Логирование в Dr.Web for Exchange Server

Материал из wiki.drweb.com
Перейти к: навигация, поиск


Логирование плагина

По умолчанию логирование после установки Dr.Web® for Exchange Server выключено. Для того, чтобы его включить, надо перейти в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Core Services for MSP\Logging в которой содержатся следующие параметры:

"DumpToLog"=DWORD уровень логирования. Принимает значение от 0 (выключить) до 3.
"LoggingMode"=SZ режим логирования. Принимает значения "sync" (синхронный) и "async" (асинхронный с записью в буфер)
"MaxBufferSize"=DWORD максимальный размер буфера для асинхронного режима логирования
"DebugLogsPath"=SZ путь к папке с файлами логов

Начиная с версии 4.44.1 программа установки создает в корне диска C:\ лог-файл запуска сервиса «Dr.Web Core Services for MSP» с именем «Dr.Web Core Services for MSP.log»

Замечание. Настоятельно рекомендуется не включать логирование плагина без необходимой на то причины. Процесс логирования может значительно ухудшить производительность сервера.

Логирование модуля Dr.Web ® Scanning Engine

Логи данного модуля позволяют получить такую информацию как:

  • загрузка\перезагрузка антивисного и антиспам-движков
  • загрузка конфигурации модулем
  • загрузка антивирусных баз

Собщения данного модуля включены по умолчанию. Записи ведутся в Eventlog, источник: Dr.Web ® Engine.

Пример:

Тип события:	Уведомление
Источник события:	Dr.Web ® Engine
Категория события:	Отсутствует
Код события:	125
Дата:		31.03.2008
Время:		14:30:07
Пользователь:		Н/Д
Компьютер:	EXCH03
Описание:
Spam filter module directory is "J:\Program Files\Common Files\Doctor Web\Scanning 
Engine\"


Для включения детального логирования модуля Dr.Web ® Engine необходимо создать следующий параметр в реестре: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DrWebEngine\Parameters], "LogLevel"=dword:00000000

Логирование модуля обновления

Для получения отладочной информации модуля автоматического обновления Dr.Web необходимо добавить ключ /dbg в строку запуска. Чтобы сделать это выполните следующие действия:

  1. Пуск -> Выполнить -> Tasks. Откроется папка с назначенными заданиями Windows;
  2. Выполните редактирование задания "DrWeb for Microsoft Exchange Update Task";
  3. В строку запуска приложения добавьте параметр /dbg;
  4. Сохраните изменения;
  5. Выполните принудительно это задание;
  6. Убедитесь в том, что в файле %alluserprofile%\AppData\Doctor Web\Logs\drwebupw.log появилась отладочная информация.

Exchange update.JPG


Дополнительное логирование MSExchangeTransport

Для получение дополнительной отладочной информации от MSExchangeTransport необходимо изменить следующие параметры реестра. В ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeTransport\Diagnostic изменить значения у девяти параметров на 7. Отладочная информация будет записываться в Eventlog, где в качестве источника будет указан MSExchangeTransport.

Дополнительное логирование от MSExchange IS

Возможно настроить дополнительный вывод информации в EventLog о вирусной активности средствами MSExchangeIS. Для этого выполните следующее:

  1. Откройте свойства почтового сервера в оснастке Exchange
  2. Перейдите на вкладку “Diagnostics logging”
  3. Разверните MSExchangeIS-System
  4. Categories-Virus Scanning-Maximum

Monitor Exchange 3.JPG


Теперь при обнаружении вируса вы будите получать в EventLog примерно следующую информацию:

Тип события:	Предупреждение
Источник события:	MSExchangeIS
Категория события:	Virus Scanning 
Код события:	9572
Дата:		24.03.2008
Время:		15:50:01
Пользователь:		Н/Д
Компьютер:	EXCH03
Описание:
Virus scanner detected one or more viruses while scanning a message. All viruses have  
been successfully cleaned. 
Virus Information: EICAR Test File (NOT a Virus!) 
Database: First Storage Group\Mailbox Store (EXCH03) 
Mailbox: SMTP (EXCH03-{AE39732E-FB7F-426D-98A0-298F3F014C77}) 
Folder: /NON_IPM_SUBTREE/TempTable%231/%2311 
Message Subject: eicar 
Message To: DZverev 
Message Cc:  
For more information, click http://www.microsoft.com/contentredirect.asp.