祝贺您最近成功过渡到 G Suite 和保险柜。我们知道,您要进行电子取证,现已做好开始的准备。
Get started with search and export1. 登录保险柜
2. 创建诉讼或调查
保险柜中的诉讼或调查与 Postini 中的调查用处相同。它是存储所有调查相关数据的虚拟容器。如果您没有诉讼或调查,则无法搜索保险柜。
Postini 会始终打开您所处理的最近一份调查,但保险柜会在您每次登录时要求您创建或选择诉讼或调查。这有助于确保您的工作始终与选定的诉讼或调查相关。
3. 搜索 Gmail 邮件和传统版环聊消息
在拥有众多用户的大型网域中搜索邮件并非易事。有时候您找到的邮件可能过多,而有时候可能又找不到足够的邮件。不过,只要您给出正确的搜索字词,保险柜便能准确找到您所寻找的邮件。
计算搜索结果数目评估搜索有效性的一个快速方法是使用搜索下拉箭头中的计算搜索结果数目功能。保险柜会计算与您的搜索条件相符的邮件的数量。然后,您可以根据诉讼或调查的要求,扩大或缩小搜索范围。
要减少保险柜为您找到的邮件的数量:
- 您是要寻找由特定用户发送的邮件吗?请在“帐户”字段中输入用户名或尝试使用搜索运算符,例如 from:user1@company.com 和 to:user2@company.com。
- 要寻找特定词组?在很多单位,Gmail 包含数百万封邮件,大多数的常用字词(特定语言)通常会一再出现。您可能会发现搜索的字词在某些邮件中经常出现,但这些邮件与您的诉讼或调查无关。您可以尝试用引号将字词归为一组。
- 搜索结果中有太多同一邮件的副本?在发件人写邮件的过程中,保险柜会保存该邮件的多个版本。如果您不需要这么多详细信息,点击排除草稿框即可将此类邮件从您的搜索结果中移除。
- 要将某些邮件从搜索结果中排除吗?请使用连字符 (-) 将邮件从您的搜索中排除。例如,-subject:vacation 可移除主题中包含“vacation”一词的所有邮件。
要找到更多邮件:
- 检查搜索字词。您的搜索字词可能限制了搜索结果。
- 您只能搜索分配了保险柜许可的帐号中的邮件。未分配许可的帐号中的邮件不会保留,也无法通过保险柜查看。如果您的单位使用局部网域许可,请参阅分配保险柜许可。
- 保险柜将邮件的全部会话折叠成一个单独会话后返回。
折叠的会话:
点击该会话即可将其展开。点击各封邮件即可阅读对应的内容:
您还可以使用以下查询来查找诉讼或调查所需的邮件。
| 操作方法 | 查询示例 |
|---|---|
| 查找发送到外部网域或从外部网域发送的所有邮件 | 此查询会返回与外部网域相关的所有邮件(不论发件人是谁): (from:solarmora.com OR to:solarmora.com) |
| 仅查找聊天消息 | 此查询会返回聊天消息并排除电子邮件: is:chat |
| 查找字词(不包含某些字词) | 此查询会返回“invite”和“invitational”,但不会返回“invitation”或“invited”: (invit* -invitation -invited) |
| 查找邮件中相近的字词 | 此查询会返回“don’t ever distribute”,但会排除“don’t think we should distribute”。您可以使用 1 到 50 间的任意数值。 ("don't AROUND 3 distribute") |
| 排除具有用户应用的标签的已删除邮件 | 此查询会排除具有用户应用的“travel”标签的所有已删除邮件: -(label:^deleted AND label:travel) |
| 查找特定类型的附件 | 此查询会返回带有 PDF 附件的所有邮件: (has:attachment filename:pdf) |
| 排除已被隔离的邮件。 |
此查询会排除管理员隔离区中的邮件: |
在您查看搜索结果时,屏幕顶部会显示您刚才输入的字词。
点击搜索栏即可弹出快速搜索表单并修改搜索字词。
4. 搜索云端硬盘以查找文件
当您在云端硬盘中搜索文件时,您必须通过帐户名或单位部门(用户人数少于 5000 人)进行搜索。保险柜则可以搜索文件名以及类型受支持的文件的内容。
保险柜会将以下类型的文件编入索引:- Microsoft Word、Excel 和 Powerpoint
- .html
- .txt
- .rtf
- OpenOffice™ XML
- 无线应用协议 (.wap)
- 无线标记语言 (.wml)
- Google 地球 (.kml)
5. 保存搜索
在您最终确定搜索字词后,您可以保存该查询,以便日后快速执行该搜索。保存的搜索是动态的;也就是说,您将来的搜索中将包含上次搜索后创建的邮件和文件。
6. 导出和分析
在您找到诉讼或调查所需的邮件或文件后:
其他保险柜任务
如果您拥有适当的保险柜权限,就可能需要执行其他任务(如下所示):
- 您可以按照单位保留义务的要求,保留特定邮件和文件。请检查您的保留政策并根据需要进行更新。
- 您可以创建保全,从而为个别用户或单位部门保留数据。无论保留设置为何,符合保全条件的邮件和文件永远不会被删除。
- 审核用于控制其他用户可在保险柜中执行哪些操作的权限。
Postini 与保险柜功能比较
现在您已经过渡到 G Suite,接下来就可能需要重新评估您单位的电子取证政策和程序,以便充分利用从 GMD 转换到保险柜后带来的优势。
| 保险柜功能 | 客户得到的好处 |
|---|---|
| 以 G Suite 和 Gmail 为构建基础 | 搜索选项有所扩展:
|
| 灵活的保留政策 | 您现在可以基于单位部门、搜索字词和/或发送日期保留特定的邮件。请检查您的保留政策并根据需要进行更新。
请注意:目前,保险柜无法保留或保全云端硬盘中的文件。
|
| 有针对性的保全 | 您现在可以基于用户帐号、发送日期和/或搜索字词创建诉讼保全。 |
| 无限保留 | 您的单位不再受到 GMD 的 10 年保留期限制。保险柜可以无限期地保留邮件。 |
| 就地存储 | 由于保险柜与其他 Google 服务完全集成,因此不会出现重复的归档。 |
请参阅以下部分,了解关于保险柜功能的更多信息。
保险柜中已包含的 Postini 功能以下功能已经存在于保险柜中,并可供您立即使用。
| Postini 功能 | 保险柜功能 |
|---|---|
| 已归档电子邮件搜索 | 搜索 Gmail 数据
搜索并导出 Gmail 中的邮件,以满足电子取证和法规遵从方面的需要。 |
| 高级布尔值搜索 | 搜索运算符
使用高级搜索运算符,包括布尔值运算符、Gmail 运算符和通配符运算符。 |
| 身份查询和搜索 | 搜索 Gmail 数据
基于一个或多个用户帐号搜索 Gmail 邮件。 |
| 调查管理 | 整理和创建诉讼或调查
创建诉讼或调查,以管理调查并整理归档查询。在保险柜中,诉讼或调查是存储所有与具体案件或调查相关的数据的容器。 |
| 用户保全 | 诉讼保全
为帐号设置诉讼保全以保护用户的 Gmail 数据。通过搜索访问保险柜中保全的数据。 |
| 限制搜索 | 保险柜权限
为您的网域配置角色,然后将角色分配给保险柜用户。 |
| 邮件摘要、详细邮件展示、附件查看 | 预览搜索结果
在导出前查看搜索结果,包括邮件会话、标头详细信息和文件内容。 |
| 归档报告 | 报告和审核
检查用户登录保险柜期间执行的操作。 |
| 为保存的搜索结果设置保全 | 有针对性的保全
使用保全功能防止邮件从归档中被完全清除。您可以按照个别用户、单位部门或指定搜索字词设置保全。 |
| 导出保存的结果 | 导出搜索结果
导出邮件和文件,以便进一步分析或与非保险柜用户共享。 |
| 基于单位部门的保留 | 保留规则
为个别用户或单位部门设置保留政策。 |
以下功能不受保险柜支持:
- 通用归档 - 如果 G Suite 中没有配置某用户,该用户便不在保险柜的归档范围内。
- Lotus Notes™ 支持 - GMD 支持提取 Lotus Notes 日志,但保险柜不支持 Lotus Notes。
- 非标准 Exchange 日志提取 - 保险柜只接受标准的 RFC 822 MIME(或多部分)日志,日志报告在 text/plain 或 text/HTML MIME 部分。保险柜不接受其他格式的日志,也不接受以密件抄送 (BCC) 形式转发到日志地址但未以日志格式包装的邮件。
- 有关 Exchange 日志的提醒 - 保险柜不能跟踪来自客户电子邮件服务器的 Exchange 日志流,也无法通过电子邮件提醒客户管理员相关活动。
- 保存的搜索结果 - GMD 支持保存搜索和保存搜索结果。保险柜支持保存搜索,但不支持保存搜索结果。要保存搜索结果,用户必须导出数据集或创建有针对性的诉讼保全。
- 邮件大小 - 保险柜基于 Gmail 构建,而 Gmail 可接受的邮件大小上限为 25 MB,因此用户的每封邮件不得超过 25 MB。
- 我的调查 - 此功能不再受到支持。如果用户想要执行搜索以进行探索、调查或设置诉讼保全,则必须在保险柜中创建诉讼或保全。这等同于通过 GMD 中已命名的诉讼或调查执行搜索。Google 会将每位用户的“我的调查”转移到保险柜。
- 查询 - GMD 特有的查询用户地址的功能不再受到支持,但用户仍然能通过保险柜查找具体 ID。保险柜会自动查找您在搜索框中输入的用户 ID。
- 公司目录面板 - 在 GMD 中,您可以搜索用户的身份信息,包括用户在您的邮件安全服务中注册的所有电子邮件地址与别名。保险柜不支持此类搜索。
- 保护 FTP 传输的安全 - GMD 可确保从界面以 FTP 传输形式进行导出的安全性。保险柜不支持此功能。不过,在以后要发布的版本中,保险柜将支持您管理云端硬盘中的导出,从而免去 FTP 传输。
- 人工归档清除 - GMD 支持人工归档清除,但保险柜只支持对归档数据自动清除。不过,保险柜能自动协调为给定文档设置的多个保留期限以及诉讼保全。
- 按日期、发件人、收件人和主题对结果进行排序 - 保险柜只支持按日期对搜索结果进行排序。
- 邮件流搜索 - 此功能即将弃用,不包含在保险柜内。