報告及統計資料

 

適用於: Forefront Security for Exchange Server

主題上次修改日期: 2009-01-28

Forefront Security for Exchange Server 提供了各種機制,可協助系統管理員透過 Forefront Server Security Administrator 分析 Forefront Security for Exchange Server 服務的狀態與效能統計資料。

不論捕捉到感染或執行篩選的掃描工作為何,事件資料庫 (Incidents.mdb) 都會包含 Microsoft® Exchange Server 的所有病毒和篩選偵測。 若要檢視事件資料庫,請按一下快速導覽中的 [報告],然後按一下 [事件] 圖示。 隨即出現 [事件] 工作窗格。

窗格內的資訊是 Forefront Security for Exchange Server 針對每個事件所做報告的資訊:

 

時間

事件的日期與時間。

狀態

Forefront Security for Exchange Server 所採取的動作。

名稱

報告事件的掃描工作名稱。

資料夾

檔案所在的資料夾名稱。 當傳輸掃描程式攔截到郵件時,此欄也會報告郵件是否為輸入或輸出郵件。 系統會將 Edge Transport 或 Hub Transport Server 所轉送的郵件報告為輸入及輸出,將它們區分為標準輸入與輸出郵件。

訊息

觸發事件的郵件主旨列或檔案名稱。

檔案

符合檔案或內容篩選的病毒名稱或檔案名稱。

事件

偵測到的事件類型與名稱。

寄件者名稱

傳送受感染或篩選郵件的人員名稱。

寄件者地址

傳送受感染或篩選郵件之人員的電子郵件地址。

收件者名稱

接收受感染或篩選郵件的人員名稱。

收件者地址

接收受感染或篩選郵件之人員的電子郵件地址。

副本名稱

副本收件者的名稱。

副本地址

副本收件者的電子郵件地址。

密件副本名稱

密件副本收件者的名稱。

密件副本地址

密件副本收件者的電子郵件地址。

注意事項注意:
Forefront Security for Exchange Server 關鍵字篩選會掃描純文字及 HTML 郵件本文內容。 如果 Forefront Security for Exchange Server 同時在 HTML 及純文字中找到符合的項目,則會在事件資料庫與隔離資料庫中報告偵測到兩個項目。

也可以將事件寫入稱為 VirusLog.txt 檔的文字檔案,該檔案位於 Microsoft Forefront Security for Exchange Server 安裝路徑。 若要啟用此功能,請選取 [一般選項] 中的 [啟用 Forefront 病毒記錄] (預設會停用)。

下列是 VirusLog.txt 檔案中的範例項目:

Thu. Apr 25 14:12:51 2002 (3184),"資訊: 即時掃描已發現病毒:

資料夾: First Storage Group\Usera\Inbox

訊息: Hello

檔案: Eicar.com

事件: VIRUS=EICAR-STANDARD_AV_TEST_FILE

狀態: 已清理"

下表說明 FSE 報告的各種事件。 多個報告的事件是透過 [一般選項] 的設定來控制。

 

報告的事件 一般選項設定 描述

CorruptedCompressedFile

刪除損毀的壓縮檔案

Forefront 已刪除損毀的壓縮檔案。

CorruptedCompressedUuencodeFile

刪除損毀的 Uuencode 檔案

Forefront 已刪除損毀的壓縮 UUENCODE 檔案。

EncryptedCompressedFile

刪除加密的壓縮檔案

Forefront 已刪除加密的壓縮檔案。

EngineLoopingError

不適用

Forefront 已刪除在掃描或嘗試清理檔案時,會導致在讀取/寫入迴圈中攔截到掃描引擎的檔案。

ExceedinglyInfected

最大容器檔案感染

Forefront 已刪除容器檔案,因為該檔案超出 [一般選項] 的 [最大容器檔案感染] 中所設定的感染數上限。

ExceedinglyNested

最大巢狀壓縮檔案

Forefront 已刪除容器檔案,因為該檔案超出 [一般選項] 的 [最大巢狀壓縮檔案] 中所設定的巢狀深度上限。

ExceedinglyNested

最大巢狀附件

Forefront 已刪除檔案,因為該檔案超出 [一般選項] 的 [最大巢狀附件] 中所設定的最大巢狀附件限制。 預設值為 30 個附件。 如需詳細資訊,請參閱登錄機碼中的 MaxNestedAttachments。

FragmentedMessage

不適用

分段的 SMTP 郵件已由分段郵件的刪除文字取代。

LargeInfectedContainerFile

最大容器檔案大小

Forefront 已刪除檔案,因為該檔案超出其將嘗試清除或修復的容器大小上限。 預設值為 26 MB,但是您可以使用 [一般選項] 的 [最大容器檔案大小] 選項來變更此值。

ScanTimeExceeded

最大容器掃描時間 (毫秒) - 即時/傳輸,或

最大容器掃描時間 (毫秒) - 手動

Forefront 已刪除容器檔案,因為它超出掃描時間上限。 預設值 (以毫秒為單位) 為即時/傳輸掃描 120000 毫秒 (2 分鐘),手動掃描 600000 毫秒 (10 分鐘)。

UnReadableCompressedFile

不適用

Forefront 已刪除無法讀取的壓縮檔案。

UnWritableCompressedFile

不適用

Forefront 已刪除無法寫入的壓縮檔案 (例如,在清理作業期間)。

Forefront Security for Exchange Server 會追蹤每一項掃描工作的郵件與附件的統計資料。

系統會為郵件維護數種統計資料。

  • 已掃描的郵件。 Forefront Security for Exchange Server 自上次服務重新啟動後已掃描的郵件數目。

  • 已偵測到的郵件。 自上次服務重新啟動後已掃描的郵件數目,並且這類郵件包含病毒或符合檔案或是內容篩選。

  • 已標記的郵件。 Forefront Security for Exchange Server 自上次服務重新啟動後因符合篩選而標記的郵件數目。

  • 已清除的郵件。 Forefront Security for Exchange Server 自上次服務重新啟動後因偵測到病毒或符合篩選而清除的郵件數目 ([動作] 是設為 [清除: 消除郵件] 或蠕蟲清除比對)。

  • 已掃描的郵件總數。 自產品安裝後,由 Forefront Security for Exchange Server 掃描的郵件數目。

  • 已偵測到的郵件總數。 自產品安裝後已掃描的郵件數目,並且這類郵件包含病毒或符合檔案或是內容篩選。

  • 已標記的郵件總數。 自產品安裝後,由 Forefront Security for Exchange Server 因符合篩選而標記的郵件數目。

  • 已清除的郵件總數。 自產品安裝後,由 Forefront Security for Exchange Server 因偵測到病毒或符合篩選而清除的郵件數目。

系統會為郵件附件維護數種統計資料。

  • 已掃描的附件。 Forefront Security for Exchange Server 自上次服務重新啟動後已掃描的附件數目。

  • 已偵測到的附件。 自上次服務重新啟動後已掃描的附件數目,並且這類附件包含病毒或符合檔案或是內容篩選。

  • 已清理的附件。 Forefront Security for Exchange Server 自上次服務重新啟動後因病毒感染或符合篩選而清理的附件數目。

  • 已移除的附件。 Forefront Security for Exchange Server 自上次服務重新啟動後因病毒感染或符合篩選而移除的附件數目。

  • 已掃描的附件總數。 自產品安裝或上次重設 [統計資料] 窗格之後,由 Forefront Security for Exchange Server 掃描的附件數目。

  • 已偵測到的附件總數。 自產品安裝或上次重設 [統計資料] 窗格之後已掃描的附件數目,並且這類附件包含病毒或符合檔案或是內容篩選。

  • 已清理的附件總數。 自產品安裝或上次重設 [統計資料] 窗格之後,由 Forefront Security for Exchange Server 因病毒感染或符合篩選而清理的附件數目。

  • 已移除的附件總數。 自產品安裝或上次重設 [統計資料] 窗格之後,由 Forefront Security for Exchange Server 因病毒感染或符合篩選而移除的附件數目。

雖然 FSE 會掃描郵件本文及附件,不過它會將所有已掃描的郵件部分報告為附件。 因此,在 [統計資料] 窗格中,含有單一附件的單一郵件會報告為兩個附件。

若要重設掃描工作的所有統計資料,請按一下 [事件] 工作窗格的 [統計資料] 區段中的掃描工作名稱旁邊的 [x]。

若要以格式化文字或分隔的文字格式來儲存報告及統計資料,請按一下 [匯出] 按鈕 (位於 [事件] 工作窗格中)。

Forefront Security for Exchange Server 預設會依其原始格式建立每一個偵測到檔案的複本 (也就是,在清理、刪除或略過動作發生之前)。 這些檔案會以編碼格式儲存在 Forefront Security for Exchange Server DatabasePath 資料夾 (預設為安裝資料夾) 底下的 Quarantine 資料夾中。 已偵測附件的實際檔案名稱、受感染病毒的名稱或者檔案篩選名稱、郵件信封資訊,以及其他簿記資訊,都是儲存在 Quarantine 資料夾中的 Quarantine.mdb。 隔離資料庫是設定成名稱為 Forefront Quarantine 的系統資料來源名稱 (DSN)。 您可以使用協力廠商工具來檢視及操作此資料庫。

Forefront Security for Exchange Server 會執行兩個不同的隔離作業: 隔離整封郵件或只隔離附件。 當您啟用隔離時,系統只會針對設定為 [清除] 的內容篩選及檔案篩選來隔離整封郵件。

當 [一般選項] 設定中的 [隔離郵件] 設為 [隔離為單一 EML 檔案] 時 (僅適用於傳輸掃描工作),郵件會以 EML 檔案格式進行隔離。 如果您想要檢視 EML 檔案內所含的附件,就必須儲存隔離資料庫的檔案,並使用 Outlook Express 檢視檔案的內容。 如果電腦上未安裝 Outlook Express,將無法輕易地從 EML 檔案中區隔出郵件的附件,以進行檢視。

如果您沒有在用來隔離郵件的伺服器上安裝 Outlook Express,可以選擇將郵件隔離成不同片段,方法是將 [隔離郵件] 設定為 [分開隔離郵件本文和附件]。 然後,Forefront Security for Exchange Server 就會將郵件隔離為不同的片段 (本文或附件),這樣在把片段從隔離資料庫儲存至磁碟之後,就可以更輕易地進行查看。

另一個方法是將已隔離的郵件轉寄到信箱。 [隔離郵件] 選項設為 [分開隔離郵件本文和附件] 時,如果想要讓收件者看到原始郵件的整個內容,則必須轉寄每個已隔離的郵件片段。 如果 [隔離郵件] 選項設為 [隔離為單一 EML 檔案],則只需要轉寄隔離的 EML 檔案,收件者就會收到一封附有單一附件的新郵件,附件內含原始郵件及其所有附件。

系統管理員可以存取 [隔離] 窗格以刪除或解壓縮儲存的已偵測檔案附件。 若要檢視隔離記錄,請按一下快速導覽中的 [報告],然後按一下 [隔離] 圖示。 隨即出現 [隔離] 工作窗格。

隔離清單會報告檔案的隔離日期、檔案名稱、觸發隔離的事件類型 (如病毒或符合篩選)、受感染之病毒的名稱或篩選名稱、郵件的主旨欄位、寄件者名稱、寄件者地址、收件者名稱,以及收件者地址。

使用 [隔離] 工作窗格的 [另存新檔] 按鈕,即可將選取的檔案卸離並解碼到磁碟。 您可以從隔離清單選取多個項目。 並將每個項目都儲存成個別檔案。

[隔離] 工作窗格中的 [傳遞] 按鈕可讓系統管理員傳遞隔離的郵件給預定的收件者或任何其他指定的收件者。 當您按一下 [傳遞] 按鈕時,就會顯示 [確認傳遞] 對話方塊。 它可讓系統管理員針對所傳遞的郵件指定收件者和傳遞動作。

如果選取單一檔案以進行傳遞,則會在 [收件者:]、[副本:] 和 [密件副本:] 欄位中填入原始收件者。 如果選取多個檔案,則收件者欄位一開始會空白。

[傳遞動作] 區段含有三個選項:

  • 原始收件者—系統會停用收件者欄位。 按一下 [確定] 即可將選取的檔案傳遞給原始收件者。

  • 上方收件者—系統會啟用收件者欄位,而且系統管理員可以變更這些欄位。 按一下 [確定] 即可將選取的檔案傳遞給指定的收件者。

  • 原始及上方的收件者—系統會啟用收件者欄位,而且系統管理員可以變更這些欄位。 按一下 [確定] 即可將選取的檔案傳遞給原始收件者和任何其他已輸入的收件者。

將隔離郵件傳遞給使用者的信箱時,原始郵件會包含附件。 使用者開啟該附件時,原始郵件會在 Outlook 內以個別郵件的形式啟動。

注意事項注意:
在 Edge Server 上,由於 Forefront 無法存取 Active Directory,您必須輸入完整的電子郵件地址以及完整格式網域名稱 (即使是傳遞給 Exchange 組織內部的收件人)。 未輸入完整格式網域名稱會導致 Forefront 無法從隔離傳遞郵件。

從隔離資料庫傳遞郵件檔案時,會建立名為 DeliverLog.txt 的文字檔案,並將它儲存在安裝 Forefront Security for Exchange Server 的資料夾中。 此檔案提供已從隔離傳遞之郵件及附件的記錄。

您可以轉寄病毒掃描程式或檔案篩選所隔離的附件。

除非停用掃描工作,否則無法轉寄病毒掃描程式隔離的附件。 系統會重新偵測並適當處理任何含有病毒的轉寄附件。

除非 [一般選項] 設定的 [傳遞自隔離安全性] 設為 [相容模式],否則系統會掃描檔案篩選隔離的附件,以尋找是否有符合的篩選。 此模式可轉寄郵件,而不會讓任何掃描工作重新偵測郵件。 如果您想要執行手動掃描並且重新偵測已轉寄的附件,就必須建立 ManuallyScanForwardedAttachments 登錄值並將它設定為 1。如果該值未顯示,會假設預設值為 0。

為了讓附件不重新偵測而進行傳遞,Forefront Security for Exchange Server 會在郵件主旨列中新增特殊標記。 您可以變更登錄機碼值 ForwardedAttachmentSubject 中的項目,以自訂此標記。 此值可以讓系統管理員指定用於主旨列中的標記文字。 主旨列標記文字可以變更為組織的唯一字串,或變更為當地語言。

注意事項注意:
如果 [一般選項] 中的 [傳遞自隔離安全性] 設為 [相容模式],而且主旨列標記文字已變更,則系統會將篩選套用至已經在組織中的郵件,而如果重新掃描這些郵件,則它們的主旨列中會使用舊標記文字來標記。

根據預設,手動掃描不會針對轉寄自隔離區的郵件執行檔案篩選。 如果 ForwardedAttachmentSubject 登錄機碼已變更,則手動掃描會對變更前位在此機碼的主旨列,且已存在於組織中的郵件執行檔案篩選。

Forefront Security for Exchange Server 含有主控台工具 (ExtractFiles),可以讓您將所有或一小部分的隔離檔案解壓縮至指定的目錄。

這是 ExtractFiles 的語法:

extractfiles <path> <type>

Path: 儲存解壓縮隔離檔案的資料夾絕對路徑。

Type: 要解壓縮的隔離檔案類型。 這可以是特定的病毒名稱、特定的副檔名,或所有隔離檔案。 例如,

Jerusalem.Standard 解壓縮已感染名稱為 Jerusalem.Standard 病毒的檔案。

*.doc 解壓縮副檔名為 .doc 的隔離檔案。

*.* 解壓縮所有隔離檔案。

範例:

extractfiles C:\temp\quarantine Jerusalem.Standard

extractfiles C:\extract\ *.doc

在從隔離區進行快速郵件復原的狀況中,您可以使用 ExtractFiles 公用程式: 只有當您在 [一般選項] 中針對 [隔離郵件] 選擇 [隔離為單一 EML 檔案] 選項時,這項工具才能運作。 這項工具在傳遞大量已隔離的電子郵件時很有用。 如果公司的篩選原則由於管理要求而發生變更,或者電子郵件由於篩選設定不正確而遭意外隔離,就可能會引發這類情況。

若要使用 ExtractFiles 工具進行快速郵件復原
  1. 使用先前所描述的 *.* 語法來解壓縮所有檔案。 這會解壓縮所有已隔離的檔案,包括 EML 檔案和附件。

    注意事項注意:
    請確定您瞭解需要傳遞的 EML 檔案。
  2. 將必要的 EML 檔案複製到 Exchange 伺服器上的收取資料夾中。 請注意,只有下列情況才支援使用這個資料夾。

    1. 這些作業會在一般上班時間以外執行。

    2. 複製許多 .eml 檔案時,您必須分批將它們複製到收取目錄中。 請嘗試複製 10,000 個檔案,然後查看處理所花費的時間。 可能會影響處理郵件所花費之時間的因素有許多個,例如伺服器硬體、伺服器的負載,以及所處理的郵件量。 您可以將批次大小增加至 15,000 或 20,000 個 .eml 檔案,否則就必須將它減少至 5,000 個檔案。

    如需有關 Exchange 伺服器收取資料夾的基本指示,請移至下列 URL: http://go.microsoft.com/fwlink/?LinkId=140655。 如果您需要有關經由收取資料夾傳送郵件的進一步協助,請連絡 Microsoft 技術支援服務

您可以在事件或隔離資料庫執行數個工作。 您可以清除資料庫匯出資料庫項目移除資料庫項目篩選資料庫檢視移動資料庫,以及變更資料庫壓縮時間

經過一段時間後,您可能會發現事件及隔離資料庫變得非常龐大。 每一個資料庫 (Incidents.mdb 與 Quarantine.mdb) 都有 2 GB 大小的限制。 壓縮後,如果資料庫大於 1.5 GB,系統將會傳送通知給所有具備 [病毒管理員] 通知角色的成員,警告資料庫即將達到限制的大小。 然後,系統管理員可以清除資料庫,以確保會儲存之後發生的事件及隔離項目。

郵件主旨列會顯示如下:

Microsoft Forefront Security for Exchange Server 資料庫警告

郵件本文則會顯示如下:

Microsoft Forefront Security for Exchange Server <<資料庫名稱>> 的資料庫已超過 1.5 GB (大小上限為 2 GB)。 目前的大小為 x GB。

當資料庫大小增加至 2 GB 時,系統便不會更新<<database name>>。 如需資料庫維護的相關資訊,請參閱使用者操作手冊。

如果因為某些原因而無法傳送通知,則會略過該失敗,並將它記錄在程式記錄中。 會於特定資料庫的每個壓縮循環期間,再次嘗試傳送郵件。

當事件資料庫太大時,可以清除事件資料庫。

清除事件資料庫
  1. 在快速導覽 [報告] 區段的 [事件] 工作窗格中,按一下 [清除記錄檔]。 這會清除 [事件] 工作窗格中的所有項目。 系統會要求您確認此決定。

  2. 在快速導覽的 [作業] 區段中,選取 [執行工作]。 選取掃描工作,然後按一下 [清除記錄檔]。 這會清除 [事件] 工作窗格工作中的項目。 系統會再次要求您確認您的決定。 您必須個別清除所有掃描工作,以標幟要從資料庫中刪除的項目。

您清除了這兩個位置中的項目之後,它們就不會再出現在工作窗格中。 不過,系統壓縮 Incidents.mdb 資料庫時,才會實際將這些項目從 Incidents.mdb 資料庫中刪除,系統於每天 02:00 (2:00 A.M.) 自動執行刪除作業。

您也可以刪除結果的子集,方法是先選取一個或多個項目 (使用 SHIFTCTRL 鍵),然後按 DELETE 鍵,從兩個位置將其移除,如上所述。

注意事項注意:
如果您選取大量的項目,刪除程序可能需要很長的時間。 在此情況下,系統會要求您確認刪除要求。

當隔離資料庫變得太大時,您可以清除隔離資料庫。

若要清除隔離資料庫,請在快速導覽的 [報告] 區段上,按一下 [隔離] 工作窗格上的 [清除記錄檔]。 這會清除 [隔離] 工作窗格中的所有項目。 系統會要求您確認此決定。

清除項目後,它們就不會再出現在工作窗格中。 不過,系統壓縮 Quarantine.mdb 資料庫時,才會實際將這些項目從 Quarantine.mdb 資料庫中刪除,系統於每天 02:00 (2:00 A.M.) 自動執行刪除作業。

您也可以刪除結果的一部分,方法是選取一個或多個項目 (使用 SHIFTCTRL 鍵),然後按下 DELETE 鍵,從隔離清單中將它們移除。

注意事項注意:
如果您選取大量的項目,刪除程序可能需要很長的時間。 在此情況下,系統會要求您確認刪除要求。

在 [事件] 或 [隔離] 工作窗格上按一下 [匯出],將事件或隔離資料庫的所有結果另存為文字檔案。 按一下 [匯出] 時,系統會顯示標準的 Windows® 儲存對話方塊,而您可以在此對話方塊中選取 Incidents.txt 或 Quarantine.txt 檔的位置。

除了 [匯出] 按鈕,[隔離] 窗格還有 [另存新檔] 按鈕,可用來將選取的檔案卸離並解碼至磁碟。 您可以從隔離清單選取多個項目。 並將每個項目都儲存成個別檔案。

您可以指示 Forefront Security for Exchange Server,在指定的天數之後,移除資料庫中的項目。 天數是透過 [事件] 及 [隔離] 工作窗格的 [清除] 欄位指示。 每一個資料庫都可以有個別的清除值 (或完全沒有)。 如果對資料庫啟用了清除功能,則所有比指定天數還要舊的檔案都會標幟為要從資料庫中移除。

在特定天數之後移除資料庫項目
  1. 在快速導覽的 [報告] 區段中,於 [事件] 或 [隔離] 工作窗格上,選取 [清除] 核取方塊。 這會讓 [天數] 欄位成為可用的欄位。

  2. 在 [天數] 欄位中,系統會指出將在幾天之後清除項目。 所有比這個天數還要舊的項目都會從資料庫中刪除。 預設為 30 天。

  3. 按一下 [儲存]。 只有在儲存之後,設定或變更清除值才會生效。

若要暫停清除,請取消選取 [清除] 核取方塊。 [天數] 欄位中的值仍然保留,但除非再次選取 [清除],否則不會進行清除。

您可以篩選 [事件] 或 [隔離] 檢視,只查看特定項目。 篩選對於資料庫本身而言是無效的,只對要顯示的記錄有效。

篩選資料庫檢視
  1. 在 [事件] 或 [隔離] 工作窗格上,選取 [篩選] 核取方塊。

  2. 利用 [欄位] 選項選取您要檢視的項目。 [欄位] 中的每個選項會對應至顯示的其中一欄 (例如,您可以只顯示狀態為「已清除」的那些事件)。 如果選取 [時間] (位於 [事件] 窗格) 或 [日期] (位於 [隔離] 窗格) 以外的任何欄位,則會出現 [值] 欄位。 如果您選取 [時間] 或 [日期],便會出現開始日期和時間,以及結束日期和時間的輸入欄位。

  3. 如果您選取了 [時間] 或 [日期],請輸入開始及結束日期與時間。 否則請在 [值] 欄位中輸入字串。 篩選時可以使用萬用字元。 這些萬用字元就是 Microsoft Jet 資料庫 OLE DB 驅動程式所使用的萬用字元。 萬用字元有:

    _ (底線)—符合任何單一字元 (常用的萬用字元為 * 和 ? 字元,其為此執行個體中的常值)。

    [ ]—代表字集或範圍。 符合指定字集 (例如,[abcdef]) 或範圍 (例如,[a-f]) 內的任何單一字元。

    [!]—代表否定字集或範圍。 符合不在指定字集 (例如,[!abcdef]) 或範圍 (例如,[!a-f]) 內的任何單一字元。

  4. 按一下 [儲存] 以套用篩選。 現在您只會看到那些符合參數的項目。

  5. 若要再次檢視所有項目,請清除 [篩選] 核取方塊,再按一下 [儲存] 來移除篩選。

您可以移動隔離及事件資料庫。 然後,為了讓 FSE 能夠正常運作,您必須移動這兩個資料庫,以及所有相關資料庫和支援檔案。

移動資料庫和所有相關檔案
  1. 在新的位置建立新的資料夾 (例如: C:\Moved Databases)。

  2. 設定新資料夾的權限:

    1. 在新資料夾上按滑鼠右鍵,然後選取 [內容]。

    2. 在 [安全性] 索引標籤上,新增包含 [完整控制權] 的 [網路服務]。

    3. 啟用 [系統管理員] 和 [系統] 的所有權限。

  3. 停止 Exchange 及任何在 Exchange 伺服器停止之後仍然在執行的 Forefront Security for Exchange Server 服務。

  4. 從 Microsoft Forefront Security\Exchange Server,將 Data 資料夾的整個內容 (包含子資料夾) 複製到步驟 1 所建立的資料夾 (例如,這會產生名為 C:\Moved Databases\Data 的資料夾)。

  5. DatabasePath 登錄機碼的路徑變更為指向新的 Data 資料夾位置:

    (HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server)

  6. 重新啟動 Exchange 服務。

一般而言,Forefront Security for Exchange Server 會每天對 Incidents.mdb 和 Quarantine.mdb 資料庫執行資料庫管理函式。 執行 CompactIncidentDB 函式和 CompactQuarantineDB 函式時,系統會刪除舊的資料庫記錄,以及刪除過時的隔離項目。

根據預設,會在當地時間 02:00 執行這些函式。 然而,您可能會想要在不同的時間壓縮資料庫。 若要在不同時間執行壓縮函式,您必須新增登錄項目。

變更資料庫壓縮時間
  1. 依序按一下 [開始] 和 [執行]、輸入 regedit,然後按一下 [確定]。

  2. 在登錄編輯程式中,展開下列登錄子機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Software\Forefront Security for Exchange

  3. 在 [編輯] 功能表中,指向 [新增],然後按一下 [字串值]。

  4. 輸入 CompactDatabaseTime,然後按下 ENTER

  5. 以滑鼠右鍵按一下 [CompactDatabaseTime],然後按一下 [修改]。

  6. 在 [數值資料] 方塊中,輸入新值 (例如 21:00),然後按一下 [確定]。

    注意事項注意:
    請使用 24 小時 (hh:mm) 格式輸入時間值。 這個值應該根據您要執行壓縮函式的當地時間。
  7. 結束登錄編輯程式。

  8. 按一下 [開始]、指向 [設定],然後按一下 [控制台]。

  9. 按兩下 [系統管理工具],然後按一下 [服務]。

  10. 以滑鼠右鍵按一下 [FSCController],然後按一下 [重新啟動]。

  11. 關閉 [服務] 和 [控制台]。

Forefront Security for Exchange Server 會將病毒偵測、停止程式碼、系統資訊及其他一般應用程式事件儲存在 Windows 應用程式記錄檔中。 請使用 Windows 事件檢視器來存取記錄檔。

此外,這些事件會儲存於 Microsoft Forefront Security\Exchange Server 之 Data 子目錄中的 ProgramLog.txt。

使用 Windows 所提供的 [效能] 嵌入式管理單元 (Perfmon.exe) 可顯示所有 Forefront Security for Exchange Server 的統計資料,而該嵌入式管理單元通常位於 [系統管理工具] 中。 效能物件稱為 Microsoft Forefront Server Security。

萬一您刪除 Forefront Security for Exchange Server 效能計數器,有兩種方法可以重新安裝:

  • 重新安裝 Forefront Security for Exchange Server。

  • 從命令提示字元發出 PerfMonitorSetup。

PerfMonitorSetup 命令會重新安裝效能計數器,而不需要重新安裝 Forefront Security for Exchange Server。

從命令提示字元重新安裝效能計數器
  1. 開啟命令提示字元視窗。

  2. 瀏覽至 Forefront Security for Exchange Server 安裝資料夾 (預設為: C:\Program Files(x86)\Microsoft Forefront Security\Exchange Server)。

  3. 輸入命令: PerfMonitorSetup –install

 
顯示: