När du anpassar din sökning i undersökningsverktyget kan du inkludera ett eller flera villkor i din sökning. Om du anpassar en sökning som har minst två villkor har du också möjlighet att skapa kapslade frågor – med andra ord sökningar som inkluderar två eller tre nivåer av villkor.
Med hjälp av kapslade frågor kan du begränsa din sökning genom att ange frågor som är mycket mer detaljerade och som är riktade mot specifika typer av händelser. Gör detta genom att klicka på 
Lägg till villkorsgrupp när du anpassar din sökning.
Du kanske till exempel vill göra en sökning efter inkommande e-postmeddelanden i din organisation för att undersöka användare som tar emot bilagor. Dessutom kanske du vill begränsa din sökning genom att bara inkludera användare som öppnar dessa bilagor eller klickar på länkar i e-postmeddelandena. När du anpassar din sökning baserar du sökningen på Gmail-loggens händelsedatakälla och du konfigurerar följande villkor för din sökning:
- E-postmeddelandet måste innehålla en bilaga.
- OCH användaren måste antingen öppna den bifogade filen ELLER klicka på en länk i e-postmeddelandet.
Obs! De flesta datakällor möjliggör kapslade frågor på tre nivåer. Datakällan Användare möjliggör endast kapslade frågor på två nivåer, medan datakällan Chrome-webbläsaren inte aktiverar kapslade frågor.