Berichterstattung und Statistik

 

Gilt für: Forefront Security for Exchange Server

Letzte Änderung des Themas: 2009-01-28

Forefront Security für Exchange Server enthält eine Reihe von Verfahren, die Administratoren bei der Analyse des Status und der Leistungsstatistiken der Forefront Security für Exchange Server-Dienste über Forefront Server Security Administrator unterstützen.

In der Vorfalldatenbank (Incidents.mdb) werden alle Viren- und Filterfunde eines Microsoft® Exchange-Servers unabhängig von dem Scanauftrag erfasst, bei dem der Befall festgestellt oder die Filterung ausgeführt wurde. Wenn Sie die Vorfalldatenbank angezeigt bekommen möchten, klicken Sie im Navigationsbereich auf BERICHT, und klicken Sie dann auf das Symbol Vorfälle. Der Arbeitsbereich Vorfälle wird angezeigt.

Dies sind die Informationen, die von Forefront Security für Exchange Server für jeden Vorfall berichtet werden:

 

Uhrzeit

Datum und Uhrzeit des Vorfalls.

Status

Die mithilfe von Forefront Security für Exchange Server ausgeführte Aktion.

Name

Der Name des Scanauftrags, durch der den Vorfall berichtet wurde.

Ordner

Der Name des Ordners, in dem die Datei gefunden wurde. Diese Spalte berichtet außerdem darüber, ob Nachrichten ein- oder ausgehend waren, als sie vom Transportscanner abgefangen wurden. Nachrichten, die vom Edgetransport- oder Hubtransportserver weitergeleitet werden, werden als eingehend und ausgehend berichtet, um sie von eingehenden und ausgehenden Standardnachrichten zu unterscheiden.

Nachricht

Die Betreffzeile der Nachricht oder der Name der Datei, die den Vorfall ausgelöst hat.

Datei

Der Name des Virus oder der Name der Datei, die mit einem Datei- oder Inhaltsfilter übereinstimmt.

Vorfall

Der Typ und der Name des erkannten Vorfalls.

Name des Absenders

Der Name der Person, die die infizierte oder gefilterte Nachricht gesendet hat.

Adresse des Absenders

Die E-Mail-Adresse der Person, die die infizierte oder gefilterte Nachricht gesendet hat.

Namen der Empfänger

Die Namen der Personen, die die infizierte oder gefilterte Nachricht empfangen haben.

Adressen der Empfänger

Die E-Mail-Adressen der Personen, die die infizierte oder gefilterte Nachricht empfangen haben.

Namen auf Cc

Die Namen der Cc-Empfänger.

Adressen auf Cc

Die E-Mail-Adressen der Cc-Empfänger.

Namen auf Bcc

Die Namen der Bcc-Empfänger.

Adressen auf Bcc

Die E-Mail-Adressen der Bcc-Empfänger.

HinweisHinweis:
Filtern nach Schlüsselwörtern in Forefront Security für Exchange Server scannt sowohl reinen Text als auch den Textinhalt von HTML-Nachrichten. Wenn von Forefront Security für Exchange Server eine Übereinstimmung sowohl im HTML-Code als auch im unformatierten Text gefunden wird, werden zwei Erkennungen in der Vorfalldatenbank und der Quarantänedatenbank gemeldet.

Vorfälle können auch in die Textdatei mit dem Namen VirusLog.txt geschrieben werden, die sich im Installationspfad von Microsoft Forefront Security für Exchange Server befindet. Wenn Sie dieses Feature aktivieren möchten, wählen Sie unter Allgemeine Optionen die Option Forefront-Virusprotokoll aktivieren (standardmäßig ist dieses Feature deaktiviert).

Es folgt ein Beispieleintrag aus der Datei VirusLog.txt:

Thu. Apr 25 14:12:51 2002 (3184), "Information: Virus bei Echtzeit-Scan gefunden:

Ordner: First Storage Group\Usera\Inbox

Nachricht: Hello

Datei: Eicar.com

Vorfall: VIRUS=EICAR-STANDARD_AV_TEST_FILE

Status: Bereinigt

In der folgenden Liste werden die unterschiedlichen Vorfall-FSE-Berichte beschrieben. Einige der berichteten Vorfälle werden über Einstellungen unter Allgemeine Optionen gesteuert.

 

Berichteter Vorfall Einstellung für allgemeine Optionen Beschreibung

CorruptedCompressedFile

Beschädigte komprimierte Dateien löschen

Eine beschädigte komprimierte Datei wurde von Forefront Security für Exchange Server gelöscht.

CorruptedCompressedUuencodeFile

Beschädigte Uuencode-Dateien löschen

Eine beschädigte komprimierte UUENCODE-Datei wurde von Forefront Security für Exchange Server gelöscht.

EncryptedCompressedFile

Verschlüsselte komprimierte Dateien löschen

Eine verschlüsselte komprimierte Datei wurde von Forefront Security für Exchange Server gelöscht.

EngineLoopingError

Nicht zutreffend

Eine Datei wurde von Forefront Security für Exchange Server gelöscht. Durch die Datei wurde ein Scanmodul festgehalten: in einer Lese-/Schreibschleife während des Scannens oder bei dem Versuch, eine Datei zu löschen.

ExceedinglyInfected

Max. Infektionen der Containerdatei

Forefront hat eine Containerdatei gelöscht, da die unter Max. Infektionen der Containerdatei im Bereich Allgemeine Optionen festgelegte maximale Anzahl an Infektionen überschritten war.

ExceedinglyNested

Max. verschachtelte komprimierte Dateien

Forefront hat eine Containerdatei gelöscht, da die unter Max. verschachtelte komprimierte Dateien im Bereich Allgemeine Optionen festgelegte maximale Schachtelungstiefe überschritten war.

ExceedinglyNested

Max. verschachtelte Anhänge

Eine Datei wurde von Forefront Security für Exchange Server gelöscht, da sie die in Max. verschachtelte Anhänge unter Allgemeine Optionen festgelegte maximale Anzahl von geschachtelten Anlagen überschritten hat. Der Standardwert beträgt 30 Anlagen. Weitere Informationen finden Sie im Abschnitt "MaxNestedAttachments" unter Registrierungsschlüssel.

FragmentedMessage

Nicht zutreffend

Eine fragmentierte SMTP-Nachricht wurde durch den fragmentierten Nachrichtentext für das Löschen ersetzt.

LargeInfectedContainerFile

Max. Größe der Containerdatei

Forefront hat eine Datei gelöscht, da diese größer als die maximale Größe für Containerdateien war, bis zu der FSSP versucht, die Datei zu bereinigen oder zu reparieren. Der Standardwert ist 26 MB. Sie können den Wert jedoch in der Option Max. Größe der Container-Datei unter Allgemeine Optionen ändern.

ScanTimeExceeded

Max. Container-Scan-Zeit (mSek) - Echtzeit/Transport oder

Max. Container-Scan-Zeit (mSek) - Manuell

Forefront hat eine Containerdatei gelöscht, da die maximale Scanzeit überschritten wurde. Die Standardwerte sind 120000 ms (2 Minuten) für Echtzeit-/Transportscans und 600000 ms (10 Minuten) für manuelle Scans.

UnReadableCompressedFile

Nicht zutreffend

Eine komprimierte Datei wurde von Forefront gelöscht, die nicht gelesen werden konnte.

UnWritableCompressedFile

Nicht zutreffend

Eine komprimierte Datei, auf die nicht zugegriffen werden konnte (beispielsweise während eines Löschvorgangs), wurde von Forefront Security für Exchange Server gelöscht.

In Forefront Security für Exchange Server werden für jeden Scanauftrag Statistiken über Nachrichten und Anlagen erhoben.

Für Nachrichten werden verschiedene statistische Informationen erfasst.

  • Gescannte Nachrichten. Die Anzahl der seit dem letzten Neustart der Dienste von Forefront Security für Exchange Server gescannten Nachrichten.

  • Gefundene Nachrichten. Die Anzahl der seit dem letzten Neustart der Dienste gescannten Nachrichten, die einen Virus enthalten oder einem Datei- oder Inhaltsfilter entsprechen.

  • Markierte Nachrichten. Die Anzahl der Nachrichten, die von Forefront Security für Exchange Server seit dem letzten Neustart der Dienste aufgrund einer gefundenen Filterentsprechung markiert wurden.

  • Geleerte Nachrichten. Die Anzahl der Nachrichten, die von Forefront Security für Exchange Server seit dem letzten Neustart der Dienste aufgrund einer Viruserkennung oder Filterübereinstimmung entfernt wurden. (Aktion festgelegt auf Entfernen: Nachricht eliminieren oder eine Übereinstimmung mit der Wurmlöschliste.)

  • Gesamtzahl gescannter Nachrichten. Die Anzahl der Nachrichten, die von Forefront Security für Exchange Server seit der Installation des Produkts gescannt wurden.

  • Gesamtzahl gefundener Nachrichten. Die Anzahl der seit der Installation des Produkts gescannten Nachrichten, die einen Virus enthalten oder einem Datei- oder Inhaltsfilter entsprechen.

  • Gesamtzahl markierter Nachrichten. Die Anzahl der Nachrichten, die von Forefront Security für Exchange Server seit der Installation des Produkts aufgrund einer gefundenen Filterentsprechung markiert wurden.

  • Gesamtzahl geleerter Nachrichten. Die Anzahl der Nachrichten, die von Forefront Security für Exchange Server seit der Installation des Produkts aufgrund einer Viruserkennung oder einer Filterentsprechung entfernt wurden.

Für Nachrichtenanlagen werden verschiedene statistische Informationen erfasst.

  • Gescannte Anhänge. Die Anzahl der von Forefront Security für Exchange Server seit dem letzten Neustart der Dienste gescannten Anlagen.

  • Gefundene Anhänge. Die Anzahl der seit dem letzten Neustart der Dienste gescannten Anlagen, die einen Virus enthalten oder einem Datei- oder Inhaltsfilter entsprechen.

  • Gelöschte Anhänge. Die Anzahl der Anlagen, die von Forefront Security für Exchange Server seit dem letzten Neustart der Dienste aufgrund einer gefundenen Virusinfektion oder Filterentsprechung bereinigt wurden.

  • Entfernte Anhänge. Die Anzahl der Anlagen, die von Forefront Security für Exchange Server seit dem letzten Neustart der Dienste aufgrund einer gefundenen Virusinfektion oder Filterentsprechung entfernt wurden.

  • Gesamtzahl gescannter Anhänge. Die Anzahl der Anlagen, die von Forefront Security für Exchange Server seit der Installation des Produkts oder dem letzten Zurücksetzen des Bereichs Statistik gescannt wurden.

  • Gesamtzahl gefundener Anhänge. Die Anzahl der seit der Installation des Produkts oder dem letzten Zurücksetzen des Bereichs Statistik gescannten Anlagen, die einen Virus enthalten oder einem Datei- oder Inhaltsfilter entsprechen.

  • Gesamtzahl gelöschter Anhänge. Die Anzahl der Anlagen, die von Forefront Security für Exchange Server seit der Installation des Produkts oder dem letzten Zurücksetzen des Bereichs Statistik aufgrund einer Virusinfektion oder einer Filterentsprechung bereinigt wurden.

  • Gesamtzahl entfernter Anhänge. Die Anzahl der Anlagen, die von Forefront Security für Exchange Server seit der Installation des Produkts oder dem letzten Zurücksetzen des Bereichs Statistik aufgrund einer Virusinfektion oder einer Filterentsprechung entfernt wurden.

FSE scannt den Nachrichtentext und die Anlagen, meldet jedoch alle gescannten Nachrichtenteile im Bereich Statistik als Anlagen. Daher wird eine Nachricht mit einer Anlage im Bereich Statistik als zwei Anlagen gemeldet.

Klicken Sie auf das x neben dem Namen des Scanauftrags im Bereich Statistik des Arbeitsbereichs Vorfälle, um alle Statistiken für einen Scanauftrag zurückzusetzen.

Um den Bericht und die Statistiken entweder als formatierten Text oder durch Trennzeichen getrenntes Textformat zu speichern, klicken Sie auf die Schaltfläche Exportieren (im Arbeitsbereich Vorfälle).

Mithilfe von Forefront Security für Exchange Server wird standardmäßig eine Kopie jeder erkannten Datei in ihrer ursprünglichen Form (das heißt, bevor eine Aktion zum Bereinigen, Löschen oder Überspringen ausgeführt wird) erstellt. Diese Dateien werden in einem codierten Format im Quarantäneordner gespeichert. Dieser befindet sich im in DatabasePath festgelegten Ordner für Forefront Security für Exchange Server (standardmäßig ist dies der Installationsordner). Der tatsächliche Dateiname der erkannten Anlage, der Name des infizierenden Virus oder der Dateifiltername und die Informationen aus dem Nachrichtenumschlag werden zusammen mit sonstigen Buchhaltungsinformationen in der Datei Quarantine.mdb im Quarantäneordner gespeichert. Die Quarantänedatenbank wird als Systemdatenquellenname (DSN) mit dem Namen Forefront Quarantine konfiguriert. Diese Datenbank kann mithilfe von Tools von Drittanbietern angezeigt und bearbeitet werden.

Mit Forefront Security für Exchange Server können zwei unterschiedliche Quarantänevorgänge ausgeführt werden: Die Quarantäne ganzer Nachrichten oder die Quarantäne nur von Anlagen. Ganze Nachrichten werden nur für Inhalts- und Dateifilter unter Quarantäne gestellt, die auf Entfernen festgelegt sind, wenn die Quarantäne aktiviert ist.

Wenn die Einstellung Nachrichten unter Quarantäne stellen unter Allgemeine Optionen auf Als einzelne EML-Datei unter Quarantäne stellen festgelegt ist (gilt nur für Transportscanaufträge), werden Nachrichten in einem EML-Dateiformat unter Quarantäne gestellt. Wenn Sie die Anlagen anzeigen möchten, die in der EML-Datei enthalten sind, speichern Sie die Datei aus der Datenbank Quarantäne, und verwenden Sie Outlook Express, um den Inhalt der Datei anzuzeigen. Wenn Outlook Express nicht auf dem Computer installiert ist, können die Anlagen der Nachricht nicht einfach von der EML-Datei für die Anzeige getrennt werden.

Wenn Outlook Express nicht auf dem Server installiert ist, auf dem Nachrichten unter Quarantäne gestellt werden, können Sie Nachrichten stückweise unter Quarantäne stellen, indem Sie Nachrichten unter Quarantäne stellen auf Nachrichtentext und Anhänge getrennt unter Quarantäne stellen festlegen. Mit Forefront Security für Exchange Server werden Nachrichten als getrennte Bestandteile (Textkörper oder Anlage) unter Quarantäne gestellt, sodass sie einfacher angezeigt werden können, wenn sie aus der Datenbank Quarantäne auf einen Datenträger gespeichert werden.

Nachrichten, die unter Quarantäne gestellt wurden, können auch an ein Postfach weitergeleitet werden. Wenn die Option Nachrichten unter Quarantäne stellen auf Nachrichtentext und Anhänge getrennt unter Quarantäne stellen festgelegt ist, müssen Sie jeden Bestandteil der Nachricht, die unter Quarantäne gestellt wurde, weiterleiten, wenn der Empfänger den gesamten Inhalt der ursprünglichen Nachricht sehen soll. Wenn die Option Nachrichten unter Quarantäne stellen auf Als einzelne EML-Datei unter Quarantäne stellen festgelegt ist, muss nur die unter Quarantäne gestellte EML-Datei weitergeleitet werden, und der Empfänger erhält die ursprüngliche Nachricht und alle Anlagen als einzelne Anlage an eine neue Nachricht.

Ein Administrator kann auf den Bereich Quarantäne zugreifen, um gespeicherte, erkannte Dateianlagen zu löschen oder zu extrahieren. Zum Anzeigen des Quarantäneprotokolls klicken Sie im linken Navigationsbereich auf BERICHT, und klicken Sie dann auf das Symbol Quarantäne. Der Arbeitsbereich Quarantäne wird angezeigt.

Die Quarantäneliste enthält das Datum, an dem die Datei unter Quarantäne gestellt wurde, den Namen der Datei, den Vorfalltyp, der die Quarantäne ausgelöst hat (wie eine Virus- oder Filterübereinstimmung), den Namen des infizierenden Virus oder den Filterdateinamen, die Betreffzeile der Nachricht, den Namen des Absenders, die Adresse des Absenders, die Namen der Empfänger und die Adressen der Empfänger.

Durch Klicken auf Speichern unter im Arbeitsbereich Quarantäne können Sie eine ausgewählte Datei trennen und in dekodierter Form auf der Festplatte (oder einem anderen Datenträger) speichern. Sie können mehrere Elemente aus der Quarantäneliste auswählen. Jedes wird als getrennte Datei gespeichert.

Die Schaltfläche Übermitteln im Arbeitsbereich Quarantäne ermöglicht Administratoren, unter Quarantäne gestellte Nachrichten an die vorgesehenen Empfänger oder andere hierfür festgelegte Empfänger zu übermitteln. Wenn Sie auf die Schaltfläche Übermitteln klicken, wird das Dialogfeld Übermittlung bestätigen geöffnet. Damit kann der Administrator die Empfänger und die Übermittlungsaktion für die derzeit übermittelte Nachricht angeben.

Wenn für die Lieferung eine einzelne Datei ausgewählt wird, werden die ursprünglichen Empfänger in das Feld An, Cc und Bcc eingetragen. Wenn mehrere Dateien ausgewählt wurden, sind die Empfängerfelder zunächst leer.

Der Abschnitt Übermittlungsaktion enthält drei Auswahlmöglichkeiten:

  • Ursprüngliche Empfänger—Die Empfängerfelder sind deaktiviert. Klicken Sie auf OK, um die ausgewählten Dateien an die ursprünglichen Empfänger zu übermitteln.

  • Obige Empfänger—Die Felder zum Angeben der Empfänger werden aktiviert und können vom Administrator bearbeitet werden. Klicken Sie auf OK, um die ausgewählten Dateien an die benannten Empfänger zu übermitteln.

  • Ursprüngliche und obige Empfänger—Die Felder zum Angeben der Empfänger werden aktiviert und können vom Administrator bearbeitet werden. Klicken Sie auf OK, um die ausgewählten Dateien sowohl an die ursprünglichen Empfänger und alle zusätzlich ausgewählten zu senden.

Wenn unter Quarantäne gestellte Nachrichten an das Postfach des Empfängers übermittelt werden, wird die ursprüngliche Nachricht als Anlage hinzugefügt. Wenn der Benutzer die Anlage öffnet, wird die ursprüngliche Nachricht in Outlook als getrennte Nachricht gestartet.

HinweisHinweis:
Da Forefront auf einem Edgeserver keinen Zugriff auf Active Directory hat, müssen Sie auf einem Edgeserver die vollständige E-Mail-Adresse mit einem vollqualifizierten Domänennamen eingeben, auch wenn die Übermittlung an eine Adresse in der Exchange-Organisation erfolgt. Fehler beim Eingeben eines vollqualifizierten Domänennamens mit dem Ergebnis, dass Forefront die E-Mail nicht aus der Quarantäne zustellen konnte.

Wenn eine Nachrichtendatei aus der Datenbank Quarantäne übermittelt wird, wird eine Textdatei namens DeliverLog.txt erstellt und in dem Ordner gespeichert, in dem Forefront Security für Exchange Server installiert ist. Diese Datei enthält ein Protokoll mit Nachrichten und Anlagen, die aus der Quarantäne übermittelt wurden.

Anlagen, die vom Virenscanner oder dem Dateifilter unter Quarantäne gestellt wurden, können weitergeleitet werden.

Anlagen, die vom Virenscanner unter Quarantäne gestellt wurden, können nicht weitergeleitet werden, es sei denn, die Scanaufträge werden deaktiviert. Jede weitergeleitete Anlage, die einen Virus enthält, wird erneut erkannt und entsprechend behandelt.

Anlagen, die vom Dateifilter unter Quarantäne gestellt wurden, werden auf Filterübereinstimmungen überprüft, es sei denn, die Einstellung Allgemeine Optionen unter Aus Quarantänesicherheit übermitteln ist auf Kompatibilitätsmodus festgelegt. Dadurch können Nachrichten weitergeleitet werden, ohne durch einen der Scanaufträge neu erkannt zu werden. Wenn Sie einen manuellen Scan ausführen möchten und weitergeleitete Anlagen neu erkannt werden sollen, müssen Sie den Registrierungswert ManuallyScanForwardedAttachments erstellen und auf 1 festlegen. Ist der Wert nicht vorhanden, wird der Standardwert 0 angenommen.

Mit Forefront Security für Exchange Server kann eine spezielle Kennzeichnung zur Betreffzeile der Nachricht hinzugefügt werden, um Anlagen zu übermitteln, ohne sie neu zu erkennen. Sie können diese Kennzeichnung durch Ändern des Eintrags im Registrierungsschlüsselwert ForwardedAttachmentSubject anpassen. Dieser Wert ermöglicht Administratoren, den in der Betreffzeile zu verwendenden Kennzeichnungstext anzugeben. Der Kennzeichnungstext der Betreffzeile kann in einer eindeutigen Zeichenfolge für die Organisation oder in eine lokale Sprache geändert werden.

HinweisHinweis:
Wenn für die allgemeine Option Aus Quarantänesicherheit übermitteln die Option Kompatibilitätsmodus festgelegt wurde und der Kennzeichnungstext der Betreffzeile geändert wird, werden bei einem erneuten Scanvorgang Filter auf Nachrichten angewendet, die bereits in der Organisation vorhanden sind und mit altem Kennzeichnungstext in der Betreffzeile gekennzeichnet wurden.

Standardmäßig führt kein manueller Scan eine Dateifilterung für Nachrichten aus, die aus der Quarantäne weitergeleitet wurden. Wenn der ForwardedAttachmentSubject-Registrierungsschlüsselwert geändert wird, führt ein manueller Scan die Dateifilterung für bereits in der Organisation befindliche Nachrichten mit der Betreffzeile aus, die im Registrierungsschlüssel vor der Änderung enthalten war.

Forefront Security für Exchange Server enthält ein Konsolentool namens ExtractFiles, mit dem Sie alle oder eine Teilmenge der unter Quarantäne gestellten Dateien in ein angegebenes Verzeichnis extrahieren können.

Dies ist die Syntax von ExtractFiles:

extractfiles <path> <type>

Pfad: Der absolute Pfad des Ordners, in dem die extrahierten unter Quarantäne gestellten Dateien gespeichert werden sollen.

Typ: Der Typ der zu extrahierenden unter Quarantäne gestellten Dateien. Dabei kann es sich um den bestimmten Namen eines Virus, eine bestimmte Erweiterung oder alle unter Quarantäne gestellten Dateien handeln. Beispiel:

Jerusalem.Standard   Extrahiert Dateien, die mit dem Jerusalem.Standard-Virus infiziert sind.

*.doc   Extrahiert unter Quarantäne gestellte Dateien mit der Erweiterung DOC.

*.*   Extrahiert alle unter Quarantäne gestellten Dateien.

Beispiele:

extractfiles C:\temp\quarantine Jerusalem.Standard

extractfiles C:\extract\ *.doc

Sie können das Dienstprogramm ExtractFiles im Rahmen eines Szenarios zur schnellen Wiederherstellung von E-Mails aus der Quarantäne verwenden: dies funktioniert nur, wenn die Option Als einzelne EML-Datei unter Quarantäne stellen für die Einstellung Nachrichten unter Quarantäne stellen unter Allgemeine Optionen ausgewählt wird. Dies ist bei der Übermittlung zahlreicher unter Quarantäne gestellter E-Mails hilfreich. Eine solche Situation kann auftreten, wenn die Filterrichtlinie Ihres Unternehmens aufgrund einer Managementanfrage geändert wird oder wenn E-Mails aufgrund eines falsch konfigurierten Filters versehentlich unter Quarantäne gestellt wurden.

So verwenden Sie das Tool ExtractFiles für die schnelle Wiederherstellung von E-Mails
  1. Extrahieren Sie alle Dateien mit der zuvor beschriebenen *.*-Syntax. Dadurch werden alle unter Quarantäne gestellten Dateien extrahiert – sowohl EML-Dateien als auch Anlagen.

    HinweisHinweis:
    Stellen Sie sicher, dass Sie wissen, welche EML-Dateien Sie übertragen müssen.
  2. Kopieren Sie die benötigten EML-Dateien in das Abholverzeichnis auf Ihrem Exchange-Server. Beachten Sie, dass die Verwendung dieses Verzeichnisses nur in folgenden Fällen unterstützt wird.

    1. Diese Vorgänge werden außerhalb der normalen Geschäftszeiten ausgeführt.

    2. Beim Kopieren zahlreicher .eml-Dateien müssen Sie diese in Batches in das Abholverzeichnis kopieren. Prüfen Sie, wie lange die Verarbeitung für 10.000 Dateien dauert. Es gibt zahlreiche Faktoren, die sich auf die Verarbeitungsdauer der Nachrichten auswirken können, wie z. B. Serverhardware, die Last auf dem Server, die Menge der verarbeiteten Nachrichten usw. Unter Umständen kann die Batchgröße auf 15.000 oder 20.000 EML-Dateien erhöht werden oder muss auf 5.000 Dateien verringert werden.

    Grundlegende Anweisungen zum Abholverzeichnis des Exchange-Servers finden Sie unter folgender URL: http://go.microsoft.com/fwlink/?LinkId=140655. Weitere Informationen zum Übermitteln von E-Mails über das Abholverzeichnis finden Sie im Microsoft Hilfe- und Supportcenter.

Sie können auch andere Aufgaben mit der Vorfall- oder Quarantänedatenbank ausführen. Dazu gehören Löschen der Datenbanken, Exportieren von Datenbankelementen, Entfernen von Datenbankelementen, Filtern von Datenbankansichten, Verschieben der Datenbanken und Ändern der Datenbankkomprimierungsuhrzeit.

Möglicherweise stellen Sie mit der Zeit fest, dass Ihre Datenbanken Vorfälle und Quarantäne sehr groß werden. Jede Datenbank (Incidents.mdb und Quarantine.mdb) ist auf 2 GB beschränkt. Wenn eine Datenbank nach der Komprimierung größer als 1,5 GB ist, wird eine Benachrichtigung an alle gesendet, die über die Benachrichtigungsrolle Virus-Administratoren verfügen. Die Benachrichtigung enthält eine Warnung, dass die Datenbank fast die Grenze erreicht hat. Ein Administrator kann dann die Datenbank löschen und so sicherstellen, dass zukünftige Vorfälle und Quarantäneelemente gespeichert werden.

Die Betreffzeile der Nachricht lautet wie folgt:

Microsoft Forefront Security für Exchange Server-Datenbankwarnung

Der Textkörper der Nachricht lautet wie folgt:

Die Datenbank von Microsoft Forefront Security für Exchange Server <<Datenbankname>> ist größer als 1,5 GB (bei einer maximalen Größe von 2 GB). Die aktuelle Größe der Datenbank beträgt x GB.

Wenn diese Datenbank die Größe von 2 GB erreicht, werden keine Aktualisierungen der Datenbank <<Datenbankname>> mehr vorgenommen. Weitere Informationen zur Wartung der Datenbank finden Sie im Benutzerhandbuch.

Wenn die Benachrichtigung aus irgendeinem Grund nicht gesendet werden kann, wird der Fehler ignoriert und im Programmprotokoll verzeichnet. Während jedes Komprimierungszyklus wird ein Versuch für die bestimmte Datenbank unternommen, die Nachricht zu senden.

Wenn die Vorfalldatenbank zu groß wird, kann sie gelöscht werden.

So löschen Sie die Vorfalldatenbank
  1. Klicken Sie im Navigationsbereich im Bereich BERICHT und dort im Arbeitsbereich Vorfälle auf Protokoll löschen. Dadurch werden alle Elemente aus dem Arbeitsbereich Vorfälle gelöscht. Sie werden aufgefordert, den Vorgang zu bestätigen.

  2. Wählen Sie dann im Bereich BETRIEB des Navigationsbereichs die Option Auftrag ausführen. Wählen Sie einen Scanauftrag aus, und klicken Sie auf Protokoll löschen. Dadurch werden die Elemente aus dem Auftrag im Arbeitsbereich Vorfälle gelöscht. Sie werden erneut aufgefordert, Ihre Absicht zu bestätigen. Sie müssen alle Scanaufträge einzeln löschen, damit alle Elemente für das Löschen aus der Datenbank markiert werden.

Wenn Sie die Einträge an beiden Stellen gelöscht haben, werden sie nicht länger in den Arbeitsbereichen angezeigt. Aus der Datenbank Incidents.mdb werden die Einträge aber erst gelöscht, wenn die Datenbank komprimiert wird. Diese Komprimierung erfolgt automatisch täglich um 02:00 Uhr.

Sie können auch einen Teilsatz der Ergebnisse löschen. Wählen Sie dazu einen oder mehrere Einträge aus (verwenden Sie dabei die UMSCHALT- oder die STRG-TASTE), und drücken Sie dann die ENTF-TASTE, um die ausgewählten Einträge an beiden Stellen zu entfernen.

HinweisHinweis:
Wenn eine große Anzahl an Einträgen ausgewählt wird, kann der Löschvorgang sehr lange dauern. In diesem Fall werden Sie aufgefordert, die Löschanforderung zu bestätigen.

Wenn die Quarantänedatenbank zu groß wird, kann sie gelöscht werden.

Klicken Sie zum Löschen des Inhalts der Quarantänedatenbank im Bereich BERICHT des Navigationsbereichs im Arbeitsbereich Quarantäne auf Protokoll löschen. Dadurch werden alle Elemente aus dem Arbeitsbereich Quarantäne gelöscht. Sie werden aufgefordert, den Vorgang zu bestätigen.

Die auf diese Weise gelöschten Einträge werden nicht länger im Arbeitsbereich angezeigt. Aus der Datenbank Quarantine.mdb werden die Einträge aber erst gelöscht, wenn die Datenbank komprimiert wird. Diese Komprimierung erfolgt automatisch täglich um 02:00 Uhr.

Sie können in der Quarantäneliste auch einen Teil der Ergebnisse löschen, indem Sie (mit der UMSCHALTTASTE oder der STRG-TASTE) einen oder mehrere Einträge auswählen und nachfolgend die ENTF-TASTE drücken, um die Einträge zu entfernen.

HinweisHinweis:
Wenn eine große Anzahl an Einträgen ausgewählt wird, kann der Löschvorgang sehr lange dauern. In diesem Fall werden Sie aufgefordert, die Löschanforderung zu bestätigen.

Klicken Sie im Arbeitsbereich Vorfälle oder im Arbeitsbereich Quarantäne auf Exportieren, um alle Ergebniseinträge der jeweiligen Datenbank in einer Textdatei zu speichern. Durch Klicken auf Exportieren wird das Windows®-Standarddialogfeld Speichern angezeigt, in dem Sie einen Speicherort für die Datei Incidents.txt bzw. Quarantine.txt auswählen können.

Neben der Schaltfläche Exportieren enthält der Bereich Quarantäne die Schaltfläche Speichern unter, mit der Sie eine ausgewählte Datei einzeln auf einem Datenträger decodieren können. Sie können mehrere Elemente aus der Quarantäneliste auswählen. Jedes wird als getrennte Datei gespeichert.

Sie können Forefront Security für Exchange Server anweisen, Elemente nach einer bestimmten Anzahl von Tagen automatisch aus den Datenbanken zu entfernen. Wie alt die Elemente sein müssen, bevor sie automatisch entfernt werden, können Sie in den Arbeitsbereichen Vorfälle und Quarantäne im Feld Entfernen festlegen. Jede Datenbank kann über einen getrennten Wert zum Entfernen (oder keinen) verfügen. Wenn die Entfernungsfunktion für eine Datenbank aktiviert ist, werden alle Dateien, die älter sind als die angegebene Anzahl von Tagen, für die Entfernung aus dieser Datenbank gekennzeichnet

So entfernen Sie Datenbankelemente nach einer bestimmten Anzahl an Tagen
  1. Aktivieren Sie im Bereich BERICHT des Navigationsbereichs im Arbeitsbereich Vorfälle oder Quarantäne die Option Entfernen. Dadurch wird das Feld Tagen verfügbar.

  2. Geben Sie im Feld Tagen die Anzahl an Tagen an, nach denen Elemente entfernt werden sollen. Alle Elemente, die älter als diese Anzahl an Tagen sind, werden aus der Datenbank entfernt. Der Standardwert beträgt 30 Tage.

  3. Klicken Sie auf Speichern. Das Festlegen oder Ändern des Entfernungswerts wird erst nach dem Speichern wirksam.

Deaktivieren Sie das Kontrollkästchen Entfernen, um keine Elemente automatisch zu entfernen. Der Wert im Feld Tage bleibt vorhanden, es werden jedoch keine Elemente automatisch entfernt, bis Sie Entfernen erneut aktivieren.

Sie können die Ansichten Vorfälle oder Quarantäne filtern, um nur bestimmte Elemente anzuzeigen. Der Filter hat keine Auswirkungen auf die Datenbank selbst, sondern nur darauf, welche Datensätze angezeigt werden.

So filtern Sie die Datenbankansicht
  1. Aktivieren Sie im Arbeitsbereich Vorfälle oder Quarantäne die Option Filtern.

  2. Wählen Sie über die Option Feld die Elemente aus, die angezeigt werden sollen. Jede Auswahl unter Feld entspricht einer der Spalten in der Anzeige. (Beispiel: Sie können nur die Vorfälle mit dem Status "Gelöscht" anzeigen.) Wenn Sie eine andere Spalte als die Spalte Uhrzeit (im Arbeitsbereich Vorfälle) oder Datum (im Arbeitsbereich Quarantäne) auswählen, wird das Feld Wert eingeblendet. Wenn Sie Uhrzeit oder Datum auswählen, erhalten Sie Eingabefelder für den Anfangs- und den Endzeitpunkt.

  3. Geben Sie nach dem Auswählen von Uhrzeit oder Datum die Anfangszeit bzw. das Anfangsdatum und die Endzeit bzw. das Enddatum ein. In allen anderen Fällen geben Sie eine Zeichenfolge in das Feld Wert ein. Es können Platzhalterzeichen verwendet werden. die vom OLE DB-Treiber der Microsoft Jet-Datenbank unterstützt werden. Folgende Platzhalterzeichen können verwendet werden:

    _ (Unterstrich) – Stimmt mit einem beliebigen einzelnen Zeichen überein. (Die Zeichen * und ?, bei denen es sich um herkömmliche Platzhalterzeichen handelt, sind in diesem Fall Literale.)

    [ ] – Bezeichnet einen Satz oder einen Bereich. Stimmt mit einem einzelnen Zeichen innerhalb des angegebenen Satzes (beispielsweise [abcdef]) oder Bereichs (beispielsweise [a-f]) überein.

    [!] – Bezeichnet einen negativen Satz oder Bereich. Stimmt mit einem einzelnen Zeichen überein, das sich nicht innerhalb des angegebenen Satzes (beispielsweise [!abcdef]) oder Bereichs (beispielsweise [!a-f]) befindet.

  4. Klicken Sie auf Speichern, um den Filter anzuwenden. Nun werden nur die Elemente angezeigt, die Ihren Parametern entsprechen.

  5. Wenn wieder alle Elemente angezeigt werden sollen, entfernen Sie den Filter, indem Sie die Option Filtern deaktivieren und auf Speichern klicken.

Sie können die Datenbanken Quarantäne und Vorfälle verschieben. FSE funktioniert aber nur ordnungsgemäß, wenn Sie beide Datenbanken sowie alle zugehörigen Datenbank- und Supportdateien verschieben.

So verschieben Sie die Datenbanken und alle zugehörigen Dateien
  1. Erstellen Sie einen neuen Ordner an einem neuen Speicherort (beispielsweise: C:\Verschobene Datenbanken).

  2. Legen Sie die Berechtigungen für den neuen Ordner fest. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie mit der rechten Maustaste auf den neuen Ordner, und wählen Sie dann Eigenschaften aus.

    2. Fügen Sie auf der Registerkarte Sicherheit Netzwerkdienst mit Vollzugriff hinzu.

    3. Lassen Sie für Administratoren und System alle Berechtigungen zu.

  3. Beenden Sie die Exchange- und alle Forefront Security für Exchange Server-Dienste, die möglicherweise noch ausgeführt werden, nachdem der Exchange-Server beendet wurde.

  4. Kopieren Sie den Inhalt des Ordners Data einschließlich der Unterordner aus dem Microsoft Forefront Security\Exchange Server-Installationsordner in den Ordner, der in Schritt 1 erstellt wurde. (Dadurch wird ein Ordner namens C:\Verschobene Datenbanken\Data erstellt.)

  5. Ändern Sie den Pfad im Registrierungsschlüssel DatabasePath so, dass er auf den neuen Speicherort des Ordners Data verweist:

    (HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server)

  6. Starten Sie die Exchange-Dienste neu.

Normalerweise werden von Forefront Security für Exchange Server täglich Datenbankverwaltungsfunktionen für die Datenbanken Incident.mdb und Quarantine.mdb ausgeführt. So werden die Funktionen CompactIncidentDB und CompactQuarantineDB ausgeführt, um alte Datenbankeinträge und veraltete Quarantäneelemente zu löschen.

In der Standardeinstellung werden diese Funktionen um 2:00 Uhr morgens Ortszeit ausgeführt. Möglicherweise möchten Sie die Datenbanken jedoch zu einer anderen Uhrzeit komprimieren. Um die Komprimierungsfunktionen zu einer anderen Uhrzeit auszuführen, müssen Sie einen Registrierungseintrag hinzufügen.

So ändern Sie die Datenbankkomprimierungsuhrzeit
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.

  2. Erweitern Sie im Registrierungs-Editor den folgenden Unterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Software\Forefront Security für Exchange

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf Zeichenfolge.

  4. Geben Sie CompactDatabaseTime ein, und drücken Sie die EINGABETASTE.

  5. Klicken Sie mit der rechten Maustaste auf CompactDatabaseTime, und klicken Sie dann auf Ändern.

  6. Geben Sie im Feld Wert einen neuen Wert ein, z. B. 21:00, und klicken Sie dann auf OK.

    HinweisHinweis:
    Geben Sie die Uhrzeit im 24-Stunden-Format (hh:mm) an. Der Wert sollte auf Basis der lokalen Ortszeit angegeben werden, in der Sie die Komprimierungsfunktionen ausführen möchten.
  7. Beenden Sie den Registrierungs-Editor.

  8. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.

  9. Doppelklicken Sie auf Verwaltung, und klicken Sie dann auf Dienste.

  10. Klicken Sie mit der rechten Maustaste auf FSCController, und klicken Sie dann auf Neu starten.

  11. Schließen Sie die Fenster Dienste und Systemsteuerung.

Mithilfe von Forefront Security für Exchange Server werden Viruserkennungen, Stoppcodes, Systeminformationen und sonstige allgemeine Anwendungsereignisse im Windows-Anwendungsprotokoll gespeichert. Verwenden Sie die Windows-Ereignisanzeige, um auf das Protokoll zuzugreifen.

Außerdem werden diese Ereignisse auch in der Datei ProgramLog.txt gespeichert, die sich im Unterverzeichnis Data von Microsoft Forefront Security\Exchange Server befindet.

Alle Statistiken von Forefront Security für Exchange Server können mithilfe des Snap-Ins Systemmonitor (Perfmon.exe) von Windows angezeigt werden und befinden sich normalerweise unter Verwaltung. Der Name des Systemmonitor-Objekts lautet „Microsoft Forefront Server Security“.

Für den Fall, dass die Forefront Security für Exchange Server-Leistungsindikatoren gelöscht wurden, können sie auf zwei verschiedene Arten neu installiert werden:

  • Durch Neuinstallation von Forefront Security für Exchange Server.

  • Durch Ausgabe von PerfMonitorSetup an einer Eingabeaufforderung.

Der Befehl PerfMonitorSetup installiert die Leistungsindikatoren neu, ohne dass Forefront Security für Exchange Server neu installiert werden muss.

So installieren Sie die Leistungsindikatoren über eine Eingabeaufforderung neu
  1. Öffnen Sie ein Eingabeaufforderungsfenster.

  2. Navigieren Sie zum Forefront Security für Exchange Server-Installationsordner (Standard: C:\Programme(x86)\Microsoft Forefront Security\Exchange Server).

  3. Geben Sie den folgenden Befehl ein: PerfMonitorSetup -install

 
Anzeigen: