Exchange Online中 In-Place 电子数据展示的消息属性和搜索运算符

本主题介绍 Exchange 电子邮件的属性,你可以使用 In-Place 电子数据展示 & 保留Exchange Server和Exchange Online进行搜索。 The topic also describes Boolean search operators and other search query techniques that you can use to refine eDiscovery search results.

就地电子数据展示使用关键字查询语言 (KQL)。 有关详细信息,请参阅关键字查询语言语法参考

Exchange 中的可搜索属性

下表列出了可以使用 In-Place 电子数据展示搜索或使用 New-MailboxSearchSet-MailboxSearch cmdlet 进行搜索的电子邮件属性。 该表包含每个属性的 property:value 语法示例,并介绍了这些示例返回的搜索结果。

属性 属性描述 示例 示例返回的搜索结果
Attachment 附加到电子邮件的文件名称。 attachment:annualreport.ppt

attachment:annual*

含有名称为 annualreport.ppt 的附件的邮件。
在第二个示例中,使用通配符返回附件名中带有单词"annual"的邮件。
Bcc 电子邮件的"密件抄送"字段。1 Bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

所有示例都返回"密件抄送"字段中包含"Pilar Pinilla"的邮件。
Category 搜索类别。 用户可以使用 Outlook 或以前称为Outlook Web App) Outlook 网页版 (定义类别。 可能的值有:
  • 蓝色
  • 绿色
  • 橙色
  • 紫色
  • 红色
  • 黄色
category:"Red Category" 在源邮箱中分配红色类别的邮件。
Cc 电子邮件的"抄送"字段。1 Cc:pilarp@contoso.com

cc:"Pilar Pinilla"

在以上两个示例中,在"抄送"字段中指定了含有"Pilar Pinilla"的邮件。
发件人 电子邮件的发件人。1 从:pilarp@contoso.com

from:contoso.com

由指定用户或指定域发送的邮件。
Importance The importance of an email message, which a sender can specify when sending a message. By default, messages are sent with normal importance, unless the sender sets the importance as high or low. importance:high

importance:medium

importance:low

将重要性标记为高、中等或低的邮件。
Kind 要搜索的邮件类型。 可能的值:
  • 联系人
  • 文档
  • 电子邮件
  • 传真
  • 即时消息
  • 日志
  • 会议
  • 注释
  • 公告
  • RSS 源
  • 任务
  • 语音邮件
kind:email

kind:email OR kind:in OR kind:voicemail

满足搜索条件的电子邮件。 第二个示例返回满足搜索条件的电子邮件、即时消息对话以及语音邮件。
参与者 电子邮件中的所有人员字段;这些字段分别为:发件人、收件人、抄送和密件抄送。1 参与者:garthf@contoso.com

participants:contoso.com

由 发送或发送到 garthf@contoso.com的消息。
第二个示例返回 contoso.com 域中的用户发送的所有邮件或发送至 contoso.com 域中的用户的所有邮件。
Received 收件人接收电子邮件的日期。 received:04/15/2014

received>=01/01/2014 AND received<=03/31/2014

2014 年 4 月 15 日接收的邮件。 第二个示例返回 2014 年 1 月 1 日和 2014 年 3 月 31 日之间接收的所有邮件。
收件人 电子邮件中的所有收件人字段;这些字段分别为:收件人、抄送和密件抄送。1 收件人:garthf@contoso.com

recipients:contoso.com

发送到 garthf@contoso.com的消息。
第二个示例返回发送至 contoso.com 域中的任何收件人的邮件。
Sent 发件人发送电子邮件的日期。 sent:07/01/2014

sent>=06/01/2014 AND sent<=07/01/2014

2014 年 7 月 1 日发送的消息。 第二个示例返回在 2014 年 6 月 01 日至 2014 年 7 月 01 日之间发送的所有消息。
Size 邮件的大小(以字节为单位)。 大小>26214400

size:1..1048576

邮件超过 25 MB。
第二个示例返回大小介于 1 到 1,048,576 字节 (1 MB) 之间的邮件。
Subject 电子邮件主题行中的文本。 subject:"Quarterly Financials"

subject:northwind

主题行的文本中包含精确短语"Quarterly Financials"的邮件。
第二个示例返回主题行中包含单词"northwind"的所有邮件。
收件人 电子邮件的"收件人"字段。1 自:annb@contoso.com

to:annb

to:"Ann Beebe"

所有示例返回在"收件人:"行中指定为 Ann Beebe 的邮件。

注意

1 对于收件人属性的值,你可以使用 SMTP 地址、显示名称或别名来指定用户。 例如,可以使用 annb@contoso.com、annb 或“Ann Beebe”来指定用户 Ann Beebe。

支持的搜索运算符

布尔搜索运算符(如 ANDOR)通过包括或排除搜索查询中的特定字词来帮助定义更精确的邮箱搜索。 其他技术,例如使用属性运算符 (如 >= 或 .。) 、引号、括号和通配符有助于优化电子数据展示搜索查询。 下表列出了可用于缩小或扩大搜索结果的运算符。

重要

必须在搜索查询中使用大写布尔运算符。 例如,使用 AND;不要使用 。 在搜索查询中使用小写形式的运算符将返回错误。

运算符 用法 说明
AND keyword1 AND keyword2 返回包含所有指定关键字或 property:value 表达式的消息。
+ keyword1 +keyword2 +keyword3 返回 包含keyword2keyword3 也包含 keyword1的项。 因此,此示例等效于查询 (keyword2 OR keyword3) AND keyword1
查询 keyword1 + keyword2 (符号) 后的 + 空格与使用 AND 运算符不同。 此查询将等效于 "keyword1 + keyword2" 并返回具有确切阶段 "keyword1 + keyword2"的项。
OR keyword1 OR keyword2 返回包含一个或多个指定关键字或 property:value 表达式的消息。
NOT keyword1 NOT keyword2

NOT from:"Ann Beebe"

排除由关键字 (keyword) 或property:value表达式指定的消息。 例如, NOT from:"Ann Beebe" 排除 Ann Beebe 发送的消息。
- keyword1 -keyword2 NOT 运算符作用相同。 此查询返回包含 keyword1 和 排除包含 keyword2的项。
NEAR keyword1 NEAR(n) keyword2 返回包含邻近字词的邮件,其中 n 表示间隔的字词数量。 例如, best NEAR(5) worst 返回消息,其中“最差”一词在“best”的五个单词内。如果未指定数字,则默认距离为 8 个单词。
: property:value 语法中的 property:value 冒号 (:) 指定要搜索的属性值等于指定的值。 例如, recipients:garthf@contoso.com 返回发送到 garthf@contoso.com的任何消息。
< property<value 表示正在搜索的属性小于指定的值。 1
> property>value 表示正在搜索的属性大于指定的值。1
<= property<=value 表示正在搜索的属性小于等于指定的值。1
>= property>=value 表示正在搜索的属性大于等于指定的值。1
.. property:value1..value2 表示正在搜索的属性大于等于 value1,小于等于 value2。1
" " "fair value"

subject:"Quarterly Financials"

使用双引号 (“) 在关键字 (keyword) 和搜索查询中搜索确切的短语或property:value术语。
* 猫*

subject:set*

前缀通配符搜索 (,其中星号位于单词末尾,) 关键字或 property:value 查询中的零个或多个字符匹配。 例如, subject:set* 返回包含单词集、设置和设置 (以及主题行中以“set”) 开头的其他单词的消息。
( ) (fair OR free) AND from:contoso.com

(IPO OR initial) AND (stock OR shares)

(quarterly financials)

括号将布尔短语、 property:value 项和关键字组合在一起。 例如, (quarterly financials) 返回包含“季度”和“财务”一词的项。

注意

1 为含有日期或数值的属性使用此运算符。

搜索查询不支持的字符

搜索查询中不支持的字符通常会导致搜索错误或返回意外结果。 从其他应用程序(如 Microsoft Word 或 Microsoft Excel () )复制查询或部分查询时,通常隐藏不受支持的字符,并且通常会将其添加到查询 In-Place 电子数据展示搜索的查询页上的“关键字 (keyword) ”框中。

下面列出了就地电子数据展示搜索查询不支持的字符。

  • 智能引号:不支持智能单引号和双引号 (也称为大括号) 。 只能在搜索查询中使用直双引号。

  • 不可打印和控制字符:不可打印的和控制字符不表示书面符号,如字母数字字符。 非打印字符和控制字符示例包括设置文本格式的字符或文本换行字符。

  • 从左到右和从右向左标记:这些是用于指示从左到右语言 (文本方向的控制字符,如英语和西班牙语) 以及阿拉伯语和希伯来语) 等从右向左语言 (。

  • 小写布尔运算符:如前面所述,必须在搜索查询中使用大写布尔运算符,例如 ANDOR。 查询语法通常指示正在使用布尔运算符,即使可能使用小写运算符;例如 。 (WordA or WordB) and (WordC or WordD)

如何防止搜索查询中出现不受支持的字符? 防止出现不受支持的字符的最佳方式是,在关键字框中仅键入查询。 或者,也可以从 Word 或 Excel 复制查询,然后将其粘贴到纯文本编辑器(如 Microsoft 记事本)文件中。 接下来,保存文本文件,并在" 编码"下拉列表中选择" ANSI"。 这会删除任何格式和不支持的字符。 然后,便可将文本文件中的查询复制并粘贴到关键字查询框中。

搜索提示和技巧

  • 关键字搜索不区分大小写。 例如, catCAT 将返回相同的结果。

  • 两个关键字或两个 property:value 表达式之间的空格与使用 AND 相同。 例如, from:"Sara Davis" subject:reorganization 返回由 Sara Davis 发送的所有消息,这些消息在主题行中包含 “重组 ”一词。

  • 使用与格式匹配的 property:value 语法。 值不区分大小写,并且运算符后面不能有空格。 如果有空格,则只搜索预期值全文。 例如,to:pilarp 搜索“pilarp”作为关键字,而非发送至 pilarp 的邮件。

  • 在搜索收件人属性(如 To、From、Cc 或 Recipients)时,您可以使用 SMTP 地址、别名或显示名来表示收件人。 例如,可以使用 pilarp@contoso.com、pilarp 或“Pilar Pinilla”。

  • 只能使用前缀通配符搜索 (例如 cat*set*) 。 不支持 (*cat) 或子字符串通配符搜索 (*cat*) 的后缀通配符搜索。

  • 在搜索属性时,如果搜索值包含多个单词,则使用双引号 (" ")。 例如 ,subject:budget Q1 返回主题行中包含 预算 的消息,以及邮件中任意位置或任何消息属性中包含 Q1 的消息。 使用 subject:"budget Q1" 返回主题行中任意位置包含 budget Q1 的所有邮件。