Логирование в Dr.Web for Exchange Server
Материал из wiki.drweb.com.
Содержание |
Логирование плагина
По умолчанию логирование после установки Dr.Web® for Exchange Server выключено. Для того, чтобы его включить, надо перейти в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Core Services for MSP\Logging в которой содержатся следующие параметры:
| "DumpToLog"=DWORD | уровень логирования. Принимает значение от 0 (выключить) до 3. |
| "LoggingMode"=SZ | режим логирования. Принимает значения "sync" (синхронный) и "async" (асинхронный с записью в буфер) |
| "MaxBufferSize"=DWORD | максимальный размер буфера для асинхронного режима логирования |
| "DebugLogsPath"=SZ | путь к папке с файлами логов |
Начиная с версии 4.44.1 программа установки создает в корне диска C:\ лог-файл запуска сервиса «Dr.Web Core Services for MSP» с именем «Dr.Web Core Services for MSP.log»
Замечание. Настоятельно рекомендуется не включать логирование плагина без необходимой на то причины. Процесс логирования может значительно ухудшить производительность сервера.
Логирование модуля Dr.Web ® Scanning Engine
Логи данного модуля позволяют получить такую информацию как:
- загрузка\перезагрузка антивисного и антиспам-движков
- загрузка конфигурации модулем
- загрузка антивирусных баз
Собщения данного модуля включены по умолчанию. Записи ведутся в Eventlog, источник: Dr.Web ® Engine.
Пример:
Тип события: Уведомление Источник события: Dr.Web ® Engine Категория события: Отсутствует Код события: 125 Дата: 31.03.2008 Время: 14:30:07 Пользователь: Н/Д Компьютер: EXCH03 Описание: Spam filter module directory is "J:\Program Files\Common Files\Doctor Web\Scanning Engine\"
Для включения детального логирования модуля Dr.Web ® Engine необходимо создать следующий параметр в реестре: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DrWebEngine\Parameters], "LogLevel"=dword:00000000
Логирование модуля обновления
Для получения отладочной информации модуля автоматического обновления Dr.Web необходимо добавить ключ /dbg в строку запуска. Чтобы сделать это выполните следующие действия:
- Пуск -> Выполнить -> Tasks. Откроется папка с назначенными заданиями Windows;
- Выполните редактирование задания "DrWeb for Microsoft Exchange Update Task";
- В строку запуска приложения добавьте параметр /dbg;
- Сохраните изменения;
- Выполните принудительно это задание;
- Убедитесь в том, что в файле %alluserprofile%\AppData\Doctor Web\Logs\drwebupw.log появилась отладочная информация.
Дополнительное логирование MSExchangeTransport
Для получение дополнительной отладочной информации от MSExchangeTransport необходимо изменить следующие параметры реестра. В ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeTransport\Diagnostic изменить значения у девяти параметров на 7. Отладочная информация будет записываться в Eventlog, где в качестве источника будет указан MSExchangeTransport.
Дополнительное логирование от MSExchange IS
Возможно настроить дополнительный вывод информации в EventLog о вирусной активности средствами MSExchangeIS. Для этого выполните следующее:
- Откройте свойства почтового сервера в оснастке Exchange
- Перейдите на вкладку “Diagnostics logging”
- Разверните MSExchangeIS-System
- Categories-Virus Scanning-Maximum
Теперь при обнаружении вируса вы будите получать в EventLog примерно следующую информацию:
Тип события: Предупреждение
Источник события: MSExchangeIS
Категория события: Virus Scanning
Код события: 9572
Дата: 24.03.2008
Время: 15:50:01
Пользователь: Н/Д
Компьютер: EXCH03
Описание:
Virus scanner detected one or more viruses while scanning a message. All viruses have
been successfully cleaned.
Virus Information: EICAR Test File (NOT a Virus!)
Database: First Storage Group\Mailbox Store (EXCH03)
Mailbox: SMTP (EXCH03-{AE39732E-FB7F-426D-98A0-298F3F014C77})
Folder: /NON_IPM_SUBTREE/TempTable%231/%2311
Message Subject: eicar
Message To: DZverev
Message Cc:
For more information, click http://www.microsoft.com/contentredirect.asp.
