Чтобы просмотреть происшествия FPE с помощью Консоль администрирования Forefront Protection 2010 for Exchange Server, переключитесь в представление Мониторинг и нажмите в разделе Представления безопасности сервера кнопку Происшествия. В области Представления безопасности сервера — Происшествия для каждого происшествия отображаются по умолчанию указанные ниже сведения. Можно указать, какие именно сведения будут отображаться в области Представления безопасности сервера — Происшествия; дополнительные сведения см. в разделе Настройка представления "Происшествия".
| Сведения | Описание |
|---|---|
|
Время обнаружения |
Дата и время обнаружения зараженного или отфильтрованного сообщения. |
|
State |
Действие, выполненное над сообщением. |
|
Категория происшествия |
Тип происшествия, например Вирус. Значение 7 — Происшествие относится к прочим происшествиям, например, указывает на истечение времени ожидания или файл со слишком глубоким уровнем вложенности. |
|
Имя происшествия |
Имя вредоносной программы, имя сработавшего списка фильтров или имя другого происшествия (подробные сведения см. в разделе Отчеты о происшествиях). |
|
Subject |
Тема зараженного или отфильтрованного сообщения. |
|
Папка |
Имя папки, в которой был обнаружен файл. |
 Примечание. |
|---|
| Чтобы гарантированно просмотреть новейшие данные, нажмите в разделе Действия кнопку Обновить. |
Просмотр сведений о происшествии
Для каждого происшествия можно просмотреть дополнительные сведения, открыв область Сведения о происшествии, где отображаются сведения об обнаружении, сведения о сообщении и сведения об антивирусном ядре.
| Примечание. |
|---|
| В области Сведения о происшествии выводятся сведения только об одном происшествии. Если выделить несколько происшествий, сведения о них выведены не будут. |
О сведениях об обнаружении
При выделении происшествия и переходе на вкладку Сведения о происшествии выводятся указанные ниже сведения.
| Сведения | Описание | |
|---|---|---|
|
ID |
Уникальный идентификатор происшествия, например {700D944A-6D75-410D-A7CD-70E563134E4F}. |
|
|
Время обнаружения |
Дата и время обнаружения происшествия. |
|
|
State |
Действие, выполненное над сообщением. |
|
|
Категория происшествия |
Тип происшествия, например Вирус. Значение 7 — Происшествие относится к прочим происшествиям, например, указывает на истечение времени ожидания или файл со слишком глубоким уровнем вложенности. |
|
|
Имя происшествия |
Имя вредоносной программы, имя сработавшего списка фильтров или имя другого происшествия (подробные сведения см. в разделе Отчеты о происшествиях). |
|
|
File |
Имя файла, содержащего вредоносную программу или удовлетворяющего условиям фильтра. |
|
|
Папка |
Имя папки, в которой был обнаружен файл. |
|
|
Имя задания проверки |
Тип задания проверки (проверка передачи, проверка в реальном времени, проверка по расписанию или проверка по требованию), при выполнении которого было обнаружено происшествие. |
|
О сведениях о сообщении
При выделении происшествия и переходе на вкладку Сведения о сообщении выводятся указанные ниже сведения.
| Сведения | Описание | |
|---|---|---|
|
Время отправки |
Дата и время отправки зараженного или отфильтрованного сообщения. |
|
|
Subject |
Тема зараженного или отфильтрованного сообщения. |
|
|
Имя отправителя |
Имя пользователя, отправившего сообщение, содержащее вирус или соответствующее фильтру. |
|
|
Адрес отправителя |
Адрес электронной почты пользователя, отправившего сообщение, содержащее вирус или соответствующее фильтру. |
|
|
IP-адрес отправителя |
IP-адрес компьютера, с которого было отправлено зараженное или отфильтрованное сообщение. |
|
|
Сервер отправителя |
Имя узла компьютера, с которого было отправлено зараженное или отфильтрованное сообщение. |
|
|
Местоположение отправителя |
Определяет, является ли отправитель внутренним или внешним по отношению к организации. Применяется только при проверке в реальном времени, проверке по расписанию и проверке по требованию. |
|
|
Направление |
Направление отправки сообщения на момент его перехвата модулем проверки. Сообщения, ретранслируемые пограничным транспортным сервером или транспортным сервером-концентратором обозначаются как "входящие и исходящие", чтобы их можно было отличить от стандартных "входящих" и "исходящих" сообщений. |
|
|
Имена получателей |
Имена пользователей, которым было отправлено зараженное или отфильтрованное сообщение. |
|
|
Адреса получателей |
Адреса электронной почты пользователей, которым было отправлено зараженное или отфильтрованное сообщение. |
|
|
Имена получателей копии |
Имена пользователей в поле "Копия", которым было отправлено зараженное или отфильтрованное сообщение. |
|
|
Адреса получателей копии |
Адреса электронной почты пользователей в поле "Копия", которым было отправлено зараженное или отфильтрованное сообщение. |
|
|
Имена получателей скрытой копии |
Имена пользователей в поле "Скрытая копия", которым было отправлено зараженное или отфильтрованное сообщение. |
|
|
Адреса получателей скрытой копии |
Адреса электронной почты пользователей в поле "Скрытая копия", которым было отправлено зараженное или отфильтрованное сообщение. |
|
|
Код сообщения |
Уникальный идентификатор, присваиваемый Exchange каждому сообщению. |
|
О сведениях о модуле
При выделении происшествия и переходе на вкладку Сведения о модуле для каждого антивирусного ядра, обнаружившего происшествие, выводятся указанные ниже сведения.
| Примечание. |
|---|
| Эти сведения относятся только к обнаружению вредоносных программ, а не к срабатываниям фильтров. |
| Сведения | Описание | |
|---|---|---|
|
Имя ядра |
Имя антивирусного ядра, с помощью которого выполнялась проверка сообщения. |
|
|
Тип обнаружения |
Тип обнаруженного происшествия по предоставленным ядром сведениям. |
|
|
Имя обнаружения |
Имя вредоносной программы по предоставленным ядром сведениям. |
|
|
Версия антивирусного ядра |
Версия ядра. |
|
|
Версия определения |
Версия файлов с используемыми ядром определениями вредоносных программ. (Эти данные доступны не для всех ядер.) |
|
|
Очищено |
Здесь указывается, было ли сообщение очищено по предоставленным ядром сведениям. |
|
Настройка представления "Происшествия"
Представление "Происшествия" в FPE можно настроить, выполнив в области Представления безопасности сервера — Происшествия, указанные ниже задачи.
- Выбор отображаемых столбцов.
- Задание условий фильтра в таком порядке,
чтобы отображались только определенные элементы происшествий.
- Сортировка происшествий щелчком мыши по
необходимым столбцам (например, по столбцу Категория
происшествия). При этом происшествия сортируются по значениям в
столбце.
Эти действия влияют только на выбор отображаемых элементов, но не на саму базу данных.
Настройка столбцов, отображаемых для происшествий-
В области Представления безопасности сервера — Происшествия в разделе Действия нажмите кнопку Выбрать столбцы.
-
В диалоговом окне Выбор столбцов укажите, какие столбцы должны отображаться в области Представления безопасности сервера — Происшествия и нажмите кнопку Применить и закрыть.
-
В области Представления безопасности сервера — Происшествия выберите поле, которому требуется выполнить фильтрацию с помощью параметра Фильтровать по. Каждое значение параметра Фильтровать по соответствует одному из полей в области Представления безопасности сервера — Происшествия.
-
Задайте условия фильтра, как показано ниже.
При выборе поля даты и времени, например поля Время обнаружения, введите в поля Дата начала и Время начала дату и время начала, а в поля Дата окончания и Время окончания — дату и время окончания.
При выборе поля, в которое можно ввести строковое значение, например поля Имя происшествия, Тема или Папка, введите текст в поле Значение фильтра.
Примечание.Чтобы расширить область поиска фильтра, можно воспользоваться совпадениями по префиксу. Например, чтобы включить все значения, начинающиеся с "th", введите th. При выборе поля с фиксированным значением, например поля Состояние или Категория происшествия, выберите значение из раскрывающегося списка Значение фильтра. Например, для поля Состояние можно выбрать значение Очищено.
-
Чтобы начать фильтрацию, щелкните значок поиска (изображение лупы).
Чтобы отменить фильтрацию и вернуться в исходное представление, щелкните значок с красной буквой X.