Exchange Server In-Place eDiscovery 검색 만들기

  • 아티클

In-Place eDiscovery 검색을 사용하여 Exchange Server organization 모든 사서함 및 공용 폴더에서 콘텐츠를 검색합니다. 여기에는 소송 보류 또는 보류에 배치된 사용자에 대해 영구적으로 삭제된 항목 및 수정된 항목의 원래 버전(복구 가능한 항목 폴더)을 검색하는 In-Place 포함됩니다. 이러한 검색에 대한 자세한 내용은 Exchange Server In-Place eDiscovery를 참조하세요.

시작하기 전에

  • 이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 Exchange Server 항목의 메시징 정책 및 규정 준수 권한에서 "In-Place eDiscovery" 항목을 참조하세요.

  • eDiscovery 검색을 만들려면 검색을 만드는 organization SMTP 주소가 있어야 합니다. Exchange 하이브리드 organization 온-프레미스 Exchange 사서함에 해당 메일 사용자 계정이 Microsoft 365 또는 Office 365 organization 있어야 합니다(예: 테넌트 관리자 계정). 해당 계정에는 Exchange Online 라이선스가 할당되어야 합니다. 현재 위치 eDiscovery 검색에 대한 Microsoft 365 또는 Office 365 라이선스 요구 사항에 대한 자세한 내용은 Exchange Online 서비스 설명을 참조하세요.

  • Exchange Server 설치 프로그램에서 검색 검색 사서함이라는 검색 사서함을 만들어 검색 결과를 복사합니다. 검색 사서함을 추가로 만들 수 있습니다. 자세한 내용은 검색 사서함 만들기를 참조하십시오.

  • 검색을 만들 때 검색 결과에 반환된 메시지는 검색 사서함에 자동으로 복사되지 않습니다. 검색을 만든 후 EAC(Exchange 관리 센터)를 사용하여 검색 결과를 예측 및 미리 보거나 검색 사서함에 복사할 수 있습니다. 검색 결과를 .pst 파일로 내보낼 수도 있습니다. 자세한 내용은 다음을 참조하세요.

  • 온-프레미스 Exchange 조직에서 Exchange 관리 셸을 여는 방법을 확인하려면 Exchange 관리 셸 열기를 참조하세요.

앞에서 설명한 것처럼 eDiscovery 검색을 만들려면 조직에 SMTP 주소가 있는 사용자 계정으로 로그인해야 합니다.

  1. 준수 관리>현재 위치 eDiscovery & 보류로 이동한 다음 추가 아이콘을 클릭합니다.

  2. 새 In-Place eDiscovery & 보류 창의 이름 및 설명 페이지에서 검색 이름을 입력하고 선택적 설명을 추가한 다음 다음을 클릭합니다.

  3. 사서함 및 공용 폴더 페이지에서 검색할 콘텐츠 원본을 선택합니다.

    • 검색에 모든 사서함을 포함하려면 모든 사서함 검색을 클릭합니다. 이 옵션을 선택하면 검색에 대해 In-Place 보류를 사용하도록 설정할 수 없습니다.

    • 검색에서 사서함을 제외(공용 폴더만 검색)하려면 사서함을 검색하지 않음을 클릭합니다.

    • 검색에 특정 사서함을 포함하려면 검색할 사서함 지정을 클릭한 다음 검색하려는 사서함을 추가합니다.

    • 검색에 공용 폴더를 포함하거나 공용 폴더를 보류하려면 모든 공용 폴더 검색을 클릭합니다. 공용 폴더 검색에 대한 자세한 내용은 In-Place eDiscovery를 사용하여 공용 폴더 검색 및 보류를 참조하세요.

    In-Place eDiscovery를 사용하여 공용 폴더를 검색하고 보류합니다.

  4. 검색 쿼리 페이지에서 다음 필드를 작성합니다.

    • 모든 콘텐츠 포함: 검색 결과에 모든 콘텐츠를 포함하려면 이 옵션을 선택합니다. 이 옵션을 선택하면 추가 검색 조건을 지정할 수 없습니다.

    • 조건에 따라 필터링: 키워드, 시작 및 종료 날짜, 보낸 사람 및 받는 사람 주소 및 메시지 유형을 포함하여 검색 조건을 지정하려면 이 옵션을 선택합니다. 검색 쿼리에 대한 자세한 내용은 Exchange Server In-Place eDiscovery에 대한 메시지 속성 및 검색 연산자를 참조하세요.

      eDiscovery 검색 쿼리를 구성합니다.

      참고

      받는 사람:받는 사람/참조/숨은 참조: 필드는 검색을 실행할 때 생성된 검색 쿼리에서 OR 연산자에 의해 연결됩니다. 즉, 지정된 사용자가 보내거나 받은 모든 메시지(및 다른 검색 조건과 일치)가 검색 결과에 포함됩니다. 날짜는 AND 연산자에 의해 연결됩니다.

  5. In-Place Hold 설정 페이지에서 선택한 원본에 검색 쿼리와 일치하는 콘텐츠 배치 검사 상자를 선택한 다음, 다음 옵션 중 하나를 선택하여 항목을 In-Place 보류에 배치할 수 있습니다.

    • 무기한 보존: 반환된 항목을 무기한 보류에 배치하려면 이 옵션을 선택합니다. 보류 중인 항목은 검색에서 콘텐츠 원본을 제거하거나 검색을 삭제할 때까지 유지됩니다.

    • 수신 날짜를 기준으로 항목을 보관할 날짜 수 지정 특정 기간 동안 항목을 보관하려면 이 옵션을 사용합니다. 예를 들어 조직에서 모든 메시지를 7년 이상 유지해야 할 경우에 이 옵션을 사용할 수 있습니다. 보존 정책과 함께 시간 기반 In-Place 보존을 사용하여 항목이 7년 후에 삭제되도록 할 수 있습니다.

      중요

      법적 목적으로 콘텐츠 원본 또는 특정 항목을 In-Place 보류에 배치하는 경우 일반적으로 항목을 무기한 보관하고 사례 또는 조사가 완료되면 보류를 제거하는 것이 좋습니다.

  6. 검색을 저장하고 지정한 조건에 따라 검색에 의해 반환될 항목의 예상 전체 크기 및 개수를 반환하려면 마침을 클릭합니다. 예상 값은 세부 정보 창에 표시됩니다. 새로 고침아이콘을 클릭합니다. 세부 정보 창에 표시되는 정보를 업데이트합니다.

다음은 Exchange 관리 셸을 사용하여 사서함 및 공용 폴더의 콘텐츠를 검색하고 보류하는 네 가지 예입니다. Exchange Management Shell을 사용하여 eDiscovery 검색을 만드는 방법에 대한 자세한 구문 및 매개 변수 정보는 New-MailboxSearch를 참조하세요.

예 1

이 예제에서는 ContosoProjectA 키워드를 포함하는 항목에 대한 검색 Discovery-CaseId012 만듭니다. 검색 결과는 보존 기간이 무제한인 In-Place 보류에 배치됩니다. 검색에는 다음 조건도 포함됩니다.

  • 시작 날짜: 2013년 1월 1일

  • 종료 날짜: 2015/12/31

  • 원본 사서함: DG-Finance

  • 대상 사서함: 사서함 검색

  • 메시지 유형: Email

  • 로그 수준: 전체

중요

검색 쿼리, 날짜 범위 또는 메시지 유형을 지정하지 않으면 원본 사서함 또는 공용 폴더의 모든 항목이 결과에 반환됩니다. 결과는 EAC의 검색 쿼리 페이지에서 모든 콘텐츠 포함을 선택하는 것과 유사합니다.

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2013" -EndDate "12/31/2015" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full -InPlaceHoldEnabled $true

Start-MailboxSearch "Discovery-CaseId012"

Exchange 관리 셸을 사용하여 In-Place eDiscovery 검색을 만든 후에 는 Start-MailboxSearch cmdlet을 사용하여 TargetMailbox 매개 변수에 지정된 검색 사서함에 메시지를 복사하여 검색을 시작해야 합니다. 자세한 내용은 EDiscovery 검색 결과 검색 사서함으로 복사를 참조하세요.

참고

StartDateEndDate 매개 변수를 사용하는 경우 로컬 컴퓨터 설정이 dd/mm/yyyy와 같은 다른 날짜 형식을 사용하도록 구성된 경우에도 mm/dd/yyyy의 날짜 형식을 사용해야 합니다. 예를 들어 2015년 4월 1일부터 2015년 7월 1일 사이에 보낸 메시지를 검색하려면 시작 날짜와 종료 날짜에 2015년 4월 1 일과 2015년 7월 1일을 사용합니다.

예 2

이 예제에서는 2015년 Alex Darrow가 사라 데이비스에게 보낸 전자 메일 메시지를 검색하는 HRCase090116이라는 In-Place eDiscovery 검색을 만듭니다.

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

Start-MailboxSearch "HRCase090116"

예 3

이 예제에서는 2015년 1월 1일부터 2015년 6월 30일 사이에 전송된 항목에 대해 organization 모든 공용 폴더를 검색하고 "특허 침해"라는 문구를 포함하는 추정 전용 검색을 만듭니다. 검색에는 사서함이 포함되지 않습니다. Start-MailboxSearch cmdlet은 예상 전용 검색을 시작하는 데 사용됩니다.

New-MailboxSearch -Name "Northwind Subpoena-All PFs" -AllPublicFolderSources $true -AllSourceMailboxes $false -SearchQuery "patent infringement" -StartDate "01/01/2015" -EndDate "06/30/2015" -TargetMailbox "Discovery Search Mailbox" -EstimateOnly

Start-MailboxSearch "Northwind Subpoena-All PFs"

예 4

다음은 모든 사서함 및 공용 폴더에서 "가격표" 및 "Contoso"라는 단어가 들어 있고 2015년 1월 1일 이후에 전송된 콘텐츠를 검색하는 예제입니다. Start-MailboxSearch cmdlet은 검색을 실행하고 검색 결과를 검색 사서함에 복사하는 데 사용됩니다.

New-MailboxSearch -Name "Contoso Litigation" -AllSourceMailboxes $true -AllPublicFolderSources $true -SearchQuery '"price list" AND "contoso"' -StartDate "01/01/2015" -TargetMailbox "Discovery Search Mailbox"

Start-MailboxSearch "Contoso Litigation"

EAC를 사용하여 검색 결과 예상 또는 미리 보기

eDiscovery 검색을 만든 후 EAC를 사용하여 검색 결과의 예상 및 미리 보기를 가져올 수 있습니다. New-MailboxSearch cmdlet을 사용하여 새 검색을 만든 경우 Exchange 관리 셸을 사용하여 검색을 시작하여 검색 결과를 예상할 수 있습니다.

  1. 규정 준수 관리>현재 위치 eDiscovery & 보류로 이동합니다.

  2. 목록 보기에서 검색을 선택한 다음, 다음 중 하나를 수행합니다.

    • 검색 검색아이콘을 클릭합니다.>검색 결과를 예측하여 지정한 조건에 따라 검색에서 반환할 총 크기 및 항목 수를 반환합니다. 이 옵션을 선택하면 검색이 다시 시작되고 예상이 수행됩니다.

      검색 예상치는 세부 정보 창에 표시됩니다. 새로 고침아이콘을 클릭합니다. 세부 정보 창에 표시되는 정보를 업데이트합니다.

    • 세부 정보 창에서 검색 결과 미리 보기를 클릭하여 검색 예상 결과가 완료된 후 결과를 미리 봅니다. 이 옵션을 선택하면 eDiscovery 검색 미리 보기 창이 열립니다. 검색된 사서함 또는 공용 폴더에서 반환된 모든 메시지가 표시됩니다.

      참고

      검색된 사서함 또는 공용 폴더는 eDiscovery 검색 미리 보기 창의 오른쪽 창에 나열됩니다. 각 원본에 대해 반환된 항목 수와 이러한 항목의 총 크기도 표시됩니다. 검색에서 반환된 모든 항목은 오른쪽 창에 나열되며 최신 항목 또는 오래된 항목순으로 정렬할 수 있습니다. 왼쪽 창에서 원본을 클릭하여 각 사서함 또는 공용 폴더의 항목을 오른쪽 창에 표시할 수 없습니다. 특정 사서함 또는 공용 폴더에서 반환된 항목을 보려면 검색 결과를 복사하고 검색 사서함의 항목을 볼 수 있습니다.

    검색 결과를 예측하거나 미리 봅니다.

Exchange 관리 셸을 사용하여 검색 결과 예측

EstimateOnly 스위치를 사용하여 검색 결과의 예상을 얻고 결과를 검색 사서함에 복사하지 않을 수 있습니다. 이렇게 하려면 Start-MailboxSearch cmdlet을 사용하여 예상만 수행하는 검색을 시작해야 합니다. 그런 후에 Get-MailboxSearch cmdlet을 사용하여 예상 검색 결과를 검색할 수 있습니다. Exchange 관리 셸을 사용하여 검색 결과에 반환된 메시지를 미리 볼 수 없습니다.

예를 들어 다음 명령을 실행하여 새 검색을 만든 다음 검색 결과의 추정치를 표시합니다.

New-MailboxSearch "FY15 Q2 Financial Results" -StartDate "04/01/2015" -EndDate "06/30/2015" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics


Start-MailboxSearch "FY15 Q2 Financial Results"

Get-MailboxSearch "FY15 Q2 Financial Results"

위 예제에서 예상 검색 결과에 대한 특정 정보를 표시하려면 다음 명령을 실행하면 됩니다.

Get-MailboxSearch "FY15 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

추가 정보

  • 새 eDiscovery 검색을 만든 후에는 검색 결과를 검색 사서함에 복사한 다음 PST 파일로 내보낼 수 있습니다. 자세한 내용은 다음을 참조하세요.

  • 검색 조건에 키워드를 포함하는 eDiscovery 검색 예상치를 실행한 후 선택한 검색의 세부 정보 창에서 키워드(keyword) 통계 보기를 클릭하여 키워드(keyword) 통계를 볼 수 있습니다. 이러한 통계는 검색 쿼리에 사용된 각 키워드에 대해 반환되는 항목 수에 대한 세부 정보를 보여 줍니다. 그러나 검색에 100개 이상의 원본 사서함이 포함된 경우 키워드(keyword) 통계를 보려고 하면 오류가 반환됩니다. 키워드(keyword) 통계를 보려면 검색에 100개 이하의 원본 사서함을 포함할 수 없습니다.

  • Exchange Online Get-MailboxSearch를 사용하여 eDiscovery 검색에 대한 정보를 검색하는 경우 검색 속성의 전체 목록을 반환하려면 검색 이름을 지정해야 합니다(예Get-MailboxSearch "Contoso Legal Case": ). 매개 변수를 사용하지 않고 Get-MailboxSearch cmdlet을 실행하는 경우 다음 속성이 반환되지 않습니다.

    • SourceMailboxes

    • Sources

    • PublicFolderSources

    • SearchQuery

    • ResultsLink

    • PreviewResultsLink

    • Errors

      그 이유는 organization 모든 eDiscovery 검색에 대해 이러한 속성을 반환하려면 많은 리소스가 필요하기 때문입니다.