Логирование в Dr.Web for Exchange Server

Материал из wiki.drweb.com
Перейти к: навигация, поиск


Логирование плагина

По умолчанию логирование после установки Dr.Web® for Microsoft Exchange выключено. Для того, чтобы его включить, надо перейти в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Core Services for MSP\Logging в которой содержатся следующие параметры:

"DumpToLog"=DWORD уровень логирования. Принимает значение от 0 (выключить) до 3.
"LoggingMode"=SZ режим логирования. Принимает значения "sync" (синхронный) и "async" (асинхронный с записью в буфер)
"MaxBufferSize"=DWORD максимальный размер буфера для асинхронного режима логирования
"DebugLogsPath"=SZ путь к папке с файлами логов


Замечание. Настоятельно рекомендуется не включать логирование плагина без необходимой на то причины. Процесс логирования может значительно ухудшить производительность сервера.

Логирование модуля обновления

Для получения отладочной информации модуля автоматического обновления Dr.Web необходимо добавить ключ /dbg в строку запуска. Чтобы сделать это выполните следующие действия:

  1. Пуск -> Выполнить -> Tasks. Откроется папка с назначенными заданиями Windows;
  2. Выполните редактирование задания "DrWeb for Microsoft Exchange Update Task";
  3. В строку запуска приложения добавьте параметр /dbg;
  4. Сохраните изменения;
  5. Выполните принудительно это задание;
  6. Убедитесь в том, что в файле %alluserprofile%\AppData\Doctor Web\Logs\drwebupw.log появилась отладочная информация.

Exchange update.JPG


Дополнительное логирование MSExchangeTransport

Для получение дополнительной отладочной информации от MSExchangeTransport необходимо изменить следующие параметры реестра. В ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeTransport\Diagnostic изменить значения у девяти параметров на 7. Отладочная информация будет записываться в Eventlog, где в качестве источника будет указан MSExchangeTransport.

Дополнительное логирование от MSExchange IS

Возможно настроить дополнительный вывод информации в EventLog о вирусной активности средствами MSExchangeIS. Для этого выполните следующее:

  1. Откройте свойства почтового сервера в оснастке Exchange
  2. Перейдите на вкладку “Diagnostics logging”
  3. Разверните MSExchangeIS-System
  4. Categories-Virus Scanning-Maximum

Monitor Exchange 3.JPG


Теперь при обнаружении вируса вы будите получать в EventLog примерно следующую информацию:

Тип события:	Предупреждение
Источник события:	MSExchangeIS
Категория события:	Virus Scanning 
Код события:	9572
Дата:		24.03.2008
Время:		15:50:01
Пользователь:		Н/Д
Компьютер:	EXCH03
Описание:
Virus scanner detected one or more viruses while scanning a message. All viruses have  
been successfully cleaned. 
Virus Information: EICAR Test File (NOT a Virus!) 
Database: First Storage Group\Mailbox Store (EXCH03) 
Mailbox: SMTP (EXCH03-{AE39732E-FB7F-426D-98A0-298F3F014C77}) 
Folder: /NON_IPM_SUBTREE/TempTable%231/%2311 
Message Subject: eicar 
Message To: DZverev 
Message Cc:  
For more information, click http://www.microsoft.com/contentredirect.asp.