需求说明:
在实际使用中,管理员需要对Exchange组织内用户的邮件中的邮件进行特定的搜索,例如通过邮件主题,邮件接收时间,关键字等等。也可能需要对用户邮箱所收发的邮件进行特定的搜索。
解决方案:
1. Search-Mailbox
管理员可以通过运行Search-Mailbox 搜索用户邮箱,并将结果复制到指定的目标邮箱中。
运行命令行前需要注意的事项:
a) 默认情况下,运行该命令行需要具有“Mailbox Search”和“Mailbox import export”角色权限。默认情况下,这些角色未分配给任何角色组,所以您需要手动添加。
b) Search-Mailbox 在搜索结果中,每个邮箱最多返回10000个结果。并且该搜索不会搜索目标邮箱。
举例说明(1):在Exchange中所有的用户邮箱中搜索主题为“Exchange1”的邮件。
1) 将Search-Mailbox与SearchQuery结合使用,可以根据条件搜索邮箱。首先可以使用参数” EstimateResultOnly”在搜索结果中查看每个用户邮箱中符合条件的邮件总数和大小。通过这一步您可以初步了解您的搜索结果,并且可以查看您下一步接收搜索结果的目标邮箱中是否包含符合条件的邮件,如上所述该搜索不会搜索目标邮箱,避免遗漏。
Get-Mailbox -ResultSize Unlimited | Search-Mailbox -SearchQuery 'Subject:"exchange1"' –EstimateResultOnly
2) 将Search-Mailbox与SearchQuery结合使用,可以根据条件搜索邮箱。之后使用参数“TargetMailbox”和“Targetfolder”指定将搜索结果发送至目标邮箱的目标文件夹中。使用参数“Logonly”指定执行搜索,仅生成日志。
Get-Mailbox -ResultSize Unlimited | Search-Mailbox -SearchQuery 'Subject "exchange1"' -TargetMailbox "Administrator@contoso.com" -Targetfolder "Test" -LogOnly -LogLevel Full
以下为目标邮箱的目标文件夹中所接收的邮件,可以下载附件并查看:
举例说明(2):对特定的用户邮箱user2@contoso.com搜索邮件中包含“Happy”或者“Good”的邮件。
3) 如果搜索特定的邮件,可以结合参数“-Identity”,对特定邮箱进行搜索。在参数“SearchQuery”中,也可以直接指定所要搜索的特定内容。
Search-Mailbox -Identity "user2@contoso.com" -SearchQuery 'Happy OR Good' -TargetMailbox "Administrator@contoso.com" -Targetfolder "Test" -LogOnly -LogLevel Full
2. 就地电子数据展示(In-Place eDiscovery)
通过Exchange中的就地电子数据展示可以帮助管理员对邮箱中的相关内容执行发现搜索。并且可以对搜索结果进行估计,预览,复制和导出。
执行就地电子数据展示搜索需要注意的事项:
a) 为了使用户可以执行就地电子数据展示搜索,您需要将其添加到发现管理角色组。默认情况下,未将相关权限分配给任何用户或者管理员。
b) 对于相同的搜索源进行相同的搜索查询,可能返回的结果不同。预估的搜索结果和复制到发现邮箱的搜索结果也可能不同。这是因为对大量邮件进行搜索时,需要一些时间来编制索引,在次期间可能由于用户或者自动流程删除了电子邮件。所以建议在非高峰时间运行搜索。
举例说明:在Exchange中建立就地电子数据展示对所有邮箱进行搜索包含关键词“Happy”或者“Good”的邮件:
1) 首先,在Exchange管理中心的合规性管理中,选择“就地电子数据展示和保留”,点击新建创建一个名为“Test1”的就地电子数据展示,之后点击“下一步“:
2) 在该界面中,可以选择需要搜索的范围,例如所有邮箱,特定邮箱,所有公用文件夹等。按照示例,该界面选择了“搜索所有邮箱”,点击“下一步”。
3) 在该界面中,可以指定搜索条件,例如关键字,日期,收件人,发件人等。按照示例,该界面指定了搜索条件为包含关键字“Happy”或者“Good”的邮件,点击“下一步”。
4) 在该界面中,可以选择返回项目所保留的天数,可以按照个人需求或者组织要求进行选择。之后点击“完成”.
如果帖子有帮到您的话,请点击左上方“投票”按钮。这将帮助到阅读这个帖子的其他用户。