Valutare e perfezionare i risultati della ricerca in eDiscovery

Valutare e perfezionare i risultati della ricerca è un passaggio importante nell'analisi di eDiscovery. La query di ricerca configurata e i risultati restituiti consentono di determinare se si individuano elementi e informazioni applicabili all'indagine o se è necessario modificare la ricerca per provare a individuare altri elementi pertinenti. Questa ricerca iniziale di elementi e la revisione iniziale delle informazioni consentono di determinare quali azioni sono necessarie dopo aver finalizzato i parametri di ricerca.

Valutare i risultati della ricerca

Dopo aver creato ed eseguito una ricerca, visualizzare le statistiche di ricerca per verificare se il contenuto pertinente viene trovato e le posizioni del contenuto con il maggior numero di riscontri. È anche possibile esaminare un esempio dei risultati della ricerca per determinare ulteriormente se il contenuto rientra nell'ambito dell'indagine.

Dashboard statistiche

Se si seleziona Statistiche come tipo di risultato iniziale per la ricerca, la ricerca reindirizza automaticamente l'utente a questo dashboard al termine dei risultati della ricerca. Se si ha già familiarità con le versioni precedenti di eDiscovery, le informazioni nella scheda Statistiche sono simili alle stime della raccolta. I risultati della ricerca per il dashboard Statistiche sono inclusi nelle sezioni seguenti:

• Riepilogo: questa sezione mostra il numero di riscontri di ricerca, i percorsi, le origini dati e le dimensioni totali del file degli elementi parzialmente indicizzati.

  • Riscontri di ricerca: visualizza il numero totale di riscontri di ricerca e il volume di tutti gli elementi corrispondenti ai criteri di query dei percorsi ricercati.
  • Posizioni: visualizza la frazione di posizioni con riscontri di tutte le posizioni ricercate. Il numeratore mostra le posizioni con riscontri e il denominatore mostra il numero di posizioni ricercate. Le posizioni con errori vengono visualizzate in rosso. Per visualizzare i dettagli completi su tutte le posizioni e i riscontri e gli errori associati, selezionare Scarica report per scaricare il report completo .csv. Si noti che il numero di posizioni visualizzate in questa scheda potrebbe essere diverso dal numero di righe nel report CSV delle posizioni. Se più cassette postali condividono lo stesso indirizzo SMTP, il report sulla posizione potrebbe mostrare più righe. Questa situazione si verifica perché un singolo indirizzo SMTP può includere sottotipi di cassetta postale diversi, ad esempio primario, sistema o archivio. Il numero di righe nel report percorso CSV potrebbe superare il conteggio visualizzato nella scheda percorso nella visualizzazione Statistiche . La visualizzazione Statistiche aggrega tutte le cassette postali nello stesso indirizzo SMTP senza distinguere i sottotipi. Per una suddivisione più dettagliata dei riscontri per sottorilevazione, usare il report CSV anziché la visualizzazione Statistiche . Le posizioni di SharePoint e OneDrive possono anche avere siti di archiviazione e vengono conteggiate come posizioni separate nel report.
  • Ripetere i percorsi non riusciti: questa azione è disponibile quando sono presenti posizioni non riuscite. L'operazione di ripetizione delle posizioni non riuscite attiva un nuovo processo di ricerca destinato a tali posizioni con errore e quindi aggrega il numero di riscontri ritentato con il numero di riscontri del processo di ricerca originale. Al termine del processo di ripetizione dei tentativi, la visualizzazione statistiche mostra il nuovo numero di riscontri aggregati.
  • Origini dati: visualizza la frazione di origini dati con riscontri di tutte le origini dati ricercate. Il numeratore mostra le origini dati con riscontri e il denominatore indica il numero di origini dati incluse nella ricerca. Questa origine dati è coerente con l'origine dati nel flusso di progettazione della ricerca e deve corrispondere al numero di persone o gruppi inclusi nella ricerca. Un'origine dati a livello di tenant di Tutti gli utenti e tutti i gruppi viene conteggiata come singola origine dati.
  • Elementi parzialmente indicizzati o "Riscontri di elementi indicizzati avanzati": visualizza il conteggio e il volume degli elementi parzialmente e non indicizzati restituiti come parte della ricerca. Questa scheda visualizza informazioni sugli elementi parzialmente indicizzati se si sceglie di includere elementi parzialmente o non indicizzati come parte della configurazione di ricerca. Se si sceglie di includere elementi parzialmente e non indicizzati e si abilitano le opzioni di indicizzazione avanzate, questa scheda visualizza i riscontri aggiuntivi ottenuti da elementi indicizzati avanzati. Il numero di riscontri indicizzati avanzati proviene da un esempio di statistica sugli elementi parzialmente indicizzati, i riscontri effettivi potrebbero essere maggiori e devono essere confermati usando l'aggiunta a un set di revisioni ed esportare le azioni dei risultati della ricerca.

• Tendenze dei risultati della ricerca: questa sezione mostra le schede dei risultati della ricerca seguenti. I grafici sono interattivi, passando il puntatore del mouse per visualizzare nomi di sezione, percentuali e numeri di elemento. Selezionare Visualizza i primi 100 per altre informazioni sugli elementi inclusi in ogni tendenza e per scaricare i risultati in un file .csv:

  • Principali origini dati: visualizza le prime cinque origini dati che costituiscono il maggior numero di riscontri di ricerca corrispondenti alla query. Il nome di queste origini dati (nomi di utenti, gruppi o località a livello di organizzazione) è elencato con il numero di riscontri. Queste origini dati devono corrispondere a quelle selezionate nel flusso di lavoro delle origini dati durante la compilazione della query di ricerca.

  • Principali tipi di informazioni sensibili (SIT): visualizza i primi cinque tipi di informazioni sensibili (SIT) nei file di SharePoint che sono più spesso inclusi nei riscontri di ricerca corrispondenti alla query. L'aggiunta del conteggio di ogni SIT non equivale necessariamente al numero totale di riscontri perché un singolo elemento o documento potrebbe contenere più di un tipo SIT. Ad esempio, un documento contiene sia una password che un numero di previdenza sociale (SSN). In questo esempio viene conteggiato due volte. È consigliabile selezionare Visualizza i primi 100 per ottenere una comprensione più approfondita delle posizioni di questi conteggi SIT per verificare se si sovrappongono o meno.

  • Parole chiave principali: parole chiave di query, che hanno generato il maggior numero di riscontri di ricerca corrispondenti alla query.

    Nota

    Per generare un report di parole chiave nella visualizzazione statistiche, è necessario popolare almeno due o più griglie di parole chiave. Se si immette una sola parola chiave, il numero totale di riscontri visualizzato riflette i risultati per tale parola chiave e non viene generato un report di parole chiave.

  • Tipi di elementi principali: tipi di elementi più frequenti all'interno dei riscontri di ricerca corrispondenti alla query. Questo conteggio è determinato da itemClass per il contenuto di Exchange e ContentType per il contenuto di SharePoint.

  • Stato di indicizzazione: suddivisione di elementi di dati non indicizzati (inclusi quelli parzialmente indicizzati) e completamente indicizzati.

  • Principali partecipanti alla comunicazione: mittenti o destinatari per i messaggi di posta elettronica, le chat di Microsoft Teams e gli inviti al calendario nelle posizioni di Exchange.

  • Tipo di posizione principale: numero di riscontri per tipo di posizione (cassetta postale rispetto al sito).

Selezionare Rigenera visualizzazione per eseguire di nuovo la query e per esaminare i risultati più aggiornati. Selezionare Scarica report per combinare tutti i risultati delle statistiche in un singolo file di .csv. Quando si visualizzano i primi 100 risultati per qualsiasi area di tendenza, selezionare Scarica report per un file .csv dei primi 100 risultati della tendenza di hit selezionata.

Informazioni sulle statistiche e sui risultati della ricerca

A seconda di quando si esegue una ricerca in eDiscovery, le statistiche per la ricerca possono mostrare risultati diversi. Ad esempio, se si eseguono due ricerche con esattamente le stesse condizioni ma in momenti diversi, è probabile che vengano visualizzati risultati di statistiche diversi. Queste differenze possono verificarsi per i motivi seguenti:

• L'organizzazione è attiva: poiché si hanno utenti attivi in un ambiente di produzione, i dati dell'organizzazione vengono costantemente spostati, aggiunti, eliminati e ritirati. Le stesse condizioni di ricerca vengono eseguite nelle stesse posizioni e probabilmente restituiscono risultati di ricerca diversi perché i dati in tali posizioni sono cambiati tra il momento in cui sono state eseguite le ricerche.
• Errori temporanei: quando si esegue una ricerca (o si esporta o si aggiunge a un set di revisione), potrebbero verificarsi errori di elaborazione temporanei, in particolare per set di dati di grandi dimensioni. Questi errori si verificano spesso a causa dei timeout di elaborazione e possono essere attenuati suddividendo le ricerche in intervalli di date più piccoli ed esportando i dati in parallelo. Provare sempre a suddividere le ricerche in dimensioni più piccole con condizioni di ricerca più specifiche e più mirate a posizioni selezionate. Questo approccio consente di eseguire il processo in modo più efficiente con meno probabilità di errori.
• Accesso alla posizione: in alcuni scenari i percorsi inclusi in una ricerca non sono validi, non sono accessibili o si verificano timeout durante l'elaborazione. Quando si confrontano i risultati tra due ricerche con le stesse condizioni, assicurarsi che i percorsi cercati corrispondano correttamente. Ad esempio, una ricerca in 1.000 posizioni potrebbe avere una posizione non riuscita nella prima esecuzione e nessuna posizione non riuscita nella seconda esecuzione. Questo esempio indica che la prima esecuzione ha eseguito correttamente solo 999 posizioni e la seconda ha cercato 1.000 posizioni. La differenza di una posizione è il motivo per cui i risultati della ricerca tra due esecuzioni sono diversi. Usare il reportlocations.csv per la ricerca, l'esportazione e l'aggiunta per esaminare i processi impostati per visualizzare un report completo sulle posizioni riuscite e sui percorsi non riusciti. Rieseguire le ricerche per eventuali posizioni non riuscite.
• Utente che esegue la ricerca: a seconda dell'utente che avvia il processo di ricerca, l'utente potrebbe applicare o meno il limite di conformità o il filtro di ricerca di conformità. Questo filtro filtra i percorsi in base alle proprietà delle cassette postali o filtra il contenuto in base al percorso del contenuto (siti di SharePoint). I risultati per l'utente potrebbero essere limitati se viene applicato un limite di conformità o un filtro delle autorizzazioni di ricerca. Ad esempio, un utente non ha un limite di conformità applicato, ma un secondo utente ha un limite di conformità applicato che limita l'utente alle cassette postali utente e ai siti di OneDrive a un'area specifica. Una ricerca del primo utente restituisce tutte le cassette postali e OneDrive corrisponde alle condizioni di ricerca per tutte le aree e una ricerca per il secondo utente restituisce solo corrispondenze per le cassette postali e i siti di OneDrive solo per l'area consentita.
• I conteggi dei risultati della ricerca possono variare a causa di blocchi legali: se si esegue la stessa query di ricerca in momenti diversi, il numero di elementi nella ricerca o nell'esportazione potrebbe essere diverso. Questa differenza può verificarsi quando gli elementi vengono modificati o eliminati tra le ricerche. Ad esempio, gli elementi in blocco legale mantengono le versioni precedenti e potrebbero essere visualizzati nelle esportazioni successive, mentre gli elementi non in attesa potrebbero cambiare o essere rimossi se non soddisfano più i criteri di blocco.
• Le statistiche di ricerca sono stime: non usare queste stime per il confronto con l'archiviazione del sito di OneDrive e SharePoint. Le stime usano approssimazioni basate su indici, quindi le dimensioni del contenuto di eDiscovery stimate possono variare. L'archiviazione del sito spesso include dati non riportati nelle stime di eDiscovery, ad esempio le versioni dei file e gli elementi nel Cestino. Per una visualizzazione del contenuto del sito, usare il processo di esportazione anziché la stima delle dimensioni del dashboard delle statistiche.

Dashboard di esempio

Se si seleziona Esempio come tipo di risultato iniziale per la ricerca, si viene reindirizzati automaticamente a questo dashboard al termine dei risultati della ricerca. I risultati della ricerca per le colonne del dashboard di esempio contengono le informazioni seguenti per ogni elemento:

• Oggetto/Titolo: oggetto o titolo degli elementi inclusi nell'esempio.
• Data: data di creazione o invio dell'elemento.
• Mittente/Autore: mittente o autore dell'elemento.

Gli esempi consentono di esaminare un subset rappresentativo di singoli elementi e dettagli per ogni elemento restituito per la ricerca. Il numero di campioni per località e il numero di posizioni di esempio definite nella ricerca determinano il numero di elementi di esempio e la rappresentazione della posizione negli elementi di esempio.

Selezionare un elemento di esempio per visualizzare le informazioni di origine per l'elemento. Se disponibile per l'elemento, questa visualizzazione visualizza una visualizzazione avanzata di un elemento selezionato in modo che sia possibile valutare la pertinenza dell'elemento in relazione all'origine dati e alle condizioni di ricerca definite.

Selezionare Rigenera visualizzazione per eseguire di nuovo la query ed esaminare i risultati più aggiornati. Selezionare Scarica report per combinare tutti i risultati di esempio in un singolo file .csv. Selezionare Visualizza impostazioni per visualizzare le impostazioni applicate alla generazione di visualizzazioni di esempio.

Perfezionare i risultati della ricerca

In base alle stime e alle statistiche restituite dalla ricerca, è possibile modificare e perfezionare la ricerca. Modificare le origini dati incluse nella ricerca e modificare la query di ricerca per espandere o limitare la ricerca. È possibile aggiornare ed eseguire di nuovo la ricerca fino a quando non si è certi che i risultati della ricerca contengano il contenuto più rilevante per il caso.

Dopo aver soddisfatto i risultati della ricerca, è possibile eseguire le azioni seguenti:

• Aggiungere i risultati della ricerca a un insieme da rivedere
• Esportare i risultati della ricerca
• Creare un blocco

Differenze tra le statistiche e i risultati dell'esportazione

Quando si esegue una ricerca di eDiscovery, le statistiche restituiscono una stima del numero di elementi (e delle relative dimensioni totali) che corrispondono ai criteri di ricerca. Tuttavia, le dimensioni e il numero di risultati di ricerca esportati effettivi scaricati differiscono dalle dimensioni e dal numero stimati dei risultati della ricerca.

Alcune possibili ragioni spiegano queste differenze:

• Il modo in cui vengono stimati i risultati: la stima fornisce una stima (e non un conteggio effettivo) degli elementi che soddisfano i criteri della query di ricerca. Per compilare la stima degli elementi di Exchange, eDiscovery richiede al database di Exchange un elenco degli ID messaggio che soddisfano i criteri di ricerca. Tuttavia, quando si esportano i risultati della ricerca, la ricerca viene rieseguita e i messaggi effettivi vengono recuperati dal database di Exchange. Le differenze potrebbero verificarsi a causa del modo in cui viene determinato il numero stimato di elementi e il numero effettivo di elementi.

• La modalità di stima delle dimensioni dei risultati: durante la stima, le dimensioni sono approssimative. Il sistema raccoglie un numero elevato di elementi e somma le dimensioni usando approssimazioni. È consigliabile considerare la stima delle dimensioni come un ordine di grandezza, non una misura specifica delle dimensioni. Ad esempio, una stima delle dimensioni di 10 MB indica che i dati dovrebbero essere compresi tra 1 MB e 100 MB. Maggiore è il numero, maggiore è la varianza nella stima.

  • Per il contenuto basato su Exchange, le dimensioni del file sono le dimensioni del testo nel messaggio e nei byte degli allegati. Quando viene esportato, il formato viene convertito in .msg e aggiunto ai file pst o .zip. Entrambe queste operazioni possono influire in modo significativo sulle dimensioni.
  • Per il contenuto basato su SharePoint, le dimensioni del file sono byte approssimativi del file. In molti casi, per i dati basati su SharePoint, le dimensioni del file non possono essere stimate durante la ricerca.

• Modifiche che si verificano tra il momento in cui si stimano ed esportano i risultati della ricerca: quando si esportano i risultati della ricerca, la ricerca viene riavviato per raccogliere gli elementi più recenti nell'indice di ricerca che soddisfano i criteri di ricerca. È possibile che siano stati creati, inviati o ricevuti elementi aggiuntivi che soddisfano i criteri di ricerca nel periodo compreso tra la raccolta dei risultati della ricerca stimati e l'esportazione dei risultati della ricerca. È anche possibile che gli elementi che si trovavano nell'indice di ricerca quando i risultati della ricerca sono stati stimati non siano più presenti perché vengono eliminati dal percorso del contenuto prima dell'esportazione dei risultati della ricerca. Per attenuare questo problema, specificare un intervallo di date per una ricerca di eDiscovery o inserire un blocco nei percorsi del contenuto in modo che gli elementi vengano conservati e non possano essere eliminati.

  Altri problemi che possono comportare differenze tra i risultati di ricerca stimati ed esportati includono:

  • Aumento degli elementi quando si usa una query di data. Questo problema è in genere causato dai due aspetti seguenti:

    • Controllo delle versioni in SharePoint: se un documento viene eliminato da un sito in attesa e il controllo delle versioni dei documenti è abilitato, tutte le versioni del documento eliminato vengono mantenute.
    • Calendar elementi: accettare e rifiutare i messaggi e le riunioni ricorrenti continuano automaticamente a creare nuovi elementi in background con le date precedenti.

  • Con i blocchi, possono essere presenti casi in cui lo stesso elemento viene conservato nella cassetta postale primaria di un utente e nella cassetta postale di archiviazione. Questa situazione può verificarsi quando un utente sposta manualmente un elemento nel proprio archivio.

  • Anche se raro, anche nel caso in cui venga applicato un blocco, la manutenzione degli elementi predefiniti del calendario (che non sono modificabili dall'utente, ma sono inclusi in molti risultati di ricerca) potrebbe essere rimossa di tanto in tanto. Questa rimozione periodica degli elementi del calendario comporta un minor numero di elementi esportati.

• Elementi non indicizzati: gli elementi non indicizzati per la ricerca possono causare differenze tra i risultati della ricerca stimati ed effettivi. È possibile includere elementi non indicizzati quando si esportano i risultati della ricerca. Se si includono elementi non indicizzati durante l'esportazione dei risultati della ricerca, potrebbero essere presenti altri elementi esportati. Questa differenza causa una differenza tra i risultati della ricerca stimati ed esportati.

  Quando si usa la ricerca, è possibile includere elementi non indicizzati quando si esportano i risultati della ricerca. Il numero di elementi non indicizzati restituiti dalla ricerca è elencato nella pagina delle statistiche. Quando si esportano i risultati della ricerca, è possibile scegliere di includere o meno elementi non indicizzati. La configurazione di queste opzioni potrebbe comportare differenze tra i risultati stimati e quelli effettivi esportati.

• Versioni dei documenti in SharePoint e OneDrive: durante la ricerca di siti di SharePoint e account OneDrive, più versioni di un documento non sono incluse nel conteggio dei risultati di ricerca stimati. È tuttavia possibile includere le versioni dei documenti quando si esportano i risultati della ricerca. Se si includono le versioni dei documenti durante l'esportazione dei risultati della ricerca, il numero effettivo (e le dimensioni totali) degli elementi esportati aumenta.

• Cartelle di SharePoint: se le cartelle in SharePoint corrispondono a una query di ricerca, ad esempio la ricerca in base alla data, la stima della ricerca include un conteggio di tali cartelle con l'ultimo intervallo di date modificato (ma non gli elementi in tali cartelle). Quando si esportano i risultati della ricerca, è possibile scegliere di esportare elementi all'interno di sottocartelle di una cartella corrispondente o di includere solo elementi corrispondenti alla query di ricerca. Questa opzione può influire sul numero di elementi esportati. Se una cartella è vuota, il numero di risultati effettivi della ricerca esportata viene ridotto di un elemento, perché la cartella effettiva non viene esportata.

• Elenchi di SharePoint: se il nome di un elenco di SharePoint corrisponde a una query di ricerca, la stima della ricerca include un conteggio di tutti gli elementi nell'elenco. Quando si esportano i risultati della ricerca, l'elenco e gli elementi dell'elenco vengono esportati come un singolo file CSV. È possibile scegliere l'impostazione di esportazione che include allegati elenco, gli allegati vengono esportati come documenti separati, il che potrebbe aumentare il numero di elementi esportati.

• Formati di file non elaborati rispetto ai formati di file esportati: per gli elementi di Exchange, le dimensioni stimate dei risultati della ricerca vengono calcolate usando le dimensioni dei messaggi di Exchange non elaborati. Tuttavia, i messaggi di posta elettronica vengono esportati in un file PST o come singoli messaggi. Entrambe queste opzioni di esportazione usano un formato di file diverso rispetto ai messaggi di Exchange non elaborati, il che comporta una dimensione totale del file esportata diversa rispetto alle dimensioni del file stimate.