管理事件

 

適用於: Forefront Protection for Exchange

主題上次修改日期: 2010-06-18

您可以在 Forefront Protection 2010 for Exchange Server (FPE) 內的事件執行多項管理工作。您可以執行下列操作:

經過一段時間,您可能會發現已經累積了大量事件,而且很難追蹤及管理這麼多事件。為了便於作業,您可以刪除選取的事件。如果選取許多項目,請注意,刪除程序可能需要很長的時間。

刪除選取的事件
  1. 在 Forefront Protection 2010 for Exchange Server 管理主控台 中按一下 [監視],然後按一下 [伺服器安全性檢視] 底下的 [事件]。

  2. 在 [伺服器安全性檢視 - 事件] 窗格上選取一個或多個項目。按一下滑鼠右鍵,然後按一下 [刪除]。系統要求您確認刪除決定時,按一下 []。這樣就會刪除 [伺服器安全性檢視 - 事件] 窗格中的選取項目。

您也可以選擇刪除所有事件,會比刪除選取的事件更快速。

刪除所有事件
  1. 按一下 [監視],然後按一下 [伺服器安全性檢視] 底下的 [事件]。

  2. 按一下 [伺服器安全性檢視 - 事件] 窗格上 [動作] 區段中的 [刪除所有事件資料]。系統要求您確認刪除決定時,按一下 []。這樣就會刪除 [伺服器安全性檢視 - 事件] 窗格中列出的所有項目。

您可以設定 FPE,將經過一定天數的事件自動刪除。如果啟用了清除功能,比指定天數還要舊的所有事件都會刪除。

在指定天數之後刪除事件
  1. 按一下 [監視],然後按一下 [組態] 底下的 [事件]。

    如果您是在 [伺服器安全性檢視 - 事件] 窗格上,請按一下 [動作] 區段底下的 [設定事件選項]。

  2. 在 [組態 - 事件選項] 窗格上,選取 [自動清除事件] 核取方塊。這樣會讓 [清除前保留天數] 欄位變成可用的欄位。

  3. 在 [清除前保留天數] 欄位中,系統會指出將在幾天之後清除項目。所有比指定天數舊的項目都會刪除。預設為 30 天。

  4. 按一下 [儲存]。只有在儲存之後,設定或變更清除值才會生效。

擱置清除
  • 在 [組態 - 事件選項] 窗格上,取消選取 [自動清除事件] 核取方塊,然後按一下 [儲存]。[清除前保留天數] 欄位中的值會保留,但要再度選取 [自動清除事件] 核取方塊之後才會進行刪除作業。

您可以將篩選的事件或所有事件匯出至 CSV 檔。使用外部程式 (例如 Microsoft Office Excel) 來執行資料分析時,這項功能可能會很有用。

匯出事件清單至檔案
  1. 按一下 [監視],然後按一下 [伺服器安全性檢視] 底下的 [事件]。

  2. 或者,如果您要匯出篩選的事件清單,請選取篩選準則 (如需詳細資訊,請參閱檢視事件中的<篩選事件窗格>)。否則 FPE 會匯出所有事件的清單。

  3. 按一下 [伺服器安全性檢視 - 事件] 窗格上 [動作] 區段中的 [匯出篩選的資料]。

  4. 在 [匯出篩選的資料] 對話方塊上 [輸出檔案] 欄位中,輸入或瀏覽 (按一下 [變更]) 至要匯出檔案的位置。

  5. 按一下 [匯出] 即可匯出檔案。

    您應該會收到訊息通知您系統正在進行匯出作業,接著會有訊息通知您匯出成功。

根據預設,事件資料庫有 4 GB 的「彈性限制」(彈性限制不會阻止資料寫入資料庫,而只是傳送通知,提示系統管理員採取行動。事件資料庫沒有固定限制,因此,您必須監視硬碟的磁碟空間,因為資料庫可能會成長到佔滿可用空間)。建議您按照下列程序,設定適合您組織的彈性限制。

注意事項 注意:
隔離項目中繼資料 (也就是,代表已被隔離項目的資料庫記錄,而不是實際隔離的項目) 儲存在事件資料庫中,而且可能會影響資料庫大小。
設定事件資料庫大小限制
  1. 按一下 [監視],然後按一下 [組態] 底下的 [事件]。

    如果您是在 [伺服器安全性檢視 - 事件] 窗格上,請按一下 [動作] 區段底下的 [設定事件選項]。

  2. 在 [組態 - 事件選項] 窗格上的 [事件資料庫大小限制 (GB)] 欄位中,輸入以 GB 為單位的值,然後按一下 [儲存]。

設定資料庫大小限制之後,建議您設定 [資料庫大小警告] 通知 (如需詳細資訊,請參閱設定電子郵件通知),在資料庫超過其大小限制時,警告您的系統管理員。如果因為某些原因而無法傳送通知,會將失敗記載在事件記錄中。每天會嘗試傳送訊息一次。

如果您接到資料庫大小警告通知,可以採取一些行動,以防止再接到通知。您可以停用 [資料庫大小警告] 通知,或者增加事件資料庫的大小限制 (請參閱設定事件資料庫大小警告)。您也可以執行離線壓縮來縮減資料庫的大小,讓資料庫不再接近或超過設定的大小限制。

注意事項 注意:
FPE 會壓縮事件資料庫,以便能更有效率地讀取及寫入資料庫。這種資料庫的線上壓縮會在每天下午 2 點自動執行一次。壓縮作業進行時,服務並不會中斷。但是,以這種方式壓縮資料庫不會縮減磁碟上資料庫檔案的大小。
縮減磁碟上事件資料庫檔案的大小
  1. 停止所有相關的 Microsoft Exchange 和 Microsoft Forefront Server Protection 服務。這通常包括 Microsoft Exchange Transport、Microsoft Exchange Information Store 和 Microsoft Forefront Server Protection Controller 服務。

  2. 啟動命令提示,並瀏覽至事件資料夾 (位於 FPE 資料資料夾中)。如需作業系統上預設資料資料夾的位置,請參閱預設資料夾

  3. 執行下列命令,以執行事件資料庫的離線磁碟重組:

    esentutl /d incident.fssdb

    注意事項注意:
    請注意,執行離線壓縮可能要花費很長的時間。
  4. 重新啟動相關的 Microsoft Exchange 服務。

您可以移動事件資料庫。不過,為了讓 FPE 能夠正常運作,您也必須移動所有相關資料庫和支援檔案。

注意事項 注意:
您不能在不同作業系統的伺服器之間重新放置資料庫。
移動事件資料庫及所有相關檔案
  1. 如果將資料庫移到不同的伺服器上,請查看 esent.dll 的屬性,確定兩部電腦上的 Jet 引擎版本是相同的。如果不是相同版本,移動將無法運作。

    根據預設,esent.dll 可在下列位置找到:

    C:\WINDOWS\system32\esent.dll

  2. 在新的位置建立新的資料夾 (例如:C:\MovedDatabase)。

  3. 請執行下列步驟,以設定新資料夾的權限:

    1. 在新資料夾上按滑鼠右鍵,然後選取 [內容]。

    2. 按一下 [安全性] 索引標籤,再按一下 [新增],輸入「網路服務」,然後按一下 [確定]。

    3. 按一下 [網路服務],然後按一下 [允許] 底下 [完全控制] 旁的方塊。

    4. 按一下 [系統管理員],然後按一下 [允許] 底下 [完全控制] 旁的方塊。

    5. 按一下 [系統],再按一下 [允許] 底下 [完全控制] 旁的方塊,然後按一下 [確定]。

  4. 停止所有相關的 Microsoft Exchange 和 Microsoft Forefront Server Protection 服務。這通常包括 Microsoft Exchange Transport、Microsoft Exchange Information Store 和 Microsoft Forefront Server Protection Controller 服務。

  5. 確定事件資料庫是在「正常關機」狀態,方法是在資料目錄 (資料目錄的位置,請參閱 預設資料夾) 下的 Incidents 目錄中,從命令提示字元執行下列命令:

    esentutl -mh incident.fssdb

    尋找輸出中的「狀態」項目。如果該項目指出「正常關機」(Clean Shutdown),則可以繼續進行。如果該項目指出「不正常關機」(Dirty Shutdown),則表示移動失敗。在此情況下,請啟動後停止 Microsoft Forefront Protection Eventing Service 服務。然後再次執行下列命令:

    esentutl -mh incident.fssdb

  6. 複製整個資料資料夾的內容 (包括子資料夾) 至步驟 2 中所建立的資料夾 (例如 C:\MovedDatabase)。唯一不能複製的檔案是 ProgramLog.etl,因為它由事件追蹤加以鎖定,而不能移動。如需作業系統上預設資料資料夾的位置,請參閱預設資料夾

  7. 在新位置中,從 Incidents 資料夾刪除 Incident.fssdb 以外的所有項目。

  8. 依序按一下 [開始] 和 [執行]、輸入 regedit,然後按一下 [確定]。

  9. 登錄編輯程式中,展開下列登錄子機碼:

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server

  10. DatabasePath 登錄機碼的路徑變更為指向新資料的資料夾位置。

  11. 將 MailPickupService\PickupFolder 登錄機碼的路徑變更為指向新資料資料夾的位置。

  12. 編輯 FSCConfigurationServer.exe.config 檔 (位於 FPE 程式資料夾中)。變更 DatabasePath 中的值,以與新資料資料夾的位置相對應。

  13. 重新啟動相關的 Microsoft Exchange 服務。

 
顯示: