關鍵字查詢和符合性中的搜尋 Office 365 專用的搜尋條件
**適用版本:**Exchange Online Dedicated
**上次修改主題的時間:**2016-12-09
本主題說明您可搜尋的Exchange Online中的電子郵件項目中使用規範搜尋功能在 Exchange 系統管理中心 (EAC) 中Office 365專用的電子郵件和文件屬性。本主題說明您可以搜尋的郵件屬性、 支援的 Boolean 搜尋運算子和您可以使用縮小搜尋結果的搜尋條件。 規範搜尋使用關鍵字查詢語言 (KQL) 值。如需 KQL 的詳細資訊,請參閱關鍵字查詢語言語法參考 (英文)。
如需詳細資訊,請參閱Compliance Search in Office 365 Dedicated。
內容
可搜尋的電子郵件屬性
搜尋運算子
搜尋條件
搜尋秘訣與技巧
可搜尋的電子郵件屬性
下表列出使用中的 [搜尋] 功能或使用New-ComplianceSearch或Set-ComplianceSearch指令程式可搜尋的電子郵件內容。表格包含每個屬性並由範例傳回的搜尋結果的描述property:value語法範例。您可以在符合性搜尋關鍵字] 方塊中輸入這些property:value配對。
| 屬性 | 屬性描述 | 範例 | 範例所傳回的搜尋結果 |
|---|---|---|---|
附件 |
附加到電子郵件的檔案名稱。 |
attachment:annualreport.ppt attachment:annual* |
郵件包含一個名為 annualreport.ppt 的附件檔案。在第二個範例中,使用萬用字元會傳回在附件的檔案名稱中包含「annual」字詞的訊息。 |
密件副本 |
電子郵件訊息的 [密件副本] 欄位。1 |
bcc:pilarp@contoso.com bcc:pilarp bcc:"Pilar Pinilla" |
所有的範例會傳回包含在密件副本欄位中具有 Pilar Pinilla 的郵件。 |
本文 |
電子郵件訊息本文中的文字。 |
body:"Northwind Traders" body:north* |
訊息本文中包含「Northwind Traders」精確字詞的郵件。第二個範例會傳回包含以「north」字串開頭的單字 (例如 north、northwind 或 northern) 的郵件。 |
類別 |
要搜尋的類別。使用者可以使用 Outlook 或 Outlook Web App 定義類別。可能的值為:
|
category:"Red Category" |
來源信箱中已指派紅色類別的郵件。 |
副本 |
電子郵件訊息的 [副本] 欄位。1 |
cc:pilarp@contoso.com cc:"Pilar Pinilla" |
在這兩個範例中,具有在 [副本] 欄位中指定 Pilar Pinilla 的郵件。 |
寄件者 |
電子郵件訊息的寄件者。1 |
from:pilarp@contoso.com from:contoso.com |
指定的使用者或從指定的網域傳送的郵件。 |
重要性 |
電子郵件訊息的重要性,寄件者在傳送郵件時可以指定。根據預設,郵件會以一般重要性傳送,除非寄件者將重要性設定為 [高] 或 [低]。 |
importance:high importance:medium importance:low |
標示為高重要性、中重要性或低重要性的郵件。 |
類型 |
要搜尋的郵件類型。可能值:
|
kind:email kind:email 或 kind:im 或 kind:voicemail |
符合搜尋準則的電子郵件。第二個範例會傳回電子郵件、立即訊息交談,以及符合搜尋準則的語音訊息。 |
參與者 |
電子郵件中所有的人員欄位;這些欄位為 [寄件者]、[收件者]、[副本] 及 [密件副本]。1 |
participants:garthf@contoso.com participants:contoso.com |
garthf@contoso.com 所傳送或接收的郵件。第二個範例會傳回 contoso.com 網域中的使用者所傳送或接收的所有郵件。 |
已收到 |
收件者收到電子郵件的日期。 |
received:04/15/2014 received>=01/01/2014 AND received<=03/31/2014 |
在 2014 年 4 月 15 日收到的郵件。第二個範例會傳回 2014 年 1 月 1 日到 2014 年 3 月 31 之間所收到的所有郵件。 |
收件者 |
電子郵件中所有的收件者欄位;這些欄位為 [收件者]、[副本] 及 [密件副本]。1 |
recipients:garthf@contoso.com recipients:contoso.com |
傳送至 garthf@contoso.com 的郵件。第二個範例會傳回傳送至 contoso.com 網域中任何使用者的郵件。 |
寄件日期 |
寄件者傳送電子郵件的日期。 |
sent:07/01/2014 sent>=06/01/2014 AND sent<=07/01/2014 |
在特定日期傳送或指定的日期範圍內所傳送的郵件。 |
大小 |
項目的大小 (以位元組為單位)。 |
大小 > 2621440 size:1..50000 |
大於 25 MB 的郵件。第二個範例會傳回介於 1 到 50000 個位元組的大小的郵件。 |
主旨 |
電子郵件的主旨行中的文字。 |
主旨:"Quarterly Financials" subject:northwind |
主旨行中包含「Quarterly Financials」精確字詞的郵件。第二個範例會傳回主旨行中包含「northwind」字詞的所有訊息。 |
收件者 |
電子郵件的 [收件者] 欄位。1 |
to:annb@contoso.com to:annb 收件者:"Ann Beebe" |
所有範例會傳回在 [收件者:] 行中指定 Ann Beebe 的郵件。 |
.gif "注意事項") 注意事項: |
|---|
| 1 如需收件者的屬性值,您可以使用 SMTP 位址、顯示名稱或別名來指定使用者。例如,您可以使用 annb@contoso.com、annb 或「Ann Beebe」來指定使用者 Ann Beebe。 |
回到頁首
搜尋運算子
布林搜尋運算子,例如 AND、OR 和 NOT可在搜尋中包含或排除特定文字,幫助您定義更精確的信箱搜尋。其他技術,例如使用屬性運算子 (例如 >= 或 ..)、引號、括號和萬用字元,幫助您進行精簡搜尋查詢。下表會列出您可以用來縮小或擴大搜尋結果的運算子。
| 運算子 | 使用量 | 描述 |
|---|---|---|
AND |
keyword1 AND keyword2 |
傳回包含所有指定關鍵字或 |
+ |
keyword1 + keyword2 |
與 AND 運算子相同。 |
OR |
keyword1 OR keyword2 |
傳回包含一或多個指定關鍵字或 |
NOT |
keyword1 NOT keyword2 NOT from:"Ann Beebe" |
排除關鍵字或 |
- |
keyword1 -keyword2 |
與 NOT 運算子相同。 |
NEAR |
keyword1 NEAR(n) keyword2 |
傳回具有彼此相鄰文字的項目,其中 n 等於文字的間隔數。例如, |
ONEAR |
keyword1 ONEAR(n) keyword2 |
類似 NEAR,但會傳回含有依指定順序靠近彼此的文字的項目。例如, |
= |
property=value |
傳回與指定值完全相符的項目。 |
: |
property:value |
|
< |
property<value |
代表所搜尋的屬性小於指定的值。 1 |
> |
property>value |
代表所搜尋的屬性大於指定的值。1 |
<= |
property<=value |
代表所搜尋的屬性小於或等於指定的值。1 |
>= |
property>=value |
代表所搜尋的屬性大於或等於指定的值。1 |
.. |
property:value1..value2 |
代表所搜尋的屬性大於或等於 value1 且小於或等於 value2。1 |
" " |
"fair value" 主旨:"Quarterly Financials" |
使用雙引號 (" ") 來搜尋關鍵字中的精準字詞或詞彙和 |
* |
cat* subject:set* |
前置詞萬用字元搜尋 (其中星號放置在字尾) 符合關鍵字中的零個或多個字元或 |
( ) |
(fair OR free) AND (from:contoso.com) (IPO OR initial) AND (stock OR shares) (quarterly financials) |
括號將布林片語、 |
| 注意事項: |
|---|
| 1 對具有日期或數值的屬性使用這個運算子。 2 布林搜尋運算子必須是大寫;例如,AND。在搜尋查詢中使用小寫運算子會傳回錯誤。 |
回到頁首
新增條件
您可用於條件來搜尋查詢將搜尋縮小並傳回更精簡的結果集。每個條件將子句新增至 KQL 搜尋查詢,建立及執行當您啟動搜尋。
重要
即使搜尋SharePoint網站上的文件不受支援Office 365專用在 EAC 中新的搜尋] 頁面上顯示文件屬性的條件。
郵件屬性的條件
建立使用 mail 屬性搜尋信箱時的條件。下表列出您可以使用一項條件的電子郵件屬性。請注意這些屬性的子集先前所述的 ; 電子郵件屬性方便您重複這些描述。
| 屬性 | 屬性描述 |
|---|---|
參與者 |
電子郵件中所有的人員欄位;這些欄位為 [寄件者]、[收件者]、[副本] 及 [密件副本]。 |
寄件者 |
電子郵件訊息的寄件者。 |
收件者 |
電子郵件所要傳送的人員。這是與 [收件者] 電子郵件屬性相同的屬性。 |
主旨 |
電子郵件的主旨行中的文字。 |
收到日期 |
收件者收到電子郵件的日期。這是與 [收到日期] 電子郵件屬性相同的屬性。 |
傳送的日期 |
寄件者傳送電子郵件的日期。這是與 [傳送日期] 電子郵件屬性相同的屬性。 |
訊息類型 |
要搜尋的郵件類型。這是與 [類型] 電子郵件屬性相同的屬性。 要搜尋的郵件類型。可能值:
|
回到頁首
一般屬性的條件
設計被用來搜尋信箱和網站中的其他版本的Office 365相同的搜尋時使用的一般屬性。 但是您仍然可以使用其在Office 365專用搜尋信箱。 或者,您可以使用的條件信箱內容的郵件述只使用上一節。下表列出可用來新增條件時使用的屬性。
| 屬性 | 屬性描述 |
|---|---|
日期 |
電子郵件、 已接收到收件者或寄件者所傳送郵件的日期。 |
大小 |
電子郵件的大小 (以位元組為單位) 的項目。 |
寄件者/撰寫者 |
電子郵件傳送訊息的人員。 |
主旨/標題 |
電子郵件之郵件的主旨行中的文字。 |
回到頁首
與條件搭配使用的運算子
當您新增條件時,您可以選取與條件的屬性類型相關的運算子。下表會描述搭配條件使用的運算子,並列出搜尋查詢中所使用的對等用法。
| 運算子 | 查詢對等用法 | 描述 |
|---|---|---|
之後 |
property>date |
與日期條件搭配使用。傳回指定日期之後所傳送、接收或修改的項目。 |
之前 |
property<date |
與日期條件搭配使用。傳回指定日期之前所傳送、接收或修改的項目。 |
介於 |
date..date |
與日期和大小條件搭配使用。與日期條件搭配使用時,會傳回指定日期範圍內所傳送、接收或修改的項目。與大小條件搭配使用時,會傳回大小在指定範圍內的項目。 |
包含任何 |
(property:value) OR (property:value) |
與指定字串值的屬性條件搭配使用。傳回包含一或多個指定字串值任何部分的項目。 |
不包含任何 |
-property:value NOT property:value |
與指定字串值的屬性條件搭配使用。傳回不包含一或多個指定字串值任何部分的項目。 |
不等於任何 |
-property=value NOT property=value |
與指定字串值的屬性條件搭配使用。傳回不包含指定字串的項目。 |
等於 |
Size=value |
傳回與指定大小相等的項目。1 |
等於任何 |
(property=value) OR (property=value) |
與指定字串值的屬性條件搭配使用。傳回與一或多個指定值完全相符的項目。 |
大於 |
Size>value |
傳回指定屬性大於指定值的項目。1 |
大於或等於 |
Size>=value |
傳回指定屬性大於或等於指定值的項目。1 |
小於 |
Size<value |
傳回大於或等於特定值的項目。1 |
小於或等於 |
Size<=value |
傳回大於或等於特定值的項目。1 |
不等於 |
Size<>value |
傳回與指定大小不相等的項目。1 |
| 注意事項: |
|---|
| 1 此運算子僅適用於使用 [大小] 屬性的條件。 |
回到頁首
使用條件的指導方針
使用搜尋條件時,請務必記住下列幾點。
條件會以 AND 運算子的邏輯方式連接至關鍵字查詢 (在關鍵字方塊中指定)。這表示結果中包含的項目必須同時滿足關鍵字查詢與條件。這就是條件如何協助您縮小搜尋結果。
若您新增兩個或更多的特殊條件至搜尋查詢 (指定不同屬性的條件),則這些條件會以 AND 運算子的邏輯方式連接。這表示只會傳回滿足所有條件 (除了任何關鍵字查詢之外) 的項目。
若您對相同的屬性新增多個條件,則這些條件會以 OR 運算子的邏輯方式連接。這表示會傳回滿足關鍵字查詢和任何一項條件的項目。因此,相同條件的群組會以 OR 運算子互相連接,然後特殊條件的集合會以 AND 運算子連接。
如果您將多個值 (以逗號或分號分隔) 加入單一的條件,這些值會以 OR 運算子連接。這表示如果項目在條件中包含任何屬性的指定值,則會傳回項目。
使用關鍵字方塊和條件所建立的搜尋查詢會顯示在所選取搜尋的詳細資料窗格中的搜尋頁面上。在查詢中,標記法
(c:c)右邊的所有項目表示會加入至查詢的條件。條件只能將屬性新增至搜尋查詢;不要為首行新增運算子。 這就是為什麼詳細資料窗格中顯示的查詢不會顯示右邊的
(c:c)標記法的運算子。KQL 新增邏輯運算子 (根據先前所述的規則) 時執行查詢。您可以使用拖放控制來重新序列條件的順序。只要按一下條件的控制項,並將其向上或向下移動。
如先前所述的部分條件屬性可讓您輸入多個值。 每個值以邏輯方式是透過OR運算子連接。 此會產生相同的邏輯為具有多個執行個體的相同的條件,其中每一個都位於單一值。下圖顯示單一條件具有多個值的範例和多個條件 (適用於相同的屬性) 的單一值的範例。在相同的查詢結果這兩個範例:
(kind="email") OR (kind="contacts") OR (kind="meetings").gif "具有多個值的一個條件")
.gif "相同屬性的多重搜尋條件")
提示
如果條件接受多個值,則我們建議您使用單一條件,並指定多個值 (以逗號或分號分隔)。這有助於確保所套用的查詢邏輯為您所想要的。
回到頁首
範例
下列範例顯示具有條件的 GUI 版本搜尋查詢、顯示在選取搜尋的詳細資料窗格中的搜尋查詢語法 (也會由 Get-ComplianceSearch cmdlet 傳回),以及對應 KQL 查詢的邏輯。
範例 1
此範例會傳回電子郵件包含關鍵字"report"的項目已傳送之前 2015、 April 1,且包含單字"northwind 」 的 [主旨] 欄位。
GUI
.gif "搜尋條件的第一個範例")
搜尋查詢語法
report(c:c)(date<2015-04-01)(subject:"northwind")
搜尋查詢邏輯
report AND (date<2015-04-01) AND (subject:"northwind")
回到頁首
範例 2
本範例傳回 12/1/2014 和 11/30/2015 之間傳送的電子郵件或行事曆會議,且當中包含以「phone」或「smartphone」開頭的字。
GUI
.gif "搜尋條件的第二個範例")
搜尋查詢語法
phone* OR smartphone*(c:c)(sent=2014-12-01..2015-11-30)(kind="email")(kind="meetings")
搜尋查詢邏輯
phone* OR smartphone* AND (sent=2014-12-01..2015-11-30) AND ((kind="email") OR (kind="meetings"))
回到頁首
搜尋秘訣與技巧
關鍵字搜尋不區分大小寫。例如,cat 和 CAT 得到的結果一樣。
布林運算子 AND、OR、NOT、NEAR 及 ONEAR 必須大寫。
兩個關鍵字或兩個
property:value運算式之間的空格與使用 AND 相同。例如,from:"Sara Davis" subject:reorganization會傳回所有 Sara Davis 所傳送的郵件,郵件的主旨行中會包含「reorganization」一字。使用符合
property:value格式的語法。值不區分大小寫,而且在運算子之後不能包含空格。如果沒有空格,您想要的值會僅為全文檢索搜尋。例如,to: pilarp 會搜尋「pilarp」作為關鍵字,而非搜尋傳送給 pilarp 的郵件。當您搜尋收件者屬性時 (例如 To、From、Cc 或 Recipients),可以使用 SMTP 地址、別名或顯示名稱以代表收件者。例如,您可以使用 pilarp@contoso.com、pilarp 或「Pilar Pinilla」。
您可以僅使用前置詞萬用字元搜尋;例如,cat* 或 set*。不支援尾碼萬用字元搜尋 (*cat) 或子字串萬用字元搜尋 (*cat*)。
當您搜尋屬性時,如果搜尋值是由多個字所組成,請使用雙引號 (" ")。例如,subject:budget Q1 傳回主旨行中包含 budget 的郵件,且在郵件中任何地方或任何郵件屬性中包含 Q1。使用 subject:"budget Q1" 會傳回主旨行中包含 budget Q1 的所有郵件。
若要排除標示您搜尋結果中的特定屬性值的內容,請在屬性名稱前加上負號 (-)。例如,-from:"Sara Davis” 會排除任何 Sara Davis 所傳送的郵件。
回到頁首