关键字查询和法规遵从性在 Office 365 专用的搜索的搜索条件
**适用于:**Exchange Online Dedicated
**上一次修改主题:**2016-12-09
本主题介绍您可以通过搜索中的Exchange Online中的电子邮件项目使用Office 365专用 Exchange 管理员中心 (EAC) 中的法规遵从性搜索功能的电子邮件和文档属性。该主题描述邮件属性,您可以搜索、 支持布尔搜索运算符,并可用于缩小搜索结果的搜索条件。 法规遵从性搜索使用关键字查询语言 (KQL)。有关 KQL 的详细信息,请参阅关键字查询语言语法参考。
有关详细信息,请参 阅Compliance Search in Office 365 Dedicated。
内容
可搜索的电子邮件属性
搜索运算符
搜索条件
搜索提示和技巧
可搜索的电子邮件属性
下表列出了可以通过使用搜索功能,或通过使用 New-ComplianceSearch 或 Set-ComplianceSearch cmdlet 搜索的电子邮件属性。该表包含每个属性的 property:value 语法示例,并介绍了这些示例返回的搜索结果。您可以在合规性搜索的关键字框中键入这些 property:value 对。
| 属性 | 属性描述 | 示例 | 示例返回的搜索结果 |
|---|---|---|---|
Attachment |
附加到电子邮件的文件名称。 |
attachment:annualreport.ppt attachment:annual* |
含有名为 annualreport.ppt 的附加文件的邮件。在第二个示例中,使用通配符返回附件名中带有单词"annual"的邮件。 |
Bcc |
电子邮件的"密件抄送"字段。1 |
bcc:pilarp@contoso.com bcc:pilarp bcc:"Pilar Pinilla" |
所有示例都返回"密件抄送"字段中包含"Pilar Pinilla"的邮件。 |
Body |
电子邮件正文中的文本。 |
body:"Northwind Traders" body:north* |
邮件正文中包含准确短语"Northwind Traders"的邮件。第二个示例返回所有包含以字符串"north"(如 north、northwind 或 northern)开头的单词的邮件。 |
Category |
搜索类别。用户可以使用 Outlook 或 Outlook Web App 定义类别。可能的值是:
|
category:"Red Category" |
在源邮箱中已指定红色类别的邮件。 |
抄送 |
电子邮件的"抄送"字段。1 |
cc:pilarp@contoso.com cc:"Pilar Pinilla" |
在以上两个示例中,在"抄送"字段中指定了含有"Pilar Pinilla"的邮件。 |
发件人 |
电子邮件的发件人。1 |
from:pilarp@contoso.com from:contoso.com |
由指定用户或指定域发送的邮件。 |
Importance |
发件人在发送邮件时可以指定电子邮件的重要性。除非发件人将重要性设置为"高"或"低",否则在发送邮件时将重要性默认为"普通"。 |
importance:high importance:medium importance:low |
将重要性标记为高、中等或低的邮件。 |
Kind |
要搜索的邮件类型。可能的值:
|
kind:email kind:email OR kind:im OR kind:voicemail |
满足搜索条件的电子邮件。第二个示例返回满足搜索条件的电子邮件、即时消息对话以及语音邮件。 |
参与者 |
电子邮件中的所有人员字段;这些字段分别为:发件人、收件人、抄送和密件抄送。1 |
participants:garthf@contoso.com participants:contoso.com |
发送自/到 garthf@contoso.com 的邮件。第二个示例返回 contoso.com 域中的用户发送的所有邮件或发送至 contoso.com 域中的用户的所有邮件。 |
Received |
收件人接收电子邮件的日期。 |
received:04/15/2014 received>=01/01/2014 AND received<=03/31/2014 |
2014 年 4 月 15 日接收的邮件。第二个示例返回 2014 年 1 月 1 日和 2014 年 3 月 31 日之间接收的所有邮件。 |
收件人 |
电子邮件中的所有收件人字段;这些字段分别为:收件人、抄送和密件抄送。1 |
recipients:garthf@contoso.com recipients:contoso.com |
发送到 garthf@contoso.com 的邮件。第二个示例返回发送至 contoso.com 域中任何收件人的邮件。 |
Sent |
发件人发送电子邮件的日期。 |
sent:07/01/2014 sent>=06/01/2014 AND sent<=07/01/2014 |
在指定日期或指定日期范围内发送的邮件。 |
Size |
邮件的大小(以字节为单位)。 |
size>2621440 size:1..50000 |
大于 25 MB 的邮件。第二个示例返回大小介于 1 到 50,000 字节之间的邮件。 |
Subject |
电子邮件主题行中的文本。 |
subject:"Quarterly Financials" subject:northwind |
主题行中包含准确短语"Quarterly Financials"的邮件。第二个示例返回主题行中包含单词"northwind"的所有邮件。 |
收件人 |
电子邮件的"收件人"字段。1 |
to:annb@contoso.com to:annb to:"Ann Beebe" |
所有示例返回在"收件人:"行中指定为 Ann Beebe 的邮件。 |
备注
1 对于收件人属性的值,你可以使用 SMTP 地址、显示名称或别名来指定用户。例如,你可以使用 annb@contoso.com、annb 或"Ann Beebe"指定用户 Ann Beebe。
返回顶部
搜索运算符
使用布尔搜索运算符(如 AND、OR 和 NOT)可以在搜索查询中包括或排除特定单词,从而帮助定义更精确的邮箱搜索。使用其他技术(如使用诸如 >= 或 .. 的属性运算符、问号、圆括号和通配符)可帮助您精简搜索查询。下表列出了可以用于缩小或扩大搜索结果范围的运算符。
| 运算符 | 用法 | 说明 |
|---|---|---|
AND |
keyword1 AND keyword2 |
返回包含所有指定关键字或 |
+ |
keyword1 + keyword2 |
与 AND 运算符作用相同。 |
OR |
keyword1 OR keyword2 |
返回包含一个或多个指定关键字或 |
NOT |
keyword1 NOT keyword2 NOT from:"Ann Beebe" |
排除关键字或 |
- |
keyword1 -keyword2 |
与 NOT 运算符作用相同。 |
NEAR |
keyword1 NEAR(n) keyword2 |
返回包含邻近字词的项目,其中 n 表示间隔的字词数量。例如, |
ONEAR |
keyword1 ONEAR(n) keyword2 |
与 NEAR 类似,但是按指定的顺序返回包含邻近字词的项目。例如, |
= |
property=value |
返回与指定值完全匹配的项目。 |
: |
property:value |
|
< |
property<value |
表示正在搜索的属性小于指定的值。1 |
> |
property>value |
表示正在搜索的属性大于指定的值。1 |
<= |
property<=value |
表示正在搜索的属性小于等于指定的值。1 |
>= |
property>=value |
表示正在搜索的属性大于等于指定的值。1 |
.. |
property:value1..value2 |
表示正在搜索的属性大于等于 value1,小于等于 value2。1 |
" " |
"fair value" subject:"Quarterly Financials" |
使用双引号 (" ") 搜索关键字和 |
* |
cat* subject:set* |
前缀通配符(其中星号放在单词的末尾)用于在关键字或 |
( ) |
(fair OR free) AND (from:contoso.com) (IPO OR initial) AND (stock OR shares) (quarterly financials) |
括号将布尔短语、 |
备注
1 为含有日期或数值的属性使用此运算符。
2 布尔搜索运算符必须为大写;例如,AND。在搜索查询中使用小写的运算符将返回错误。
返回顶部
搜索条件
可以对搜索查询使用条件来缩小搜索范围,使返回结果更精确。每个条件将子句添加到开始搜索时创建和运行的 KQL 搜索查询。
.gif "重要说明") 重要说明: |
|---|
| 文档属性条件显示在 EAC 中的"新搜索"页上,即使 SharePoint 站点上的文档搜索不受 Office 365 Dedicated 的支持。 |
邮件属性的条件
创建搜索邮箱时使用邮件属性的条件。下表列出了可以用于条件的电子邮件属性。请注意,这些属性是先前描述的电子邮件属性的子集;为了方便您使用,这里将重复这些说明。
| 属性 | 属性描述 |
|---|---|
Participants |
电子邮件中的所有人员字段;这些字段分别为:发件人、收件人、抄送和密件抄送。 |
Sender |
电子邮件的发件人。 |
Recipient |
电子邮件的收件人。此属性与"To"电子邮件属性相同。 |
Subject |
电子邮件主题行中的文本。 |
Received date |
收件人接收电子邮件的日期。此属性与"Received"电子邮件属性相同。 |
Sent date |
发件人发送电子邮件的日期。此属性与"Sent"电子邮件属性相同。 |
消息类型 |
要搜索的邮件类型。此属性与"Kind"电子邮件属性相同。 要搜索的邮件类型。可能的值:
|
返回顶部
通用属性的条件
通用属性设计为在 Office 365 的其他版本中通过相同搜索来搜索邮箱和网站时使用的。但您仍可以在搜索邮箱时在 Office 365 Dedicated 中使用它们。或者,可以只使用上一节中所述的邮箱属性邮件的条件。下表列出了可在添加条件时使用的可用属性。
| 属性 | 属性描述 |
|---|---|
Date |
对于电子邮件而言,是指收件人收到邮件的日期,或发件人发送邮件的日期。 |
Size |
对于电子邮件而言,是指邮件的大小(以字节为单位)。 |
Sender/Author |
对于电子邮件而言,是指发送邮件的人。 |
Subject/Title |
对电子邮件而言,是指邮件的主题行中的文本。 |
返回顶部
与条件一起使用的运算符
当您添加一个条件时,您可以选择与该条件的属性类型相关的运算符。下表描述了与条件一起使用的运算符,并列出了在搜索查询中使用的等效项。
| 运算符 | 查询等效项 | 说明 |
|---|---|---|
之后 |
property>date |
使用日期条件。返回在指定日期后发送、接收或修改的项。 |
之前 |
property<date |
使用日期条件。返回在指定日期前发送、接收或修改的项。 |
介于 |
date..date |
使用日期和大小条件。当使用日期条件时,返回在指定的日期范围内发送、接收或修改的项。当使用大小条件时,返回大小在指定范围内的项。 |
包含任意 |
(property:value) OR (property:value) |
与指定字符串值的属性条件一起使用。返回包含一个或多个指定字符串值任何部分的项目。 |
不包含任何 |
-property:value NOT property:value |
与指定字符串值的属性条件一起使用。返回不包含指定字符串值任何部分的项目。 |
不等于任何 |
-property=value NOT property=value |
与指定字符串值的属性条件一起使用。返回不包含特定字符串的项目。 |
等于 |
Size=value |
返回与指定大小相等的项目。1 |
等于任何 |
(property=value) OR (property=value) |
与指定字符串值的属性条件一起使用。返回完全匹配一个或多个指定字符串值的项目。 |
大于 |
Size>value |
返回指定属性大于指定值的项。1 |
大于或等于 |
Size>=value |
返回指定属性大于或等于指定值的项。1 |
小于 |
Size<value |
返回大于或等于指定值的项。1 |
小于或等于 |
Size<=value |
返回大于或等于指定值的项。1 |
不等于 |
Size<>value |
返回与指定大小不相等的项目。1 |
备注
1 此运算符仅适用于使用 Size 属性的条件。
返回顶部
使用条件的准则
在使用搜索条件时,请牢记以下几点。
可通过使用 AND 运算符在逻辑上将条件连接至关键字查询(在关键字框中指定)。这意味着,项目必须满足关键字查询和要在结果中包括的条件。这就是条件如何帮助缩小结果范围的原理。
如果将两个或多个唯一性条件(指定不同属性的条件)添加到搜索查询中,这些条件将在逻辑上使用 AND 运算符来连接。这意味着仅返回满足所有条件(除了任何关键字查询以外)的项目。
如果您对相同属性添加多个条件,则使用 OR 运算符在逻辑上对这些条件进行连接。这意味着将返回满足关键字查询以及任何一个条件的项。因此,相同条件的组通过 OR 运算符彼此相连,然后唯一性条件集通过 AND 运算符彼此相连。
如果向单个条件中添加多个值(用逗号或分号分隔),这些值将通过 OR 运算符来连接。这意味着如果这些项包含条件中指定的任何属性值,则返回这些项。
通过使用关键字框和条件所创建的搜索查询会显示在搜索页上,在为选定的搜索提供的详细信息窗格中进行显示。在查询中,表示法
(c:c)右边的所有内容指示已添加到查询中的条件。条件只将属性添加到搜索查询中,而不会添加运算符。 这就是为什么在详细信息窗格中显示的查询不会在表示法
(c:c)右边显示运算符的原因。执行查询时,KQL 会添加逻辑运算符(根据前面所述的规则)。您可以使用拖放控件对条件重新排序。只要单击条件控件,将其向上或向下移动即可。
同前面所述一样,某些条件属性允许您输入多个值。 各个值在逻辑上使用 OR 运算符相连。 这会导致出现使用相同逻辑表示有相同条件的多个实例,而每个实例都有一个值。下面的插图显示一个包含多个值的单个条件的示例,以及一个包含单个值的多个条件(用于相同属性)的示例。这两个示例产生相同的查询:
(kind="email") OR (kind="contacts") OR (kind="meetings").gif "一个条件具有多个值")
.gif "同一属性的多个搜索条件")
提示
如果条件接受多个值,则建议您使用一个条件,并指定多个值(用逗号或分号分隔)。这有助于确保所应用的查询逻辑就是您想要的。
返回顶部
示例
下面的示例显示使用条件的基于 GUI 的搜索查询版本、显示在所选搜索的详细信息窗格中的搜索查询语法(也由 Get-ComplianceSearch cmdlet 返回),以及相应的 KQL 查询逻辑。
示例 1
本示例返回于 2015 年 4 月 1 日之前发送的、包含关键字"report"的电子邮件项目以及在主题字段中包含"northwind"一词的电子邮件项目。
GUI
.gif "第一个搜索条件示例")
搜索查询语法
report(c:c)(date<2015-04-01)(subject:"northwind")
搜索查询逻辑
report AND (date<2015-04-01) AND (subject:"northwind")
返回顶部
示例 2
本示例返回在 12/1/2014 和 11/30/2015 之间发送的、包含以"phone"或"smartphone"单词开头的电子邮件或日历会议。
GUI
.gif "第二个搜索条件示例")
搜索查询语法
phone* OR smartphone*(c:c)(sent=2014-12-01..2015-11-30)(kind="email")(kind="meetings")
搜索查询逻辑
phone* OR smartphone* AND (sent=2014-12-01..2015-11-30) AND ((kind="email") OR (kind="meetings"))
返回顶部
搜索提示和技巧
关键字搜索不区分大小写。例如,cat 和 CAT 将返回相同的结果。
布尔运算符 AND、OR、NOT、NEAR 和 ONEAR 必须大写。
两个关键字或两个
property:value表达式之间的空格与使用 AND 相同。例如,from:"Sara Davis" subject:reorganization返回 Sara Davis 发送的所有邮件,其中的主题行包含单词 reorganization。使用与
property:value格式相匹配的语法。值不区分大小写,并且它们不可以在运算符后留有空格。如果有空格,您的预期值将只会全文搜索。例如,to:pilarp 搜索"pilarp"作为关键字,而非发送至 pilarp 的邮件。在搜索收件人属性(如 To、From、Cc 或 Recipients)时,您可以使用 SMTP 地址、别名或显示名来表示收件人。例如,您可以使用 pilarp@contoso.com、pilarp 或"Pilar Pinilla"。
您可以仅使用前缀通配符搜索,如 cat* 或 set*。不支持后缀通配符搜索 (*cat) 或子字符串通配符搜索 (*cat*)。
在搜索属性时,如果搜索值包含多个单词,则使用双引号 (" ")。例如,subject:budget Q1 返回主题行中包含 budget 以及邮件中任意位置或任意邮件属性包含 Q1 的邮件。使用 subject:"budget Q1" 返回主题行中包含 budget Q1 的所有邮件。
若要将使用某个属性值标记的内容从搜索结果中排除,请在属性名称前放置减号 (-)。例如,-from:"Sara Davis" 将排除由 Sara Davis 发送的任何邮件。
返回顶部