Recherche d'un message dans le journal d'audit des messages

Une fonction de requête est fournie pour permettre de rechercher des messages dans le journal à l'aide de critères de recherche.
La page
Etat > SMTP > Journaux d'audit de message
vous permet d'indiquer un ou plusieurs critères et les informations connexes supplémentaires comme suit :
Hôte
Un ou plusieurs analyseurs exécutant le logiciel Symantec Messaging Gateway. Pour trouver toutes les informations sur un message, effectuez la recherche sur tous les analyseurs joints.
Période
Période de recherche dans le journal d'audit. Il est recommandé de ne pas configurer de recherches de messages plus longues qu'une semaine, même si cela est possible.
Filtre requis
Sélectionnez le type d'informations pour filtrer des messages. Consultez la section Choix de critères de recherche obligatoire.
Valeur du filtre requis
Entrez une chaîne qui correspond au type de filtre requis que vous avez sélectionné. Par exemple, si vous choisissiez de filtrer des messages par expéditeur, entrez une adresse électronique valide ici.
Filtre facultatif
Sélectionnez l'option dans la liste de critères filtrants facultatifs. Consultez la section Choix de critères de recherche obligatoires.
Valeur du filtre facultatif
Le cas échéant, entrez une chaîne ou choisissez une valeur qui correspond au type de filtre facultatif que vous avez sélectionné. Par exemple, si vous choisissiez de filtrer des messages par IP de connexion, entrez une adresse IP valide ici. Ou, si vous choisissez de filtrer les messages par action entreprise, sélectionnez l'action pour laquelle vous voulez rechercher des messages.
Effacer les filtres
Effacez les critères de filtre actuels de la mémoire.
Afficher éléments filtrés
Recherchez et affichez les messages correspondant à vos critères.
Choix de critères de recherche obligatoires : décrit les éléments que vous pouvez sélectionner pour votre filtre unique requis.
Choix de critères de recherche obligatoire
Critères
Description
Expéditeur
Nom de l'expéditeur du message. Spécifiez <> pour filtrer les messages qui ne contiennent pas de noms d'expéditeur.
Destinataire
Nom du destinataire du message.
Objet
L'objet de message.
Identifiant unique que Symantec Messaging Gateway génère et inclut comme en-tête de message.
IP de connexion
Adresse IP du serveur se connectant. Si Symantec Messaging Gateway rejette une connexion IP, une ligne identifie l'expéditeur comme aucun. Les informations sur le message sont l'adresse IP et le motif du rejet. Symantec Messaging Gateway prend en charge les adresses IPv4 et IPv6.
Adresse IP logique
Adresse IP logique du serveur se connectant.
L'adresse IP logique de connexion est utilisée pour les déploiements dans lesquels des serveurs de messagerie internes transmettent les messages au serveur Symantec Messaging Gateway. L'adresse IP logique de connexion est l'adresse de la première connexion de serveur non interne.
L'adresse IP logique de connexion est dérivée des en-têtes « Reçu : » du contenu du message. Symantec Messaging Gateway utilise cette adresse IP à des fins de filtrage. Selon votre déploiement, elle peut correspondre à l'adresse IP « Accepté par ».
Quand vous sélectionnez
Adresse IP logique
, vous pouvez spécifier les adresses IPv4, les adresses IPv6 ou les plages IPv6 CIDR. Les plages CIDR sont uniquement acceptées si le préfixe est un multiple de 4.
Choix de critères de recherche facultatifs : décrit les éléments que vous pouvez choisir pour votre filtre unique facultatif.
Choix de critères de recherche obligatoires
Critères
Description
Expéditeur
Nom de l'expéditeur du message. Spécifiez <> pour filtrer les messages qui ne contiennent pas de noms d'expéditeur.
Expéditeur authentifié
Nom d'un expéditeur authentifié.
Destinataire
Nom du destinataire du message
Objet
L'objet de message.
Identifiant unique généralement généré par le logiciel de courrier électronique lançant l'envoi du message et inclus comme en-tête de message. Les spammeurs ont utilisé cet en-tête pour masquer l'identité de l'origine du message.
Verdict
Verdict et/ou autres caractéristiques d'un message. Lorsque cette option de filtre est sélectionnée, une liste de verdicts possibles s'affiche dans la liste déroulante
Valeur du filtre facultatif
. Utilisez ces valeurs pour filtrer les messages correspondant à un verdict particulier. Par exemple, vous pouvez définir
Valeur du filtre facultatif
sur
Le message est un bulletin d'informations
.
Verdict non testé
Verdict disponible que l'analyseur n'a pas testé. Une liste déroulante de verdicts est fournie.
Action entreprise
Ce qui est arrivé au message. Lorsque cette option de filtre est sélectionnée, une liste de verdicts possibles s'affiche dans la liste déroulante Valeur du filtre facultatif. Utilisez ces valeurs pour filtrer les messages ayant déclenché les actions qui ont appliqué l'action indiquée.
Si vous sélectionnez Rejeter le message dans la liste déroulante Valeur du filtre facultatif, le motif du rejet s'affiche dans les détails du message.
  • Message rejeté pour un destinataire non local
  • Message rejeté pour dépassement de la limite de taille
  • Message rejeté par l'agent de transfert de messages
  • Rejeter les messages échouant à la validation des attaques par rebond
  • Rejeter les destinataires non valides Message rejeté pour dépassement de la limite de taille
  • Tous les destinataires sont non valides
IP de connexion
IP de connexion utilisée pour recevoir le message.
Symantec Messaging Gateway prend en charge les adresses IPv4 et IPv6.
Adresse IP logique
Adresse IP logique du serveur se connectant.
L'adresse IP logique de connexion est utilisée pour les déploiements dans lesquels des serveurs de messagerie internes transmettent les messages au serveur Symantec Messaging Gateway. L'adresse IP logique de connexion est l'adresse de la première connexion de serveur non interne.
L'adresse IP logique de connexion est dérivée des en-têtes « Reçu : » du contenu du message. Symantec Messaging Gateway utilise cette adresse IP à des fins de filtrage. Selon votre déploiement, elle peut correspondre à l'adresse IP « Accepté par ».
Quand vous sélectionnez
Adresse IP logique
, vous pouvez spécifier les adresses IPv4, les adresses IPv6 ou les plages IPv6 CIDR. Les plages CIDR sont uniquement acceptées si le préfixe est un multiple de 4.
IP cible
Adresse IP de la destination du message.
Groupe de politiques
Nom du groupe (le groupe du destinataire ou le groupe de l'expéditeur) qui a déterminé quelle politique de filtre est appliquée au message.
Politique de filtre
Nom de la politique de filtre qui est appliquée au message.
Virus
Nom du virus qui est joint au message.
Pièce jointe
Nom d'une pièce jointe.
Pièce jointe suspecte
Nom d'une pièce jointe qui a déclenché une politique de filtrage de contenu.
Motif du verdict non analysable
Raison pour laquelle le message correspond à la condition « Si l'analyse de filtrage du contenu et des malwares n'est pas possible pour quelque raison que ce soit ». Une liste déroulante de raisons non analysables est fournie.
Source
Si le message est interne ou externe.
Contenu désamorcé
Si le contenu des pièces jointes du message est potentiellement malveillant.
Les règles suivantes sont utilisées lors de la recherche :
  • 1 000 messages sont autorisés au maximum par recherche sur chaque analyseur faisant l'objet d'une recherche.
  • Les champs de texte de forme libre sont des recherches de sous-chaînes non sensibles à la casse.
Le journal d'audit des messages fournit des informations sur chaque message reçu par chaque destinataire. Par exemple, si le même message est reçu par 10 destinataires, vous voyez 10 entrées dans le journal d'audit des messages. Pour atteindre la limite de 1 000 messages renvoyés, Symantec Messaging Gateway compte plusieurs entrées pour les différents destinataires du même message en tant que message unique.
Les messages électroniques dont la distribution échoue sont suivis en tant qu'échecs de distribution dans le journal d'audit des messages. Par exemple, les messages adressés à des utilisateurs non existants qui sont retournés sont considérés comme des échecs de distribution. Les échecs de distribution sont indiqués avec un en-tête Échec de distribution dans la page Journaux d'audit de la section Distribution. Outre leur indication dans la page Journaux d'audit, les messages non distribués sont consignés avec le nouvel événement d'audit DELIVERY_FAILURE. Les événements DELIVERY_FAILURE sont consignés au format suivant :
utc|uid|DELIVERY_FAILURE|recipient|reason
La colonne
Actions
indique les actions effectuées par l'analyseur sur les messages mais n'indique pas celles effectuées par les administrateurs ou les utilisateurs sur les messages. Par exemple, si un administrateur ou un utilisateur libère un message de la Spam quarantine, cette activité est répertoriée sous
Spam Quarantine
, et non sous
Actions
.
  1. Pour effectuer des recherches dans le journal d'audit des messages et afficher les informations sur les messages
  2. Dans le centre de contrôle, cliquez sur
    Etat > SMTP > Journaux d'audit de message
    .
  3. Sélectionnez l'analyseur dont vous voulez utiliser les journaux pour effectuer des recherches dans la liste déroulante
    Hôtes
    ou sélectionnez
    Tous les analyseurs
    .
  4. Indiquez les critères de recherche souhaités.
  5. Cliquez sur
    Afficher éléments filtrés
    .
    Dans la liste déroulante
    Entrées par page
    , spécifiez le nombre d'enregistrements à afficher par page. A l'aide de la liste déroulante
    Afficher _ sur _
    , choisissez une plage de données à afficher.
  6. Cliquez sur un destinataire de message dans la colonne À pour afficher les informations de traitement sur le message en question.
  7. Pour rechercher des incidents de filtrage de contenu dans le journal d'audit des messages
  8. Dans le centre de contrôle, cliquez sur
    Etat > SMTP > Journaux d'audit de message
    .
  9. Dans la liste déroulante
    Hôtes
    , sélectionnez l'analyseur dont vous voulez utiliser les journaux pour effectuer des recherches, ou sélectionnez
    Tous les analyseurs
    .
  10. Faites votre choix dans la liste
    Filtre requis
    et entrez une valeur appropriée dans le champ
    Valeur du filtre requis
    .
  11. Choisissez
    Action entreprise
    dans la liste déroulante
    Filtre facultatif
    .
  12. Choisissez
    Créer un incident informationnel
    ou
    Créer un incident de quarantaine
    dans la liste déroulante
    Valeur du filtre facultatif
    .
  13. Cliquez sur
    Afficher éléments filtrés
    .
    Dans la liste déroulante
    Entrées par page
    , spécifiez le nombre d'enregistrements à afficher par page. A l'aide de la liste déroulante
    Afficher _ sur _
    , choisissez une plage de données à afficher.
  14. Cliquez sur un destinataire de message dans la colonne
    À
    pour afficher les informations de traitement sur le message en question.
  15. Pour afficher l'état de distribution de chiffrement TLS d'un message dans le journal d'audit des messages
  16. Recherchez le message dans le journal d'audit des messages.
  17. Développez
    Données du destinataire
    >
    Distribution
    .
  18. Cliquez sur
    Détails
    .