FSOCS – Berichterstattung und Statistik

 

Gilt für: Forefront Security for Office Communications Server

Letzte Änderung des Themas: 2008-09-18

Microsoft Forefront Security for Office Communications Server (FSOCS) stellt mit Forefront Server Security Administrator verschiedene Mechanismen zur Verfügung, um Administratoren beim Analysieren des Zustands und der Leistung der FSOCS-Dienste zu unterstützen. Weitere Informationen finden Sie unter FSOCS Forefront Server Security Administrator.

Die Vorfalldatenbank (Incidents.mdb) enthält alle Viruserkennungen und Filtervorgänge für einen IM-Server, unabhängig davon, ob sie vom Scanauftrag oder einem Filter erkannt wurden. Die Vorfalldatenbank wird als Systemdatenquellenname (DSN) konfiguriert und trägt den Namen Forefront Incidents. Diese Datenbank kann mit Tools von Drittanbietern angezeigt und bearbeitet werden.

So zeigen Sie die Vorfalldatenbank an
  • Klicken Sie im Navigationsbereich auf BERICHT, und klicken Sie dann auf das Symbol Vorfälle. Der Bereich Quarantäne wird geöffnet.

Für jeden Vorfall werden von FSOCS die folgenden Informationen angezeigt:

 

Element Beschreibung

Uhrzeit

Datum und Uhrzeit des Vorfalls.

Status

Die von FSOCS durchgeführte Aktion.

Ordner

Nicht zutreffend.

Datei

Der Name des Virus bzw. der Datei, die einem Datei- oder Inhaltsfilter entsprach.

Vorfall

Der Typ und der Name des erkannten Vorfalls.

Adresse des Absenders

Die E-Mail-Adresse der Person, die die infizierte oder gefilterte Nachricht gesendet hat.

Adressen der Empfänger

Die E-Mail-Adressen der Empfänger der infizierten oder gefilterten Nachricht.

Vorfälle können auch in der Datei VirusLog.txt aufgezeichnet werden, die sich unter dem Installationspfad von FSOCS befindet. Aktivieren Sie diese Funktion, indem Sie unter Allgemeine Optionen das (in der Standardeinstellung deaktivierte) Kontrollkästchen Forefront-Virusprotokoll aktivieren aktivieren.

Es folgt ein Beispieleintrag aus der Datei VirusLog.txt:

Thu. Feb 28 14:12:51 2008 (3184), "Information: Virus bei IM-Scan gefunden:

In der folgenden Tabelle werden die unterschiedlichen Vorfall-FSOCS-Berichte beschrieben. Einige der berichteten Vorfälle werden über Einstellungen unter Allgemeine Optionen gesteuert.

 

Berichteter Vorfall Einstellung für allgemeine Optionen Beschreibung

CorruptedCompressedFile

Beschädigte komprimierte Dateien löschen

Eine beschädigte komprimierte Datei wurde von FSOCS gelöscht.

CorruptedCompressedUuencodeFile

Beschädigte Uuencode-Dateien löschen

Eine beschädigte komprimierte Uuencode-Datei wurde von FSOCS gelöscht.

EncryptedCompressedFile

Verschlüsselte komprimierte Dateien löschen

Eine verschlüsselte komprimierte Datei wurde von FSOCS gelöscht.

EngineLoopingError

Nicht zutreffend

Eine Datei wurde von FSOCS gelöscht. Dadurch ist ein Scanmodul beim Scannen oder Bereinigen einer Datei in eine Lese-/Schreibschleife geraten.

ExceedinglyInfected

Max. Infektionen der Containerdatei

Eine Containerdatei wurde von FSOCS gelöscht, da sie die in der Einstellung Max. Infektionen der Container-Datei unter Allgemeine Optionen festgelegte maximale Anzahl an Infektionen überschritten hat.

ExceedinglyNested

Max. verschachtelte komprimierte Dateien

Eine Containerdatei wurde von FSOCS gelöscht, da sie die in der Einstellung Max. verschachtelte komprimierte Dateien unter Allgemeine Optionen festgelegte maximale Schachtelungstiefe überschritten hat.

ExceedinglyNested

Max. verschachtelte Anhänge

Eine Datei wurde von FSOCS gelöscht, da sie die in der Einstellung Max. verschachtelte Anhänge unter Allgemeine Optionen festgelegte maximale Anzahl an geschachtelten Anhängen überschritten hat. Der Standardwert beträgt 30 Anhänge. Weitere Informationen finden Sie unter FSOCS – Registrierungsschlüssel im Abschnitt MaxNestedAttachments.

LargeInfectedContainerFile

Max. Größe der Containerdatei

Eine Datei wurde von FSOCS gelöscht, da die zu löschende oder zu reparierende Datei die maximale Containergröße überschritten hat. Der Standardwert ist 26 MB. Sie können den Wert jedoch mit der Einstellung Max. Größe der Container-Datei unter Allgemeine Optionen ändern.

ScanTimeExceeded

Max. Container-Scan-Zeit (mSek) - IM

Eine Containerdatei wurde von FSOCS gelöscht, da die maximale Scanzeit überschritten wurde. Der Standardwert liegt bei 120000 Millisekunden (2 Minuten).

UnReadableCompressedFile

Nicht zutreffend

Eine komprimierte Datei, die nicht gelesen werden konnte, wurde von FSOCS gelöscht.

UnWriteableCompressedFile

Nicht zutreffend

Eine komprimierte Datei, in die (beispielsweise bei einer Bereinigung) nicht geschrieben werden konnte, wurde von FSOCS gelöscht.

Verschiedene Statistiken für Nachrichten und Dateiübertragungen werden von FSOCS protokolliert und gespeichert. Diese Statistiken stehen auch als Leistungsindikatoren zur Verfügung. Weitere Informationen über Leistungsindikatoren finden Sie unter Leistung.

Die folgenden Statistiken werden von FSOCS für Sofortnachrichten verwaltet:

  • Gescannte Sofortnachrichten – Die Anzahl der seit dem letzten Neustart der Dienste von FSOCS gescannten Nachrichten.

  • Erkannte Sofortnachrichten – Die Anzahl der seit dem letzten Neustart der Dienste gescannten Nachrichten, die einen Virus enthielten oder einem Filter entsprachen.

  • Blockierte Sofortnachrichten – Die Anzahl der seit dem letzten Neustart der Dienste von FSOCS aufgrund einer Viruserkennung oder Filterübereinstimmung blockierten Nachrichten.

  • Insgesamt gescannte Sofortnachrichten – Die Anzahl der seit der Installation des Produkts von FSOCS gescannten Nachrichten.

  • Insgesamt erkannte Sofortnachrichten – Die Anzahl der seit der Installation des Produkts gescannten Nachrichten, die einen Virus enthielten oder einem Filter entsprachen.

  • Insgesamt blockierte Sofortnachrichten – Die Anzahl der seit der Installation des Produkts von FSOCS aufgrund einer Viruserkennung oder Filterübereinstimmung blockierten Nachrichten.

Die folgenden Statistiken werden von FSOCS für Dateiübertragungen verwaltet:

  • Gescannte Dateiübertragungen – Die Anzahl der seit dem letzten Neustart der Dienste von FSOCS gescannten Dateiübertragungen.

  • Erkannte Dateiübertragungen – Die Anzahl der seit dem letzten Neustart der Dienste gescannten Dateiübertragungen, die einen Virus enthielten oder einem Filter entsprachen.

  • Bereinigte Dateiübertragungen – Die Anzahl der seit dem letzten Neustart der Dienste bereinigten Dateien.

  • Entfernte Dateiübertragungen – Die Anzahl der seit dem letzten Neustart der Dienste von FSOCS aufgrund einer Viruserkennung oder Filterübereinstimmung entfernten Dateien.

  • Blockierte Dateiübertragungen – Die Anzahl der seit dem letzten Neustart der Dienste von FSOCS aufgrund einer Viruserkennung oder Filterübereinstimmung blockierten Dateiübertragungen.

  • Insgesamt gescannte Dateiübertragungen – Die Anzahl der seit der Installation des Produkts von FSOCS gescannten Dateiübertragungen.

  • Insgesamt erkannte Dateiübertragungen – Die Anzahl der seit der Installation des Produkts gescannten Dateiübertragungen, die einen Virus enthielten oder einem Filter entsprachen.

  • Insgesamt bereinigte Dateiübertragungen – Die Anzahl der seit der Installation des Produkts bereinigten Dateien.

  • Insgesamt entfernte Dateiübertragungen – Die Anzahl der seit der Installation des Produkts von FSOCS aufgrund einer Viruserkennung oder Filterübereinstimmung entfernten Dateien.

  • Insgesamt blockierte Dateiübertragungen – Die Anzahl der seit der Installation des Produkts von FSOCS aufgrund einer Viruserkennung oder Filterübereinstimmung blockierten Dateiübertragungen.

Neben diesen Statistiken gibt es vier weitere Indikatoren, die nur mithilfe von Perfmon angezeigt werden können. Weitere Informationen über Leistungsindikatoren finden Sie unter Leistung. Diese weiteren Indikatoren umfassen:

  • File Transfers Scanned Rate – Die durchschnittliche Anzahl an Dateiübertragungen, die von FSOCS innerhalb einer Sekunde gescannt wurden.

  • File Transfers Detected Rate – Die durchschnittliche Anzahl an Dateiübertragungen, die einen Virus enthalten oder einem Datenfilter entsprechen, die von FSOCS innerhalb einer Sekunde erkannt wurden.

  • File Transfers Cleaned Rate – Die durchschnittliche Anzahl an Dateiübertragungen, die von FSOCS innerhalb einer Sekunde bereinigt wurden.

  • File Transfers Removed Rate – Die durchschnittliche Anzahl an Dateiübertragungen, die von FSOCS innerhalb einer Sekunde entfernt wurden.

Sie können die Statistiken für den IM-Scanauftrag zurücksetzen.

So setzen Sie die Statistiken für den IM-Scanauftrag zurück
  • Klicken Sie im Bereich Vorfälle, im Abschnitt Statistik auf das x neben dem Namen des Scanauftrags. Klicken Sie in der Bestätigungsaufforderung auf Ja, um alle Statistiken für den IM-Scanauftrag zurückzusetzen.

Sie können den Bericht und die Statistiken im Textformat speichern.

So speichern Sie den Bericht und die Statistiken im Textformat
  1. Klicken Sie im Bereich Vorfälle auf die Schaltfläche Exportieren.

  2. Ein Windows Explorer-Fenster wird geöffnet. Navigieren Sie in diesem Fenster zu dem Speicherort, an dem Sie den Bericht speichern möchten.

  3. Geben Sie einen Namen für die zu exportierende Berichts- und Statistikdatei ein. Der Standardname ist incidents.txt.

  4. Klicken Sie auf Speichern.

In der Standardeinstellung wird von FSOCS für jede erkannte Datei eine Kopie ihrer ursprünglichen Form (d. h. vor dem Ausführen einer Aktion zum Bereinigen, Löschen oder Überspringen) erstellt. Diese Dateien werden in einem codierten Format im angegebenen Installationsordner, im Datenordner von Forefront, im Unterordner Quarantine gespeichert.

Klicken Sie zum Anzeigen der Vorfalldatenbank im Navigationsbereich auf BERICHT, und klicken Sie dann auf das Symbol Quarantäne. Der Bereich Quarantäne wird geöffnet.

  • der tatsächliche Dateiname der erkannten Anlage

  • der Name des infizierenden Virus oder der Dateifiltername

  • sonstigen Buchhaltungsinformationen

  • Die Quarantänedatenbank wird als System-DSN konfiguriert und trägt den Namen Forefront Quarantine. Diese Datenbank kann mit Tools von Drittanbietern angezeigt und bearbeitet werden.

Ein Administrator kann auf den Bereich Quarantäne zugreifen, um unter Quarantäne gestellte Elemente zu löschen oder zu extrahieren.

So zeigen Sie das Quarantäneprotokoll an
  • Klicken Sie im Navigationsbereich auf BERICHT, und klicken Sie dann auf das Symbol Quarantäne. Der Bereich Quarantäne wird geöffnet.

Für jedes unter Quarantäne gestellte Element werden von FSOCS die folgenden Informationen angezeigt:

 

Element

Beschreibung

Datum

Das Datum, an dem die Datei unter Quarantäne gestellt wurde.

Datei

Der Name der unter Quarantäne gestellten Datei.

Vorfall

Der Typ des Vorfalls, der die Quarantäne ausgelöst hat (z. B. eine Virus- oder Filterübereinstimmung).

Adresse des Absenders

Die E-Mail-Adresse der Person, die die infizierte oder gefilterte Nachricht gesendet hat.

Adressen der Empfänger

Die E-Mail-Adressen der Empfänger der infizierten oder gefilterten Nachricht.

Sie können unter Quarantäne gestellte Elemente in einzelnen Dateien speichern.

So speichern Sie unter Quarantäne gestellte Elemente in einzelnen Dateien
  1. Markieren Sie im Bereich Quarantäne mindestens eine zu speichernde Datei, und klicken Sie dann auf die Schaltfläche Speichern unter. Bei Auswahl mehrerer Elemente wird jedes Element in einer einzelnen Datei gespeichert.

  2. Ein Windows Explorer-Fenster wird geöffnet. Navigieren Sie in diesem Fenster zu dem Speicherort, an dem Sie die Quarantänedateien speichern möchten.

  3. In Windows Explorer können Sie im Feld Dateiname vor dem Speichern einen anderen Namen für die Datei eingeben. Standardmäßig wird in diesem Feld der ursprüngliche Name der Datei angezeigt.

  4. Klicken Sie auf Speichern. Das Element wird vor dem Speichern decodiert.

  5. Bei Auswahl mehrerer Dateien wird in Windows Explorer nun die nächste Datei angezeigt. Wiederholen Sie die Schritte 2 bis 4.

Die Schaltfläche Übermitteln im Bereich Quarantäne ermöglicht Administratoren, unter Quarantäne gestellte Nachrichten an die vorgesehenen Empfänger oder andere hierfür festgelegte Empfänger zu übermitteln.

So übermitteln Sie unter Quarantäne gestellte Nachrichten
  1. Markieren Sie im Bereich Quarantäne mindestens eine zu übermittelnde Datei, und klicken Sie dann auf die Schaltfläche Übermitteln.

  2. Wählen Sie im Dialogfeld Übermittlung bestätigen im Abschnitt Übermittlungsaktion eine der folgenden Optionen aus:

    • Ursprüngliche Empfänger – Die Dateien werden an die vorgesehenen Empfänger übermittelt, und die Felder zum Angeben der Empfänger werden deaktiviert.

    • Obige Empfänger – Die ausgewählten Dateien werden an die angegebenen Empfänger übermittelt. Die Felder zum Angeben der Empfänger werden aktiviert und können vom Administrator bearbeitet werden.

    • Ursprüngliche und obige Empfänger – Die ausgewählten Dateien werden sowohl an die ursprünglichen als auch an die zusätzlich eingegebenen Empfänger übermittelt. Die Felder zum Angeben der Empfänger werden aktiviert und können vom Administrator bearbeitet werden.

  3. Klicken Sie auf OK, wenn Sie die Empfänger nach Ihren Wünschen bearbeitet haben. Die ausgewählten Dateien werden an die angegebenen Empfänger gesendet.

Wenn für die Lieferung eine einzelne Datei ausgewählt wird, werden die ursprünglichen Empfänger in das Feld An eingetragen. Wenn mehrere Dateien ausgewählt wurden, sind die Empfängerfelder zunächst leer.

Wenn unter Quarantäne gestellte Nachrichten an das Postfach des Empfängers übermittelt werden, wird die ursprüngliche Nachricht als Anlage hinzugefügt. Wenn der Benutzer die Anlage öffnet, wird die ursprüngliche Nachricht in Microsoft Office Outlook® als getrennte Nachricht gestartet.

Beim Übermitteln einer Nachrichtendatei aus der Quarantänedatenbank wird die Textdatei DeliverLog.txt erstellt und im FSOCS-Installationsordner gespeichert. Diese Datei enthält ein Protokoll mit Nachrichten und Anlagen, die aus der Quarantäne übermittelt wurden.

Dateien, die vom Virenscanner oder dem Dateifilter unter Quarantäne gestellt wurden, können weitergeleitet werden.

HinweisHinweis:
Aus der Quarantäne weitergeleitete Dateien werden als E-Mails an den normalen E-Mail-Fluss gesendet. Wenn Ihre E-Mail-Server mit Forefront Security for Exchange Server (FSE) geschützt sind und FSE über Filterregeln verfügt, die den von Ihnen für FSOCS eingerichteten ähneln, werden die Dateien von FSE erneut unter Quarantäne gestellt.

FSOCS enthält das Konsolentool ExtractFiles, mit dem Sie alle oder eine Teilmenge der unter Quarantäne gestellten Dateien in ein angegebenes Verzeichnis extrahieren können.

Dies ist die Syntax von ExtractFiles:

extractfiles < Pfad > < Typ >

Hierbei steht Pfad für den absoluten Pfad des Ordners, in dem die extrahierten Quarantänedateien gespeichert werden sollen und Typ für den Typ der zu extrahierenden Quarantänedateien. Dabei kann es sich um den bestimmten Namen eines Virus, eine bestimmte Erweiterung oder alle unter Quarantäne gestellten Dateien handeln. Beispiel:

  • Jerusalem.Standard – Extrahiert Dateien, die mit dem Jerusalem.Standard-Virus infiziert sind.

  • *.doc – Extrahiert unter Quarantäne gestellte Dateien mit der Erweiterung DOC.

  • *.* – Extrahiert alle unter Quarantäne gestellten Dateien.

Beispiele:

extractfiles C:\temp\quarantine Jerusalem.Standard

extractfiles C:\extract\ *.doc

Sie können auch andere Aufgaben mit der Vorfall- oder Quarantänedatenbank ausführen. Dazu gehören Löschen der Datenbanken, Exportieren von Datenbankelementen, Entfernen von Datenbankelementen, Filtern von Datenbankansichten, Verschieben der Datenbanken und Ändern der Datenbankkomprimierungsuhrzeit.

Möglicherweise stellen Sie mit der Zeit fest, dass Ihre Datenbanken Vorfälle und Quarantäne sehr groß werden. Jede Datenbank (Incidents.mdb und Quarantine.mdb) ist auf 2 GB beschränkt. Wenn eine Datenbank nach der Komprimierung größer als 1,5 GB ist, wird eine Benachrichtigung an alle gesendet, die über die Benachrichtigungsrolle Virus-Administratoren verfügen. Die Benachrichtigung enthält eine Warnung, dass die Datenbank fast die Grenze erreicht hat. Ein Administrator kann dann die Datenbank löschen und so sicherstellen, dass zukünftige Vorfälle und Quarantäneelemente gespeichert werden.

Die Betreffzeile der Nachricht lautet wie folgt:

Microsoft Forefront Security for Office Communications Server-Datenbankwarnung

Der Textkörper der Nachricht lautet wie folgt:

Die Microsoft FSOCS <<Datenbankname>>-Datenbank ist größer als 1,5 GB (bei einer maximalen Größe von 2 GB). Die aktuelle Größe der Datenbank beträgt x GB.

Wenn diese Datenbank die Größe von 2 GB erreicht, werden keine Aktualisierungen der Datenbank <<Datenbankname>> mehr vorgenommen. Weitere Informationen zur Wartung der Datenbank finden Sie im Benutzerhandbuch.

Wenn die Benachrichtigung aus irgendeinem Grund nicht gesendet werden kann, wird der Fehler ignoriert und im Programmprotokoll verzeichnet. Während jedes Komprimierungszyklus wird ein Versuch für die bestimmte Datenbank unternommen, die Nachricht zu senden.

Wenn die Vorfalldatenbank zu groß wird, kann sie gelöscht werden.

So löschen Sie die Vorfalldatenbank
  1. Klicken Sie im Navigationsbereich im Abschnitt BERICHT im Bereich Vorfälle auf Protokoll löschen. Sie werden aufgefordert, diese Entscheidung zu bestätigen, bevor die Elemente aus dem Bereich Vorfälle gelöscht werden.

  2. Wählen Sie im Navigationsbereich, im Abschnitt BETRIEB die Option Auftrag ausführen aus. Wählen Sie IM-Scanauftrag aus, und klicken Sie dann auf Protokoll löschen. Erneut werden Sie aufgefordert, diese Entscheidung zu bestätigen, bevor die Elemente des Auftrags im Bereich Vorfälle gelöscht werden.

    Sie müssen alle Scanaufträge einzeln löschen, damit alle Elemente für das Löschen aus der Datenbank markiert werden.

Wenn Sie die Einträge an beiden Stellen gelöscht haben, werden sie nicht länger in den Bereichen angezeigt. Sie werden jedoch erst tatsächlich aus der Datenbank Incidents.mdb gelöscht, wenn diese komprimiert wird. Dies geschieht jeden Tag automatisch um 2:00 Uhr morgens.

Sie können in den beiden oben angegebenen Speicherorten auch einen Teil der Ergebnisse löschen, indem Sie (mit der UMSCHALT- oder den STRG-TASTEN) einen oder mehrere Einträge auswählen und nachfolgend die ENTF-TASTE drücken, um die Einträge zu entfernen.

HinweisHinweis:
Wenn eine große Anzahl an Einträgen ausgewählt wird, kann der Löschvorgang sehr lange dauern. In diesem Fall werden Sie aufgefordert, die Löschanforderung zu bestätigen.

Wenn die Quarantänedatenbank zu groß wird, kann sie gelöscht werden.

So löschen Sie die Quarantänedatenbank
  • Klicken Sie im Navigationsbereich im Abschnitt BERICHT im Bereich Quarantäne auf Protokoll löschen. Dadurch werden alle Elemente aus dem Bereich Quarantäne gelöscht. Sie werden aufgefordert, den Vorgang zu bestätigen.

    HinweisHinweis:
    Sie können in der Quarantäneliste auch einen Teil der Ergebnisse löschen, indem Sie (mit der UMSCHALT- oder den STRG-TASTEN) einen oder mehrere Einträge auswählen und nachfolgend die ENTF-TASTE drücken, um die Einträge zu entfernen.

Wenn Sie die Einträge gelöscht haben, werden sie nicht länger im Bereich angezeigt. Sie werden jedoch erst tatsächlich aus der Datenbank Quarantine.mdb gelöscht, wenn diese komprimiert wird. Dies geschieht jeden Tag automatisch um 2:00 Uhr morgens.

HinweisHinweis:
Wenn eine große Anzahl an Einträgen ausgewählt wird, kann der Löschvorgang sehr lange dauern. In diesem Fall werden Sie aufgefordert, die Löschanforderung zu bestätigen.

Sie können eine Liste aller Elemente der Vorfall- oder Quarantänedatenbank in einer Textdatei speichern. Diese entspricht der Liste der Elemente, die in Forefront Server Security Administrator im Bereich Vorfälle bzw. Quarantäne angezeigt wird.

So speichern Sie eine Liste aller Ergebnisse der Vorfall- oder Quarantänedatenbank in einer Textdatei
  1. Klicken Sie im Bereich Vorfälle bzw. Quarantäne auf Exportieren.

  2. Wählen Sie im Dialogfeld Speichern einen Speicherort für die Datei Incidents.txt bzw. Quarantine.txt aus, und klicken Sie dann auf Speichern.

Neben der Schaltfläche Exportieren enthält der Bereich Quarantäne die Schaltfläche Speichern unter, mit der Sie eine ausgewählte Datei einzeln auf einem Datenträger decodieren können. Sie können mehrere Elemente aus der Quarantäneliste auswählen. Jedes wird als getrennte Datei gespeichert. Weitere Informationen zum Speichern von Dateien finden Sie unter Speichern von Elementen der Quarantänedatenbank.

Sie können FSOCS anweisen, Elemente aus den Datenbanken zu entfernen, die älter als eine bestimmte Anzahl an Tagen sind. Wenn die Entfernungsfunktion für eine Datenbank aktiviert ist, werden alle Dateien, die älter als die angegebene Anzahl an Tagen sind, für die Entfernung aus dieser Datenbank gekennzeichnet.

So entfernen Sie Datenbankelemente nach einer bestimmten Anzahl an Tagen
  1. Aktivieren Sie im Navigationsbereich im Abschnitt BERICHT im Bereich Vorfälle bzw. Quarantäne das Kontrollkästchen Entfernen. Dadurch wird das Feld Tagen verfügbar.

    HinweisHinweis:
    Jede Datenbank kann über einen getrennten Wert zum Entfernen (oder keinen) verfügen.
  2. Geben Sie im Feld Tagen die Anzahl an Tagen an, nach denen Elemente entfernt werden sollen. Alle Elemente, die älter als diese Anzahl an Tagen sind, werden aus der Datenbank entfernt. Der Standardwert beträgt 30 Tage.

  3. Klicken Sie auf Speichern. Das Festlegen oder Ändern des Entfernungswerts wird erst nach dem Speichern wirksam.

Deaktivieren Sie das Kontrollkästchen Entfernen, um keine Elemente automatisch zu entfernen. Der Wert im Feld Tagen bleibt vorhanden, es werden jedoch keine Elemente automatisch entfernt, bis Sie Entfernen erneut aktivieren.

Sie können die Vorfälle- und die Quarantäneansicht filtern, um nur bestimmte Elemente anzuzeigen. Der Filter hat keine Auswirkungen auf die Datenbank selbst, sondern nur darauf, welche Datensätze angezeigt werden.

So filtern Sie die Datenbankansicht
  1. Aktivieren Sie im Navigationsbereich im Abschnitt BERICHT im Bereich Vorfälle bzw. Quarantäne das Kontrollkästchen Filtern.

  2. Wählen Sie in der Dropdownliste Feld die Elemente aus, die Sie anzeigen möchten. Jede Auswahl unter Feld entspricht einer der Spalten in der Anzeige. (Beispiel: Sie können nur die Vorfälle mit dem Status "Gelöscht" anzeigen.)

    Wenn Sie Uhrzeit oder Datum auswählen, erhalten Sie Eingabefelder für den Anfangs- und den Endzeitpunkt.

    Wenn Sie eine andere Option als Uhrzeit (im Bereich Vorfälle) oder Datum (im Bereich Quarantäne) auswählen, wird das Feld Wert angezeigt. Geben Sie im Feld Wert eine Zeichenfolge ein. Es können Platzhalterzeichen verwendet werden, die vom OLE DB-Treiber der Microsoft Jet-Datenbank unterstützt werden. Dies sind die folgenden Platzhalterzeichen:

    • _ (Unterstrich) – Stimmt mit einem beliebigen einzelnen Zeichen überein. (Die verbreiteten Platzhalterzeichen * und ? sind in diesem Fall Literale.)

    • [ ] – Bezeichnet einen Satz oder einen Bereich. Stimmt mit einem einzelnen Zeichen innerhalb des angegebenen Satzes (beispielsweise [abcdef]) oder Bereichs (beispielsweise [a-f]) überein.

    • [!] – Bezeichnet einen negativen Satz oder Bereich. Stimmt mit einem einzelnen Zeichen überein, das sich nicht innerhalb des angegebenen Satzes (beispielsweise [!abcdef]) oder Bereichs (beispielsweise [!a-f]) befindet.

  3. Klicken Sie auf Speichern. Nun werden nur die Elemente angezeigt, die Ihren Parametern entsprechen.

  4. Um wieder alle Elemente anzuzeigen, entfernen Sie den Filter, indem Sie das Kontrollkästchen Filtern deaktivieren und auf Speichern klicken.

Sie können die Datenbanken Quarantäne und Vorfälle verschieben. Damit FSOCS ordnungsgemäß funktionsfähig ist, müssen Sie beide Datenbanken sowie alle zugehörigen Datenbanken und Supportdateien verschieben.

So verschieben Sie die Datenbanken und alle zugehörigen Dateien
  1. Erstellen Sie einen neuen Ordner an einem neuen Speicherort (beispielsweise: C:\Verschobene Datenbanken).

  2. Gehen Sie folgendermaßen vor, um die Berechtigungen für den neuen Ordner festzulegen:

    1. Klicken Sie mit der rechten Maustaste auf den neuen Ordner, und klicken Sie dann auf Eigenschaften.

    2. Fügen Sie im Dialogfeld Eigenschaften auf der Registerkarte Sicherheit die Option Netzwerkdienst mit der Berechtigung Vollzugriff hinzu.

    3. Lassen Sie für Administratoren und System alle Berechtigungen zu.

  3. Halten Sie den Office Communications Server-Front-End-Dienst (RtcSrv) an.

  4. Kopieren Sie den gesamten Inhalt des Ordners Data einschließlich der Unterordner aus Microsoft Forefront Security\Office Communications Server in den in Schritt 1 erstellten Ordner. (Dadurch entsteht der Ordner C:\Verschobene Datenbanken\Data.)

  5. Ändern Sie den Pfad im Registrierungsschlüssel DatabasePath, sodass er auf den neuen Speicherort des Ordners Data verweist:

    Auf 32-Bit-Systemen:

    HKLM\Software\Microsoft\Forefront Server Security\Office Communications Server\DatabasePath

    Auf 64-Bit-Systemen:

    HKLM\Software\Wow6432Node\Microsoft\Forefront Server Security\Office Communications Server\DatabasePath

  6. Starten Sie den Office Communications Server-Front-End-Dienst (RtcSrv) neu.

Normalerweise werden von FSOCS täglich Datenbankverwaltungsfunktionen für die Datenbanken Incident.mdb und Quarantine.mdb ausgeführt. So werden die Funktionen CompactIncidentDB und CompactQuarantineDB ausgeführt, um alte Datenbankeinträge und veraltete Quarantäneelemente zu löschen.

In der Standardeinstellung werden diese Funktionen um 2:00 Uhr morgens Ortszeit ausgeführt. Möglicherweise möchten Sie die Datenbanken jedoch zu einer anderen Uhrzeit komprimieren. Um die Komprimierungsfunktionen zu einer anderen Uhrzeit auszuführen, müssen Sie einen Registrierungseintrag hinzufügen.

So ändern Sie die Datenbankkomprimierungsuhrzeit
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.

  2. Erweitern Sie im Registrierungs-Editor den folgenden Unterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Server Security\Office Communications Server

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf Zeichenfolge.

  4. Geben Sie CompactDatabaseTime ein, und drücken Sie die EINGABETASTE.

  5. Klicken Sie mit der rechten Maustaste auf CompactDatabaseTime, und klicken Sie dann auf Ändern.

  6. Geben Sie im Feld Wert einen neuen Wert ein, z. B. 21:00, und klicken Sie dann auf OK.

    HinweisHinweis:
    Geben Sie die Uhrzeit im 24-Stunden-Format (hh:mm) an. Der Wert sollte auf Basis der lokalen Ortszeit angegeben werden, in der Sie die Komprimierungsfunktionen ausführen möchten.
  7. Beenden Sie den Registrierungs-Editor.

  8. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.

  9. Doppelklicken Sie auf Verwaltung, und klicken Sie dann auf Dienste.

  10. Klicken Sie mit der rechten Maustaste auf FSCController, und klicken Sie dann auf Neu starten.

  11. Schließen Sie die Fenster Dienste und Systemsteuerung.

Mithilfe von FSOCS werden Viruserkennungen, Stoppcodes, Systeminformationen und sonstige allgemeine Anwendungsereignisse im Windows-Anwendungsprotokoll gespeichert. Verwenden Sie die Windows-Ereignisanzeige, um auf das Protokoll zuzugreifen.

Außerdem werden diese Ereignisse in der Datei ProgramLog.txt gespeichert, die sich im Unterverzeichnis Data des folgenden Speicherorts befindet: <Laufwerk>:Programme\Microsoft Forefront Security\Office Communications Server

Alle Statistiken von FSOCS können mithilfe des Snap-Ins Systemmonitor (Perfmon.exe) angezeigt werden, das von Windows normalerweise unter Verwaltung bereitgestellt wird. Das Leistungsobjekt heißt Microsoft Forefront Server Security.

Alle unter Statistik aufgeführten Elemente sind Leistungsindikatoren, die in Perfmon unter der Kategorie "Microsoft Forefront Server Security" angezeigt werden können.

Zudem gibt es vier Kategorien von Leistungsindikatoren im Leistungsobjekt Microsoft Forefront Server Security:

  • Microsoft FSOCS Categorizer

  • Microsoft FSOCS-Integrität

  • Microsoft FSOCS-Scanfilter

  • Microsoft FSOCS-SIP-Datenverkehr

Statistik für Microsoft FSOCS Categorizer

 

Leistungsindikator

Definition

Microsoft FSOCS Categorizer\FileTransferMessagesAccepts

Die Gesamtanzahl der Dateiübertragungs-ACCEPT-Anforderungen, die von der RTC-Proxykomponente verarbeitet wurden.

Microsoft FSOCS Categorizer\FileTransferMessagesAcceptsPerSecond

Die Anzahl der Dateiübertragungs-ACCEPT-Anforderungen, die von der RTC-Proxykomponente pro Sekunde behandelt wurden.

Microsoft FSOCS Categorizer\FileTransferMessagesCancels

Die Gesamtanzahl der Dateiübertragungs-CANCEL-Anforderungen, die von der RTC-Proxykomponente verarbeitet wurden.

Microsoft FSOCS Categorizer\FileTransferMessagesCancelsPerSecond

Die Anzahl der Dateiübertragungs-CANCEL-Anforderungen, die von der RTC-Proxykomponente pro Sekunde behandelt wurden.

Microsoft FSOCS Categorizer\FileTransferMessagesInvites

Die Gesamtanzahl der Dateiübertragungs-INVITE-Anforderungen, die von der RTC-Proxykomponente verarbeitet wurden.

Microsoft FSOCS Categorizer\FileTransferMessagesInvitesPerSecond

Die Anzahl der Dateiübertragungs-INVITE-Anforderungen, die von der RTC-Proxykomponente pro Sekunde behandelt wurden.

Microsoft FSOCS Categorizer\FileTransferMessagesTotal

Die Gesamtanzahl der Dateiübertragungsanforderungen, die von der RTC-Proxykomponente verarbeitet wurden.

Microsoft FSOCS Categorizer\FileTransferMessagesTotalPerSecond

Die Anzahl der Dateiübertragungsanforderungen, die von der RTC-Proxykomponente pro Sekunde behandelt wurden.

Microsoft FSOCS Categorizer\IMConversationRtfFormats

Die Gesamtanzahl der Sofortnachrichten-Unterhaltungen mit MIME-Typ "text/rtf", die von der RTC-Proxykomponente verarbeitet wurden.

Microsoft FSOCS Categorizer\IMConversationRtfFormatsPerSecond

Die Anzahl der Sofortnachrichten-Unterhaltungen mit MIME-Typ "text/rtf", die von der RTC-Proxykomponente pro Sekunde verarbeitet wurden.

Microsoft FSOCS Categorizer\IMConversationAlternativeFormats

Die Gesamtanzahl der Sofortnachrichten-Unterhaltungen mit MIME-Typ "multipart/alternative", die von der RTC-Proxykomponente verarbeitet wurden.

Microsoft FSOCS Categorizer\IMConversationAlternativeFormatsPerSecond

Die Anzahl der Sofortnachrichten-Unterhaltungen mit MIME-Typ "multipart/alternative", die von der RTC-Proxykomponente pro Sekunde verarbeitet wurden.

Microsoft FSOCS Categorizer\IMConversationTxtFormats

Die Gesamtanzahl der Sofortnachrichten-Unterhaltungen mit MIME-Typ "text/plain", die von der RTC-Proxykomponente verarbeitet wurden.

Microsoft FSOCS Categorizer\IMConversationTxtFormatsPerSecond

Die Anzahl der Sofortnachrichten-Unterhaltungen mit MIME-Typ "text/plain", die von der RTC-Proxykomponente pro Sekunde verarbeitet wurden.

Microsoft FSOCS Categorizer\IMConversationTotal

Die Gesamtanzahl der Sofortnachrichten-Unterhaltungen, die von der RTC-Proxykomponente verarbeitet wurden.

Microsoft FSOCS Categorizer\IMConversationTotalPerSecond

Die Anzahl der Sofortnachrichten-Unterhaltungen, die von der RTC-Proxykomponente pro Sekunde behandelt wurden.

Microsoft FSOCS Categorizer\IMConversationUnsupportedContentTypes

Die Gesamtanzahl der Sofortnachrichten-Unterhaltungen mit einem nicht unterstützen MIME-Typ, die von der RTC-Proxykomponente verarbeitet wurden.

Microsoft FSOCS Categorizer\IMConversationUnsupportedContentTypesPerSecond

Die Anzahl der Sofortnachrichten-Unterhaltungen mit einem nicht unterstützen MIME-Typ, die von der RTC-Proxykomponente pro Sekunde verarbeitet wurden.

Microsoft FSOCS Categorizer\RequestsReceivedInvites

Die Gesamtanzahl der INVITE SIP-Nachrichtenanforderungen, die von der RTC-Proxykomponente verarbeitet wurden.

Microsoft FSOCS Categorizer\RequestsReceivedInvitesPerSecond

Die Anzahl der INVITE SIP-Nachrichtenanforderungen, die von der RTC-Proxykomponente pro Sekunde behandelt wurden.

Microsoft FSOCS Categorizer\RequestsReceivedMessages

Die Gesamtanzahl der MESSAGE SIP-Nachrichtenanforderungen, die von der RTC-Proxykomponente behandelt wurden.

Microsoft FSOCS Categorizer\RequestsReceivedMessagesPerSecond

Die Anzahl der MESSAGE SIP-Nachrichtenanforderungen, die von der RTC-Proxykomponente pro Sekunde behandelt wurden.

Microsoft FSOCS Categorizer\RequestsReceivedTotal

Die Gesamtanzahl der SIP-Nachrichtenanforderungen, die von der RTC-Proxykomponente verarbeitet wurden.

Microsoft FSOCS Categorizer\RequestsReceivedTotalPerSecond

Die Anzahl der SIP-Nachrichtenanforderungen, die von der RTC-Proxykomponente pro Sekunde behandelt wurden.

Microsoft FSOCS-Integrität

 

Leistungsindikator

Definition

Microsoft FSOCS-Integrität\ActiveSIPMessageObjects

Die Anzahl der vom RTC-Proxy verwendeten Nachrichtenobjekte.

Microsoft FSOCS-Integrität\ActiveWorkerThreads

Die Anzahl derzeit aktiver Arbeitsthreads im Agent.

Microsoft FSOCS-Integrität\ManagedMemoryUse

Der von der .NET-Laufzeit verwendete Speicher.

Microsoft FSOCS-Integrität\QueuedFileTransfersToScan

Die Anzahl der zu scannenden Dateiübertragungsnachrichten in der Warteschlange.

Microsoft FSOCS-Integrität\QueuedIMConversationsToScan

Die Anzahl der zu scannenden IM-Unterhaltungen in der Warteschlange.

Microsoft FSOCS-Integrität\ScanDeferredSIPMessages

Die Anzahl der IM-Nachrichten, die aufgrund der Größe der Server-Agent-Warteschlange nicht gescannt wurden.

Microsoft FSOCS-Integrität\ThrottleModeEvents

Die Anzahl der bei niedrigem CLR-Speicher ausgelösten Ereignisse.

Microsoft FSOCS-Integrität\TimeoutsHandled

Die Anzahl der Nachrichten, bei denen eine Zeitüberschreitung aufgetreten ist und die vom RTC-Proxy behandelt wurden.

Microsoft FSOCS-Integrität\TransactionsCanceledHandled

Die Anzahl der Anforderungs- und Antworttransaktionen, die vor dem Abschluss abgebrochen wurden.

Microsoft FSOCS-Scanfilter

 

Leistungsindikator

Definition

Microsoft FSOCS-Scanfilter\AverageProcessingTimeFileTransfer

Durchschnittliche Dauer beim Scannen einer Dateiübertragung.

Microsoft FSOCS-Scanfilter\AverageProcessingTimeIMConversation

Durchschnittliche Dauer beim Scannen einer IM-Unterhaltung.

Microsoft FSOCS-Scanfilter\AverageSizeScanPayloadFileTransfer

Durchschnittliche Größe gescannter Dateien.

Microsoft FSOCS-Scanfilter\AverageSizeScanPayloadIMConversation

Durchschnittliche Größe der gescannten IM-Mitteilungen.

Microsoft FSOCS-Scanfilter\FileTransfersBlocked

Anzahl der verhinderten Dateiübertragungen.

Microsoft FSOCS-Scanfilter\IMConversationsBlocked

Die Anzahl blockierter IM-Unterhaltungen.

Microsoft FSOCS-Scanfilter\NotificationsSent

Anzahl der als Benachrichtigungen versendeten IM-Mitteilungen.

Microsoft FSOCS-Scanfilter\SIPTransfersRejected

Anzahl der zurückgewiesenen SIP-Nachrichten.

Microsoft FSOCS-SIP-Datenverkehr

 

Leistungsindikator

Definition

Microsoft FSOCS-SIP-Datenverkehr\LocallyGenerated182

Die Anzahl der SIP-Nachrichten, die vom RTC-Proxy bearbeitet werden müssen.

Microsoft FSOCS-SIP-Datenverkehr\LocallyGenerated400

Anzahl der ungültigen SIP-Anforderungen an den Server.

Microsoft FSOCS-SIP-Datenverkehr\LocallyGenerated406

Die Anzahl der SIP-Anforderungen, die Aufgrund von unzulässigen Inhalten zurückgewiesen wurden.

Microsoft FSOCS-SIP-Datenverkehr\LocallyGenerated415

Die Anzahl der Nachrichten, die vom RTC-Proxy aufgrund von unbekannten oder nicht unterstützten Inhaltstypen zurückgewiesen wurden.

Microsoft FSOCS-SIP-Datenverkehr\LocallyGenerated503

Die Anzahl der eingehenden SIP-Anforderungen, die aufgrund des hohen Nachrichtenaufkommens am Server nicht verarbeitet werden konnten.

Microsoft FSOCS-SIP-Datenverkehr\ProxyRequestsFailed

Die Anzahl der SIP-Nachrichten, die vom RTC-Proxy nicht an den Server weitergeleitet werden konnten.

Microsoft FSOCS-SIP-Datenverkehr\ProxyRequestsSucceeded

Die Anzahl der SIP-Nachrichten, die vom RTC-Proxy erfolgreich an den Server weitergeleitet wurden.

 
Anzeigen: