Cómo buscar un mensaje en el registro de auditoría de mensajes

Se proporciona un sistema de consultas para buscar en el registro y determinar si uno o más mensajes cumplen los criterios del mensaje que desea encontrar.
La página
Estado > Registros de auditoría de mensajes > SMTP
le permite especificar uno o dos criterios e información suplementaria relacionada de la siguiente manera:
Host
Uno o varios analizadores que ejecutan el software Symantec Messaging Gateway. Para obtener todos los detalles sobre un mensaje, busque en todos los analizadores conectados.
Intervalo de tiempo
Período de tiempo para que la búsqueda consulte el registro de auditoría. Si bien es posible realizar la búsqueda en períodos más prolongados, se recomienda que las búsquedas de mensajes no superen una semana.
Filtro obligatorio
Seleccione el tipo de información para filtrar los mensajes. Consulte Opciones para los criterios de búsqueda obligatorios.
Valor de filtro obligatorio
Escriba una cadena que corresponda al filtro obligatorio que seleccionó. Por ejemplo, si eligió filtrar mensajes por remitente, escriba una dirección de correo electrónico válida aquí.
Filtro opcional
Seleccione de la lista de criterios de filtrado opcionales. Consulte Opciones para los criterios de búsqueda opcionales.
Valor de filtro opcional
Si es apropiado, escriba una cadena o elija un valor que corresponda al tipo de filtro opcional que seleccionó. Por ejemplo, si eligió filtrar los mensajes por dirección IP de conexión, escriba una dirección IP válida aquí. O, si elige filtrar los mensajes por Acción efectuada, seleccione la acción para la cual desee encontrar los mensajes.
Borrar filtros
Borre los criterios de filtrado actuales de la memoria.
Mostrar filtrados
Busque y visualice mensajes que coincidan con sus criterios.
Opciones para los criterios de búsqueda obligatorios describe los elementos que se pueden elegir para un único filtro obligatorio.
Opciones para los criterios de búsqueda obligatorios
Criterios
Descripción
Remitente
Nombre del remitente del mensaje. Especifique <> para filtrar los mensajes que no contienen nombres de remitente.
Destinatario
Nombre del destinatario del mensaje.
Asunto
Asunto del mensaje.
Id. de auditoría
Identificador único generado por Symantec Messaging Gateway e incluido como encabezado de un mensaje.
IP de conexión
Dirección IP lógica del servidor que se conecta. Cuando Symantec Messaging Gateway rechaza una conexión IP, el resultado es una fila con el remitente identificado como Ninguno. Los detalles del mensaje consisten de la dirección IP y el motivo de rechazo. Symantec Messaging Gateway admite direcciones IPv4 y direcciones IPv6.
IP lógica
Dirección IP lógica del servidor que se conecta.
La IP de conexión lógica se usa para las implementaciones en las cuales tiene servidores de correo internos que reenvían mensajes al servidor de Symantec Messaging Gateway. La dirección IP de conexión lógica es la dirección de la primera conexión no interna del servidor.
La dirección IP lógica deriva del encabezado "Recibido:" del contenido del mensaje. Symantec Messaging Gateway usa esta dirección IP para realizar el filtrado. En función de la implementación, es posible que esta dirección sea idéntica a la dirección IP de "Aceptado de".
Cuando selecciona
IP lógica
, puede especificar direcciones IPv4, direcciones IPv6 o intervalos de CIDR IPv6. Los intervalos de CIDR se aceptan solamente donde el prefijo es múltiplo de 4.
Opciones para los criterios de búsqueda opcionales describe los elementos que se pueden elegir para un único filtro opcional.
Opciones para los criterios de búsqueda opcionales
Criterios
Descripción
Remitente
Nombre del remitente del mensaje. Especifique <> para filtrar los mensajes que no contienen nombres de remitente.
Remitente autenticado
Nombre de un remitente autenticado.
Destinatario
Nombre del destinatario del mensaje
Asunto
Asunto del mensaje.
Id. del mensaje
Identificador único generado típicamente por el software de correo electrónico que inicia el envío del mensaje e incluido como encabezado de mensaje. Los emisores de spam han usado este encabezado para enmascarar la identidad de un originador del mensaje.
Veredicto
El veredicto y otras características de un mensaje. Cuando esta opción de filtro está seleccionada, aparece una lista de posibles veredictos en la lista desplegable
Valor de filtro opcional
. Use estos valores para filtrar los mensajes que produjeron un veredicto determinado. Por ejemplo, puede configurar
Valor de filtro opcional
en
El mensaje es un boletín
.
Veredicto no comprobado
Un veredicto disponible para el cual el analizador no se probó. Se proporciona una lista desplegable de opciones de veredicto.
Acción realizada
Qué le sucedió al mensaje. Cuando esta opción de filtro está seleccionada, aparece una lista de posibles veredictos en la lista desplegable de valores de filtro Opción. Use estos valores para filtrar los mensajes que activaron políticas que aplicaron la acción determinada.
Si selecciona Rechazar mensaje de la lista desplegable de valor de filtro Opción, el motivo de rechazo aparece en el detalle del mensaje.
  • Mensaje rechazado para un destinatario que no es local
  • Mensaje rechazado por superar el límite de tamaño
  • Mensaje rechazado por MTA
  • Mensajes de rechazo por no superar la validación de ataques de rebote
  • Mensajes de rechazo a destinatarios rechazados no válidos por superar el límite de tamaño
  • Ningún destinatario es válido
IP de conexión
La conexión IP usada para recibir el mensaje.
Symantec Messaging Gateway admite direcciones IPv4 y direcciones IPv6.
IP lógica
Dirección IP lógica del servidor que se conecta.
La IP de conexión lógica se usa para las implementaciones en las cuales tiene servidores de correo internos que reenvían mensajes al servidor de Symantec Messaging Gateway. La dirección IP de conexión lógica es la dirección de la primera conexión no interna del servidor.
La dirección IP lógica deriva del encabezado "Recibido:" del contenido del mensaje. Symantec Messaging Gateway usa esta dirección IP para realizar el filtrado. En función de la implementación, es posible que esta dirección sea idéntica a la dirección IP de "Aceptado de".
Cuando selecciona
IP lógica
, puede especificar direcciones IPv4, direcciones IPv6 o intervalos de CIDR IPv6. Los intervalos de CIDR se aceptan solamente donde el prefijo es múltiplo de 4.
IP de destino
Dirección IP del destino del mensaje.
Grupo de políticas
Nombre del grupo (el grupo del destinatario o el grupo del remitente) que determinó qué política de filtro aplicar al mensaje.
Política de filtros
Nombre de la política de filtros aplicada al mensaje.
Virus
Nombre del virus adjuntado al mensaje.
Archivo adjunto
Nombre de un archivo adjunto del mensaje.
Archivo adjunto sospechado
Nombre de un archivo adjunto del mensaje que accionó una política de filtrado de contenidos.
Motivo para el veredicto de incapacidad de análisis
Motivo por el cual el mensaje coincidió con la condición "Si un mensaje no se puede analizar en busca de filtros de contenido y software malicioso por cualquier motivo". Se proporciona una lista desplegable con motivos de la incapacidad de análisis.
Fuente
Si el mensaje es interno o externo.
Contenido desactivado
Si los archivos adjuntos del mensaje contienen contenido potencialmente malicioso.
Al realizar búsquedas, se utilizan las siguientes reglas:
  • No se permiten más de 1000 mensajes por búsqueda en cada analizador que se busque.
  • Los campos de texto libre ofrecen búsquedas que no distinguen entre mayúsculas y minúsculas.
El registro de auditoría de mensajes ofrece información sobre cada mensaje recibido por cada destinatario. Por ejemplo, si el mismo mensaje es recibido por 10 destinatarios, verá 10 entradas en el registro de auditoría de mensajes. Para llegar al límite de 1000 mensajes devueltos, Symantec Messaging Gateway cuenta varias entradas para los diferentes destinatarios del mismo mensaje como un solo mensaje.
Mensajes de correo electrónico que no pueden entregarse se registran como fallas de entrega en el registro de auditoría de mensajes. Por ejemplo, los mensajes a usuarios inexistentes que rebotan se consideran errores de entrega. Los errores de entrega se indican con el encabezado Error de entrega en la sección Entrega de la página Registros de auditoría. Además de indicarse en la página Registros de auditoría, los mensajes no entregados se registran con el nuevo evento de registro de auditoría DELIVERY_FAILURE. Los eventos DELIVERY_FAILURE se registran en el siguiente formato:
utc|uid|DELIVERY_FAILURE|recipient|reason
La columna
Acciones
indica las acciones realizadas por el analizador en los mensajes, pero no indica las acciones realizadas por los administradores o los usuarios en los mensajes. Por ejemplo, si un administrador o un usuario libera un mensaje de cuarentena de spam, esta actividad se enumera en
Cuarentena de spam
, no en
Acciones
.
  1. Para buscar el registro de auditoría de mensajes y ver detalles del mensaje
  2. En el centro de control, haga clic en
    Estado > SMTP > Registro de auditoría de mensajes
    .
  3. Seleccione el analizador cuyos registros desee buscar en la lista desplegable
    Hosts
    o seleccione
    Todos los analizadores
    .
  4. Complete los criterios de búsqueda deseados.
  5. Haga clic en
    Mostrar filtrados
    .
    Use la lista desplegable
    Entradas por página
    para especificar la cantidad de registros para mostrar en cada página. Use la lista desplegable
    Mostrar _ de _
    para elegir un rango de datos para mostrar.
  6. Para ver más detalles sobre ese mensaje, haga clic en un destinatario del mensaje en la columna Para.
  7. Para buscar el registro de auditoría de mensajes para los incidentes de filtrado de contenido
  8. En el centro de control, haga clic en
    Estado > SMTP > Registro de auditoría de mensajes
    .
  9. Seleccione el analizador cuyos registros desee buscar en la lista desplegable
    Host
    o seleccione
    Todos los analizadores
    .
  10. Elija una selección desde la lista desplegable
    Filtro obligatorio
    y escriba un valor apropiado en el campo
    Valor de filtro obligatorio
    .
  11. Elija
    Acción realizada
    de la lista desplegable
    Filtro opcional
    .
  12. Elija
    Crear un incidente informativo
    o
    Crear un incidente de cuarentena
    desde la lista desplegable
    Valor de filtro opcional
    .
  13. Haga clic en
    Mostrar filtrados
    .
    Use la lista desplegable
    Entradas por página
    para especificar la cantidad de registros para mostrar en cada página. Use la lista desplegable
    Mostrar _ de _
    para elegir un rango de datos para mostrar.
  14. Para ver más detalles sobre ese mensaje, haga clic en un destinatario del mensaje en la columna
    Para
    .
  15. Para ver el estado de entrega del cifrado de TLS de un mensaje en el registro de auditoría de mensajes
  16. Busque el mensaje en el registro de auditoría de mensajes.
  17. Expanda
    Datos de destinatario
    >
    Entrega
    .
  18. Haga clic en
    Detalles
    .