Relatórios e estatísticas

 

Aplica-se a: Forefront Security for Exchange Server

Tópico modificado por último: 2009-01-28

O Forefront Security para Exchange Server fornece vários mecanismos para ajudar os administradores a analisar as estatísticas de estado e desempenho dos serviços do Forefront Security para Exchange Server por meio do Forefront Server Security Administrator.

O banco de dados de incidentes (Incidents.mdb) contém todas as detecções de vírus e filtro de um Microsoft® Exchange Server, independentemente do trabalho de verificação que detectou a infecção ou realizou a filtragem. Para exibir o banco de dados de incidentes, clique em RELATAR no Painel de Navegação e clique no ícone Incidentes. O painel de trabalho Incidentes é exibido.

Estas são as informações que o Forefront Security para Exchange Server relata para cada incidente:

 

Tempo

Data e hora do incidente.

Estado

A ação tomada pelo Forefront Security para Exchange Server.

Nome

Nome do trabalho de verificação que relatou o incidente.

Pasta

Nome da pasta em que foi encontrado o arquivo. Esta coluna também relata se as mensagens eram de entrada ou de saída quando capturadas pelo scanner de transporte. As mensagens transmitidas pelo servidor de Transporte de Borda ou de Transporte de Hub são relatadas como de entrada e de saída para serem diferenciadas das mensagens padrão de entrada e saída.

Mensagem

A linha de assunto da mensagem ou o nome do arquivo que disparou o incidente.

Arquivo

O nome do vírus ou do arquivo que correspondeu ao filtro de arquivo ou de conteúdo.

Incidente

Tipo e nome do incidente detectado.

Nome do remetente

Nome da pessoa que enviou a mensagem infectada ou filtrada.

Endereço do remetente

Endereço de email da pessoa que enviou a mensagem infectada ou filtrada.

Nomes dos destinatários

Nomes das pessoas que receberam a mensagem infectada ou filtrada.

Endereços dos destinatários

Endereços de email das pessoas que receberam a mensagem infectada ou filtrada.

Nomes Cc

Nomes dos destinatários em cópia (Cc)

Endereços Cc

Endereços de email dos destinatários em cópia (Cc).

Nomes Cco

Nomes dos destinatários em cópia oculta (Cco)

Endereços Cco

Endereços de email dos destinatários em cópia oculta (Cco).

ObservaçãoObservação:
A filtragem de palavra-chave do Forefront Security para Exchange Server verifica o conteúdo do corpo das mensagens com texto sem formatação ou HTML. Se o Forefront Security para Exchange Server encontrar uma correspondência no HTML e no texto sem formatação, relatará duas detecções nos bancos de dados de incidentes e de quarentena.

Os incidentes também podem ser gravados em um arquivo de texto chamado VirusLog.txt, localizado no caminho de instalação do Microsoft Forefront Security para Exchange Server. Para habilitar esse recurso, selecione Habilitar Log de Vírus do Forefront em Opções Gerais (a opção é desabilitada por padrão).

Veja a seguir um exemplo de entrada do arquivo VirusLog.txt:

Qui. Abr 25 14:12:51 2002 (3184), "Informação: Encontrado vírus na verificação em tempo real:

Pasta: Primeiro Grupo de Armazenamento\Usuário\Caixa de Entrada

Mensagem: Olá

Arquivo: Eicar.com

Incidente: VIRUS=EICAR-STANDARD_AV_TEST_FILE

Estado: Limpo"

Esta tabela descreve os diversos relatórios de incidentes do FSE. Vários dos incidentes relatados são controlados por meio das configurações em Opções Gerais.

 

Incidente relatado Configuração Opções Gerais Descrição

CorruptedCompressedFile

Excluir arquivos corrompidos compactados

O Forefront excluiu um arquivo corrompido compactado.

CorruptedCompressedUuencodeFile

Excluir Arquivos Uuencode Corrompidos

O Forefront excluiu um arquivo UUENCODE compactado corrompido

EncryptedCompressedFile

Excluir arquivos criptografados compactados

O Forefront excluiu um arquivo criptografado compactado.

EngineLoopingError

Não se aplica

O Forefront excluiu um arquivo que levou um mecanismo de verificação a ficar travado em um loop de leitura/gravação durante a verificação ou tentativa de limpar um arquivo.

ExceedinglyInfected

Número máximo de infecções de arquivo contêiner

O Forefront excluiu um arquivo contêiner porque ele excedeu o número máximo de infecções definido em Número Máximo de Infecções de Arquivo do Contêiner, nas Opções Gerais.

ExceedinglyNested

Número máximo de arquivos compactados aninhados

O Forefront excluiu um arquivo contêiner porque ele excedeu a profundidade de aninhamento máxima definida em Número Máximo de Arquivos Compactados Aninhados, nas Opções Gerais.

ExceedinglyNested

Número máximo de anexos aninhados

O Forefront excluiu um arquivo porque ele excedeu o número máximo de anexos aninhados definido em Número Máximo de Anexos Aninhados, nas Opções Gerais. O valor padrão é de 30 anexos. Para obter mais informações, consulte MaxNestedAttachments em Chaves de Registro.

FragmentedMessage

Não se aplica

Uma mensagem fragmentada do SMTP foi substituída pelo texto de exclusão da mensagem fragmentada.

LargeInfectedContainerFile

Tamanho máximo de arquivo contêiner

O Forefront excluiu um arquivo porque ele excedeu o tamanho de contêiner máximo para a tentativa de limpeza ou reparo. O padrão é 26 MB, mas você pode alterar o valor com a opção Tamanho Máximo de Arquivo Contêiner, nas Opções Gerais.

ScanTimeExceeded

Tempo máximo de verificação de contêiner (ms) – Tempo real/transporte ou

Tempo máximo de verificação de contêiner (ms) – Manual

O Forefront excluiu um arquivo contêiner porque ele excedeu o tempo máximo de verificação. Os valores padrão, em milissegundos (ms), são 120000 ms (2 minutos) para verificações em tempo real/transporte e 600000 ms (10 minutos) para verificações manuais.

UnReadableCompressedFile

Não se aplica

O Forefront excluiu um arquivo compactado que não pôde ser lido.

UnWritableCompressedFile

Não se aplica

O Forefront excluiu um arquivo compactado no qual não pôde gravar (por exemplo, durante uma operação de limpeza).

O Forefront Security para Exchange Server controla as estatísticas de mensagens e anexos de cada trabalho de verificação.

Vários tipos de estatísticas são mantidos para mensagens.

  • Mensagens verificadas. Número de mensagens verificadas pelo Forefront Security para Exchange Server desde a última reinicialização dos serviços.

  • Mensagens detectadas. Número de mensagens verificadas que continham vírus ou que corresponderam a um filtro de arquivo ou conteúdo desde a última reinicialização dos serviços.

  • Mensagens marcadas. Número de mensagens marcadas pelo Forefront Security para Exchange Server devido a uma correspondência de filtro desde a última reinicialização dos serviços.

  • Mensagens limpas. Número de mensagens limpas pelo Forefront Security para Exchange Server devido a uma detecção de vírus ou correspondência de filtro desde a última reinicialização dos serviços. (Ação definida como Limpar – Eliminar Mensagem ou uma correspondência de eliminação de worm.)

  • Total de mensagens verificadas. Número de mensagens verificadas pelo Forefront Security para Exchange Server desde que o produto foi instalado.

  • Total de mensagens detectadas. Número de mensagens verificadas que continham vírus ou que corresponderam a um filtro de arquivo ou conteúdo desde que o produto foi instalado.

  • Total de mensagens marcadas. Número de mensagens marcadas pelo Forefront Security para Exchange Server devido a uma correspondência de filtro desde que o produto foi instalado.

  • Total de mensagens limpas. Número de mensagens limpas pelo Forefront Security para Exchange Server devido a uma detecção de vírus ou correspondência de filtro desde que o produto foi instalado.

Vários tipos de estatísticas são mantidos para anexos de mensagens.

  • Anexos verificados. Número de anexos verificados pelo Forefront Security para Exchange Server desde a última reinicialização dos serviços.

  • Anexos detectados. Número de anexos verificados que continham vírus ou que corresponderam a um filtro de arquivo ou conteúdo desde a última reinicialização dos serviços.

  • Anexos limpos. Número de anexos limpos pelo Forefront Security para Exchange Server devido a uma infecção por vírus ou correspondência de filtro desde a última reinicialização dos serviços.

  • Anexos removidos. Número de anexos removidos pelo Forefront Security para Exchange Server devido a uma infecção por vírus ou correspondência de filtro desde a última reinicialização dos serviços.

  • Total de anexos verificados. O número de anexos verificados pelo Forefront Security para Exchange Server desde que o produto foi instalado ou que o painel Estatísticas foi redefinido pela última vez.

  • Total de anexos detectados. O número de anexos verificados que continham vírus ou que corresponderam a um filtro de arquivo ou conteúdo desde que o produto foi instalado ou que o painel Estatísticas foi redefinido pela última vez.

  • Total de anexos limpos. O número de anexos limpos pelo Forefront Security para Exchange Server devido a uma infecção por vírus ou correspondência de filtro desde que o produto foi instalado ou que o painel Estatísticas foi redefinido pela última vez.

  • Total de anexos removidos. O número de anexos removidos pelo Forefront Security para Exchange Server devido a uma infecção por vírus ou correspondência de filtro desde que o produto foi instalado ou que o painel Estatísticas foi redefinido pela última vez.

O FSE verifica o corpo da mensagem e os anexos, mas relata como anexos todas as partes de mensagens verificadas. Portanto, uma única mensagem com um anexo é relatada como dois anexos no painel Estatísticas.

Para redefinir todas as estatísticas de um trabalho de verificação, clique no x ao lado do nome do trabalho de verificação, na seção Estatísticas do painel de trabalho Incidentes.

Para salvar o relatório e as estatísticas no formato de texto formatado ou de texto delimitado, clique no botão Exportar (no painel de trabalho Incidentes).

Por padrão, o Forefront Security para Exchange Server cria uma cópia de cada arquivo detectado em sua forma original (ou seja, antes da ocorrência de uma ação Limpar, Excluir ou Ignorar). Esses arquivos são armazenados em um formato codificado na pasta Quarentena da pasta DatabasePath do Forefront Security para Exchange Server (que, por padrão, é a pasta de instalação). O nome de arquivo real do anexo detectado, o nome do vírus ou o nome do filtro e as informações do envelope de mensagem, juntamente com outras informações de contabilização, são salvos no arquivo Quarantine.mdb na pasta Quarentena. O banco de dados de quarentena é configurado como um nome de origem de dados do sistema (DSN) com o nome Quarentena Forefront. Esse banco de dados pode ser exibido e manipulado com ferramentas de terceiros.

O Forefront Security para Exchange Server executa duas diferentes operações de quarentena: quarentena de mensagens inteiras ou quarentena apenas de anexos. As mensagens inteiras são colocadas em quarentena somente em filtros de conteúdo e em filtros de arquivo que estejam configurados para limpá-las quando a opção de quarentena está habilitada.

Quando, em Opções Gerais, a opção Mensagens em Quarentena é definida como Colocar em Quarentena como Arquivo EML Único (aplicável somente para trabalhos de verificação de transporte), as mensagens são colocadas em quarentena em um formato de arquivo EML. Se quiser exibir os anexos contidos no arquivo EML, você precisará salvar o arquivo no banco de dados de quarentena e usar o Outlook Express para exibir o conteúdo do arquivo. Se o Outlook Express não estiver instalado no computador, os anexos da mensagem não poderão ser facilmente separados do arquivo EML para exibição.

Se você não tiver o Outlook Express instalado no servidor em que as mensagens são colocadas em quarentena, poderá optar por ter as mensagens colocadas em quarentena em partes, definindo Mensagens em Quarentena como Colocar Separadamente Corpo e Anexo da Mensagem em Quarentena. O Forefront Security para Exchange Server colocará as mensagens em quarentena como partes separadas (corpos ou anexos), de forma que possam ser exibidas mais facilmente depois de salvas em disco no banco de dados de quarentena.

As mensagens colocadas em quarentena também podem ser encaminhadas para uma caixa de correio. Quando definida a opção Mensagens em Quarentena como Colocar Separadamente Corpo e Anexo da Mensagem em Quarentena, você deverá encaminhar cada parte da mensagem colocada em quarentena se quiser que o destinatário veja todo o conteúdo da mensagem original. Se a opção Mensagens em Quarentena for definida como Colocar em Quarentena como Arquivo EML Único, apenas o arquivo EML em quarentena precisará ser encaminhado, e o destinatário receberá a mensagem original e todos os anexos como um único anexo de uma nova mensagem.

O administrador pode acessar o painel Quarentena para excluir ou extrair anexos de arquivo detectado armazenado. Para exibir o log de quarentena, clique em RELATAR no Painel de Navegação e clique no ícone Quarentena. O painel de trabalho Quarentena é exibido.

A lista da quarentena relata a data em que o arquivo foi colocado em quarentena, o nome do arquivo, o tipo de incidente que disparou a quarentena (por exemplo, vírus ou correspondência de filtro), o nome do vírus da infecção ou o nome do filtro, o campo de assunto da mensagem, o nome do remetente, o endereço do remetente, os nomes dos destinatários e os endereços dos destinatários.

Use o botão Salvar como do painel de trabalho Quarentena para desanexar e decodificar um arquivo selecionado para o disco. Você pode selecionar vários itens na lista da quarentena. Cada um deles é salvo como um arquivo separado.

O botão Entregar no painel de trabalho Quarentena permite que os administradores entreguem as mensagens em quarentena aos destinatários pretendidos ou a qualquer outro destinatário designado. Quando o botão Entregar é clicado, é exibida a caixa de diálogo Confirmar Entrega. Ela permite que o administrador indique os destinatários e a ação de entrega da mensagem sendo entregue.

Se um único arquivo for selecionado para entrega, os destinatários originais popularão os campos Para:, Cc: e Cco:. Se forem selecionados vários arquivos, os campos de destinatários estarão inicialmente vazios.

Há três opções na seção Ação de Entrega:

  • Destinatários Originais — os campos de destinatários ficam desabilitados. Clique em OK para entregar os arquivos selecionados aos destinatários originais.

  • Destinatários Acima — os campos de destinatários estão habilitados e podem ser alterados pelo administrador. Clique em OK para entregar os arquivos selecionados aos destinatários nomeados.

  • Destinatários Acima e Originais — os campos de destinatários estão habilitados e o administrador pode alterá-los. Clique em OK para entregar os arquivos selecionados aos destinatários originais e a quaisquer outros informados.

Quando as mensagens em quarentena são enviadas à caixa de correio do usuário, a mensagem original é incluída como um anexo. Quando o usuário abre o anexo, a mensagem original é aberta no Outlook como uma mensagem separada.

ObservaçãoObservação:
Em um servidor de borda, como o Forefront não tem acesso ao Active Directory, você deve digitar um endereço de email completo com um nome de domínio totalmente qualificado, mesmo que a entrega da mensagem em quarentena seja para um destinatário interno à organização do Exchange. Se não for inserido um nome de domínio totalmente qualificado, o Forefront não conseguirá entregar a mensagem em quarentena.

Quando um arquivo de mensagem é enviado do banco de dados de quarentena, um arquivo de texto denominado DeliverLog.txt é criado e salvo na pasta onde está instalado o Forefront Security para Exchange Server. Este arquivo fornece um log das mensagens e anexos entregues da quarentena.

Os anexos colocados em quarentena pelo scanner de vírus ou pelo filtro de arquivo podem ser encaminhados.

Os anexos que foram colocados em quarentena pelo scanner de vírus não podem ser encaminhados, a menos que os trabalhos de verificação sejam desabilitados. Qualquer anexo encaminhado que contenha um vírus será novamente detectado e adequadamente tratado.

Os anexos colocados em quarentena pelo filtro de arquivo são verificados para detecção de correspondências com o filtro, a não ser que, nas Opções Gerais, a opção Distribuir a partir da Segurança de Quarentena esteja configurada como Modo de Compatibilidade. Isto permitirá que as mensagens sejam encaminhadas sem serem novamente detectadas por qualquer um dos trabalhos de verificação. Se desejar executar uma verificação manual e ter os anexos encaminhados novamente detectados, crie o valor do Registro ManuallyScanForwardedAttachments e defina-o como 1. Se o valor não existir, o programa assumirá o valor padrão de 0.

Para permitir que anexos sejam entregues sem serem novamente detectados, o Forefront Security para Exchange Server adiciona uma marca especial à linha de assunto da mensagem. Você pode personalizar essa marca, alterando a entrada da chave do Registro ForwardedAttachmentSubject. Esse valor permite que os administradores especifiquem o texto de marca a ser usado na linha de assunto. O texto de marca da linha de assunto pode ser alterado para uma única seqüência de caracteres da organização ou alterado para um idioma local.

ObservaçãoObservação:
Se, nas Opções Gerais, a opção Distribuir a partir da Segurança de Quarentena for definida como Modo de Compatibilidade e o texto de marca da linha de assunto for alterado, os filtros serão aplicados às mensagens que já estão na organização e que foram marcadas com um antigo texto de marca na linha de assunto, caso elas sejam novamente verificadas.

Por padrão, uma verificação manual não executa a filtragem de arquivo em mensagens encaminhadas a partir da quarentena. Se a chave do Registro ForwardedAttachmentSubject for alterada, uma verificação manual executará a filtragem de arquivo nas mensagens que já estiverem na organização, com a linha de assunto que estava nessa chave do Registro antes da alteração.

O Forefront Security para Exchange Server inclui uma ferramenta de console, ExtractFiles, que permite extrair todos ou um subconjunto dos arquivos em quarentena para um diretório especificado.

Esta é a sintaxe da ferramenta ExtractFiles:

extractfiles <path> <type>

Path: O caminho absoluto da pasta em que devem ser salvos os arquivos extraídos da quarentena.

Type: O tipo dos arquivos em quarentena a serem extraídos. Isso pode ser o nome específico de um vírus, uma determinada extensão ou todos os arquivos em quarentena. Por exemplo:

Jerusalem.Standard   Extrai arquivos que foram infectados com o vírus denominado Jerusalem.Standard.

*.doc   Extrai arquivos em quarentena com a extensão .doc

*.*   Extrai todos os arquivos em quarentena

Exemplos:

extractfiles C:\temp\quarantine Jerusalem.Standard

extractfiles C:\extract\ *.doc

Use o utilitário ExtractFiles como parte de um cenário de recuperação rápida de email da quarentena: isso funciona somente quando é escolhida a opção Colocar em Quarentena como Arquivo EML Único para a configuração Mensagens em Quarentena nas Opções Gerais. Esse recurso é útil durante a entrega de um grande volume de emails em quarentena. Tal situação poderá ocorrer se houver uma alteração na diretiva de filtragem da empresa, devido a uma solicitação de gerenciamento, ou se os emails tiverem sido acidentalmente colocados em quarentena por um filtro configurado de forma incorreta.

Para usar a ferramenta ExtractFiles para recuperação rápida de email
  1. Extraia todos os arquivos com a sintaxe *.* descrita anteriormente. Isso extrai todos os arquivos em quarentena, tanto os arquivos EML quanto os anexos.

    ObservaçãoObservação:
    Tenha certeza quanto aos arquivos EML que precisam ser entregues.
  2. Copie os arquivos EML necessários na pasta Recebimento no servidor Exchange. Assegure-se de que o uso dessa pasta tenha suporte somente nas circunstâncias a seguir.

    1. Estas operações são realizadas fora do horário comercial.

    2. Ao copiar muitos arquivos .eml, você deve copiá-los no diretório Recebimento em lotes.. Tente com 10.000 arquivos e veja quanto tempo dura o processamento. Muitos fatores podem ter impacto no tempo de processamento das mensagens, como o hardware do servidor, a carga do servidor, o volume de mensagens sendo processadas, etc. Talvez seja possível aumentar o tamanho do lote para 15.000 ou 20.000 arquivos .eml, ou seja necessário reduzi-lo para 5.000.

    Para obter instruções básicas sobre a pasta Recebimento do servidor Exchange, visite a seguinte URL: http://go.microsoft.com/fwlink/?LinkId=140655. Se precisar de ajuda para enviar email por meio da pasta Recebimento, contate a Ajuda e Suporte da Microsoft.

Há várias outras tarefas que podem ser executadas com os bancos de dados de incidentes ou de quarentena. Você pode Limpando bancos de dados, Exportando itens de banco de dados, Limpando itens de banco de dados, filtrar exibições de banco de dados, Movendo os bancos de dados e alterar o tempo de compactação de banco de dados.

Ao longo do tempo, você pode concluir que seus bancos de dados de incidentes e de quarentena estão ficando muito grandes. Cada banco de dados (Incidents.mdb e Quarantine.mdb) tem um limite de 2 GB. Quando um banco de dados ultrapassa 1,5 GB depois de compactado, uma notificação é enviada a todos aqueles que tenham uma função de notificação de Administradores de Vírus, avisando que o banco de dados está se aproximando do limite. O administrador pode, então, limpar o banco de dados para garantir que futuros incidentes e itens em quarentena sejam salvos.

A linha de assunto da mensagem diz:

Aviso do Banco de Dados do Microsoft Forefront Security para Exchange Server

O corpo da mensagem diz:

O banco de dados <<nome do banco de dados>> do Microsoft Forefront Security para Exchange Server é maior que 1,5 GB (com tamanho máximo de 2 GB). Seu tamanho atual é de x GB.

Se este banco de dados atingir 2 GB, as atualizações no <<nome do banco de dados>> não serão feitas. Consulte o manual do usuário para obter informações sobre a manutenção de bancos de dados.

Se, por algum motivo, a notificação não puder ser enviada, a falha será ignorada e registrada no log de programa. É feita uma tentativa de envio da mensagem durante cada ciclo de compactação do banco de dados específico.

O banco de dados de incidentes pode ser limpo quando fica muito grande.

Para limpar o banco de dados de incidentes
  1. No painel de trabalho Incidentes, na seção RELATAR do Painel de Navegação, clique em Limpar Log. Todos os itens do painel de trabalho Incidentes serão limpos. Você deverá confirmar sua decisão.

  2. Na seção OPERAR do Painel de Navegação, selecione Executar Trabalho. Selecione um trabalho de verificação e clique em Limpar Log. Todos os itens do trabalho no painel de trabalho Incidentes serão limpos. Novamente, uma mensagem solicitará que você confirme a decisão. É preciso limpar individualmente todos os trabalhos de verificação para que os itens sejam marcados para exclusão do banco do dados.

Depois de ter limpado as entradas de ambos os locais, elas não serão mais exibidas nos painéis de trabalho. Entretanto, elas serão realmente excluídas do banco de dados Incidents.mdb somente quando ele for compactado, o que ocorre automaticamente todos os dias, às 2h00 (2 horas da manhã).

Você também pode excluir um subconjunto dos resultados selecionando uma ou mais entradas (usando as teclas SHIFT e CTRL) e pressionando a tecla DELETE para removê-las de ambos os locais, conforme indicado acima.

ObservaçãoObservação:
Se for selecionado um número grande de entradas, o processo de exclusão poderá levar um longo tempo. Nesse caso, o sistema pedirá que você confirme a solicitação de exclusão.

O banco de dados de quarentena pode ser limpo quando fica muito grande.

Para limpar o banco de dados de Quarentena, clique em Limpar Log no painel de trabalho Quarentena, na seção RELATAR do Painel de Navegação. Todos os itens do painel de trabalho Quarentena serão limpos. Você deverá confirmar sua decisão.

Depois que você limpar as entradas, elas não serão mais exibidas no painel de trabalho. Entretanto, elas serão realmente excluídas do banco de dados Quarantine.mdb somente quando ele for compactado, o que ocorre automaticamente todos os dias, às 2h00 (2 horas da manhã).

Você também pode excluir um subconjunto dos resultados selecionando uma ou mais entradas (usando as teclas SHIFT e CTRL) e pressionando a tecla DELETE para removê-las da listagem Quarentena.

ObservaçãoObservação:
Se for selecionado um número grande de entradas, o processo de exclusão poderá levar um longo tempo. Nesse caso, o sistema pedirá que você confirme a solicitação de exclusão.

Clique em Exportar nos painéis de trabalho Incidentes ou Quarentena para salvar todos os resultados dos bancos de dados de incidentes ou de quarentena em um arquivo de texto. O clique em Exportar exibe uma caixa de diálogo Salvar padrão do Windows®, na qual você seleciona um local para o arquivo Incidents.txt ou Quarantine.txt.

Além do botão Exportar, o painel Quarentena tem um botão Salvar como, usado para desassociar e decodificar um arquivo selecionado para disco. Você pode selecionar vários itens da lista Quarentena. Cada um deles é salvo como um arquivo separado.

Você pode instruir o Forefront Security para Exchange Server a remover os itens dos bancos de dados após um determinado número de dias. O número de dias é indicado pelo campo Limpar nos painéis de trabalho Incidentes e Quarentena. Cada banco de dados pode ter um valor de eliminação separado (ou nenhum). Se a função de eliminação for habilitada para um banco de dados, todos os arquivos mais antigos que o número de dias especificado serão sinalizados para remoção desse banco de dados.

Para limpar itens do banco de dados após um determinado número de dias
  1. No painel de trabalho Incidentes ou Quarentena, na seção RELATAR do Painel de Navegação, marque a caixa de seleção Limpar. Isso fará com que o campo Dias fique disponível.

  2. No campo Dias, indique o número de dias após o qual os itens serão limpos. Todos os itens com um número de dias superior a esse serão excluídos do banco de dados. O padrão é 30.

  3. Clique em Salvar. A definição ou alteração do valor de eliminação entra em vigor somente depois que for salva.

Para suspender a limpeza, desmarque a caixa de seleção Limpar. O valor no campo Dias permanecerá, mas nenhuma limpeza ocorrerá até que a opção Limpar seja selecionada novamente.

Você pode filtrar as exibições dos bancos de dados Incidentes ou Quarentena para ver apenas determinados itens. O filtro não tem efeito sobre o banco de dados propriamente dito, mas apenas quanto aos registros que são exibidos.

Para filtrar a exibição de banco de dados
  1. No painel de trabalho Incidentes ou Quarentena, marque a caixa de seleção Filtrando.

  2. Selecione os itens que deseja ver usando a opção Campo. Cada opção em Campo corresponde a uma das colunas na exibição. (Por exemplo, você pode mostrar apenas os incidentes cujo estado seja "Limpo".) Se você selecionar qualquer coluna que não seja Hora (no painel Incidentes) ou Data (no painel Quarentena), o campo Valor será exibido. Se você selecionar Hora ou Data, obterá os campos de entrada de data e hora de início e término.

  3. Se você tiver selecionado Hora ou Data, insira a data e a hora iniciais e finais. Caso contrário, insira uma cadeia de caracteres no campo Valor. É possível usar caracteres curingas. Eles são aqueles usados pelo driver OLE DB do banco de dados Microsoft Jet. Os caracteres curinga são:

    _ (sublinhado) — Corresponde a qualquer caractere único. (Os caracteres * e ?, que são caracteres curingas comuns, são literais neste exemplo.)

    [ ] — Representa um conjunto ou um intervalo. Corresponde a qualquer caractere individual do conjunto especificado (por exemplo, [abcdef]) ou intervalo (por exemplo, [a-f]).

    [!] — Representa um conjunto ou intervalo negativo. Corresponde a qualquer caractere individual que não esteja dentro do conjunto especificado (por exemplo, [!abcdef]) ou intervalo (por exemplo, [!a-f]).

  4. Clique em Salvar para aplicar o filtro. Os únicos itens que você verá agora são aqueles correspondentes aos parâmetros.

  5. Para ver todos os itens novamente, remova o filtro desmarcando a caixa de seleção Filtrando e clicando em Salvar.

Você pode mover os bancos de dados Quarentena e Incidentes. Entretanto, para que o FSE funcione adequadamente, você deve mover ambos os bancos de dados, bem como todos os bancos de dados e arquivos de suporte relacionados.

Para mover os bancos de dados e todos os arquivos relacionados
  1. Crie uma nova pasta em um novo local (por exemplo: C:\Bancos de Dados Movidos).

  2. Defina as permissões para a nova pasta:

    1. Clique com o botão direito no mouse na nova pasta e selecione Propriedades.

    2. Na guia Segurança, adicione Serviço de Rede com privilégios de Controle Total.

    3. Habilite todas as permissões para Administradores e Sistema.

  3. Pare o Exchange e qualquer serviço do Forefront Security para Exchange Server que ainda possa estar em execução depois de desativado o servidor Exchange.

  4. Copie todo o conteúdo da pasta Dados, incluindo as subpastas, de Microsoft Forefront Security\Exchange Server para a pasta criada na etapa 1. (Isso resultará em uma pasta chamada, por exemplo, C:\Bancos de Dados Movidos\Dados.)

  5. Altere o caminho na chave do Registro DatabasePath para apontar para o local da nova pasta Dados:

    (HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server)

  6. Reinicie os serviços do Exchange.

Em geral, o Forefront Security para Exchange Server executa funções de gerenciamento de banco de dados diárias nos bancos de dados Incident.mdb e Quarantine.mdb. As funções CompactIncidentDB e CompactQuarantineDB são executadas para excluir registros de bancos de dados e itens de quarentena antigos.

Por padrão, essas funções são executadas às 02:00 (hora local). No entanto, talvez você queira compactar o banco de dados em um horário diferente. Para executar as funções de compactação em outra hora, você deve adicionar uma entrada do Registro.

Para alterar o tempo de compactação do banco de dados
  1. Clique em Iniciar, Executar, digite regedit e clique em OK.

  2. No Editor do Registro, expanda a seguinte subchave do Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Software\Forefront Security for Exchange

  3. No menu Editar, aponte para Novo e clique em Valor da Cadeia de Caracteres.

  4. Digite CompactDatabaseTime.exe e pressione ENTER.

  5. Clique com o botão direito do mouse em CompactDatabaseTime e clique em Modificar.

  6. Na caixa Dados de valor, digite um novo valor, por exemplo 21:00 e clique em OK.

    ObservaçãoObservação:
    Use o formato de 24 horas (hh:mm) para inserir o valor da hora. O valor deve se basear na hora local em que você deseja que as funções de compactação sejam executadas.
  7. Saia do Editor do Registro.

  8. Clique em Iniciar, aponte para Configurações e clique em Painel de Controle.

  9. Clique duas vezes em Ferramentas Administrativas e clique em serviços.

  10. Clique com o botão direito do mouse em FSCController e clique em Reiniciar.

  11. Feche Serviços e o Painel de Controle.

O Forefront Security para Exchange Server armazena detecções de vírus, códigos de parada, informações do sistema e outros eventos de aplicação geral no log de aplicativo do Windows. Use o recurso Visualizar Eventos do Windows para acessar o log.

Além disso, esses eventos são armazenados no arquivo ProgramLog.txt, localizado no subdiretório Dados de Microsoft Forefront Security\Exchange Server.

Todas as estatísticas do Forefront Security para Exchange Server podem ser exibidas com o snap-in de Desempenho (Perfmon.exe) fornecido pelo Windows e geralmente encontrado em Ferramentas Administrativas. O objeto de desempenho é chamado de Microsoft Forefront Server Security.

Caso os contadores de desempenho do Forefront Security para Exchange Server sejam excluídos, eles podem ser reinstalados de duas maneiras:

  • Reinstalando o Forefront Security para Exchange Server.

  • Com a emissão PerfMonitorSetup em um prompt de comando.

O comando PerfMonitorSetup reinstalará os contadores de desempenho sem a necessidade de reinstalação do Forefront Security para Exchange Server.

Para reinstalar os contadores de desempenho a partir de um prompt de comando
  1. Abra uma janela do prompt de comando.

  2. Navegue até a pasta de instalação do Forefront Security para Exchange Server (por padrão: C:\Arquivos de Programas(x86)\Microsoft Forefront Security\Exchange Server).

  3. Digite o comando: PerfMonitorSetup –install

 
Mostrar: