준수 검색을 사용하여 Exchange Server 모든 사서함 검색

  • 아티클

Exchange Server 준수 검색 기능을 사용하면 organization 모든 사서함을 검색할 수 있습니다. 최대 10,000개의 사서함을 검색할 수 있는 In-Place eDiscovery와 달리 단일 검색에서 대상 사서함 수에는 제한이 없습니다. organization 전체 검색을 수행해야 하는 시나리오의 경우 New-ComplianceSearch cmdlet을 사용하여 모든 사서함을 검색할 수 있습니다. 그런 다음, In-Place eDiscovery의 워크플로 기능을 사용하여 사서함을 보류하고 검색 결과를 내보내는 등의 다른 eDiscovery 관련 작업을 수행할 수 있습니다. 예를 들어 모든 사서함을 검색하여 법적 사건에 대응하는 특정 보유자를 식별해야 하는 경우를 가정해 보겠습니다. New-ComplianceSearch cmdlet을 사용하여 organization 모든 사서함을 검색하여 사례에 응답하는 사서함을 식별할 수 있습니다. 그런 다음 해당 보유자 사서함 목록을 In-Place eDiscovery의 원본 사서함으로 사용할 수 있습니다. 또한 In-Place eDiscovery를 사용하면 해당 원본 사서함을 보류하고 검색 결과를 검색 사서함에 복사하고 검색 결과를 내보낼 수 있습니다.

이 항목에는 New-ComplianceSearch cmdlet을 실행하여 만든 규정 준수 검색에서 원본 사서함 목록 및 검색 쿼리를 사용하여 In-Place eDiscovery 검색을 만들기 위해 실행할 수 있는 스크립트가 포함되어 있습니다.

1단계: New-ComplianceSearch cmdlet을 실행하여 모든 사서함 검색

첫 번째 단계는 Exchange 관리 셸을 사용하여 organization 모든 사서함을 검색하는 규정 준수 검색을 만드는 것입니다. 단일 준수 검색에 대한 사서함 수에는 제한이 없습니다. 검색이 조사와 관련된 원본 사서함만 반환하도록 적절한 키워드(keyword) 쿼리(또는 중요한 정보 유형에 대한 쿼리)를 지정합니다. 필요한 경우 검색 쿼리를 구체화하여 반환되는 검색 결과 및 원본 사서함의 scope 범위를 좁힐 수 있습니다.

참고

원본 준수 검색에서 결과를 반환하지 않으면 3단계에서 스크립트를 실행할 때 In-Place eDiscovery가 만들어지지 않습니다. 검색 쿼리를 수정한 다음 준수 검색을 다시 실행하여 검색 결과를 반환해야 할 수 있습니다.

다음은 New-ComplianceSearch cmdlet을 사용하여 organization 모든 사서함을 검색하는 예제입니다. 검색 쿼리는 2015년 10월 1일부터 2015년 10월 31일 사이에 보낸 모든 메시지를 반환하며 제목 줄에 "재무 보고서"라는 문구가 포함되어 있습니다. 첫 번째 명령은 검색을 만들고 두 번째 명령은 검색을 실행합니다.

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'

Start-ComplianceSearch -Identity "Search All-Financial Report"

자세한 내용은 New-ComplianceSearch를 참조하세요.

중요

New-ComplianceSearch cmdlet을 사용하여 규정 준수 검색을 만들 때 eDiscovery 검색에 In-Place 섀도 In-Place 생성되고(시작되지 않음) EAC(Exchange 관리 센터)의 In-Place eDiscovery & Hold 페이지에 표시됩니다. 또한 Get-MailboxSearch cmdlet을 사용하여 반환됩니다. 이 사서함 검색의 이름은 ComplianceSearchName -shadow입니다. 섀도 In-Place eDiscovery 검색을 삭제하고 3단계의 스크립트를 사용하여 In-Place eDiscovery 검색을 만드는 것이 좋습니다. Exchange 2016의 누적 업데이트에서 섀도 검색을 만드는 기능이 제거됩니다.

규정 준수 검색은 검색 결과를 포함하는 최대 500개의 원본 사서함을 반환합니다. 검색 쿼리와 일치하는 콘텐츠가 포함된 사서함이 500개 이상인 경우 검색 결과가 가장 많은 상위 500개 사서함만 이전 단계에서 만든 규정 준수 검색에 포함됩니다. 따라서 500개 이상의 사서함에 검색 결과가 포함된 경우 해당 사서함 중 일부는 3단계에서 만든 새 In-Place eDiscovery 검색에 복사된 원본 사서함 목록에 포함되지 않습니다.

원본 사서함이 500개 이하인 규정 준수 검색을 만들려면 다음 단계에 따라 1단계에서 만든 규정 준수 검색에서 반환되는 원본 사서함 수(검색 결과가 포함된)를 표시하는 스크립트를 실행합니다.

  1. .ps1 파일 이름 접미사를 사용하여 다음 텍스트를 Windows PowerShell 스크립트 파일에 저장합니다. 예를 들어 SourceMailboxes.ps1 파일에 저장할 수 있습니다.

    [CmdletBinding()]
Param(
     [Parameter(Mandatory=$True,Position=1)]
     [string]$SearchName
)
$search = Get-ComplianceSearch $SearchName
if ($search.Status -ne "Completed")
{
                "Please wait until the search finishes.";
                break;
}
$results = $search.SuccessResults;
if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
{
                "The compliance search " + $SearchName + " didn't return any useful results.";
                break;
}
$mailboxes = @();
$lines = $results -split '[\r\n]+';
foreach ($line in $lines)
{
    if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
    {
        $mailboxes += $matches[1];
    }
}
"Number of mailboxes that have search hits: " + $mailboxes.Count

  2. Exchange 관리 셸에서 이전 단계에서 만든 스크립트가 있는 폴더로 이동한 다음 스크립트를 실행합니다. 예를 들어:

    .\SourceMailboxes.ps1

  3. 스크립트에서 메시지가 표시되면 1단계에서 만든 준수 검색의 이름을 입력합니다.

    이 스크립트는 검색 결과를 포함하는 원본 사서함의 수를 표시합니다.

원본 사서함이 500개가 넘는 경우 두 개 이상의 규정 준수 검색을 만들어 보세요. 예를 들어 한 규정 준수 검색에서 organization 사서함의 절반을 검색하고 나머지 절반은 다른 규정 준수 검색에서 검색합니다. 검색 조건을 변경하여 검색 결과가 포함된 사서함 수를 줄일 수도 있습니다. 예를 들어 날짜 범위를 지정하거나 키워드(keyword) 쿼리를 구체화할 수 있습니다.

다음 단계는 기존 준수 검색을 In-Place eDiscovery 검색으로 변환하는 스크립트를 실행하는 것입니다. 스크립트에서 수행하는 일은 다음과 같습니다.

  • 변환할 준수 검색의 이름을 묻는 메시지를 표시합니다.

  • 준수 검색 실행이 완료되었는지 확인합니다. 규정 준수 검색이 결과를 반환하지 않고 In-Place eDiscovery가 생성되지 않는 경우

  • 검색 결과가 포함된 규정 준수 검색에서 원본 사서함 목록을 변수에 저장합니다.

  • 다음 속성을 사용하여 새 In-Place eDiscovery 검색을 만듭니다. 새 검색이 시작되지 않았습니다. 4단계에서 시작합니다.

    • 이름: 새 검색의 이름은 준수 검색> 이름_MBSearch1 형식<을 사용합니다. 스크립트를 다시 실행하고 동일한 원본 준수 검색을 사용하는 경우 검색 이름은 준수 검색> 이름_MBSearch2.<

    • 원본 사서함: 검색 결과가 포함된 규정 준수 검색의 모든 사서함입니다.

    • 검색 쿼리: 새 검색은 규정 준수 검색의 검색 쿼리를 사용합니다. 준수 검색에 모든 콘텐츠(검색 쿼리가 비어 있음)가 포함된 경우 새 검색에도 빈 검색 쿼리가 있으며 원본 사서함에 있는 모든 콘텐츠가 포함됩니다.

    • 예상 검색만: 새 검색은 예상 전용 검색으로 표시됩니다. 검색 결과를 시작한 후에는 검색 사서함에 복사하지 않습니다.

  1. ps1의 파일 이름 접미사를 사용하여 다음 텍스트를 Windows PowerShell 스크립트 파일에 저장합니다. 예를 들어 MBSearchFromComplianceSearch.ps1 파일에 저장할 수 있습니다.

    [CmdletBinding()]
Param(
    [Parameter(Mandatory=$True,Position=1)]
    [string]$SearchName,
    [switch]$original,
    [switch]$restoreOriginal
)
$search = Get-ComplianceSearch $SearchName
if ($search.Status -ne "Completed")
{
   "Please wait until the search finishes";
   break;
}
$results = $search.SuccessResults;
if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
{
   "The compliance search " + $SearchName + " didn't return any useful results";
   "A mailbox search object wasn't created";
   break;
}
$mailboxes = @();
$lines = $results -split '[\r\n]+';
foreach ($line in $lines)
{
    if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
    {
        $mailboxes += $matches[1];
    }
}
$msPrefix = $SearchName + "_MBSearch";
$I = 1;
$mbSearches = Get-MailboxSearch;
while ($true)
{
    $found = $false;
    $mbsName = "$msPrefix$I";
    foreach ($mbs in $mbSearches)
    {
        if ($mbs.Name -eq $mbsName)
        {
            $found = $true;
            break;
        }
    }
    if (!$found)
    {
        break;
    }
    $I++;
}
$query = $search.KeywordQuery;
if ([string]::IsNullOrWhiteSpace($query))
{
    $query = $search.ContentMatchQuery;
}
if ([string]::IsNullOrWhiteSpace($query))
{
   New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
}
else
{
   New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
}

  2. Exchange 관리 셸에서 이전 단계에서 만든 스크립트가 있는 폴더로 이동한 다음 스크립트를 실행합니다. 예를 들어:

    .\MBSearchFromComplianceSearch.ps1

  3. 스크립트에서 메시지가 표시되면 In-Place eDiscovery 검색(예: 1단계에서 만든 검색)에 은밀하게 지정할 규정 준수 검색의 이름을 입력한 다음 Enter 키를 누릅니다.

    스크립트가 성공하면 NotStarted의 상태 사용하여 새 In-Place eDiscovery 검색이 만들어집니다. 명령을 Get-MailboxSearch <Name of compliance search>_MBSearch1 | FL 실행하여 새 검색의 속성을 표시합니다.

3단계에서 실행하는 스크립트는 새 In-Place eDiscovery 검색을 만들지만 시작하지는 않습니다. 다음 단계는 검색 결과를 예상할 수 있도록 검색을 시작하는 것입니다.

  1. EAC(Exchange 관리 센터)에서 규정 준수 관리>현재 위치 eDiscovery & 보류로 이동합니다.

  2. 목록 보기에서 3단계에서 만든 In-Place eDiscovery 검색을 선택합니다.

  3. 검색(검색 아이콘) > 을 클릭합니다.검색 결과를 예측하여 검색을 시작하고 검색에서 반환된 총 크기 및 항목 수의 추정치를 반환합니다.

    예상값은 세부 정보 창에 표시됩니다. 새로 고침(새로 고침 아이콘)을 클릭하여 세부 정보 창에 표시되는 정보를 업데이트합니다.

  4. 검색이 완료된 후 결과를 미리 보려면 세부 정보 창에서 검색 결과 미리 보기를 클릭합니다.

또는 Exchange 관리 셸을 사용하여 In-Place eDiscovery 검색을 시작할 수 있습니다. 예를 들면 Start-MailboxSearch -Identity <Name of compliance search>_MBSearch1입니다.

3단계에서 스크립트에서 만든 In-Place eDiscovery 검색을 만들고 시작한 후 일반 In-Place eDiscovery 워크플로를 사용하여 검색 결과에 대해 다른 eDiscovery 작업을 수행할 수 있습니다.

In-Place 보류 만들기

  1. EAC에서 규정 준수 관리>현재 위치 eDiscovery & 보류로 이동합니다.

  2. 목록 보기에서 3단계에서 만든 In-Place eDiscovery 검색을 선택한 다음 편집 (편집 아이콘)을 클릭합니다.

  3. 현재 위치 보존 페이지에서 선택한 사서함에 검색 쿼리와 일치하는 콘텐츠 배치 검사 상자를 선택한 다음, 다음 옵션 중 하나를 선택합니다.

    • 무기한 보존: 검색에서 반환된 항목을 무기한 보류에 배치하려면 이 옵션을 선택합니다. 보류 중인 항목은 검색에서 사서함을 제거하거나 검색을 제거할 때까지 유지됩니다.

    • 받은 날짜를 기준으로 항목을 보관할 일 수를 지정합니다. 특정 기간 동안 항목을 보관하려면 이 옵션을 선택합니다. 기간은 사서함 항목이 수신되거나 만들어진 날짜부터 계산됩니다.

  4. 저장을 클릭하여 In-Place 길게 만들고 검색을 다시 시작합니다.

검색 결과 복사

  1. EAC에서 규정 준수 관리>현재 위치 eDiscovery & 보류로 이동합니다.

  2. 목록 보기에서 3단계에서 만든 In-Place eDiscovery 검색을 선택합니다.

  3. 검색(검색 아이콘)을 클릭한 다음 드롭다운 목록에서 검색 결과 복사를 클릭합니다.

  4. 검색 결과 복사에서 다음 옵션 중에서 선택합니다.

    • 검색할 수 없는 항목 포함: 검색할 수 없는 사서함 항목(예: Exchange Search에서 인덱싱할 수 없는 파일 형식의 첨부 파일이 있는 메시지)을 포함하려면 이 검사 상자를 선택합니다.

    • 중복 제거 사용: 중복 메시지를 제외하려면 이 검사 상자를 선택합니다. 메시지의 instance 하나만 검색 사서함에 복사됩니다.

    • 전체 로깅 사용: 검색 결과에 전체 로그를 포함하려면 이 검사 상자를 선택합니다.

    • 복사본이 완료되면 메일 보내기: 검색이 완료되면 이 검사 상자를 선택하여 전자 메일 알림을 받습니다.

    • 이 검색 사서함에 결과 복사: 찾아보기를 클릭하여 검색 결과를 복사할 검색 사서함을 선택합니다.

  5. 복사를 클릭하여 프로세스를 시작하여 검색 결과를 지정된 검색 사서함에 복사합니다.

  6. 새로 고침(새로 고침 아이콘)을 클릭하여 세부 정보 창에 표시되는 복사 상태 대한 정보를 업데이트합니다.

  7. 복사가 완료되면 열기 를 클릭하여 검색 사서함을 열어 검색 결과를 봅니다.

검색 결과 내보내기

  1. EAC에서 규정 준수 관리>현재 위치 eDiscovery & 보류로 이동합니다.

  2. 목록 보기에서 3단계에서 만든 In-Place eDiscovery 검색을 선택한 다음 PST 파일로 내보내기를 클릭합니다.

  3. 목록 보기에서 결과를 내보내려는 원본 유지 eDiscovery 검색을 선택한 다음 PST 파일로 내보내기를 클릭합니다.

  4. eDiscovery PST 내보내기 도구 창에서 다음을 수행합니다.

    • 찾아보기를 클릭하여 PST 파일을 다운로드하려는 위치를 지정합니다.

    • 중복 제거 사용 확인란을 클릭하여 중복 메시지를 제외합니다. 단일 메시지 인스턴스만 PST 파일에 포함됩니다.

    • 검색할 수 없는 항목 포함 확인란을 클릭하여 검색할 수 없는 사서함 항목(예: Exchange 검색에서 인덱싱할 수 없는 파일 형식이 첨부된 메시지)을 포함합니다. 그러면 검색할 수 없는 항목이 별도의 PST 파일로 내보내집니다.

  5. 시작을 클릭하여 검색 결과를 PST 파일로 내보냅니다.

    내보내기 프로세스에 대한 상태 정보가 포함된 창이 표시됩니다.