使用保险柜搜索 Google Chat 消息

如要在 Google Chat 中搜索 Chat 消息，请改为参阅此页面。

Google 保险柜适用于管理员和法务人员。您必须先让 Google Workspace 管理员为您设置帐号，然后才能使用保险柜。谁是我的管理员？

您在开展 Google Workspace 数据电子取证项目的过程中，可以使用保险柜来搜索 Google Chat 消息、查看消息内容和参与者、下载附件以及导出搜索结果。

本文包含的主题：

执行搜索操作前的必知事项
Chat 搜索示例
搜索 Chat 消息
预览搜索结果中的消息

执行搜索操作前的必知事项

在您搜索消息前，我们建议您先查看保险柜支持的 Chat 消息和有关保险柜搜索功能的常见问题解答。

全部展开 | 全部收起

可以搜索和导出哪些数据

可以搜索和导出的数据：

聊天记录功能开启时发送的消息和附件
文本型附件内容
附件元数据
外部用户向您的用户发送的私信
外部用户在贵组织的群组消息和聊天室中发送的消息

无法搜索或导出的数据：

聊天记录功能关闭时发送的消息
链接的文件
外部 Chat 聊天室中的消息
预览的消息

如需了解详情，请参阅支持的服务和数据类型以及以下几个部分。

（已更新）按特定帐号、组织部门或特定聊天室和群组对话搜索 Chat 消息

按帐号搜索：搜索特定帐号或某一组织部门中的所有帐号收发的消息。默认情况下，系统只会搜索私信 (DM) 以及 2020 年 12 月初之前创建的群组对话中的群组消息。如果帐号是某些 Chat 聊天室的成员，您也可以将这些聊天室中的消息包含在搜索范围内。了解详情

按 Chat 聊天室搜索：您可以搜索聊天室中的消息，以及 2020 年 12 月初之后创建的群组对话中的消息。不过，您无法搜索所有聊天室。如要选择聊天室和群组对话，请输入聊天室成员的帐号。不妨详细了解群组消息和聊天室之间的区别。

（已更新）使用搜索字词来过滤结果

您可以通过发送日期、时区以及其他条件（例如关键字、附件类型和聊天室类型）过滤搜索结果。不妨详细了解 Chat 搜索运算符。

保险柜会将搜索条件与每条消息进行匹配。系统只会返回与所有搜索字词匹配的消息。有关详情，请参阅相关示例。

消息中附加的部分文件无法搜索或导出

通过链接共享的文件无法搜索或导出 - 当有人在消息中共享存储在云端硬盘中的文件时，Chat 会在消息中插入链接，而不是附加文件副本。您可以按文件网址进行搜索，但保险柜不会将文件的标题或内容编入索引。当您搜索或导出 Chat 消息时，这些以链接形式附加的文件不在搜索或导出范围内。

直接附加到消息中的文件则在搜索或导出范围内 - 对于直接附加到 Chat 消息中的文件，保险柜会将文件名编入索引以供搜索。保险柜还会将大多数文本型文件（例如扩展名为 .pdf、.xlsx 和 .docx 的文件）中的内容编入索引。当您搜索和导出 Chat 消息时，这些文件附件在搜索和导出范围内；此外，它们也在 Chat 保留规则和保全设置的涵盖范围内。

预览最多 1500 条消息

您在搜索结果中最多可预览 1500 条消息，包括为提供上下文而提供的消息。如要详细了解用于提供上下文的消息，请参阅本页面中的预览搜索结果中的消息。

（已更新）保险柜会根据成员资格搜索 Chat 聊天室

按帐号搜索时，如果所搜索的帐号或组织部门中的任何帐号是某些 Chat 聊天室的成员，则保险柜会搜索这些聊天室。如果某帐号不再是 Chat 聊天室成员，则保险柜只会搜索在其离开前在聊天室中发送的消息。

外部 Chat 聊天室和外部用户 - 如果贵组织的用户在其他组织所拥有的 Chat 聊天室中发送了消息，则您无法搜索这类消息。

您可以搜索外部用户在由贵组织用户创建的 Chat 聊天室中发送的消息。

保全的数据 - 您可以将搜索范围限定为“保全的数据”，即只搜索与处于保全状态的用户帐号相关联的消息。在这种情况下，如果符合搜索参数且处于保全状态的用户曾经是某一聊天室的成员，那么保险柜就会搜索该聊天室中的消息。如果处于保全状态的所有用户都离开了 Chat 聊天室，那么在搜索保全的消息时，系统只会返回在最后一名处于保全状态的用户离开前该聊天室中发送的消息。

（已更新）保险柜可以搜索部分用户看不到的 Chat 消息

如果私信或群聊的参与者适用多种不同的保留规则或保全设置，则部分参与者或许可以查看消息记录，而其他人则无法查看。

例如，参与者 1 所属组织部门适用的一条保留规则要求在 7 天后完全清除私信。该参与者与参与者 2 进行了聊天，而参与者 2 所属组织部门适用的一条保留规则要求无限期保留私信。如果参与者 1 向参与者 2 发送私信或收到来自参与者 2 的私信，7 天后参与者 1 便无法再访问该私信。但是，由于参与者 2 的私信会无限期保留，因此系统不会完全清除这些私信，参与者 2 仍可访问这些消息。

对于将参与者 1 指定为搜索条件的保险柜搜索，如果超过了其所属组织适用保留规则要求的 7 天期限和 Chat 设置的 30 天标准保留期限，则系统不会返回消息。对于将参与者 2 指定为搜索条件的保险柜搜索，系统会返回尚未被完全清除的所有消息。

Chat 搜索示例

系统如何使用搜索字词来查找 Chat 聊天室中的消息

例如，您有一个 Chat 聊天室中包含以下往来消息：

    参与者 1：hi

    参与者 2：hello

下表展示了在使用各个搜索字词时，搜索、预览和导出功能处理消息的方式：

搜索字词	Chat 聊天室搜索、预览和导出功能的工作方式
`hi`	搜索：系统只会返回参与者 1 发送的消息，因为只有该消息与搜索字词相匹配。预览和导出：包含参与者 1 发送的消息，以及聊天室或话题（话题式聊天室）中在该消息前后 12 小时内发送的所有消息。
`hello`	搜索：系统只会返回参与者 2 发送的消息，因为只有该消息与搜索字词相匹配。预览和导出：包含参与者 2 发送的消息，以及聊天室或话题（话题式聊天室）中在该消息前后 12 小时内发送的所有消息。
`hi hello`	系统不会返回或导出任何消息，因为没有某个消息同时包含这两个搜索字词。
`hi from:<参与者 1>@example.com`	搜索：系统只会返回参与者 1 发送的消息，因为只有该消息同时与这两个搜索字词相匹配。预览和导出：包含参与者 1 发送的消息，以及聊天室或话题（话题式聊天室）中在该消息前后 12 小时内发送的所有消息。
`hi from:<参与者 2>@example.com`	系统不会返回或导出任何消息，因为没有某个消息同时与这两个搜索字词相匹配。
`‑hi from:<参与者 1>@example.com`	系统不会返回或导出示例对话中的任何消息，因为没有某个消息同时与这两个搜索字词相匹配。
`‑hi from:<参与者 2>@example.com`	搜索：系统只会返回参与者 2 发送的消息，因为只有该消息与搜索字词相匹配。预览和导出：包含参与者 2 发送的消息，以及聊天室中在该消息前后 12 小时内发送的所有消息。

搜索 Chat 消息

登录 vault.google.com。
点击诉讼或调查。您可以在“诉讼或调查”（即保险柜项目的工作区）中搜索数据。在“诉讼或调查”部分中，您可以将彼此相关的保全、搜索和导出归为一组。诉讼或调查不会限制您可以搜索哪些数据，也就是说，您可以在任何诉讼或调查中搜索您有权访问的所有数据。
如果您要从中执行搜索查询的诉讼或调查已存在，请点击它以将它打开。否则，请创建一个诉讼或调查：
1. 点击创建诉讼或调查。
2. 输入诉讼或调查的名称以及说明（可选）。
3. 点击创建。
系统会自动打开搜索标签页。
选择 Chat 服务。
选择要搜索的来源数据：
- 所有数据 - 搜索组织中的所有消息。
- 保全的数据 - 仅搜索为该诉讼或调查保全的消息。
选择要搜索的实体：
- 特定帐号 - 最多可输入 5,000 个帐号电子邮件地址。
- 组织部门 - 搜索特定下级组织部门中的帐号。
- 您无法搜索顶级组织部门（整个组织）。如果您选择此部门，则系统不会返回任何结果。
- 如果组织部门包含下级组织部门，那么系统也会搜索下级组织部门中的帐号。
- 如果您的组织结构较大，则选择上级组织部门时可能不会显示任何结果。您必须改为选择特定的下级组织部门。
- 每个组织部门的成员数量必须少于 5,000 人。

Chat 聊天室 - 搜索一个或多个聊天室：
1. 在打开的对话框中，输入要搜索的聊天室中成员的一个或多个电子邮件地址。
2. 点击查找。
3. 在聊天室列表中，选择您要搜索的聊天室，然后点击添加。

（可选）搜索帐号或组织部门时，如果要将聊天室中的消息纳入到搜索范围内，请点击“包含 Chat 聊天室中的消息”图标。仅当所搜索的帐号是聊天室成员时，保险柜才会搜索该聊天室。
（可选）选择时区。
（可选）输入发送日期范围。
注意：如果您输入日期，保险柜会返回在该日期范围内有消息符合查询条件的所有对话。结果中可能还会包含符合查询条件但在该日期范围之外收发的消息。
- 如果您输入开始日期，保险柜会返回在该日期当天或之后发送的所有消息。
- 如果您输入结束日期，保险柜会返回在该日期当天或之前发送的所有消息。
（可选）在字词字段中，输入一个或多个搜索字词：
搜索字词不能超过 2,000 个字符。
- 如要在消息中搜索一个或多个关键字，请在输入的每个字词前都加上加号 (+) 并以空格分隔各个字词。例如 +project +goals。
- 如要搜索某个词组，请将其中的字词用英文引号引起来，并在前面输入加号 (+)。例如 +"project goals"。
- 如要仅搜索私信，请输入 is:dm。如要仅搜索聊天室中的消息，请输入 is:room。
- 如要按帐号、日期或消息属性进行搜索，请使用搜索运算符。
点击下列选项之一：
- 搜索 - 进行搜索并返回符合查询条件的消息列表。
- 导出 - 跳过预览，直接导出搜索结果。详细了解导出
完成搜索或导出后，您可以执行以下操作：
- 要修改搜索条件，请点击展开。
- 要打开消息及其所在对话的预览页面，请点击相应消息。
- 要为搜索结果创建导出任务，请点击导出。了解详情
- 要保存查询，请点击保存。了解详情
- 要清除所有字段并开始新的搜索，请点击清除。

预览搜索结果中的消息

执行搜索后，您可以查看符合查询条件的消息、查看参与者以及下载附件。

如要预览消息，请在搜索结果列表中点击相应消息。系统会显示消息列表。为了提供符合查询条件的消息的上下文，保险柜会包含来自同一对话或话题的消息，如下所示：

对话类型	预览和导出中用于说明上下文的消息
私信群聊话题式聊天室（以前称为“非话题式聊天室”）	在符合查询条件的消息前后 12 小时内发送的消息。如果符合查询条件的消息位于话题式聊天室的内嵌回复中，则系统会根据该消息所回复的主消息计算时间范围。系统会将该时间范围内的所有主消息以及这些主消息的所有内嵌回复添加到上下文中。
按主题分组的聊天室（以前称为“话题式聊天室”）	与符合查询条件的消息处于同一主题且在该消息前后 12 小时内发送的消息。

对话类型

预览和导出中用于说明上下文的消息

私信
群聊
话题式聊天室
（以前称为“非话题式聊天室”）

在符合查询条件的消息前后 12 小时内发送的消息。

如果符合查询条件的消息位于话题式聊天室的内嵌回复中，则系统会根据该消息所回复的主消息计算时间范围。系统会将该时间范围内的所有主消息以及这些主消息的所有内嵌回复添加到上下文中。

按主题分组的聊天室
（以前称为“话题式聊天室”）

与符合查询条件的消息处于同一主题且在该消息前后 12 小时内发送的消息。

注意：对于长对话，预览中仅会显示前 1500 条消息（大小不超过 900 MB，从 12 小时前发送的消息开始）。不过在导出搜索结果时，所有符合查询条件的消息或用来说明当时上下文的消息都会包括在内，预览页面中未出现的消息也不例外。

带有的消息包含一个或多个附件。如要下载附件，请预览消息，然后点击下载。

该内容对您有帮助吗？

您有什么改进建议？