Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Afficher les rapports de détection de stratégies DLP

Exchange 2013
 

Sapplique à :Exchange Server 2013

Dernière rubrique modifiée :2016-12-16

La gestion de la détection de la stratégie de protection contre la perte de données (DLP) définit les activités exécutées par une organisation afin d'identifier, d'enquêter et de résoudre les violations des stratégies DLP. Afin de gérer les incidents, vous devez disposer de l'accès aux informations qui identifient les éléments détectés par vos stratégies DLP. Ces informations de détection sont intégrées dans les formats de données et de journaux Microsoft Exchange Server 2013 existants afin d'exploiter un système de données riche pour la gestion des incidents de flux de messagerie.

Pour plus d'informations sur la création d'un rapport de compte rendu d'incident avec un événement de détection des stratégies, consultez la rubrique Créer des rapports de compte-rendu d’incident pour la détection de stratégies DLP. Pour plus d'informations sur les journaux de messages, consultez la rubrique Suivre les messages avec des rapports de remise.

RemarqueRemarque :
Exchange 2013 : la protection contre la perte de données est une fonctionnalité étendue qui nécessite une licence d’accès client (CAL) Exchange Enterprise. Pour plus d’informations sur les licences d’accès client et les licences par serveur, consultez la rubrique Licences Exchange Server.

Les données relatives à la gestion de la détection de DLP dans Exchange sont intégrées dans le message des journaux de suivi également connu sous le nom de rapports de remise. Les fonctionnalités réutiliser une grande partie de l’infrastructure de journalisation existants disponible dans le système. Pour des informations générales, y compris la compréhension de la structure de fichiers journaux de suivi des messages, veuillez consulter un contenu existant dans la Compréhension du suivi des messages ou Suivre les messages avec des rapports de remise.

Le rapport de remise est un journal détaillé de toute l'activité des messages lorsque les messages sont transmis vers et depuis un ordinateur qui exécute le service de transport sur un serveur de boîtes aux lettres. Il est possible d'avoir accès au journal de suivi des messages via l'environnement de ligne de commande Exchange Management Shell au moyen de la cmdlet Get-MessageTrackingLog. Les données DLP sont intégrées dans le rapport de remise suivant les formats et les conventions de données existants.

Les journaux de suivi des messages contiennent des données en provenance des agents impliqués dans le traitement du contenu du flux de messagerie. Pour DLP, l'agent des règles de transport est utilisé pour appeler l'analyse approfondie du contenu des messages et pour appliquer les stratégies définies dans le cadre des ETR. L'évènement AgentInfo existant est utilisé pour ajouter des entrées relatives au DLP dans le journal de suivi des messages.

Le nom de l'agent sera TRA ou Agent des règles de transport dans l'évènement AgentInfo. Un unique évènement AgentInfo sera consigné par message décrivant le traitement DLP appliqué au message. Le champ CustomData du champ d'entrée du journal de suivi des messages constitue l'emplacement où les données DLP consignées par l'agent des règles de transport s'affichent. Ce champ peut contenir plusieurs entrées : une ligne de classification des données et d'informations aux clients pour chaque classification de données trouvée dans le message, une ligne de règles pour chaque règle qui s'applique au message et une ligne d'analyse du fonctionnement dépassant la charge ou le seuil de la durée d'exécution.

Un exemple de l'entrée du journal DLP est affiché ici. Le résultat a été formaté pour afficher des chaînes dans des lignes séparées avec de nouvelles lignes au milieu.

Source : AGENT

EventId : AGENTINFO

CustomData : S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;

S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;

S:TRA=CI|sndOverride=or|just=Business Reason;

S:TRA=CI|sndOverride=fp;

S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;

S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;

S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;

L'agent des règles de transport exige le regroupement de l'ID de la règles, l'ID de la stratégie DLP (facultatif), la date de la dernière modification, l'action, la gravité, le mode, la classification des données détectées (facultatif) et le remplacement de l'expéditeur (facultatif) basé sur l'ID de la règle (indiqué par « TRA=ETR » dans la ligne du journal). L'ID de la classification des données est également requis, le décompte et le niveau de confiance des classifications à regrouper par nom de classification (indiqué par « TRA=DC » dans la ligne du journal).

Des regroupements supplémentaires inclus l'ID de classification des données, le remplacement de l'expéditeur (facultatif), la justification du remplacement (facultatif) basé sur l'ID de classification des données pour toutes les classifications détectées sur le client (indiqué par « TRA=CI » dans la ligne du journal). L'agent des règles de transport exige également que l'ID de la règle, le temps horloge de la charge (facultatif), l'horloge de l'UC de la charge (facultatif), le temps horloge de l'exécution (facultatif) et l'horloge de l'UC de l'exécution (facultatif) soient regroupés par ID de règle pour toutes les règles qui dépassent les seuils de l'horloge de l'UC ou du temps d'horloge de la charge ou de l'exécution (indiqués par « TRA=ETRP » dans la ligne du journal).

Vous trouverez ci-après une liste complète des fichiers de données. Toutes les données dans le MTL sont des chaînes de types. La colonne Format décrit comment reconnaître chaque champ dans le journal de suivi des messages. La colonne Champ facultatif spécifie les champs qui ne doivent pas être enregistrés quand une règle correspond. La colonne Spécifique au DLP indique quels champs sont spécifiques à la fonctionnalité DLP.

 

Nom de champ

Description

Format

Champ facultatif

Spécifique au DLP

TRA

Agent des règles de transport ; type AgentName

TRA=DC, ETR, CI ou ETRP

Obligatoire

Non

DC

Classification des données ; type groupName

TRA=DC

Facultatif

Oui

ETR

Règle de transport Exchange ; type groupName

TRA=ETR

Obligatoire

Non

CI

Renseignements sur les clients, type groupName

TRA=CI

Facultatif

Oui

ERTP

Performances des règles de transport Exchange ; type groupName

TRA=ETRP

Facultatif

Non

dcid

ID de la classification des données

dcid=GUID

Facultatif

Oui

Count

Décompte de la classification des données

count=Integer

Facultatif

Oui

conf

Niveau de confiance de la classification des données

conf=Integer (pourcentage)

Facultatif

Oui

sndOverride

Remplacement de l'expéditeur ; le champ est facultatif.

Dans la ligne TRA=CI, lorsque le champ est défini sur « or », la classification des données a été remplacée. Si le champ est défini sur « fp », la classification des données a été reportée comme faux positif.

Dans la ligne TRA=ETR, lorsque le champ est défini sur « or », la règle ou une partie de la règle a été remplacée. Si le champ est défini sur « fp », la règle ou une partie de la règle a été reportée comme faux positif.

sndOverride=or ou fp

Où « or » représente le remplacement et « fp » le faux positif. Le champ sndOverride est présent quand un utilisateur final a signalé un remplacement ou un faux positif pour une règle.

Facultatif

Oui

just

Justification ; le champ est facultatif et uniquement disponible quand le champ Remplacement de l'expéditeur est égal à « or » dans la ligne TRA=CI. Le texte de justification entré par l'utilisateur comme motif pour la classification des données devra être remplacé.

just=IW (chaîne de justification d'entrée)

Le champ Justification n'est connecté que lorsque l'utilisateur final signale un remplacement.

Facultatif

Oui

ruleId

ID d'une règle

ruleId=GUID

Obligatoire

Non

dlpId

ID d'une stratégie DLP. Le champ est facultatif ; s’il n’existe aucun dlpId, la règle n’appartient pas à une stratégie DLP.

dlpId=GUID

Facultatif

Oui

st

Dernière date de modification d'une règle

st=UTC date-time

Obligatoire

Non

action

Mesure prise par une règle ; plusieurs actions par règle sont possibles

action=single action

Si plusieurs actions sont appliquées à une règle, il y aura plusieurs champs action.

Obligatoire

Non

sev

Audit de la gravité de la règle

sev=1, 2 ou 3

Où 1 signifie bas, 2 moyen et 3 haute.

Facultatif

Non

mode

État de la règle quand elle a été atteinte (application, audit ou auditandnotify).

mode=audit, auditandnotify ou application

Obligatoire

Non

loadW

Temps horloge de la charge ; le champ est facultatif

loadW=temps en ms

Facultatif

Non

loadC

Horloge de l'UC de la charge ; le champ est facultatif

loadC=temps en ms

Facultatif

Non

execW

Temps horloge de l'exécution ; le champ est facultatif

execW=temps en ms

Facultatif

Non

execC

Horloge de l'UC de l'exécution ; le champ est facultatif

execC=temps en ms

Facultatif

Non

message-id

ID du message

message-id=ID du message

Obligatoire

Non

date-time

Date et heure de l'envoi du message en temps universel

date-time=date et heure au format UTC

Obligatoire

Non

sender-address

Adresse de messagerie spécifiée dans le champ Expéditeur

sender-address=Adresse de messagerie

Obligatoire

Non

recipient-address

Adresses de messagerie des destinataires du message

recipient-address=Adresse de messagerie

Obligatoire

Non

message-subject

Données trouvées dans le champ Objet du message

message-subject=chaîne d'objet d'entrées de l'utilisateur final

Obligatoire

Non

 
Afficher: