Логирование в Dr.Web for Exchange Server — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
(Логирование модуля Dr.Web ® Engine)
м (wikify)
 
Строка 22: Строка 22:
 
'''Замечание'''. Настоятельно рекомендуется не включать логирование плагина без необходимой на то причины. Процесс логирования может значительно ухудшить производительность сервера.
 
'''Замечание'''. Настоятельно рекомендуется не включать логирование плагина без необходимой на то причины. Процесс логирования может значительно ухудшить производительность сервера.
  
== Логирование модуля Dr.Web ® Engine ==
+
== Логирование модуля [[Dr.Web ® Scanning Engine]] ==
 
Логи данного модуля позволяют получить такую информацию как:
 
Логи данного модуля позволяют получить такую информацию как:
 
* загрузка\перезагрузка антивисного и антиспам-движков
 
* загрузка\перезагрузка антивисного и антиспам-движков

Текущая версия на 21:52, 6 июля 2008


Логирование плагина

По умолчанию логирование после установки Dr.Web® for Exchange Server выключено. Для того, чтобы его включить, надо перейти в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Core Services for MSP\Logging в которой содержатся следующие параметры:

"DumpToLog"=DWORD уровень логирования. Принимает значение от 0 (выключить) до 3.
"LoggingMode"=SZ режим логирования. Принимает значения "sync" (синхронный) и "async" (асинхронный с записью в буфер)
"MaxBufferSize"=DWORD максимальный размер буфера для асинхронного режима логирования
"DebugLogsPath"=SZ путь к папке с файлами логов

Начиная с версии 4.44.1 программа установки создает в корне диска C:\ лог-файл запуска сервиса «Dr.Web Core Services for MSP» с именем «Dr.Web Core Services for MSP.log»

Замечание. Настоятельно рекомендуется не включать логирование плагина без необходимой на то причины. Процесс логирования может значительно ухудшить производительность сервера.

Логирование модуля Dr.Web ® Scanning Engine

Логи данного модуля позволяют получить такую информацию как:

  • загрузка\перезагрузка антивисного и антиспам-движков
  • загрузка конфигурации модулем
  • загрузка антивирусных баз

Собщения данного модуля включены по умолчанию. Записи ведутся в Eventlog, источник: Dr.Web ® Engine.

Пример:

Тип события:	Уведомление
Источник события:	Dr.Web ® Engine
Категория события:	Отсутствует
Код события:	125
Дата:		31.03.2008
Время:		14:30:07
Пользователь:		Н/Д
Компьютер:	EXCH03
Описание:
Spam filter module directory is "J:\Program Files\Common Files\Doctor Web\Scanning 
Engine\"


Для включения детального логирования модуля Dr.Web ® Engine необходимо создать следующий параметр в реестре: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DrWebEngine\Parameters], "LogLevel"=dword:00000000

Логирование модуля обновления

Для получения отладочной информации модуля автоматического обновления Dr.Web необходимо добавить ключ /dbg в строку запуска. Чтобы сделать это выполните следующие действия:

  1. Пуск -> Выполнить -> Tasks. Откроется папка с назначенными заданиями Windows;
  2. Выполните редактирование задания "DrWeb for Microsoft Exchange Update Task";
  3. В строку запуска приложения добавьте параметр /dbg;
  4. Сохраните изменения;
  5. Выполните принудительно это задание;
  6. Убедитесь в том, что в файле %alluserprofile%\AppData\Doctor Web\Logs\drwebupw.log появилась отладочная информация.

Exchange update.JPG


Дополнительное логирование MSExchangeTransport

Для получение дополнительной отладочной информации от MSExchangeTransport необходимо изменить следующие параметры реестра. В ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeTransport\Diagnostic изменить значения у девяти параметров на 7. Отладочная информация будет записываться в Eventlog, где в качестве источника будет указан MSExchangeTransport.

Дополнительное логирование от MSExchange IS

Возможно настроить дополнительный вывод информации в EventLog о вирусной активности средствами MSExchangeIS. Для этого выполните следующее:

  1. Откройте свойства почтового сервера в оснастке Exchange
  2. Перейдите на вкладку “Diagnostics logging”
  3. Разверните MSExchangeIS-System
  4. Categories-Virus Scanning-Maximum

Monitor Exchange 3.JPG


Теперь при обнаружении вируса вы будите получать в EventLog примерно следующую информацию:

Тип события:	Предупреждение
Источник события:	MSExchangeIS
Категория события:	Virus Scanning 
Код события:	9572
Дата:		24.03.2008
Время:		15:50:01
Пользователь:		Н/Д
Компьютер:	EXCH03
Описание:
Virus scanner detected one or more viruses while scanning a message. All viruses have  
been successfully cleaned. 
Virus Information: EICAR Test File (NOT a Virus!) 
Database: First Storage Group\Mailbox Store (EXCH03) 
Mailbox: SMTP (EXCH03-{AE39732E-FB7F-426D-98A0-298F3F014C77}) 
Folder: /NON_IPM_SUBTREE/TempTable%231/%2311 
Message Subject: eicar 
Message To: DZverev 
Message Cc:  
For more information, click http://www.microsoft.com/contentredirect.asp.