Поиск содержимого в наборе для проверки с помощью построителя условий запроса

В большинстве случаев полезно углубиться в содержимое набора для проверки и упорядочить его, чтобы упростить более эффективную проверку. Используя фильтры и запросы в наборе для проверки, вы можете сосредоточиться на подмножестве документов, соответствующих критериям проверки.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Использование построителя условий запроса

Чтобы использовать построитель условий запроса в наборе для проверки, выполните следующие действия:

  1. Перейдите на портал Microsoft Purview и войдите с учетными данными для учетной записи пользователя, назначенной разрешениями на обнаружение электронных данных.
  2. Выберите решение eDiscovery карта, а затем выберите Варианты в области навигации слева.
  3. Выберите вариант, а затем перейдите на вкладку Просмотр наборов .
  4. Выберите набор для проверки, а затем перейдите на вкладку Все элементы .
  5. На вкладке Все элементы выберите Запрос.
  6. При необходимости добавьте условия. Дополнительные сведения об использовании условий см . в статье Создание поисковых запросов в eDiscovery с помощью построителя условий.

Запрос содержимого в наборе для проверки

Набор проверки обнаружения электронных данных предоставляет интерфейс запросов, который можно использовать для создания гибких запросов для наборов проверки. Взаимодействие с запросами позволяет:

  • Быстрый поиск содержимого набора проверки, соответствующего определенным условиям.
  • Создавайте сложные запросы с помощью условий AND или OR в KeyQL.
  • Управляйте сохраненными фильтрами, не переходя в другую область, и легко изменяйте запросы, загружая сохраненные запросы.

Важно!

Наборы для проверки по умолчанию включено разбиение на страницы и могут отображать не более 1000 элементов на странице. Используйте фильтры по умолчанию или настраиваемые для настройки отображаемых элементов по мере необходимости. Количество совпадаемых элементов — это оценки. Вы можете отключить разбиение на страницы с помощью управления>Отключение разбиения на страницы.

Чтобы запросить содержимое в наборе для проверки, используйте следующие элементы управления:

  • Выберите Запрос на панели инструментов или синий пузырек над панелью инструментов. Любой примененный запрос также отображается здесь над панелью инструментов.
  • Условие ключевого слова автоматически заполняется для любого нового запроса.
  • AND/OR: эти условные логические операторы позволяют выбрать условие запроса, которое применяется к определенным фильтрам.
  • Добавление условий. Позволяет добавить в запрос несколько условий.
  • Выберите оператор. В зависимости от выбранного фильтра доступны операторы, совместимые с фильтром. Например, если выбрать фильтр Дата , вы увидите доступные операторы "До", "После" и "Между". Если выбрать фильтр Размер , вы увидите доступные операторы Больше, Больше или равно, Меньше, Меньше или равно, Между и Равно.
  • Значение. В зависимости от выбранного фильтра доступны значения, совместимые с фильтром. Кроме того, некоторые фильтры поддерживают несколько значений, а некоторые — одно конкретное значение. Например, если выбрать фильтр Дата , вы выберете значения даты. При выборе фильтра Размер (в байтах) вы выбираете значение для байтов.
  • Очистите значение условия: Чтобы очистить значение внутри условия, выберите X справа от каждой строки условия.
  • Удалить условие фильтра. Чтобы удалить отдельный фильтр или подгруппу, щелкните значок Удалить справа от каждой строки условия.
  • Очистить все. Чтобы очистить весь запрос от всех условий и их значений, выберите Очистить все.
  • Сохранить: сохраняет текущие условия в сохраненный запрос, присвоив ему имя.
  • Загрузка сохраненных фильтров: Сохраненные фильтры позволяют загружать все сохраненные запросы и перезаписывать существующий созданный запрос.
  • Выполните запрос: Для любых созданных вручную условий или открытых сохраненных фильтров выберите Выполнить запрос , чтобы применить запрос к набору проверки. Последний выполняемый запрос сохраняется и доступен при следующем открытии набора проверки даже после завершения работы.
  • Скрыть и показать запрос. Используйте кнопку скрыть и показать, чтобы развернуть и свернуть раздел запроса.

Типы условий

Каждое поле для поиска в наборе для проверки имеет соответствующее условие, которое можно использовать для фильтрации элементов по определенному свойству.

Существует несколько типов фильтров:

  • Свободный текст. Условие свободного текста применяется к текстовым полям, таким как Тема. Вы можете получить список нескольких условий поиска, разделив их запятой.
  • Дата: условие даты используется для полей даты, таких как дата последнего изменения.
  • Параметры поиска. Условие параметров поиска предоставляет список возможных значений (каждое значение отображается с флажком, который можно выбрать) для определенных полей в проверке. Это условие используется для полей, таких как Отправитель, где в наборе для проверки имеется конечное число возможных значений.

Примечание.

Некоторые параметры поиска позволяют вводить свободный текст для сопоставления нескольких значений. Например, при использовании условия Sender с содержит любой элемент, ввод john соответствует элементам, где отправитель имеет johndoe@contoso.comзначение , johnsmith@contoso.comили johnwei@gmail.com. Убедитесь, что введенное значение отображается как таблетка для применения свободного текстового ввода.

  • Ключевое слово. Условие ключевое слово — это конкретный экземпляр условия свободного текста, который можно использовать для поиска терминов. Вы также можете использовать язык запросов, подобный Kusto, в этом типе условия. Например, пользователь может ввести красный и синий в сетке условий ключевое слово, выполнить запрос и получить все элементы в наборе для проверки со словом "red" и "blue". Соответствующие ключевые слова также выделяются в представлении обычного текста на панели предварительного просмотра.

Загрузка наборов

Загруженный набор - это случай добавления данных в набор для проверки. Например, если добавить результаты двух разных поисковых запросов в один набор проверки, каждый из них представляет собой набор нагрузки. Чтобы отфильтровать элементы набора проверки по определенной нагрузке, используйте условие Идентификатор загрузки в построителе запросов:

  1. В наборе для проверки выберите + Добавить условия в области запроса.
  2. Выберите Load Id (Загрузить идентификатор ) в качестве условия.
  3. Задайте для оператора значение Равно любому из.
  4. Начните вводить в поле поиска. Предлагаемые идентификаторы загрузки из набора для проверки отображаются автоматически.
  5. Выберите один или несколько идентификаторов загрузки для фильтрации, а затем выполните запрос.

Этот фильтр полезен, если требуется изолировать элементы из определенной коллекции или сравнить данные по разным нагрузкам, добавленным в тот же набор проверки.

Чтобы скачать список наборов нагрузки и сведения о столбце, выберите Скачать список , чтобы создать файл .csv, содержащий эти сведения.

Сохранение запросов фильтров и управление ими

После сборки условий сохраните сочетание условий в качестве запроса фильтра. Этот сохраненный запрос фильтра позволяет применить тот же запрос в будущих сеансах проверки.

Чтобы сохранить, выберите Сохранить и присвойте ему имя. Вы или другие рецензенты можете выполнять ранее сохраненные запросы фильтров, выбрав раскрывающийся список Сохраненный фильтр и выбрав запрос фильтра для открытия и выберите Выполнить запрос для применения документов набора проверки.

Чтобы изменить или удалить сохраненный запрос фильтра, выберите Сохраненный фильтр и наведите указатель мыши на сохраненный фильтр и выберите Изменить или Удалить параметры для сохраненного запроса фильтра.

Использование поддержки языка запросов для фильтров KeyQL и ключевых слов

При использовании фильтров KeyQL или ключевых слов для создания поискового запроса набора проверки можно использовать язык запросов, подобный Kusto. Язык запросов для этих двух фильтров поддерживает стандартные логические операторы, такие как AND, OR, NOT и NEAR. Он также поддерживает односимвый подстановочный знак (?) и многосимвийный подстановочный знак (*).

Примечание.

Фильтры проверки поддерживают только подстановочные знаки (? или *) для одного термина. Использование подстановочных знаков в поиске фраз, состоящих из нескольких терминов, не поддерживается.

Примеры сценариев

Фильтр для элементов без элементов в наборе для проверки

Администратору обнаружения электронных данных необходимо создать запрос, чтобы найти все элементы в наборе для проверки без применения тегов. В этом примере администратор создает следующий запрос набора проверки:

  1. Для первого условия администратор выбирает Добавить условия и выполняет поиск условия тега . Условие Теги отображается в качестве соответствующего параметра. Администратор выбирает его и нажимает кнопку Применить.
  2. Затем администратор выбирает оператор Является пустым для условия Теги .
  3. Администратор выбирает Выполнить запрос.

Этот список наборов для проверки обновлен, чтобы отобразить все элементы, к которым не применены теги.

Фильтрация элементов собственного типа файлов в наборе для проверки

Администратору обнаружения электронных данных необходимо создать запрос, чтобы найти все элементы в наборе для проверки определенного типа, например .csv, .msg или .pdf. В этом примере администратор создает следующий запрос набора проверки:

  1. Для первого условия администратор выбирает Добавить условия и выполняет поиск файла в поиске условий. Условие Расширение собственного файла является одним из параметров, отображаемых в результатах поиска. Администратор выбирает его и нажимает кнопку Применить.
  2. Затем администратор выбирает оператор Equals any of .
  3. Администратор выбирает поле значения и выбирает типы файлов в раскрывающемся списке, например CSV для включения в запрос.
  4. Администратор выбирает Выполнить запрос.

Набор для проверки обновляется, и отображаются только элементы, соответствующие выбранным типам файлов.

Фильтрация частично индексированных элементов

Если выбрать параметр для включения частично индексированных элементов при добавлении поиска в набор для проверки, возможно, потребуется определить и просмотреть эти элементы. Вы можете определить, может ли элемент иметь отношение к вашему исследованию и нужно ли исправить ошибку, которая привела к частичному индексации элемента.

  1. Выберите Добавить условия в пространстве сборки запроса.
  2. Найдите условие KQL и нажмите кнопку Применить.
  3. Оставьте оператор равным и введите AddedBy в поле редактора KQL. Вы можете отфильтровать элементы, добавленные в набор проверки, применив KQL для AddedBy=UnindexedQuery.
  4. Выберите Выполнить запрос.

Набор проверки обновляется, и отображаются только элементы, соответствующие частично индексированного запроса.

Фильтрация документов по теме

Фильтрация документов по темам позволяет сэкономить время при просмотре документов. Например, если вы ищете документы, в которых обсуждается определенная тема, можно отфильтровать документы по основной теме, связанной с этой темой. Вы также можете фильтровать документы по другим темам в списке тем, чтобы найти документы, похожие на интересующий вас документ. Чтобы отобразить темы для документа в виде столбца в списке документов для набора для проверки, выберите Настроить столбцы и выберите Основная тема и Список тем.

Чтобы отфильтровать документы по темам, выполните следующие действия.

  1. В наборе для проверки добавьте условие доминантной темы .
  2. Выберите оператор для использования с темой "Доминант" и определите значение для использования с оператором .
  3. Используйте дополнительное условие списка тем , а также оператор и значения для применения к этому фильтру. Операторы AND и OR можно настроить для фильтрации документов по сочетанию значений основной темы и списка тем .
  • Last updated on