FPSP 2010のForefront管理シェルで使用できるコマンドレット (Get-FsspQuarantine) について

ブログ エントリ内にアフィリエイト広告が含まれています
スポンサーリンク

Forefront Protection 2010 for SharePoint (FPSP 2010) のForefront管理シェルは、PowerShellを用いたコマンドラインインタフェースです。

Forefront管理シェルは、FPSP 2010の管理を目的として様々なコマンドレットが用意されていますが、 オンライン上では説明のみで詳細なコマンド オプション情報については公開されていないようです。

このヘルプ情報について、オンライン上で日本語として確認したいと思い、本ブログ上で纏めたいと思います (内容については「Get-Help」コマンドレットの-Fullオプションを用いて実行した結果を編集したものとなります)。

この記事では、「Get-FsspQuarantine」コマンドレットについて記載します (他のコマンドレットについては、「FPSP 2010のForefront管理シェルで使用できるコマンドレットについて」を参照)。

■名前

Get-FsspQuarantine

■概要

検疫データベースからレコードを取得します。

■構文

Get-FsspQuarantine [-Count <UInt32>] [-Descending] [-Filter <string>] [-Sort <string>]
     [<CommonParameters>]

■説明

検疫データベースからレコードを取得します。このデータベースには、検疫されたアイテムそのものではなく、検疫されたアイテムを表すレコード (メタデータ) が格納されています。各アイテムは一意のIDで表されます。

検疫済みのアイテムをディスクに保存するには、Export-FsspQuarantineコマンドレットを使用します。

パラメータを指定せずにGet-FsspQuarantineを実行すると、すべてのレコードが返されます。フィルタされた結果セットを作成するには、-Filterパラメータを使用します。結果セットから返されるレコードの数を制御するには、-Countパラメータを使用します。結果セットから返されたレコードを並べ替えるには、-Sortパラメータを使用します。

注意: Get-FsspQuarantineからのすべての応答には、結果セットに含まれるレコードの合計数を示すフィールドが含まれます。

■パラメーター

-Count <UInt32>
返されるレコードの最大数を指定します。省略可能です。有効な値は1以上の任意の整数です。このパラメータが指定されない場合、すべてのレコードが返されます。

必須 false
位置 named
既定値  
パイプライン入力を許可する true (ByPropertyName)
ワイルドカード文字を許可する false

-Descending [<SwitchParameter>]
レコードを降順に示す必要があることを示します。省略可能です。-Sortパラメータと組み合わせた場合のみ使用できます。使用しない場合、レコードは昇順で返されます。

必須 false
位置 named
既定値  
パイプライン入力を許可する false
ワイルドカード文字を許可する false

-Filter <string>
検疫データベースのフィルタリング条件を指定します。省略可能です。フィルタ文字列には1,024文字の制限があります。

注意: フィルタ文字列のすべての部分の間には、スペースを1個ずつ挿入する必要があります。文字列全体を引用符で囲みます。

以下の任意のフィールドに基づいて並べ替えることができます。

AuthorEmail、AuthorName、DetectionTime、DomainName、File、ID、IncidentCategory、IncidentName、LastModifiedEmail、LastModifiedName、LastModifiedTime、ProductVersion、ScanJobType、SequenceID、ServerName、SharepointPath、State、TransferDirection、UserName

  1. DateTimeフィールドを使用したフィルタリングです。

    DateTimeフィールド (DetectionTimeおよびLastModifiedTime) では、次のいずれかの構文を使用できます (引用符で囲む)。

    • -Filter “DetectionTime <operator> <value>”
    • -Filter “DetectionTime BETWEEN <value1> AND <value2>”

    許可される演算子は次のとおりです。

    • “<” または “-lt” – (次の値未満) 
    • “<=” または “-le” – (次の値以下)
    • “>” または “-gt” – (次の値より大きい)
    • “>=” または “-ge” – (次の値以上)
    • “=” または “-eq” – (等しい)

    Forefront Protection 2010 for SharePoint (FPSP) では、入力された値は自動的に DateTimeデータ型に変換されます。値を期待どおりに確実に変換するには、次のISO日付時刻書式に従って入力する必要があります。

    YYYY-MM-DDThh:mm:ss.sTZD

    たとえば、2007-07-16T19:20:20.45+01:00 は有効な時刻形式です。TZD (Time Zone Designator) は省略可能です。指定しない場合、既定でサーバーのローカル タイム ゾーンに設定されます。UTC時間を使用するには、TZDを+00:00に指定します。

    注意: フィルタ パラメータで提供される時間の値は、サーバーのローカル時刻として認識されます。

    例:

    1. 10:00 以降の検出時刻を要求するには、次のように指定します。
      &quot;DetectionTime &gt; 10:00&quot;
    2. 10:00 ~ 15:00 (両端を含む) の検出時刻を要求するには、次のように指定します。
      &quot;DetectionTime BETWEEN 10:00 AND 15:00&quot;
    3. 今日検疫されたすべてのアイテムを要求するには、次のように指定します。
      $Today = [DateTimeOffset]::Now.Date
      $Tomorrow = $Today.AddDays(1)
      $incidents = Get-FsspQuarantine -filter &quot;DetectionTime BETWEEN '$Today' AND '$Tomorrow'&quot;

    -filterパラメータの日付変数はアポストロフィで囲む必要があります。

  2. 固定の値を含むフィールドを使用したフィルタリングです。

    特定のフィールドには、固定の値セットが含まれます。IncidentCategory、RmsProtected、ScanJobType、およびState。

    固定の値セットを含むフィールドでフィルタするには、次の構文を使用します。

    -Filter &quot;Field = SearchString&quot;

    SearchStringに指定可能な値は次のとおりです。

    • State: Cleaned、Removed、Deleted、Detected、Suspended
    • IncidentCategory: Virus、Spyware、KeywordFilter、FileFilter、Incident
    • RmsProtected: true、false
    • ScanJobType: Realtime、Scheduled、OnDemand

    たとえば、クリーニングされた検疫済みのアイテムだけを表示するには、次のように指定します。

    Get-FsspQuarantine -filter &quot;State = cleaned&quot;
  3. 固定の値セットを含まないフィールドを使用したフィルタリングです。

    他のすべてのフィールドでは、次の形式の構文が使用されます。

    -Filter &quot;Field = SearchString&quot;

    “Field”は、-Filterを開始する時点でリスト内にあるその他のフィールドのいずれかです。SearchStringは、フィルタ対象の値です。

    たとえば、VeryEvilウイルスによって発生した検疫済みのアイテムだけを表示するには、次のように指定します。

    Get-FsspQuarantine -Filter &quot;IncidentName = VeryEvil&quot;
必須 false
位置 named
既定値 no value
パイプライン入力を許可する true (ByPropertyName)
ワイルドカード文字を許可する false

-Sort <string>
検疫データベースから取得された結果の並べ替え条件を指定します。省略可能です。並べ替え文字列には1,024文字の制限があります。並べ替え条件の構文は次のとおりです。

-Sort &lt;Field&gt; [-Descending]

次のフィールドで並べ替えることができます。

AuthorEmail、AuthorName、DetectionTime、DomainName、File、ID、IncidentCategory、IncidentName、LastModifiedEmail、LastModifiedName、LastModifiedTime、ProductVersion、ScanJobType、SequenceID、ServerName、SharepointPath、State、TransferDirection、UserName

オプションの -Descendingパラメータを使用しない限り、結果は昇順でフィルタリングされます。

必須 false
位置 named
既定値 no value
パイプライン入力を許可する false
ワイルドカード文字を許可する false

<CommonParameters>
このコマンドレットは、次の共通パラメーターをサポートします: VerboseDebugErrorActionErrorVariableWarningActionWarningVariableOutBuffer、およびOutVariable。詳細については、「get-help about_commonparameters」と入力してヘルプを参照してください。

■入力

 

■出力

 

■メモ

 

■例

例1

 Get-FsspQuarantine | Out-Host -Paging 

例1:出力結果

DeliveredTime     :
FileSize          : 19968
FileName          : {30801FF7-A011-457A-84B6-D59198A1779B}
UserName          : fredAdministrator
AuthorName        : fredAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : fredAdministrator
SharepointPath    : **During Scanning**
LastModifiedEmail : <n/a>
TransferDirection : 0
SequenceID        : 6
EstimatedCount    : 6
ID                : {30801FF7-A011-457A-84B6-D59198A1779B}
DetectionTime     : 2/1/2009 8:56:17 AM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
File              : eicar.zip->eicar.doc
LastModifiedTime  : 2/1/2009 8:56:18 AM +00:00
DomainName        :
ProductVersion    : 285213248
RmsProtected      : False
ScanJobType       : Realtime
ServerName        : FRED-O12
FileType          : 0
SenderLocation    : Internal
Details           : {MICROSOFT}
DetailsAsPSObject : {MICROSOFT}

例1:説明

検疫されたすべてのファイルに関する情報を返します。結果は、コマンド ウィンドウ内に1ページずつ表示されます。次のページを表示するには、Spaceキーを押します。終了するには、「Q」と入力します。

検疫済みの単一のアイテムが示されます。

例2

 Get-FsspQuarantine | Export-CSV c:Quarantine.csv 

例2:説明

検疫されたすべてのファイルに関する情報を返します。結果は、指定されたファイルにCSV (コンマ区切り値) 形式で保存されます。

コマンドが正常に完了した場合は、何も出力されません。

例3

 Get-FsspQuarantine -Filter &quot;DetectionTime &gt; 13:30&quot; 

例3:出力結果

DeliveredTime     :
FileSize          : 19968
FileName          : {30801FF7-A011-457A-84B6-D59198A1779B}
UserName          : fredAdministrator
AuthorName        : fredAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : fredAdministrator
SharepointPath    : **During Scanning**
LastModifiedEmail : <n/a>
TransferDirection : 0
SequenceID        : 6
EstimatedCount    : 6
ID                : {30801FF7-A011-457A-84B6-D59198A1779B}
DetectionTime     : 2/1/2009 8:56:17 PM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
File              : eicar.zip->eicar.doc
LastModifiedTime  : 2/1/2009 8:56:18 PM +00:00
DomainName        :
ProductVersion    : 285213248
RmsProtected      : False
ScanJobType       : Realtime
ServerName        : FRED-O12
FileType          : 0
SenderLocation    : Internal
Details           : {MICROSOFT}
DetailsAsPSObject : {MICROSOFT}

例3:説明

今日の13:30より後に検出された問題ファイルに関して、検疫データベースに書き込まれたすべてのアイテムに関する情報を返します。

検疫済みの単一のアイテムが示されます。

例4

 Get-FsspQuarantine -Filter &quot;DetectionTime BETWEEN 2009-02-01T01:20:00.00 AND 2009-02-01T23:30:00.00&quot; 

例4:出力結果

DeliveredTime     :
FileSize          : 19968
FileName          : {30801FF7-A011-457A-84B6-D59198A1779B}
UserName          : fredAdministrator
AuthorName        : fredAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : fredAdministrator
SharepointPath    : **During Scanning**
LastModifiedEmail : <n/a>
TransferDirection : 0
SequenceID        : 6
EstimatedCount    : 6
ID                : {30801FF7-A011-457A-84B6-D59198A1779B}
DetectionTime     : 2/1/2009 8:56:17 AM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
File              : eicar.zip->eicar.doc
LastModifiedTime  : 2/1/2009 8:56:18 AM +00:00
DomainName        :
ProductVersion    : 285213248
RmsProtected      : False
ScanJobType       : Realtime
ServerName        : FRED-O12
FileType          : 0
SenderLocation    : Internal
Details           : {MICROSOFT}
DetailsAsPSObject : {MICROSOFT}

例4:説明

2009年2月1日の01:20から23:30までに検出された問題ファイルに関して、検疫データベースに書き込まれたすべてのアイテムに関する情報を返します。

検疫済みの単一のアイテムが示されます。

例5

 Get-FsspQuarantine -Filter &quot;IncidentCategory = virus&quot; 

例5:出力結果

DeliveredTime     :
FileSize          : 19968
FileName          : {30801FF7-A011-457A-84B6-D59198A1779B}
UserName          : fredAdministrator
AuthorName        : fredAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : fredAdministrator
SharepointPath    : **During Scanning**
LastModifiedEmail : <n/a>
TransferDirection : 0
SequenceID        : 6
EstimatedCount    : 6
ID                : {30801FF7-A011-457A-84B6-D59198A1779B}
DetectionTime     : 2/1/2009 8:56:17 AM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
File              : eicar.zip->eicar.doc
LastModifiedTime  : 2/1/2009 8:56:18 AM +00:00
DomainName        :
ProductVersion    : 285213248
RmsProtected      : False
ScanJobType       : Realtime
ServerName        : FRED-O12
FileType          : 0
SenderLocation    : Internal
Details           : {MICROSOFT}
DetailsAsPSObject : {MICROSOFT}

例5:説明

検疫データベースに書き込まれたすべてのアイテムの中で、特定のインシデント カテゴリであったものに関する情報を返します。

検疫済みの単一のアイテムが示されます。

例6

 Get-FsspQuarantine -Filter &quot;IncidentCategory = virus&quot; -Sort AuthorName 

例6:出力結果

UserName          : carlosAdministrator
AuthorName        : carlosAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : herbieAdministrator
  .
  .
  .
DetectionTime     : 2/1/2009 8:56:17 AM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
  .
  .
  .

UserName          : fredAdministrator
AuthorName        : fredAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : fredAdministrator
  .
  .
  .
DetectionTime     : 2/1/2009 8:56:17 AM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
  .
  .
  .

例6:説明

検疫データベースに書き込まれたすべてのアイテムの中で、ウイルスによって発生したものに関する情報を返します。結果は作成者別に並べ替えられます。

2つのインシデントの一部を示しています。

■関連するリンク

  • Export-FsspQuarantine
  • Send-FsspQuarantine
  • Remove-FsspQuarantine
  • Get-FsspQuarantineOptions
  • Set-FsspQuarantineOptions

[参考]

タイトルとURLをコピーしました