規則

 

主題上次修改日期: 2008-02-12

規則可以監視 Forefront Security 產品、引擎更新、掃描工作和 Forefront Security 服務,並檢查這些程序產生的事件,判斷是否應該產生警示。除此之外,規則還能擷取掃描工作的統計值。FFSMP 內含多種不同的規則。

所有規則都儲存在系統管理員主控台 [管理組件/規則群組] 資料夾的規則群組階層中。

Microsoft Forefront Server Security

最高層級群組。做為其下規則群組的容器:

  • Microsoft Forefront Security for Exchange Server

    包含子群組,內有用來監視代理程式系統專屬事件的所有規則類型

    • Exchange 掃描工作監視 - 所有伺服器

      包含掃描工作和效能計數器事件的通用規則,用來收集所有代理程式系統的掃描率和偵測統計資料。

    • Exchange 掃描工作監視 - 集線傳輸、集線傳輸/信箱、邊際傳輸

      包含掃描工作和效能計數器事件的一組規則,用來收集 Hub Transport Server、Hub Transport/Mailbox Servers 以及 Edge Transport Server 等代理程式系統的掃描率和偵測統計資料。

    • Exchange 掃描工作監視 - 集線傳輸/信箱、信箱、公用資料夾

      包含掃描工作和效能計數器事件的一組規則,用來收集 Mailbox Server 和 Public Folder Server 等代理程式系統的掃描率和偵測統計資料。此類型還包含其他可以監視 Transport/Mailbox Server 掃描工作的規則。

    • 服務監視 - 所有伺服器

      包含監視所有代理程式系統服務的通用規則。

    • 服務監視 - 集線傳輸/信箱、信箱、公用資料夾

      包含一組規則,用來監視 Hub Transport/Mailbox Server、Mailbox Server 和 Public Folder Server 上的服務。

    • 服務監視 - 集線傳輸、集線傳輸/信箱、邊際傳輸

      包含一組規則,用來監視 Hub Transport Server 和 Edge Transport Server 上的服務。此類型還包含其他可以監視 Hub Transport/Mailbox Server 服務的規則。

    • 引擎更新監視 - 所有伺服器

      包含一組規則,用來監視代理程式系統上的引擎及 Worm List 更新。

所有規則都儲存在系統管理員主控台 [管理組件/規則群組] 資料夾的規則群組階層中。

Microsoft Forefront Server Security

最高層級群組。做為其下規則群組的容器:

  • Microsoft Forefront Security for SharePoint

    包含子群組,內有用來監視代理程式系統專屬事件的所有規則類型

    • 引擎更新監視

      包含一組規則,用來監視代理程式系統上的引擎更新。

    • 掃描工作監視

      包含掃描工作和效能計數器事件的通用規則,用來收集所有代理程式系統的掃描率和偵測統計資料。

    • 服務監視

      包含一組規則,用來監視所有代理程式系統的監視服務。

MOM 2005 的每個規則群組都包含三種類型的規則。您可以在操作員主控台中檢視規則,在系統管理員主控台中修改規則。

  • 事件規則。檢查代理程式系統發生的事件,判斷是否應該準備警示。這可能是受監視的 Windows 元件寫到 Windows 事件記錄檔的事件,或 MOM 本身產生的事件。事件和事件產生的警示,都儲存在 MOM 資料庫。

  • 警示規則。檢查產生的警示,判斷是否應該準備通知。

  • 效能規則。擷取代理程式系統的效能資料。MOM 會將效能資料儲存在 MOM 資料庫。

受管理伺服器上所發生的事件,會先交由事件規則檢查,然後經 MOM 代理程式擷取,儲存至 MOM 資料庫。接著,事件規則會再次檢查這些事件,顯示代理程式系統的錯誤和重大事件記錄資訊。

事件規則可以按照資料來源分類:提供者事件規則收集事件規則和警示事件規則。

提供者事件規則使用四種類型的提供者資料來源:

  • Windows 事件記錄

  • Windows 系統事件記錄

  • Forefront Security ProgramLog.txt 或 Forefront SP ProgramLog.txt 檔案 (視代理程式系統而定)

  • 定時事件

除了「定時事件」提供者之外,事件規則均根據「事件來源」、「事件識別碼」和「描述文字」等特定準則而設定。

收集事件規則通常用於操作員可能感興趣,但不很重要的資訊事件,例如,服務開始和停止、掃描工作啟用和停用以及引擎更新等事件。這些事件只會在 MOM 操作員主控台的 [事件檢視] 中產生事件項目,並將事件參數儲存在 MOM 資料庫。

警示事件規則會檢查事件,並針對認可的事件產生警示記錄。警示記錄會張貼在 MOM 操作員主控台的 [警示檢視] 上,並且儲存於 MOM 資料庫。建立警示記錄的動作即屬於事件,這會在 MOM 操作員主控台的 [事件檢視] 中產生事件項目。

當警示事件規則產生警示時,會傳來某些內容:

  • 警示嚴重性。可能的值包括:「重大錯誤」、「錯誤」、「警告」或「資訊」。系統會判斷導致警示產生之事件的嚴重性,據此決定其嚴重值。「重大錯誤」代表可能會嚴重遺失服務。

  • CustomField1。所有產生警示的事件規則,會在這個欄位中插入 Microsoft Forefront Security Server

  • CustomField2。Forefront Security for Exchange Server 規則群組中的事件規則,會在這個欄位中插入 Microsoft Forefront Security for Exchange Server。Forefront Security for SharePoint 規則群組中的事件規則,會在這個欄位中插入 Forefront Security for SharePoint。「引擎更新監視」的「通用」規則群組中的事件規則,會將這個欄位留白。

  • CustomField3。為建立警示記錄的事件規則,指定規則群組的原始位置。例如,從「引擎更新監視」規則群組產生警示的事件規則,會在這個欄位中插入 EngineUpdateFailure 值。

在 MOM 操作員主控台中建立警示檢視時,便是以這些自訂欄位值為準則。如需詳細資訊,請參閱檢視

警示規則會檢查警示事件規則產生的警示,判斷是否應該準備通知。

Microsoft Forefront Security 階層的每個使用中規則群組,都包含一個警示規則。這個規則會在出現「重大錯誤」警示時,通知「Forefront Security管理群組」。

MOM 環境管理員必須設定並執行通知方法和通知群組成員資格。

效能規則會擷取下列類別的所有掃描工作統計值:

  • 已掃描的郵件、附件或文件總數

  • 掃描率 (每秒掃描的郵件或文件數量)

  • 已清除的郵件總數 (Forefront Security for Exchange Server)

  • 已封鎖的文件總數 (Forefront Security for SharePoint)

  • 已偵測到的郵件、附件或文件總數

  • 已清除的附件或文件總數

  • 已删除的附件總數 (Forefront Security for Exchange Server)

  • 主旨列中已標記的郵件總數 (Forefront Security for Exchange Server)

這些效能規則位於下列規則群組中:

  • Microsoft Forefront Security Server\Forefront Security for Exchange Server\Exchange 掃描工作監視」規則群組具有即時和手動掃描工作的效能規則。

  • Microsoft Forefront Security Server 規則群組具有手動掃描工作的效能規則。

  • Microsoft Forefront Security Server\Forefront Security for SharePoint\掃描工作監視」規則群組具有即時和手動掃描工作的效能規則。

MOM 效能規則需要 Windows 效能計數器提供者提供取樣資料。Microsoft Forefront Server Security Management Pack for MOM 2005 中的提供者取樣率設為 1800 秒 (30 分鐘),不過也有例外,用來決定掃描工作掃描率和處理器時間的提供者取樣率是設成 300 秒 (5 分鐘)。

注意事項注意:
掃描統計值計數器會報告「總數」。計數器值會不斷累加,直到您重設總數為止。您可以用下列方式重設總數:
  • 在 [Forefront Server Security Administrator Console] 的 [報告] 快速導覽中,選取 [事件]。使用統計表中的 (X) 控制項,重設每個「掃描工作」的計數器。

Microsoft Forefront Server Security Management Pack for MOM 2005 中的所有規則都有 [知識庫] 項目,提供事件的摘要或描述。這個項目說明事件的重要性,以及可能的原因和解決方式。

您可以透過 MOM 系統管理員主控台和 MOM 操作員主控台,檢視 [知識庫] 項目。

檢視知識庫項目
  1. 選取一個規則。

  2. 用滑鼠右鍵按一下該規則。隨即出現快顯功能表。

  3. 選擇快顯功能表中的 [內容]。

  4. 按一下 [知識庫] 索引標籤。

 
顯示: