FPE 2010のForefront管理シェルで使用できるコマンドレット (Get-FseQuarantine) について

スポンサーリンク

Forefront Protection 2010 for Exchange Server (FPE 2010) のForefront管理シェルは、PowerShellを用いたコマンドラインインタフェースです。

Forefront管理シェルは、FPE 2010の管理を目的として様々なコマンドレットが用意されていますが、 オンライン上では説明のみで詳細なコマンド オプション情報については公開されていないようです。

このヘルプ情報について、オンライン上で日本語として確認したいと思い、本ブログ上で纏めたいと思います (内容については「Get-Help」コマンドレットの-Fullオプションを用いて実行した結果を編集したものとなります)。

この記事では、「Get-FseQuarantine」コマンドレットについて記載します (他のコマンドレットについては、「FPE 2010のForefront管理シェルで使用できるコマンドレットについて」を参照)。

■名前

Get-FseQuarantine

■概要

検疫データベースからレコードを取得します。

■構文

Get-FseQuarantine [-Count <int>] [-Descending] [-Filter <string>] [-Sort <string>]
     [<CommonParameters>]

■説明

検疫データベースからレコードを取得します。このデータベースには、検疫されたアイテムそのものではなく、検疫されたアイテムを表すレコード (メタデータ) が格納されています。各アイテムは一意のIDで表されます。

検疫からアイテムを配信するには、Send-FseQuarantineコマンドレットを使用します。検疫済みのアイテムをディスクに保存するには、Export-FseQuarantineコマンドレットを使用します。

パラメーターを指定せずにGet-FseQuarantineを実行すると、すべてのレコードが返されます。フィルターされた結果セットを作成するには、-Filterパラメーターを使用します。結果セットから返されるレコードの数を制御するには、-Countパラメーターを使用します。結果セットから返されたレコードを並べ替えるには、-Sortパラメーターを使用します。

注意: Get-FseQuarantineからのすべての応答には、結果セットに含まれるレコードの合計数を示すフィールドが含まれます。

■パラメーター

-Count <int>
返されるレコードの最大数を指定します。省略可能です。有効な値は1以上の任意の整数です。このパラメーターが指定されない場合、すべてのレコードが返されます。

必須false
位置named
既定値
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-Descending [<SwitchParameter>]
レコードを降順に示す必要があることを示します。省略可能です。-Sortパラメーターと組み合わせた場合のみ使用できます。使用しない場合、レコードは昇順で返されます。

必須false
位置named
既定値
パイプライン入力を許可するfalse
ワイルドカード文字を許可するfalse

-Filter <string>
検疫データベースのフィルタリング条件を指定します。省略可能です。フィルター文字列には1,024文字の制限があります。

注意: フィルター文字列のすべての部分の間には、スペースを1個ずつ挿入する必要があります。文字列全体を引用符で囲みます。

以下の任意のフィールドに基づいて並べ替えることができます。

  • BccAddresses
  • BccNames
  • CcAddresses
  • CcAddresses
  • CcNames
  • DetectionTime
  • Direction
  • DomainName
  • File
  • Folder
  • ID
  • IncidentCategory
  • IncidentName
  • LastModifiedTime
  • ProductVersion
  • ReceivedTime
  • RecipientAddresses
  • RecipientNames
  • RmsProtected
  • ScanJobType
  • SenderAddress
  • SenderHost
  • SenderIP
  • SenderLocation
  • SenderName
  • SentTime
  • SequenceID
  • ServerName
  • State
  • Subject
  1. DateTime フィールドを使用したフィルタリングです。DateTime フィールド (DetectionTime、LastModifiedTime、ReceivedTime、および SentTime) では、以下のいずれかの構文を使用できます (引用符で囲む)。
    • -Filter “DetectionTime <operator> <value>”
    • -Filter “DetectionTime BETWEEN <value1> AND <value2>”

    許可される演算子は次のとおりです。

    • “<” または “-lt” – (未満) “<=” または”-le” – (以下) “>” または “-gt” – (より大きい) “>=” または “-ge” – (以上) “=” または “-eq” – (等しい)

    Microsoft Forefront Protection 2010 for Exchange Serverは、入力された値を自動的にDateTimeデータ型に変換しようとします。値を期待どおりに確実に変換するには、次のISO日付時刻書式に従って入力する必要があります。

    • YYYY-MM-DDThh:mm:ss.sTZD

    たとえば、2007-07-16T19:20:20.45+01:00は有効な時刻形式です。TZD (Time Zone Designator) は省略可能です。指定しない場合、既定でサーバーのローカル タイム ゾーンに設定されます。UTC時間を使用するには、TZDを+00:00に指定します。

    注意: フィルター パラメーターで提供される時間の値は、サーバーのローカル時刻として認識されます。

    例:

    1. 10:00以降の検出時刻を要求するには、次のように指定します。
       &quot;DetectionTime &amp;gt; 10:00&quot; 
    2. 10:00~15:00 (境界を含む) の検出時刻を要求するには、次のように指定します。
      &quot;DetectionTime BETWEEN 10:00 AND 15:00&quot; 
    3. 今日検疫されたすべてのアイテムを要求するには、次のように指定します。
      $Today = [DateTimeOffset]::Now.Date&lt;br&gt;$Tomorrow = $Today.AddDays(1)&lt;br&gt;$incidents = Get-FseQuarantine -filter &quot;DetectionTime BETWEEN ' $Today' AND '$Tomorrow'&quot; 

    -filterパラメーターの日付変数はアポストロフィで囲む必要があります。

  2. 固定の値を含むフィールドを使用したフィルタリングです。特定のフィールドには、固定の値セットが含まれます。
    • Direction
    • IncidentCategory
    • RmsProtected
    • ScanJobType
    • State

    固定の値セットを含むフィールドでフィルターするには、次の構文を使用します。

     -Filter &quot;Field = SearchString&quot; 

    SearchStringに指定可能な値は次のとおりです。

    • Direction: Inbound, Outbound, Internal, InboundAndOutbound, None
    • State: Removed, Purged, Cleaned, Identified, Detected, Rejected, Deleted, QuarantinedAsSpam, TaggedAndAccepted
    • IncidentCategory: Virus, Spam, Spyware, KeywordFilter, SubjectFilter, FileFilter, SenderFilter, Incident
    • RmsProtected: true, false
    • ScanJobType: Realtime, Scheduled, OnDemand, Transport

    たとえば、クリーニングされた検疫済みのアイテムだけを表示するには、次のように指定します。

     Get-FseIncident -filter &quot;State = cleaned&quot; 

  3. 固定の値セットを含まないフィールドを使用したフィルタリングです。他のすべてのフィールドでは、次の形式の構文が使用されます。

     -Filter &quot;Field = SearchString&quot; 

    “Field”は、-Filterを開始する時点でリスト内にあるその他のフィールドのいずれかです。SearchStringは、フィルター対象の値です。

    たとえば、VeryEvilウイルスによって発生した検疫済みのアイテムだけを表示するには、次のように指定します。

     Get-FseQuarantine -Filter &quot;IncidentName = VeryEvil&quot; 

必須false
位置named
既定値no value
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-Sort <string>
検疫データベースから取得された結果の並べ替え条件を指定します。省略可能です。並べ替え文字列には1,024文字の制限があります。並べ替え条件の構文は次のとおりです。

 -Sort &amp;lt;Field&amp;gt; [-Descending] 

以下の任意のフィールドに基づいて並べ替えることができます。

  • BccAddresses
  • BccNames
  • CcAddresses
  • CcNames
  • DetectionTime
  • Direction
  • DomainName
  • File
  • Folder
  • ID
  • IncidentCategory
  • IncidentName
  • LastModifiedTime
  • MessageID
  • ProductVersion
  • ReceivedTime
  • RecipientAddresses
  • RecipientNames
  • RmsProtected
  • ScanJobType
  • SenderAddress
  • SenderHost
  • SenderIP
  • SenderLocation
  • SenderName
  • SentTime
  • SequenceID
  • ServerName
  • State
  • Subject

オプションの -Descendingパラメーターを使用しない限り、結果は昇順で並べ替えられます。

必須false
位置named
既定値no value
パイプライン入力を許可するfalse
ワイルドカード文字を許可するfalse

<CommonParameters>
このコマンドレットは、次の共通パラメーターをサポートします: VerboseDebugErrorActionErrorVariableWarningActionWarningVariableOutBuffer、およびOutVariable。詳細については、「get-help about_commonparameters」と入力してヘルプを参照してください。

■入力

■出力

■メモ

■例

例1

 Get-FseQuarantine | Out-Host -Paging 

例1:出力結果

DeliveredTime      :
FileSize           : 69
FileName           : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            :
SenderName         : Carlos
SenderAddress      : Carlos@contoso.testdomain.local
SenderIP           :
SenderHost         :
RecipientNames     : Administrator ;AutoAdmin
RecipientAddresses : Administrator@contoso.testdomain.local;AutoAdmin@contoso.testdomain.local
CcNames            :
CcAddresses        :
BccNames           :
BccAddresses       :
MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso..testdomain.local>
SequenceID         : 1
EstimatedCount     : 2
ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
DetectionTime      : 10/20/2008 5:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
File               : winmail.dat->EICAR.TXT
LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00
DomainName         : contoso.testdomain.local
ProductVersion     : 285213059
RmsProtected       : False
ScanJobType        : Transport
ServerName         : contoso-VM01
FileType           : 0
SenderLocation     : Internal
Details            : {MICROSOFT}
DetailsAsPSObject  : {MICROSOFT}

例1:説明

結果の表示 (一度に1ページ)

検疫されたすべてのファイルに関する情報を返します。結果は、コマンド ウィンドウ内に1ページずつ表示されます。次のページを表示するには、Spaceキーを押します。終了するには、「Q」と入力します。

検疫済みの単一のアイテムが示されます。

例2

 Get-FseQuarantine | Export-CSV c:Quarantine.csv 

例2:出力結果

There is no output if this command completes successfully.

例2:説明

ファイルへの結果の保存 (CSV 形式)

検疫されたすべてのファイルに関する情報を返します。結果は、指定されたファイルにCSV (コンマ区切り値) 形式で保存されます。

例3

 Get-FseQuarantine -Filter &quot;DetectionTime &amp;gt; 13:30&quot; 

例3:出力結果

DeliveredTime      :
FileSize           : 69
FileName           : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            :
SenderName         : Carlos
SenderAddress      : Carlos@contoso.testdomain.local
SenderIP           :
SenderHost         :
RecipientNames     : Administrator ;AutoAdmin
RecipientAddresses : Administrator@contoso.testdomain.local;AutoAdmin@contoso.testdomain.local
CcNames            :
CcAddresses        :
BccNames           :
BccAddresses       :
MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso..testdomain.local>
SequenceID         : 1
EstimatedCount     : 2
ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
DetectionTime      : 10/20/2008 13:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
File               : winmail.dat->EICAR.TXT
LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00
DomainName         : contoso.testdomain.local
ProductVersion     : 285213059
RmsProtected       : False
ScanJobType        : Transport
ServerName         : contoso-VM01
FileType           : 0
SenderLocation     : Internal
Details            : {MICROSOFT}
DetailsAsPSObject  : {MICROSOFT}

例3:説明

DateTimeフィールドのフィルタリング

問題のあるメッセージに関して、今日の13:30以降に検出され、検疫データベースに書き込まれたすべてのアイテムに関する情報を返します。

検疫済みの単一のアイテムが示されます。

例4

 Get-FseQuarantine -Filter &quot;DetectionTime BETWEEN 2008-10-20T01:20:00.00 AND 2008-10-20T23:30:00.00&quot; 

例4:出力結果

DeliveredTime      :
FileSize           : 69
FileName           : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            :
SenderName         : Carlos
SenderAddress      : Carlos@contoso.testdomain.local
SenderIP           :
SenderHost         :
RecipientNames     : Administrator ;AutoAdmin
RecipientAddresses : Administrator@contoso.testdomain.local;AutoAdmin@contoso.testdomain.local
CcNames            :
CcAddresses        :
BccNames           :
BccAddresses       :
MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso..testdomain.local>
SequenceID         : 1
EstimatedCount     : 2
ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
DetectionTime      : 10/20/2008 5:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
File               : winmail.dat->EICAR.TXT
LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00
DomainName         : contoso.testdomain.local
ProductVersion     : 285213059
RmsProtected       : False
ScanJobType        : Transport
ServerName         : contoso-VM01
FileType           : 0
SenderLocation     : Internal
Details            : {MICROSOFT}
DetailsAsPSObject  : {MICROSOFT}

例4:説明

時間の範囲を使用したDateTimeフィールドのフィルタリング

問題のあるメッセージに関して、2008年10月20日の01:20~23:30の間に検出され、検疫データベースに書き込まれたすべてのアイテムに関する情報を返します。

検疫済みの単一のアイテムが示されます。

例5

 Get-FseQuarantine -Filter &quot;Subject = Here's a virus for you&quot; 

例5:出力結果

DeliveredTime      :
FileSize           : 69
FileName           : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            :  Here’s a virus for you
SenderName         : Carlos
SenderAddress      : Carlos@contoso.testdomain.local
SenderIP           :
SenderHost         :
RecipientNames     : Administrator ;AutoAdmin
RecipientAddresses : Administrator@contoso.testdomain.local;AutoAdmin@contoso.testdomain.local
CcNames            :
CcAddresses        :
BccNames           :
BccAddresses       :
MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso..testdomain.local>
SequenceID         : 1
EstimatedCount     : 2
ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
DetectionTime      : 10/20/2008 5:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
File               : winmail.dat->EICAR.TXT
LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00
DomainName         : contoso.testdomain.local
ProductVersion     : 285213059
RmsProtected       : False
ScanJobType        : Transport
ServerName         : contoso-VM01
FileType           : 0
SenderLocation     : Internal
Details            : {MICROSOFT}
DetailsAsPSObject  : {MICROSOFT}

例5:説明

DateTime以外のフィールドのフィルタリング

検疫データベースに書き込まれたアイテムのうち、特定の件名が設定されているすべてのアイテムに関する情報を返します。

検疫済みの単一のアイテムが示されます。

例6

 Get-FseQuarantine -Filter &quot;IncidentCategory = virus&quot; -Sort SenderAddress 

例6:出力結果

Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            : Here’s a virus for you
SenderName         : Carlos
SenderAddress      : Carlos@contoso.testdomain.local
     .
     .
     .
DetectionTime      : 10/20/2008 5:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
     .
     .
     .Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            : Another virus for you
SenderName         : Herbie
SenderAddress      : Herbie@contoso.testdomain.local
     .
     .
     .
DetectionTime      : 10/20/2008 5:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
     .
     .
     .

例6:説明

出力の並べ替え

検疫データベースに書き込まれたすべてのアイテムの中で、ウイルスによって発生したものに関する情報を返します。結果は送信者別に並べ替えられます。

2つのインシデントの一部を示しています。

■関連するリンク

  • Export-FseQuarantine
  • Send-FseQuarantine
  • Remove-FseQuarantine
  • Get-FseQuarantineOptions
  • Set-FseQuarantineOptions

[参考]