通过

评估和优化电子数据展示中的搜索结果

  • 项目

评估和优化搜索结果是电子数据展示调查工作中最重要的步骤之一。 配置的搜索查询和返回的结果可帮助你确定是否已发现适用于调查的项目和信息,或者是否需要修改搜索以尝试发现其他相关项目。 这种对项目的初始搜索和对信息的初始评审有助于确定在完成搜索参数后需要执行哪些作。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

评估搜索结果

创建并运行搜索后,下一步是查看搜索统计信息,以帮助你验证是否找到了相关内容以及点击率最高的内容位置。 还可以查看搜索结果示例,以进一步帮助你确定内容是否在调查范围内。

统计信息仪表板

如果选择“统计信息”作为搜索的初始结果类型,则搜索结果完成后,系统会自动重定向到此仪表板。 如果已经熟悉以前版本的电子数据展示,“ 统计信息 ”选项卡上的信息类似于集合估计。 以下部分包含统计信息仪表板的搜索结果:

  • 摘要:此部分显示搜索命中数、位置、数据源以及部分索引项的总文件大小。
    • 搜索命中数:显示与所搜索位置的查询条件匹配的所有项的总搜索命中计数和数量。
    • 位置:显示搜索的所有位置的命中率。 分子显示具有命中数的位置,分母显示搜索的位置数。 出现错误的位置以红色显示。 若要查看有关所有位置以及相关命中和错误的完整详细信息,请选择“ 下载报告 ”以下载完整的 .csv 报告。
    • 数据源:显示数据源的分数,其中包含搜索的所有数据源中的命中数。 分子显示具有命中数的数据源,分母显示搜索中包含的数据源数。 此数据源与搜索设计流中的数据源一致,应与搜索中包含的人员或组数匹配。 “所有人和所有组”的租户范围数据源计为单个数据源。
    • 部分索引项 或“高级索引项命中数”:显示作为搜索的一部分返回的部分和未编制索引的项目的计数和数量。 如果选择在搜索配置中包含部分或未编制索引的项目,则此卡显示部分索引项信息。 如果选择包含部分和未编制索引的项目并启用高级索引选项,则此卡显示从高级索引项获取的其他命中数。 高级索引命中计数来自部分索引项的统计信息示例,实际命中次数可能更多,应使用 添加到审阅集和导出搜索结果作进行确认。
  • 搜索命中趋势:此部分显示以下搜索结果卡片。 图表是交互式的,悬停可显示分区名称、百分比和项编号。 选择“ 查看前 100 个”,详细了解每个趋势中包含的项,并将结果下载到 .csv 文件:
    • 排名靠前的数据源:显示构成与查询匹配的搜索命中次数最多的前五个数据源。 这些数据源的名称 (用户、组或组织范围位置的名称) 随命中计数一起列出。 这些数据源应与生成搜索查询时在数据源工作流中选择的内容匹配。
    • 排名靠前的敏感信息类型 (SIT) :显示 SharePoint 文件中 (SIT) 的前五种敏感信息类型,这些类型最常包含在与查询匹配的搜索命中。 添加每个 SIT 的计数不一定等同于命中总数,因为单个项目/文档可能包含多个 SIT 类型。 例如,文档包含密码和社会安全号码 (SSN) 。 在此示例中,它会计数两次。 建议选择“ 查看前 100 个”以更深入地了解这些 SIT 计数的位置,以验证它们是否重叠。
    • 热门关键字:查询关键字,这导致与查询匹配的搜索命中次数最多。
    • 热门项目类型:搜索中最常见的项目类型与查询匹配。 此计数由用于 Exchange 内容的 itemClass 和 SharePoint 内容的 ContentType 确定。
    • 索引状态:未编制索引的 (细目,包括部分索引) 和完全编制索引的数据项。
    • 热门通信参与者:Exchange 位置的电子邮件、Microsoft Teams 聊天和日历邀请的发件人或收件人。
    • 排名靠前的位置类型:按位置类型 (邮箱与站点) 的命中计数。

选择“ 重新生成视图 ”以重新运行查询并查看最新结果。 选择“ 下载报表 ”,将所有 统计信息 结果合并到单个 .csv 文件中。 查看任何趋势区域的前 100 个结果时,选择“ 下载报告 ”以获取所选命中趋势前 100 个结果的 .csv 文件。

了解统计信息和搜索结果

根据在电子数据展示中运行搜索时,搜索的统计信息可以包含不同的结果。 例如,如果运行两个搜索,条件完全相同,但时间不同,则可能具有不同的统计信息结果。 这些差异可能是由于以下原因造成的:

  • 组织处于活动状态:由于生产环境中有活动用户,因此组织中的数据会不断移动、添加、删除和停用。 针对相同位置运行的相同搜索条件可能会有不同的搜索结果,因为这些位置中的数据在搜索运行时间之间发生了更改。
  • 暂时性错误:运行搜索 (或导出或添加到审阅集时,) 可能会出现暂时性处理错误,尤其是对于大型数据集。 这些错误通常是由处理超时导致的,可以通过将搜索分解为较小的日期范围并并行导出数据来缓解这些错误。 始终尝试将搜索分解为更小的大小,具有更具体的搜索条件和更有针对性的所选位置。 这有助于提高进程运行效率,并减少出错的可能性。
  • 位置访问:在某些情况下,搜索中包含的位置无效、无法访问或在处理过程中超时。 比较具有相同条件的两个搜索之间的结果时,请确保成功搜索的位置匹配。 例如,对 1,000 个位置的搜索在第一次运行中可能有一个失败的位置,在第二次运行中没有失败的位置。 这意味着第一个运行只成功搜索了 999 个位置,第二个运行搜索了 1,000 个位置。 一个位置的差异是两个运行之间的搜索结果不同的原因。 使用 locations.csv报表 进行搜索、导出和添加,以查看设置过程,以查看有关哪些位置成功以及哪些位置失败的综合报告。 重新运行搜索失败的任何失败位置。
  • 运行搜索的用户:根据启动搜索过程的用户,用户可能应用或不应用符合性边界或合规性搜索筛选器。 此筛选器基于邮箱属性筛选位置,或基于 sharePoint 网站) (内容路径筛选内容。 如果应用了符合性边界或搜索权限筛选器,则用户的结果可能会受到限制。 例如,一个用户没有应用符合性边界,但另一个用户应用了合规性边界,该边界将用户邮箱和 OneDrive 站点限制为特定区域。 第一个用户的搜索返回针对所有区域的搜索条件的所有邮箱和 OneDrive 匹配项,对第二个用户的搜索仅返回邮箱和 OneDrive 站点的匹配项,仅返回允许区域的匹配项。

示例仪表板

如果选择了“示例”作为搜索的初始结果类型,则会在搜索结果完成后自动重定向到此仪表板。 示例仪表板列的搜索结果包含每个项的以下信息:

  • 主题/标题:示例中包含的项目的主题或标题。
  • 日期:创建或发送项的日期。
  • 发件人/作者:项目的发件人或作者。

通过示例,可以检查单个项目的代表性子集,以及返回的搜索项的详细信息。 每个位置的样本数和搜索中定义的样本位置数决定了示例项的数量和位置表示形式。

选择一个示例项以查看该项的 信息。 如果可用于项目,则此视图将显示所选项的丰富视图,以便您可以评估与定义的搜索数据源和条件相关的项的相关性。

选择“ 重新生成视图 ”以重新运行查询并查看最新结果。 选择“ 下载报表 ”,将所有 示例 结果合并到单个 .csv 文件中。 选择“ 查看设置” ,查看应用于示例视图生成的设置。

改进搜索结果

根据搜索返回的估计值和统计信息,可以通过更改搜索的数据源和搜索查询来扩展或缩小搜索范围来编辑和优化搜索。 可以更新并重新运行搜索,直到确信搜索结果包含与案例最相关的内容。

对搜索结果感到满意后,可以执行以下作: