caseName-EntityName-ProcessName-timestamp*.zip,是 EntityName 搜尋或保留的使用者名稱。 視程序而定,報告包含不同的 .csv 檔案。
-
摘要:追蹤程序開始的時間、結束時間、項目或位置總數,以及提交程序請求的使用者。 它也包含使用的搜尋查詢,以及是否套用 合規性界限 。 針對 [ 新增至檢閱集 ] 和 [從搜尋程式匯 出] ,摘要報表包含影響新增至檢閱集或匯出的專案總計數的因素摘要。 報告名稱為
Summary_*the date/time of the report*.csv。 -
設定:包含程序和值的列舉設定參數。 報告名稱為
Settings_*the date/time of the report*。 -
統計資料:包含程序的所有統計資料詳細資料,包括所有類別, (如果在程序提交) 期間選取設定,例如敏感性資訊類型、資料類型和通訊參與者。 報告名稱為
Statistics_*the date/time of the report*。 -
位置:追蹤所有資料來源和流程範圍的關聯位置。 包括使用者/群組實體名稱、位置 (信箱/網站 URL) ,以及針對該位置傳回的計數。 也包括位置的狀態 (成功/錯誤和錯誤詳細資料) 。 報告名稱為
Locations_*the date/time of the report*。 -
項目:追蹤所有已處理的項目,包括項目 ID、項目位置、項目的主題/標題、項目類別/類型以及成功/錯誤狀態等資訊。 報告名稱為
Items_*the date/time of the report*。
下表顯示程序型別和可用報告:
| 製程類型 | 摘要 | 設定 | 統計資料 | 位置 | 項目 |
|---|---|---|---|---|---|
| 加入評論 |
|
|
|
|
|
| 套用保留/重新執行原則 |
|
|
|||
| 匯出 (檢閱集) |
|
|
|
|
|
| 匯出 (搜尋) |
|
|
|
|
|
| 產生範例 |
|
|
|
|
|
| 產生統計資料 |
|
|
|
|
|
| 編輯 |
|
|
|
||
| Tag |
|
|
摘要 CSV 報告
所有報告套件都包含一個 Summary-*the date/time of the report*.csv 檔案。 此檔案包含下列資訊:
概觀
報告的這一部分包括以下詳細數據:
- 作業標識碼:指派給每個電子檔探索程式的唯一識別碼,以供支援參考。
- 案例名稱:指派給電子檔探索案例的名稱。
- 搜尋名稱:當程式執行時,提供給電子檔探索案例內特定搜尋的名稱。 此詳細數據僅適用於 產生統計資料、 產生的範例、 新增至檢閱集和從搜尋匯 出 等程式。
- 檢閱集名稱:當程式執行時新增搜尋結果的檢閱集名稱。 此詳細數據僅適用於 [ 新增至檢閱集 ] 和 [從檢閱集匯出 ] 程式。
- 匯出名稱:匯出的名稱。 此詳細數據僅適用於 [ 新增至檢閱集 ] 和 [從檢閱集匯出 ] 程式。
- IsRetry:指出目前的進程是否是由 [ 重試失敗的位置 ] 作業觸發。 如果值為 [是],則它包含彙總的命中計數,且位置報告會詳細說明失敗的位置。 此詳細資料僅適用於 產生統計資料 程序。
- 查詢:適用程序類型的查詢條件。
- StartTime:報表產生開始的日期和時間。
- EndTime:報表產生完成的日期和時間。
- SubmittedBySmtp:建立報表之使用者的 SMTP 位址。
- 已套用安全性篩選器:指出是否在程序執行期間套用安全性篩選器。 是 表示篩選是用來根據系統管理員在 PowerShell 中設定的指定準則來限制結果。
- 位置限制:套用的篩選器,將搜尋限制在特定位置。 若要檢閱已篩選的信箱,您可以搭配 Get-Mailbox 或 Get-Recipient Cmdlet 和 -Filter 屬性使用提供的查詢。 例如,如果篩選屬性是 Department -eq 'marketing',請使用 Get-Recipient -Filter “Department -eq 'marketing' 擷取相關信箱。 輸出會列出允許搜尋的所有信箱。
- 內容限制:在搜尋期間用來篩選內容的查詢。 符合此查詢的內容會包含在搜尋結果中。 提供的查詢可用於執行 KeyQL 搜尋。
搜尋結果
符合搜尋查詢的項目數目摘要,包括部分索引項目或執行進階索引的項目, (視您選取的設定而定) 。 報告的這一部分包括以下詳細數據:
- 索引項目:符合 Exchange 和 SharePoint 原生索引之查詢的項目數目。
- 部分索引項目:可能不符合查詢的部分索引項目數目。 如果您選擇包含部分索引項目,則包含。
- 進階索引項目:如果您選擇對部分索引項目執行進階索引,則符合查詢的項目數。
消費總結
報告的這一部分包括以下詳細數據:
- Microsoft 365 內容資料:所有 Microsoft 365 資料的資料大小總計。
- Microsoft 365 中繼資料:所有 Microsoft 365 資料和 Microsoft 365 Copilot 資料的中繼資料總大小。
- 非 Microsoft 365 AI 內容資料:所有非 Microsoft 365 AI 資料的資料總大小。 包括來自 Microsoft Fabric Copilot、Microsoft Security Copilot 的數據,以及來自企業和雲端應用程式的其他 AI 數據。
- 非 Microsoft 365 AI 中繼資料:所有非 Microsoft 365 AI 資料的中繼資料總大小。
注意事項
如果您沒有作用中的隨用隨付訂用帳戶,則不會匯出資料或新增至檢閱集。 如需詳細資訊,請參閱 為新客戶啟用 Microsoft Purview 隨用隨付功能。
錯誤
報告的這一部分包括以下詳細數據:
- 擷取例外狀況:由於空白檔案、存取逾時和類似問題等例外狀況,未匯出或新增至檢閱集的專案數目。
警告
- 具有處理錯誤的專案:發生處理錯誤但仍匯出或新增至檢閱集的專案數目。 這些錯誤可能是由不受支援的檔案類型、解密問題和類似問題引起的。
總計
報告的這一部分包括以下詳細數據:
- 收集的專案總數:匯出或新增至檢閱集的專案總數。 此數字會考慮預估結果中的項目、可能增加或減少擷取項目數目的設定,以及因錯誤而未收集的項目。
Information
注意事項
此報告的「 資訊 」區段會顯示項目計數如何根據您選擇的設定增加或減少。 計算程序會使用這些設定並更新搜尋預估計數,因此在大多數情況下,計數不會完全加起來。 這些資訊可讓您了解變更及其背後的原因。
報告的這一部分包括以下詳細數據:
- 已略過檢閱集中 (重複專案) :略過的專案,因為它們已存在於檢閱集中。
- 雲端附件:電子郵件訊息和 Teams 交談中來自透過 SharePoint 或 OneDrive 共用連結的雲端附件數目。 對應至 訊息中) 的存取連結 (雲端附件設定。
- 雲端附件版本:收集的雲端附件版本數目,視您是否選擇在查詢中包含的不只包含最新版本而定。
- 共用時的雲端附件:代表從 SharePoint 或 OneDrive 共用的原始版本的雲端附件版本數目。 此計數僅適用於已套用保留標籤的雲端附件,該標籤會在共用時保留檔案的副本。
- 內容對話:收集的內容聊天訊息數量以及符合您查詢的訊息。 此計數顯示在有命中的訊息之前和之後收集的其他訊息數。 對應至設定「包含 Teams 和 Viva Engage 交談」。
- 合併為文字記錄的 Teams 交談:轉換成 HTML 文字記錄檔案的 Teams 聊天交談。 此轉換會導致許多 Teams 聊天訊息合併為單一 HTML 文字記錄。 對應至設定「將交談組織成 HTML 文字記錄」。
- SharePoint 檔案版本:收集的 SharePoint 檔案版本數目,取決於您是否選擇包含的不只包含最新版本。
- 收集為 .csv 檔案的 SharePoint 清單專案:來自相同 SharePoint 清單的相符專案會匯出或新增至檢閱集,做為單一 SharePoint 清單 csv 專案。 對應至設定「收集附加至 SharePoint 清單及其子專案的檔案」。
- 清單附件:收集的清單附件數目。 對應至設定 [收集附加至 SharePoint 清單的檔案時包含清單附件]。
- SharePoint 資料夾中的專案:從 SharePoint 資料夾展開且符合您查詢的專案數目。 對應至設定 [收集所有項目] (,即使它們不符合搜尋查詢) 。
- 從父項目擷取的項目:從父項目擷取的內嵌或附加項目數目。 例如,此計數可能包括符合您查詢的電子郵件附件或內嵌影像。
設定 CSV 報告
設定報告可協助您驗證和解譯已提交程序的組態。 此報表包含在可下載的報表套件中,並擷取您在提交程式期間選取的特定選項,例如 [產生統計資料]、[新增至檢閱集] 和 [匯出]。
這些設定直接影響結果的範圍和格式。 這些設定的一些範例包括:
- 包含文件版本:決定要包含的文件版本數,這可以顯著增加匯出資料的數量。
- 將交談組織成 HTML 文字記錄:影響 Teams 交談的線程和呈現方式。
- 存取訊息中的連結:影響從電子郵件和交談中呈現的雲端附件連結擷取檔案。
- 各種導出格式和選項: 影響導出內容的組織和打包方式。
- 解密設定:指出特定進程是否已啟用相關聯的 Exchange 或 SharePoint 解密功能。
了解這些設定對於防禦性和透明度至關重要。 該 settings.csv 檔案可作為您在提交時設定的內容的參考點,可讓您將實際輸出與預期設定進行協調。 在審查結果或回應法律或合規查詢時,這種理解尤其重要。
統計資料 CSV 報表
此報告提供當您完成「 產生統計資料」 程序時,從搜尋點擊衍生的所有型樣的詳細資訊。 報表包含最熱門通訊參與者、最熱門專案類型、最熱門敏感性資訊類型等相關資訊。
報告包含下列詳細資料:
- DataSourceName:與程序相關聯的資料來源名稱清單。 此資訊會指出人員或群組的名稱。
- DateSourceType: 資料來源類型。 例如, Group 或 TeamsGroup。
- 位置:位置資訊。 例如,網站的 URL 或信箱的 SMTP 位址。
- LocationType:位置類型。 例如,信箱或網站。
- LocationSubType:位置類型的子類型。 如果位置類型是 Mailbox,則子類型可能具有 PrimaryMailbox、 SystemMailbox 和其他子類型。 如果位置類型是 Site,則可能有 OneDriveSite 和其他子類型。
- OriginalStateName:StatName 的原生版本。
- StatName:StatType 的名稱。 例如,對於 StatType 關鍵字,可能的值是您在查詢中輸入的關鍵字。
- 統計類型: 統計資料資訊的類型。 例如, 關鍵字、 通訊參與者等。
- 值:與目前資料來源中統計資料相關聯的值或計數。
項目 CSV 報告
此報表提供電子檔探索程式期間處理之所有專案的詳細清查,例如使用 [ 新增至檢閱集 ] 或 [匯出] 動作。 此程序會自動產生此報告,並將其包含在輸出中,以支援稽核、可追蹤性和下游分析。 此報告對於需要驗證收集或匯出內容的範圍和準確性的使用者非常有用。
檔案中的每一列都對應於單一項目,並包含下列中繼資料等:
日期來源:識別郵件箱、SharePoint 網站、Teams 聊天) (專案的原始位置。
複合路徑:來源容器中項目的完整路徑。
主旨/標題:) 電子郵件的主旨行 (,或項目) 文件的標題 (。
日期:與項目相關聯的時間戳記,例如傳送日期或上次修改日期。
新增者:顯示項目如何包含在工作中:
- IndexedQuery:項目已編製索引,且符合搜尋查詢。
- UnindexedQuery:專案會根據其部分索引的內容和使用者指定的設定來包含。
狀態:顯示項目是否已成功擷取和處理。 如果由於存取問題、逾時) 而無法擷取 (項目,則 ErrorWarning 欄位會包含失敗原因。
其他中繼資料:可能包含副檔名、內容類型、工作負載和其他相關屬性,視來源和程序類型而定。
地點 CSV 報表
此報表提供電子檔探索程式期間所鎖定位置的完整概觀,例如 搜尋、 新增至檢閱集或 匯出。 此報告可協助您了解流程的範圍,並評估搜尋結果在不同位置的分佈和相關性。
此報告可協助:
- 熱圖:識別哪些位置產生了最相關的內容,哪些位置沒有產生任何內容,幫助您視覺化資料相關性的「熱點」。
- 查詢精簡:了解您可能需要排除或更精確地鎖定哪些來源。
- 審核和驗證:驗證是否包含預期位置並評估搜尋範圍的有效性。
透過分析 location.csv 報告,您可以就完善搜尋策略和優化未來電子取證工作流程的範圍做出明智的決策。
注意事項
如果多個信箱共用相同的 SMTP 位址,位置報告可能會顯示數個資料列。 發生這種情況是因為單一 SMTP 位址可能包含不同的信箱子類型,例如主要信箱、系統或封存信箱。 CSV 報告中的列計數可能會超過 「統計資料」 視圖中位置卡上顯示的計數。 [ 統計資料] 檢視會彙總相同 SMTP 位址下的所有信箱,而不區分子類型。 如需依子位置更詳細的點擊明細,請使用 CSV 報表,而不是 「統計資料」 檢視。
報表中的每一列都代表唯一的內容位置,並包含下列重要詳細資料:
位置:位置的完整 URL 或 SMTP 位址。 針對全組織的搜尋,沒有命中的網站的位置是空的。 如有需要,請使用 LocationID 來識別網站 URL。
地點 ID: SharePoint 的網站識別碼或信箱的信箱識別碼。
位置子類型:指定位置類型,例如 PrimaryMailbox、 SystemMailbox、 ArchiveMailbox 或 OneDriveSite。
計數:位置中符合搜尋條件的項目數。
大小:位置中回應式項目的總大小(以位元組為單位)。
狀態:指出位置是否已成功處理。 如果搜尋或匯出位置失敗,則 ErrorWarning 欄位會包含失敗原因,例如權限問題或逾時。