Логирование в Dr.Web for Exchange Server — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
м
м (wikify)
 
(не показано 8 промежуточных версий 2 участников)
Строка 1: Строка 1:
По умолчанию логирование после установки [[Dr.Web® for Microsoft Exchange]] выключено. Для того, чтобы его включить, надо перейти в ветку реестра '''HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Core Services for MSP\Logging''' в которой содержатся следующие параметры:
+
[[category:ЧаВо]][[category:Exchange_Server]]
 +
 
 +
== Логирование плагина ==
 +
По умолчанию логирование после установки [[Dr.Web® for Exchange Server]] выключено. Для того, чтобы его включить, надо перейти в ветку реестра '''HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Core Services for MSP\Logging''' в которой содержатся следующие параметры:
 
{| cellspacing="10" border="0"
 
{| cellspacing="10" border="0"
 
|-
 
|-
Строка 8: Строка 11:
 
|режим логирования. Принимает значения "sync" (синхронный) и "async" (асинхронный с записью в буфер)
 
|режим логирования. Принимает значения "sync" (синхронный) и "async" (асинхронный с записью в буфер)
 
|-
 
|-
|"MaxBufferSize"=DWORD:00000000
+
|"MaxBufferSize"=DWORD
 
|максимальный размер буфера для асинхронного режима логирования
 
|максимальный размер буфера для асинхронного режима логирования
 
|-
 
|-
Строка 14: Строка 17:
 
|путь к папке с файлами логов
 
|путь к папке с файлами логов
 
|}
 
|}
[[category:ЧаВо]][[category:Exchange Server]]
+
 
 +
Начиная с версии 4.44.1 программа установки создает в корне диска C:\ лог-файл запуска сервиса «Dr.Web Core Services for MSP» с именем «Dr.Web Core Services for MSP.log»
 +
 
 +
'''Замечание'''. Настоятельно рекомендуется не включать логирование плагина без необходимой на то причины. Процесс логирования может значительно ухудшить производительность сервера.
 +
 
 +
== Логирование модуля [[Dr.Web ® Scanning Engine]] ==
 +
Логи данного модуля позволяют получить такую информацию как:
 +
* загрузка\перезагрузка антивисного и антиспам-движков
 +
* загрузка конфигурации модулем
 +
* загрузка антивирусных баз
 +
 
 +
Собщения данного модуля включены по умолчанию. Записи ведутся в Eventlog, источник: Dr.Web ® Engine.
 +
 
 +
Пример:
 +
Тип события: Уведомление
 +
Источник события: Dr.Web ® Engine
 +
Категория события: Отсутствует
 +
Код события: 125
 +
Дата: 31.03.2008
 +
Время: 14:30:07
 +
Пользователь: Н/Д
 +
Компьютер: EXCH03
 +
Описание:
 +
Spam filter module directory is "J:\Program Files\Common Files\Doctor Web\Scanning
 +
Engine\"
 +
 
 +
 
 +
Для включения детального логирования модуля Dr.Web ® Engine необходимо создать следующий параметр в реестре: '''[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DrWebEngine\Parameters], "LogLevel"=dword:00000000'''
 +
 
 +
== Логирование модуля обновления ==
 +
Для получения отладочной информации модуля автоматического обновления Dr.Web необходимо добавить ключ /dbg в строку запуска. Чтобы сделать это выполните следующие действия:
 +
# Пуск -> Выполнить -> Tasks. Откроется папка с назначенными заданиями Windows;
 +
# Выполните редактирование задания "DrWeb for Microsoft Exchange Update Task";
 +
# В строку запуска приложения добавьте параметр /dbg;
 +
# Сохраните изменения;
 +
# Выполните принудительно это задание;
 +
# Убедитесь в том, что в файле %alluserprofile%\AppData\Doctor Web\Logs\drwebupw.log появилась отладочная информация.
 +
[[Изображение:Exchange update.JPG]]
 +
 
 +
 
 +
== Дополнительное логирование MSExchangeTransport ==
 +
Для получение дополнительной отладочной информации от MSExchangeTransport необходимо изменить следующие параметры реестра. В ветке '''HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeTransport\Diagnostic''' изменить значения у девяти параметров на 7. Отладочная информация будет записываться в Eventlog, где в качестве источника будет указан MSExchangeTransport.
 +
 
 +
== Дополнительное логирование от MSExchange IS ==
 +
Возможно настроить дополнительный вывод информации в EventLog о вирусной активности средствами MSExchangeIS.
 +
Для этого выполните следующее:
 +
# Откройте свойства почтового сервера в оснастке Exchange
 +
# Перейдите на вкладку “Diagnostics logging”
 +
# Разверните MSExchangeIS-System
 +
# Categories-Virus Scanning-Maximum
 +
[[Изображение:Monitor_Exchange_3.JPG]]
 +
 
 +
 +
Теперь при обнаружении вируса вы будите получать в EventLog примерно следующую информацию:
 +
Тип события: Предупреждение
 +
Источник события: MSExchangeIS
 +
Категория события: Virus Scanning
 +
Код события: 9572
 +
Дата: 24.03.2008
 +
Время: 15:50:01
 +
Пользователь: Н/Д
 +
Компьютер: EXCH03
 +
Описание:
 +
Virus scanner detected one or more viruses while scanning a message. All viruses have 
 +
been successfully cleaned.
 +
Virus Information: EICAR Test File (NOT a Virus!)
 +
Database: First Storage Group\Mailbox Store (EXCH03)
 +
Mailbox: SMTP (EXCH03-{AE39732E-FB7F-426D-98A0-298F3F014C77})
 +
Folder: /NON_IPM_SUBTREE/TempTable%231/%2311
 +
Message Subject: eicar
 +
Message To: DZverev
 +
Message Cc: 
 +
For more information, click http://www.microsoft.com/contentredirect.asp.

Текущая версия на 21:52, 6 июля 2008


Логирование плагина

По умолчанию логирование после установки Dr.Web® for Exchange Server выключено. Для того, чтобы его включить, надо перейти в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Core Services for MSP\Logging в которой содержатся следующие параметры:

"DumpToLog"=DWORD уровень логирования. Принимает значение от 0 (выключить) до 3.
"LoggingMode"=SZ режим логирования. Принимает значения "sync" (синхронный) и "async" (асинхронный с записью в буфер)
"MaxBufferSize"=DWORD максимальный размер буфера для асинхронного режима логирования
"DebugLogsPath"=SZ путь к папке с файлами логов

Начиная с версии 4.44.1 программа установки создает в корне диска C:\ лог-файл запуска сервиса «Dr.Web Core Services for MSP» с именем «Dr.Web Core Services for MSP.log»

Замечание. Настоятельно рекомендуется не включать логирование плагина без необходимой на то причины. Процесс логирования может значительно ухудшить производительность сервера.

Логирование модуля Dr.Web ® Scanning Engine

Логи данного модуля позволяют получить такую информацию как:

  • загрузка\перезагрузка антивисного и антиспам-движков
  • загрузка конфигурации модулем
  • загрузка антивирусных баз

Собщения данного модуля включены по умолчанию. Записи ведутся в Eventlog, источник: Dr.Web ® Engine.

Пример:

Тип события:	Уведомление
Источник события:	Dr.Web ® Engine
Категория события:	Отсутствует
Код события:	125
Дата:		31.03.2008
Время:		14:30:07
Пользователь:		Н/Д
Компьютер:	EXCH03
Описание:
Spam filter module directory is "J:\Program Files\Common Files\Doctor Web\Scanning 
Engine\"


Для включения детального логирования модуля Dr.Web ® Engine необходимо создать следующий параметр в реестре: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DrWebEngine\Parameters], "LogLevel"=dword:00000000

Логирование модуля обновления

Для получения отладочной информации модуля автоматического обновления Dr.Web необходимо добавить ключ /dbg в строку запуска. Чтобы сделать это выполните следующие действия:

  1. Пуск -> Выполнить -> Tasks. Откроется папка с назначенными заданиями Windows;
  2. Выполните редактирование задания "DrWeb for Microsoft Exchange Update Task";
  3. В строку запуска приложения добавьте параметр /dbg;
  4. Сохраните изменения;
  5. Выполните принудительно это задание;
  6. Убедитесь в том, что в файле %alluserprofile%\AppData\Doctor Web\Logs\drwebupw.log появилась отладочная информация.

Exchange update.JPG


Дополнительное логирование MSExchangeTransport

Для получение дополнительной отладочной информации от MSExchangeTransport необходимо изменить следующие параметры реестра. В ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeTransport\Diagnostic изменить значения у девяти параметров на 7. Отладочная информация будет записываться в Eventlog, где в качестве источника будет указан MSExchangeTransport.

Дополнительное логирование от MSExchange IS

Возможно настроить дополнительный вывод информации в EventLog о вирусной активности средствами MSExchangeIS. Для этого выполните следующее:

  1. Откройте свойства почтового сервера в оснастке Exchange
  2. Перейдите на вкладку “Diagnostics logging”
  3. Разверните MSExchangeIS-System
  4. Categories-Virus Scanning-Maximum

Monitor Exchange 3.JPG


Теперь при обнаружении вируса вы будите получать в EventLog примерно следующую информацию:

Тип события:	Предупреждение
Источник события:	MSExchangeIS
Категория события:	Virus Scanning 
Код события:	9572
Дата:		24.03.2008
Время:		15:50:01
Пользователь:		Н/Д
Компьютер:	EXCH03
Описание:
Virus scanner detected one or more viruses while scanning a message. All viruses have  
been successfully cleaned. 
Virus Information: EICAR Test File (NOT a Virus!) 
Database: First Storage Group\Mailbox Store (EXCH03) 
Mailbox: SMTP (EXCH03-{AE39732E-FB7F-426D-98A0-298F3F014C77}) 
Folder: /NON_IPM_SUBTREE/TempTable%231/%2311 
Message Subject: eicar 
Message To: DZverev 
Message Cc:  
For more information, click http://www.microsoft.com/contentredirect.asp.