本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

檢視 DLP 原則偵測報告

Exchange 2013
 

適用版本:Exchange Server 2013

上次修改主題的時間:2016-12-16

資料遺失防護 (DLP) 原則偵測管理廣泛定義組織執行以識別、 調查及解決 DLP 原則違規的活動。若要管理事件,您需要存取識別項目已偵測到的 DLP 原則的資訊。此偵測資訊整合現有的 Microsoft Exchange Server 2013資料和記錄檔格式,讓您可以運用現有的豐富型系統的資料來管理您的郵件流程事件。

如需建立事件報告及單一原則偵測事件的詳細資訊,請參閱建立 DLP 原則偵測附隨報告。 如需郵件記錄的相關資訊,請參閱 使用傳遞回報追蹤郵件

注意事項注意事項:
Exchange 2013:DLP 是需要 Exchange 企業版用戶端存取授權 (CAL) 的高階功能。如需 CAL 和伺服器授權的詳細資訊,請參閱 Exchange Server 授權

在 Exchange DLP 偵測管理與相關的資料已整合至郵件追蹤記錄檔,也稱為傳遞回報。功能重複使用大部分的系統中可用的現有記錄架構。針對包含了解的郵件追蹤記錄檔結構的一般資訊,請檢閱了解郵件追蹤使用傳遞回報追蹤郵件中現有的內容。

傳遞回報是所有郵件活動的詳細資訊記錄訊息會傳送到與信箱伺服器執行的傳輸服務的電腦。郵件追蹤記錄檔可透過 Exchange 管理命令介面使用Get-MessageTrackingLog指令程式。DLP 資料已整合至現有的資料格式和慣例追蹤傳遞回報。

郵件追蹤記錄包含來自涉及處理郵件流程內容之代理程式的資料。 對於 DLP 而言,傳輸規則代理程式 (TRA) 是用來呼叫深入的郵件內容掃描,以及用來套用定義為 ETR 一部分的原則。 現有的 AgentInfo 事件是用來新增郵件追蹤記錄中的 DLP 相關項目。

代理程式名稱在 AgentInfo 事件中為 [TRA] 或 [傳輸規則代理程式]。 將會依描述套用至郵件之 DLP 程序的郵件來記錄單一 AgentInfo 事件。 郵件追蹤記錄項目欄位的 [CustomData] 欄位其中的 DLP 資料是由出現的傳輸規則代理程式所記錄。 此欄位可包含多個項目: 郵件中找到的每一個資料分類有一項資料分類與客戶資訊行,每一個套用至郵件的規則有一個規則行,以及每一個超過負載或執行時間閾值的規則有一個健全狀況監視行。

DLP 記錄項目的示例顯示在此處。 輸出已格式化以顯示新行之間分隔行中的字串。

來源: AGENT

EventId: AGENTINFO

CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;

S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;

S:TRA=CI|sndOverride=or|just=Business Reason;

S:TRA=CI|sndOverride=fp;

S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;

S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;

S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;

「傳輸規則代理程式」需要分組規則 ID、DLP 原則 ID (選用)、上次修改日期、動作、嚴重性、模式、偵測到的資料分類 (選用),以及根據規則 ID (由記錄行中的 "TRA=ETR" 指示) 的寄件者覆寫 (選用)。 其也需要將資料分類 ID、計數,以及分類的信賴等級依分類名稱 (由記錄行中的 "TRA=DC" 指示) 分組。

其他分組包含資料分類 ID、寄件者置換 (選用),以及根據用戶端 (由記錄行中的 "TRA=CI" 指示) 所偵測到之所有分類的資料分類 ID 的覆寫理由 (選用)。 「傳輸規則代理程式」也需要將規則 ID、載入牆上時間 (選用)、載入 CPU 時間 (選用)、執行牆上時間 (選用),以及執行 CPU 時間 (選用) 依超過載入或執行牆上時間或 CPU 時間閾值 (由記錄行中的 "TRA=ETRP" 指定) 之所有規則的規則 ID 進行分組。

以下是資料欄位的完整清單。 MTL 中的所有資料為類型字串。 格式欄說明如何辨識郵件追蹤記錄中的每一個欄位。 選用欄位欄指定當規則相符時無法記錄哪些欄位。 DLP 特定欄顯示哪些欄位是專用於 DLP 功能。

 

欄位名稱

描述

格式

選用欄位

DLP 專屬

TRA

傳輸規則代理程式;鍵入 AgentName

TRA=DC、 ETR、 CI 或 ETRP

強制性

DC

資料分類;鍵入 groupName

TRA=DC

選用

ETR

交換傳輸規則;鍵入 groupName

TRA=ETR

強制性

CI

用戶端資訊,鍵入 groupName

TRA=CI

選用

ETRP

交換傳輸規則效能;鍵入 groupName

TRA=ETRP

選用

dcid

資料分類的 ID

dcid=GUID

選用

Count

資料分類的計數

count=整數

選用

conf

資料分類的信賴等級

conf = 整數 (%)

選用

sndOverride

寄件者覆寫;該欄位是可選的。

在 TRA=CI 行中,當欄位設為 "or" 表示資料分類已覆寫。 如果欄位設為 "fp" 表示資料分類已回報為誤判。

在 TRA=ETR 行中,當欄位設為 "or" 表示規則或部分規則已覆寫。 如果欄位設為 "fp" 表示規則或部分規則已回報為誤判。

sndOverride=or 或 fp

其中 "or" 代表覆寫,而 "fp" 代表誤判。 當使用者已針對規則回報覆寫或誤判時,會顯示 sndOverride 欄位。

選用

just

理由;此欄位是可選的,而且只有在寄件人覆寫欄位在 TRA=CI 行中等於 "or" 時才可使用。 理由文字是由使用者提供作為應該覆寫資料分類的原因。

just = IW 輸入理由字串

只有在使用者報告覆寫時才會記錄理由欄位。

選用

ruleId

規則的 ID

ruleId=GUID

強制性

dlpId

DLP 原則的 ID。 此欄位是可選的;如果沒有 dlpId,則規則不屬於 DLP 原則。

dlpId=GUID

選用

st

規則的上次修改日期

st=UTC 日期及時間

強制性

action

依規則採取的動作;每一個規則可具備多個動作

action=單一動作

如果一個規則有多個動作,則會有多個動作欄位。

強制性

sev

規則的稽核嚴重性

sev = 1、 2 或 3

其中 1 表示低,2 表示中,而 3 表示高。

選用

模式

叫用時的規則狀態 (強制執行、稽核或 auditandnotify)。

mode = 稽核、auditandnotify 或強制執行

強制性

loadW

載入牆上時間;該欄位是可選的

loadW = 時間毫秒

選用

loadC

載入 CPU 時間;該欄位是可選的

loadC = 時間毫秒

選用

execW

執行牆上時間;該欄位是可選的

execW = 時間毫秒

選用

execC

執行 CPU 時間;該欄位是可選的

execC = 時間毫秒

選用

message-id

郵件 ID

message-id = 郵件 ID

強制性

date-time

以國際標準時間傳送郵件的日期與時間

date-time = UTC 日期及時間

強制性

sender-address

在寄件者欄位中指定的電子郵件地址

sender-address = 電子郵件地址

強制性

recipient-address

郵件收件者的電子郵件地址

recipient-address = 電子郵件地址

強制性

message-subject

在郵件的主旨欄位中找到的資料

message-subject = 使用者輸入主旨字串

強制性

 
顯示: