Compartilhar via

Usar a Pesquisa de Conformidade para pesquisar todas as caixas de correio no Exchange Server

  • Artigo

O recurso Pesquisa de Conformidade no Exchange Server permite pesquisar todas as caixas de correio em sua organização. Ao contrário de In-Place descoberta eletrônica em que você pode pesquisar até 10.000 caixas de correio, não há limites para o número de caixas de correio de destino em uma única pesquisa. Para cenários que exigem que você execute pesquisas em toda a organização, você pode usar o cmdlet New-ComplianceSearch para pesquisar todas as caixas de correio. Em seguida, você pode usar os recursos de fluxo de trabalho de In-Place descoberta eletrônica para executar outras tarefas relacionadas à descoberta eletrônica, como colocar caixas de correio em espera e exportar resultados de pesquisa. Por exemplo, vamos supor que você precise pesquisar todas as caixas de correio para identificar os responsáveis específicos por um caso jurídico. Você pode usar o cmdlet New-ComplianceSearch para pesquisar todas as caixas de correio em sua organização para identificar aquelas que respondem ao caso. Em seguida, você pode usar essa lista de caixas de correio custodiantes como caixas de correio de origem para uma descoberta eletrônica In-Place. Usar In-Place descoberta eletrônica também permite que você coloque um porão nessas caixas de correio de origem, copie os resultados da pesquisa em uma caixa de correio de descoberta e exporte os resultados da pesquisa.

Este tópico inclui um script que você pode executar para criar uma pesquisa de descoberta eletrônica In-Place usando a lista de caixas de correio de origem e a consulta de pesquisa de uma pesquisa de conformidade criada executando o cmdlet New-ComplianceSearch .

Etapa 1: executar o cmdlet New-ComplianceSearch para pesquisar todas as caixas de correio

A primeira etapa é usar o Shell de Gerenciamento do Exchange para criar uma pesquisa de conformidade que pesquise todas as caixas de correio em sua organização. Não há limite para o número de caixas de correio para uma única pesquisa de conformidade. Especifica uma consulta de palavra-chave apropriada (ou uma consulta de tipos de informações confidenciais) para que a pesquisa retorne apenas as caixas de correio de origem relevantes para a investigação. Se for necessário, refine a consulta de pesquisa para restringir o escopo dos resultados da pesquisa e as caixas de correio de origem retornadas.

Observação

Se a pesquisa de conformidade de origem não retornar nenhum resultado, um In-Place eDiscovery não será criado quando você executar o script na Etapa 3. Talvez seja necessário revisar a consulta de pesquisa e executar novamente a pesquisa de conformidade para retornar os resultados da pesquisa.

Aqui está um exemplo de como usar o cmdlet New-ComplianceSearch para pesquisar todas as caixas de correio em sua organização. A consulta de pesquisa retorna todas as mensagens enviadas entre 1º de outubro de 2015 e 31 de outubro de 2015 e que contêm a frase "relatório financeiro" na linha de assunto. O primeiro comando cria a pesquisa e o segundo comando executa a pesquisa.

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'

Start-ComplianceSearch -Identity "Search All-Financial Report"

Para obter mais informações, consulte New-ComplianceSearch.

Importante

Quando você cria uma pesquisa de conformidade usando o cmdlet New-ComplianceSearch , uma sombra In-Place pesquisa de descoberta eletrônica é criada (mas não iniciada) e exibida na página de descoberta eletrônica In-Place & Hold no Centro de administração do Exchange (EAC). Ele também é retornado usando o cmdlet Get-MailboxSearch . Essa pesquisa de caixa de correio se chama ComplianceSearchName -shadow. Recomendamos excluir a sombra In-Place pesquisa de descoberta eletrônica e usar o script na Etapa 3 para criar a pesquisa de descoberta eletrônica In-Place. A funcionalidade de criar uma pesquisa de sombra será removida em uma atualização cumulativa para o Exchange 2016.

Uma pesquisa de conformidade retornará um máximo de 500 caixas de correio de origem que contêm resultados de pesquisa. Se houver mais de 500 caixas de correio que contenham conteúdo que corresponda à consulta de pesquisa, apenas as 500 principais caixas de correio com mais resultados de pesquisa serão incluídas na pesquisa de conformidade que você criou na etapa anterior. Portanto, se mais de 500 caixas de correio contiverem resultados de pesquisa, algumas dessas caixas de correio não serão incluídas na lista de caixas de correio de origem copiadas para a nova pesquisa de descoberta eletrônica In-Place criada na Etapa 3.

Para ajudar você a criar uma pesquisa de conformidade com não mais de 500 caixas de correio de origem, siga estas etapas para executar um script que exibe o número de caixas de correio de origem (que contêm resultados de pesquisa) retornadas pela pesquisa de conformidade criada na Etapa 1.

  1. Salve o texto a seguir em um arquivo de script Windows PowerShell usando um sufixo de nome de arquivo de .ps1. Por exemplo, você pode salvá-lo em um arquivo chamado SourceMailboxes.ps1.

    [CmdletBinding()]
Param(
     [Parameter(Mandatory=$True,Position=1)]
     [string]$SearchName
)
$search = Get-ComplianceSearch $SearchName
if ($search.Status -ne "Completed")
{
                "Please wait until the search finishes.";
                break;
}
$results = $search.SuccessResults;
if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
{
                "The compliance search " + $SearchName + " didn't return any useful results.";
                break;
}
$mailboxes = @();
$lines = $results -split '[\r\n]+';
foreach ($line in $lines)
{
    if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
    {
        $mailboxes += $matches[1];
    }
}
"Number of mailboxes that have search hits: " + $mailboxes.Count

  2. No Shell de Gerenciamento do Exchange, vá para a pasta em que o script que você criou na etapa anterior está localizado e execute o script; por exemplo:

    .\SourceMailboxes.ps1

  3. Quando solicitado pelo script, digite o nome da pesquisa de conformidade que você criou na Etapa 1.

    O script exibe o número de caixas de correio de origem que contêm os resultados de pesquisa.

Se houver mais de 500 caixas de correio de origem, tente criar duas (ou mais) pesquisas de conformidade. Por exemplo, pesquise metade das caixas de correio da sua organização em uma pesquisa de conformidade e a outra metade em outra pesquisa de conformidade. Você também pode alterar os critérios de pesquisa para reduzir o número de caixas de correio que contêm os resultados de pesquisa. Por exemplo, você pode especificar um intervalo de datas ou refinar a consulta palavra-chave.

A próxima etapa é executar um script que converterá uma pesquisa de conformidade existente em um In-Place pesquisa de descoberta eletrônica. Veja a seguir o que o script faz:

  • Solicita o nome da pesquisa de conformidade a ser convertida.

  • Verifica se a pesquisa de conformidade foi concluída em execução. Se a pesquisa de conformidade não retornar resultados e In-Place a descoberta eletrônica não será criada.

  • Salva uma lista das caixas de correio de origem da pesquisa de conformidade que contêm resultados de pesquisa para uma variável.

  • Cria uma nova pesquisa de Descoberta Eletrônica In-loco, com as seguintes propriedades. Observe que a nova pesquisa não foi iniciada. Você poderá iniciá-la na Etapa 4.

    • Nome: o nome da nova pesquisa usa esse formato: <Nome da pesquisa> de conformidade_MBSearch1. Se você executar o script novamente e usar a mesma pesquisa de conformidade de origem, a pesquisa será nomeada <Nome da pesquisa> de conformidade_MBSearch2.

    • Caixas de correio de origem: todas as caixas de correio da pesquisa de conformidade que contêm resultados de pesquisa.

    • Consulta de pesquisa: a nova pesquisa usa a consulta de pesquisa da pesquisa de conformidade. Se a pesquisa de conformidade incluir todo o conteúdo (em que a consulta de pesquisa está em branco), a nova pesquisa também terá uma consulta de pesquisa em branco e incluirá todo o conteúdo encontrado nas caixas de correio de origem.

    • Pesquisa somente estimativa: a nova pesquisa é marcada como uma pesquisa somente estimativa. Ela não copiará resultados da pesquisa para uma caixa de correio de descoberta depois de iniciá-la.

  1. Salve o texto a seguir em um arquivo de script Windows PowerShell usando um sufixo de nome de arquivo de ps1. Por exemplo, você pode salvá-lo em um arquivo chamado MBSearchFromComplianceSearch.ps1.

    [CmdletBinding()]
Param(
    [Parameter(Mandatory=$True,Position=1)]
    [string]$SearchName,
    [switch]$original,
    [switch]$restoreOriginal
)
$search = Get-ComplianceSearch $SearchName
if ($search.Status -ne "Completed")
{
   "Please wait until the search finishes";
   break;
}
$results = $search.SuccessResults;
if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
{
   "The compliance search " + $SearchName + " didn't return any useful results";
   "A mailbox search object wasn't created";
   break;
}
$mailboxes = @();
$lines = $results -split '[\r\n]+';
foreach ($line in $lines)
{
    if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
    {
        $mailboxes += $matches[1];
    }
}
$msPrefix = $SearchName + "_MBSearch";
$I = 1;
$mbSearches = Get-MailboxSearch;
while ($true)
{
    $found = $false;
    $mbsName = "$msPrefix$I";
    foreach ($mbs in $mbSearches)
    {
        if ($mbs.Name -eq $mbsName)
        {
            $found = $true;
            break;
        }
    }
    if (!$found)
    {
        break;
    }
    $I++;
}
$query = $search.KeywordQuery;
if ([string]::IsNullOrWhiteSpace($query))
{
    $query = $search.ContentMatchQuery;
}
if ([string]::IsNullOrWhiteSpace($query))
{
   New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
}
else
{
   New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
}

  2. No Shell de Gerenciamento do Exchange, vá para a pasta em que o script que você criou na etapa anterior está localizado e execute o script; por exemplo:

    .\MBSearchFromComplianceSearch.ps1

  3. Quando solicitado pelo script, digite o nome da pesquisa de conformidade que você deseja dissimurar para uma pesquisa de descoberta eletrônica In-Place (por exemplo, a pesquisa que você criou na Etapa 1) e pressione Enter.

    Se o script for bem-sucedido, uma nova pesquisa de Descoberta Eletrônica In-loco será criada com um status de NotStarted. Execute o comando Get-MailboxSearch <Name of compliance search>_MBSearch1 | FL para exibir as propriedades da nova pesquisa.

O script executado na Etapa 3 cria uma nova pesquisa de Descoberta Eletrônica In-loco, mas não a inicia. A próxima etapa é iniciar a pesquisa para que você possa obter uma estimativa dos resultados da pesquisa.

  1. No Centro de administração do Exchange (EAC), acesse Gerenciamento>de conformidade EDiscovery in-Place & Hold.

  2. No modo de exibição de lista, selecione a pesquisa de Descoberta Eletrônica In-loco que você criou na Etapa 3.

  3. Clique em Pesquisar (Ícone de pesquisa.) >Estimar os resultados da pesquisa para iniciar a pesquisa e retornar uma estimativa do tamanho total e do número de itens retornados pela pesquisa.

    As estimativas são exibidas no painel de detalhes. Clique em Atualizar (Ícone de atualização.) para atualizar as informações exibidas no painel de detalhes.

  4. Para visualizar os resultados após a conclusão da pesquisa, clique em Visualizar resultados da pesquisa no painel de detalhes.

Dica

Como alternativa, você pode usar o Shell de Gerenciamento do Exchange para iniciar a pesquisa de descoberta eletrônica In-Place; por exemplo Start-MailboxSearch -Identity <Name of compliance search>_MBSearch1.

Depois de criar e iniciar a pesquisa de Descoberta Eletrônica In-loco criada pelo script na Etapa 3, você pode usar o fluxo de trabalho normal de Descoberta Eletrônica In-loco para executar ações de Descoberta Eletrônica diferentes nos resultados da pesquisa.

Criar um Bloqueio In-loco

  1. No EAC, acesse Gerenciamento>de conformidade no local eDiscovery & Hold.

  2. Na exibição de lista, selecione o In-Place pesquisa de descoberta eletrônica que você criou na Etapa 3 e clique em Editar (Editar ícone.).

  3. Na página Bloqueio In-loco, marque a caixa de seleção Colocar conteúdo correspondente à consulta de pesquisa nas caixas de correio selecionadas em bloqueio e selecione uma das seguintes opções:

    • Mantenha indefinidamente: escolha essa opção para colocar os itens retornados pela pesquisa em um porão indefinido. Itens retidos serão preservados até que você remova a caixa de correio da pesquisa ou remova a pesquisa.

    • Especifique o número de dias para manter itens relativos à data recebida: escolha essa opção para manter itens por um período específico. A duração é calculada a partir da data em que um item de caixa de correio é recebido ou criado.

  4. Clique em Salvar para criar o Bloqueio In-loco e reiniciar a pesquisa.

Copiar os resultados da pesquisa

  1. No EAC, acesse Gerenciamento>de conformidade no local eDiscovery & Hold.

  2. No modo de exibição de lista, selecione a pesquisa de Descoberta Eletrônica In-loco que você criou na Etapa 3.

  3. Clique em Pesquisar (ícone de pesquisa.) e clique em Copiar resultados da pesquisa da lista suspensa.

  4. Em Copiar Resultados da Pesquisa, selecione uma das seguintes opções:

    • Inclua itens não pesquisados: selecione esta caixa de marcar para incluir itens de caixa de correio que não puderam ser pesquisados (por exemplo, mensagens com anexos de tipos de arquivo que não puderam ser indexados pelo Exchange Search).

    • Habilitar a eliminação de duplicação: selecione esta caixa marcar para excluir mensagens duplicadas. Somente uma única instância de uma mensagem será copiada para a caixa de correio de descoberta.

    • Habilitar o log completo: selecione esta caixa marcar para incluir um log completo nos resultados da pesquisa.

    • Envie-me email quando a cópia for concluída: selecione esta caixa marcar para receber uma notificação por email quando a pesquisa for concluída.

    • Copiar resultados para esta caixa de correio de descoberta: clique em Procurar para selecionar a caixa de correio de descoberta para a qual você deseja que os resultados da pesquisa sejam copiados.

  5. Clique em Copiar para iniciar o processo de cópia dos resultados da pesquisa para a caixa de correio de descoberta especificada.

  6. Clique em Atualizar (Ícone de atualização.) para atualizar as informações sobre o status de cópia exibido no painel de detalhes.

  7. Após a conclusão da cópia, clique em Abrir para abrir a caixa de correio de descoberta e exibir os resultados da pesquisa.

Exportar os resultados da pesquisa

  1. No EAC, acesse Gerenciamento>de conformidade no local eDiscovery & Hold.

  2. No modo de exibição de lista, selecione a pesquisa de Descoberta Eletrônica In-loco criada na Etapa 3 e clique em Exportar para um arquivo PST.

  3. Na exibição de lista, selecione a pesquisa de Descoberta Eletrônica In-Loco da você deseja exportar os resultados e depois clique em Exportar para um arquivo PST.

  4. Na janela Ferramenta de Exportação de PST de Descoberta Eletrônica, faça o seguinte:

    • Clique em Procurar para especificar o local para o qual você deseja baixar o arquivo PST.

    • Clique na caixa de seleção Habilitar deduplicação para excluir as mensagens duplicadas. Somente uma única instância de uma mensagem será incluída no arquivo PST.

    • Clique na caixa de seleção Incluir itens não pesquisáveis para incluir itens da caixa de correio que não puderam ser pesquisados (por exemplo, mensagens com anexos dos tipos de arquivo que não puderam ser indexadas pela Pesquisa do Exchange). Os itens não pesquisáveis são exportados para um arquivo PST separado.

  5. Clique em Iniciar para exportar os resultados da pesquisa para um arquivo PST.

    Uma janela é exibida contendo as informações do status sobre o processo de exportação.