Recherche d'un message dans le journal d'audit des messages
Une fonction de requête est fournie pour permettre de rechercher des messages dans le journal à l'aide de critères de recherche.
La page
Etat > SMTP > Journaux d'audit de message
vous permet d'indiquer un ou plusieurs critères et les informations connexes supplémentaires comme suit :Hôte | Un ou plusieurs analyseurs exécutant le logiciel Symantec Messaging Gateway. Pour trouver toutes les informations sur un message, effectuez la recherche sur tous les analyseurs joints. |
Période | Période de recherche dans le journal d'audit. Il est recommandé de ne pas configurer de recherches de messages plus longues qu'une semaine, même si cela est possible. |
Filtre requis | Sélectionnez le type d'informations pour filtrer des messages. Consultez la section Choix de critères de recherche obligatoire. |
Valeur du filtre requis | Entrez une chaîne qui correspond au type de filtre requis que vous avez sélectionné. Par exemple, si vous choisissiez de filtrer des messages par expéditeur, entrez une adresse électronique valide ici. |
Filtre facultatif | Sélectionnez l'option dans la liste de critères filtrants facultatifs. Consultez la section Choix de critères de recherche obligatoires. |
Valeur du filtre facultatif | Le cas échéant, entrez une chaîne ou choisissez une valeur qui correspond au type de filtre facultatif que vous avez sélectionné. Par exemple, si vous choisissiez de filtrer des messages par IP de connexion, entrez une adresse IP valide ici. Ou, si vous choisissez de filtrer les messages par action entreprise, sélectionnez l'action pour laquelle vous voulez rechercher des messages. |
Effacer les filtres | Effacez les critères de filtre actuels de la mémoire. |
Afficher éléments filtrés | Recherchez et affichez les messages correspondant à vos critères. |
Choix de critères de recherche obligatoires : décrit les éléments que vous pouvez sélectionner pour votre filtre unique requis.
Critères | Description |
|---|---|
Expéditeur | Nom de l'expéditeur du message. Spécifiez <> pour filtrer les messages qui ne contiennent pas de noms d'expéditeur. |
Destinataire | Nom du destinataire du message. |
Objet | L'objet de message. |
Identifiant unique que Symantec Messaging Gateway génère et inclut comme en-tête de message. | |
IP de connexion | Adresse IP du serveur se connectant. Si Symantec Messaging Gateway rejette une connexion IP, une ligne identifie l'expéditeur comme aucun. Les informations sur le message sont l'adresse IP et le motif du rejet. Symantec Messaging Gateway prend en charge les adresses IPv4 et IPv6. |
Adresse IP logique | Adresse IP logique du serveur se connectant. L'adresse IP logique de connexion est utilisée pour les déploiements dans lesquels des serveurs de messagerie internes transmettent les messages au serveur Symantec Messaging Gateway. L'adresse IP logique de connexion est l'adresse de la première connexion de serveur non interne. L'adresse IP logique de connexion est dérivée des en-têtes « Reçu : » du contenu du message. Symantec Messaging Gateway utilise cette adresse IP à des fins de filtrage. Selon votre déploiement, elle peut correspondre à l'adresse IP « Accepté par ». Quand vous sélectionnez Adresse IP logique , vous pouvez spécifier les adresses IPv4, les adresses IPv6 ou les plages IPv6 CIDR. Les plages CIDR sont uniquement acceptées si le préfixe est un multiple de 4. |
Choix de critères de recherche facultatifs : décrit les éléments que vous pouvez choisir pour votre filtre unique facultatif.
Critères | Description |
|---|---|
Expéditeur | Nom de l'expéditeur du message. Spécifiez <> pour filtrer les messages qui ne contiennent pas de noms d'expéditeur. |
Expéditeur authentifié | Nom d'un expéditeur authentifié. |
Destinataire | Nom du destinataire du message |
Objet | L'objet de message. |
Identifiant unique généralement généré par le logiciel de courrier électronique lançant l'envoi du message et inclus comme en-tête de message. Les spammeurs ont utilisé cet en-tête pour masquer l'identité de l'origine du message. | |
Verdict | Verdict et/ou autres caractéristiques d'un message. Lorsque cette option de filtre est sélectionnée, une liste de verdicts possibles s'affiche dans la liste déroulante Valeur du filtre facultatif . Utilisez ces valeurs pour filtrer les messages correspondant à un verdict particulier. Par exemple, vous pouvez définir Valeur du filtre facultatif sur Le message est un bulletin d'informations . |
Verdict non testé | Verdict disponible que l'analyseur n'a pas testé. Une liste déroulante de verdicts est fournie. |
Action entreprise | Ce qui est arrivé au message. Lorsque cette option de filtre est sélectionnée, une liste de verdicts possibles s'affiche dans la liste déroulante Valeur du filtre facultatif. Utilisez ces valeurs pour filtrer les messages ayant déclenché les actions qui ont appliqué l'action indiquée. Si vous sélectionnez Rejeter le message dans la liste déroulante Valeur du filtre facultatif, le motif du rejet s'affiche dans les détails du message.
|
IP de connexion | IP de connexion utilisée pour recevoir le message. Symantec Messaging Gateway prend en charge les adresses IPv4 et IPv6. |
Adresse IP logique | Adresse IP logique du serveur se connectant. L'adresse IP logique de connexion est utilisée pour les déploiements dans lesquels des serveurs de messagerie internes transmettent les messages au serveur Symantec Messaging Gateway. L'adresse IP logique de connexion est l'adresse de la première connexion de serveur non interne. L'adresse IP logique de connexion est dérivée des en-têtes « Reçu : » du contenu du message. Symantec Messaging Gateway utilise cette adresse IP à des fins de filtrage. Selon votre déploiement, elle peut correspondre à l'adresse IP « Accepté par ». Quand vous sélectionnez Adresse IP logique , vous pouvez spécifier les adresses IPv4, les adresses IPv6 ou les plages IPv6 CIDR. Les plages CIDR sont uniquement acceptées si le préfixe est un multiple de 4. |
IP cible | Adresse IP de la destination du message. |
Groupe de politiques | Nom du groupe (le groupe du destinataire ou le groupe de l'expéditeur) qui a déterminé quelle politique de filtre est appliquée au message. |
Politique de filtre | Nom de la politique de filtre qui est appliquée au message. |
Virus | Nom du virus qui est joint au message. |
Pièce jointe | Nom d'une pièce jointe. |
Pièce jointe suspecte | Nom d'une pièce jointe qui a déclenché une politique de filtrage de contenu. |
Motif du verdict non analysable | Raison pour laquelle le message correspond à la condition « Si l'analyse de filtrage du contenu et des malwares n'est pas possible pour quelque raison que ce soit ». Une liste déroulante de raisons non analysables est fournie. |
Source | Si le message est interne ou externe. |
Contenu désamorcé | Si le contenu des pièces jointes du message est potentiellement malveillant. |
Les règles suivantes sont utilisées lors de la recherche :
- 1 000 messages sont autorisés au maximum par recherche sur chaque analyseur faisant l'objet d'une recherche.
- Les champs de texte de forme libre sont des recherches de sous-chaînes non sensibles à la casse.
Le journal d'audit des messages fournit des informations sur chaque message reçu par chaque destinataire. Par exemple, si le même message est reçu par 10 destinataires, vous voyez 10 entrées dans le journal d'audit des messages. Pour atteindre la limite de 1 000 messages renvoyés, Symantec Messaging Gateway compte plusieurs entrées pour les différents destinataires du même message en tant que message unique.
Les messages électroniques dont la distribution échoue sont suivis en tant qu'échecs de distribution dans le journal d'audit des messages. Par exemple, les messages adressés à des utilisateurs non existants qui sont retournés sont considérés comme des échecs de distribution. Les échecs de distribution sont indiqués avec un en-tête Échec de distribution dans la page Journaux d'audit de la section Distribution. Outre leur indication dans la page Journaux d'audit, les messages non distribués sont consignés avec le nouvel événement d'audit DELIVERY_FAILURE. Les événements DELIVERY_FAILURE sont consignés au format suivant :
utc|uid|DELIVERY_FAILURE|recipient|reason
La colonne
Actions
indique les actions effectuées par l'analyseur sur les messages mais n'indique pas celles effectuées par les administrateurs ou les utilisateurs sur les messages. Par exemple, si un administrateur ou un utilisateur libère un message de la Spam quarantine, cette activité est répertoriée sous Spam Quarantine
, et non sous Actions
.- Pour effectuer des recherches dans le journal d'audit des messages et afficher les informations sur les messages
- Dans le centre de contrôle, cliquez surEtat > SMTP > Journaux d'audit de message.
- Sélectionnez l'analyseur dont vous voulez utiliser les journaux pour effectuer des recherches dans la liste déroulanteHôtesou sélectionnezTous les analyseurs.
- Indiquez les critères de recherche souhaités.
- Cliquez surAfficher éléments filtrés.Dans la liste déroulanteEntrées par page, spécifiez le nombre d'enregistrements à afficher par page. A l'aide de la liste déroulanteAfficher _ sur _, choisissez une plage de données à afficher.
- Cliquez sur un destinataire de message dans la colonne À pour afficher les informations de traitement sur le message en question.
- Pour rechercher des incidents de filtrage de contenu dans le journal d'audit des messages
- Dans le centre de contrôle, cliquez surEtat > SMTP > Journaux d'audit de message.
- Dans la liste déroulanteHôtes, sélectionnez l'analyseur dont vous voulez utiliser les journaux pour effectuer des recherches, ou sélectionnezTous les analyseurs.
- Faites votre choix dans la listeFiltre requiset entrez une valeur appropriée dans le champValeur du filtre requis.
- ChoisissezAction entreprisedans la liste déroulanteFiltre facultatif.
- ChoisissezCréer un incident informationnelouCréer un incident de quarantainedans la liste déroulanteValeur du filtre facultatif.
- Cliquez surAfficher éléments filtrés.Dans la liste déroulanteEntrées par page, spécifiez le nombre d'enregistrements à afficher par page. A l'aide de la liste déroulanteAfficher _ sur _, choisissez une plage de données à afficher.
- Cliquez sur un destinataire de message dans la colonneÀpour afficher les informations de traitement sur le message en question.
- Pour afficher l'état de distribution de chiffrement TLS d'un message dans le journal d'audit des messages
- Recherchez le message dans le journal d'audit des messages.
- DéveloppezDonnées du destinataire>Distribution.
- Cliquez surDétails.