FPE 2010のForefront管理シェルで使用できるコマンドレット (Get-FseIncident) について

ブログ エントリ内にアフィリエイト広告が含まれています

Forefront Protection 2010 for Exchange Server (FPE 2010) のForefront管理シェルは、PowerShellを用いたコマンドラインインタフェースです。

Forefront管理シェルは、FPE 2010の管理を目的として様々なコマンドレットが用意されていますが、 オンライン上では説明のみで詳細なコマンド オプション情報については公開されていないようです。

このヘルプ情報について、オンライン上で日本語として確認したいと思い、本ブログ上で纏めたいと思います (内容については「Get-Help」コマンドレットの-Fullオプションを用いて実行した結果を編集したものとなります)。

この記事では、「Get-FseIncident」コマンドレットについて記載します (他のコマンドレットについては、「FPE 2010のForefront管理シェルで使用できるコマンドレットについて」を参照)。

■名前

Get-FseIncident

■概要

インシデント データベースからレコードを取得します。

■構文

Get-FseIncident [-Count <int>] [-Descending] [-Filter <string>] [-Sort <string>]
[<CommonParameters>]

■説明

インシデント データベースからレコードを取得します。このデータベースには、Microsoft Forefront Protection 2010 for Exchange Server (FPE) によって検出されたすべてのインシデントを表すレコード (メタデータ) が含まれています。各インシデントは一意のインシデントIDで表されます。

このコマンドレットを使用して、検出されたインシデントを示すレコードを表示します。インシデント データベースからアイテムを削除するには、Remove-FseIncidentを使用します。インシデント データベースのオプションを構成するには、Set-FseIncidentOptionsを使用します。

パラメーターを指定せずに Get-FseIncidentを実行すると、すべてのレコードが返されます。フィルターされた結果セットを作成するには、-Filterパラメーターを使用します。結果セットから返されるレコードの数を制御するには、-Countパラメーターを使用します。結果セットから返されたレコードを並べ替えるには、-Sortパラメーターを使用します。

注意: Get-FseIncidentからのすべての応答には、結果セットに含まれるレコード数の合計を示すフィールドが含まれます。

注意: 結果セットを.csvファイルにエクスポートするには、次の例を参照してください。

■パラメーター

-Count <int>
返されるレコードの最大数を指定します。省略可能です。有効な値は1以上の任意の整数です。このパラメーターが指定されない場合、すべてのレコードが返されます。

必須 false
位置 named
既定値
パイプライン入力を許可する true (ByPropertyName)
ワイルドカード文字を許可する false

-Descending [<SwitchParameter>]
レコードを降順に示す必要があることを示します。省略可能です。-Sortパラメーターと組み合わせた場合のみ使用できます。使用しない場合、レコードは昇順で返されます。

必須 false
位置 named
既定値
パイプライン入力を許可する false
ワイルドカード文字を許可する false

-Filter <string>
インシデント データベースをフィルターする条件を指定します。省略可能です。フィルター文字列には1,024文字の制限があります。

注意: フィルター文字列のすべての部分の間には、スペースを1個ずつ挿入する必要があります。文字列全体を引用符で囲みます。

以下のフィールドでフィルターできます。

  • BccAddresses
  • BccNames
  • CcAddresses
  • CcNames
  • DetectionTime
  • Direction
  • DomainName
  • File
  • Folder
  • ID
  • IncidentCategory
  • IncidentName
  • LastModifiedTime
  • MessageID
  • ProductVersion
  • ReceivedTime
  • RecipientAddresses
  • RecipientNames
  • RmsProtected
  • ScanJobType
  • SenderAddress
  • SenderHost
  • SenderIP
  • SenderLocation
  • SenderName
  • SentTime
  • SequenceID
  • ServerName
  • State
  • Subject
  1. DateTimeフィールドを使用したフィルタリングです。
    DateTimeフィールド (DetectionTime、LastModifiedTime、ReceivedTime、およびSentTime) では、以下のいずれかの構文を使用できます (引用符で囲む)。

     -Filter &quot;DetectionTime &lt;operator&gt; &lt;value&gt;&quot; -Filter &quot;DetectionTime BETWEEN &lt;value1&gt; AND &lt;value2&gt;&quot; 

    許可される演算子は次のとおりです。

    • “<” または “-lt” – (未満) “<=” または”-le” – (以下) “>” または “-gt” – (より大きい) “>=” または “-ge” – (以上) “=” または “-eq” – (等しい)

    FPEでは、入力された値を自動的にDateTimeデータ型に変換しようとします。値を期待どおりに確実に変換するには、次のISO日付時刻書式に従って入力する必要があります。

    • YYYY-MM-DDThh:mm:ss.sTZD

    たとえば、2007-07-16T19:20:20.45+01:00は有効な時刻形式です。TZD (Time Zone Designator) は省略可能です。指定しない場合、既定でサーバーのローカル タイム ゾーンに設定されます。UTC時間を使用するには、TZDを+00:00に指定します。

    注意: フィルター パラメーターで提供される時間の値は、サーバーのローカル時刻として認識されます。

    例:

    1. 10:00以降の検出時刻を要求するには、次のように指定します。
       &quot;DetectionTime &gt; 10:00&quot; 
    2. 10:00~15:00 (境界を含む) の検出時刻を要求するには、次のように指定します。
       &quot;DetectionTime BETWEEN 10:00 AND 15:00&quot; 
    3. 今日発生したすべてのインシデントを要求するには、次のように指定します。
       $Today = [DateTimeOffset]::Now.Date $Tomorrow = $Today.AddDays(1) $incidents = Get-FseIncident -filter &quot;DetectionTime BETWEEN '$Today' AND '$Tomorrow'&quot; 

    -filterパラメーターの日付変数はアポストロフィで囲む必要があります。

  2. 固定の値を含むフィールドを使用したフィルタリングです。

    特定のフィールドには、固定の値セットが含まれます。Direction、IncidentCategory、RmsProtected、ScanJobType、およびStateです。

    固定の値セットを含むフィールドでフィルターするには、次の構文を使用します。

     -Filter &quot;Field = SearchString&quot; 

    SearchStringに指定可能な値は次のとおりです。

    • Direction: Inbound, Outbound, Internal, InboundAndOutbound, None
    • State: Removed, Purged, Cleaned, Identified, Detected, Rejected, Deleted, QuarantinedAsSpam, TaggedAndAccepted
    • IncidentCategory: Virus, Spam, Spyware, KeywordFilter, SubjectFilter, FileFilter, SenderFilter, Incident
    • RmsProtected: true, false
    • ScanJobType: Realtime, Scheduled, OnDemand, Transport

    たとえば、クリーニングされたインシデントのみを表示するには、次のように指定します。

     Get-FseIncident -filter &quot;State = cleaned&quot; 
  3. 固定の値セットを含まないフィールドを使用したフィルタリングです。

    他のすべてのフィールドでは、次の形式の構文が使用されます。

     -Filter &quot;Field = SearchString&quot; 

    “Field”は、-Filterを開始する時点でリスト内にあるその他のフィールドのいずれかです。SearchStringは、フィルター対象の値です。

    たとえば、VeryEvilウイルスが原因で発生したインシデントのみを表示するには、次のように指定します。

     Get-FseIncident -Filter &quot;IncidentName = VeryEvil&quot; 
必須 false
位置 named
既定値 no value
パイプライン入力を許可する true (ByPropertyName)
ワイルドカード文字を許可する false

-Sort <string>
インシデント データベースの結果を並べ替える条件を指定します。省略可能です。並べ替え文字列には 1,024 文字の制限があります。並べ替え条件の構文は次のとおりです。

 -Sort &lt;field&gt;&amp;nbsp; [-Descending] 

 

以下の任意のフィールドで並べ替えることができます。

  • BccAddresses
  • BccNames
  • CcAddresses
  • CcNames
  • DetectionTime
  • Direction
  • DomainName
  • File
  • Folder
  • ID
  • IncidentCategory
  • IncidentName
  • LastModifiedTime
  • MessageID
  • ProductVersion
  • ReceivedTime
  • RecipientAddresses
  • RecipientNames
  • RmsProtected
  • ScanJobType
  • SenderAddress
  • SenderHost
  • SenderIP
  • SenderLocation
  • SenderName
  • SentTime
  • SequenceID
  • ServerName
  • State
  • Subject

オプションの -Descendingパラメーターを使用しない限り、結果は昇順で並べ替えられます。

必須 false
位置 named
既定値 no value
パイプライン入力を許可する false
ワイルドカード文字を許可する false

<CommonParameters>
このコマンドレットは、次の共通パラメーターをサポートします: VerboseDebugErrorActionErrorVariableWarningActionWarningVariableOutBuffer、およびOutVariable。詳細については、「get-help about_commonparameters」と入力してヘルプを参照してください。

■入力

 

■出力

 

■メモ

 

■例

例1

 Get-FseIncident | Out-Host -Paging 

例1:出力結果

Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            :
SenderName         : Carlos
SenderAddress      : Carlos@contoso.testdomain.local
SenderIP           :
SenderHost         :
RecipientNames     : Administrator ;AutoAdmin
RecipientAddresses : Administrator@contoso.testdomain.local
CcNames            :
CcAddresses        :
BccNames           :
BccAddresses       :
MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso.testdomain.local>
SequenceID         : 1
EstimatedCount     : 2
ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
DetectionTime      : 10/20/2008 5:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
File               : winmail.dat->EICAR.TXT
LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00
DomainName         : contoso.testdomain.local
ProductVersion     : 285213059
RmsProtected       : False
ScanJobType        : Transport
ServerName         : contoso-VM01
FileType           : 0
SenderLocation     : Internal
Details            : {MICROSOFT}
DetailsAsPSObject  : {MICROSOFT}

例1:説明

すべてのインシデントに関する情報を返します。結果は、コマンド ウィンドウ内に1ページずつ表示されます。次のページを表示するにはSpaceキーを押します。また、終了するにはQキーを押します。

単一のインシデントが示されます。

例2

 Get-FseIncident | Export-CSV c:Quarantine.csv 

例2:出力結果

There is no output if the command completes successfully.

例2:説明

検疫されたすべてのファイルに関する情報を返します。結果は、指定されたファイルにCSV (コンマ区切り値) 形式で保存されます。

例3

 Get-FseIncident -Filter &quot;DetectionTime &gt; 13:30&quot; 

例3:出力結果

Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            :
SenderName         : Carlos
SenderAddress      : Carlos@contoso.testdomain.local
SenderIP           :
SenderHost         :
RecipientNames     : Administrator ;AutoAdmin
RecipientAddresses : Administrator@contoso.testdomain.local
CcNames            :
CcAddresses        :
BccNames           :
BccAddresses       :
MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso.testdomain.local>
SequenceID         : 1
EstimatedCount     : 2
ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
DetectionTime      : 10/20/2008 13:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
File               : winmail.dat->EICAR.TXT
LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00
DomainName         : contoso.testdomain.local
ProductVersion     : 285213059
RmsProtected       : False
ScanJobType        : Transport
ServerName         : contoso-VM01
FileType           : 0
SenderLocation     : Internal
Details            : {MICROSOFT}
DetailsAsPSObject  : {MICROSOFT}

例3:説明

問題のあるメッセージに関して、今日の13:30以降に検出され、データベースに書き込まれたすべてのインシデントを返します。

単一のインシデントが示されます。

例4

 Get-FseIncident -Filter &quot;DetectionTime BETWEEN 2008-10-20T01:20:00.00 AND 2008-10-20T23:30:00.00&quot; 

例4:出力結果

Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            :
SenderName         : Carlos
SenderAddress      : Carlos@contoso.testdomain.local
SenderIP           :
SenderHost         :
RecipientNames     : Administrator ;AutoAdmin
RecipientAddresses : Administrator@contoso.testdomain.local
CcNames            :
CcAddresses        :
BccNames           :
BccAddresses       :
MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso.testdomain.local>
SequenceID         : 1
EstimatedCount     : 2
ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
DetectionTime      : 10/20/2008 5:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
File               : winmail.dat->EICAR.TXT
LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00
DomainName         : contoso.testdomain.local
ProductVersion     : 285213059
RmsProtected       : False
ScanJobType        : Transport
ServerName         : contoso-VM01
FileType           : 0
SenderLocation     : Internal
Details            : {MICROSOFT}
DetailsAsPSObject  : {MICROSOFT}

例4:説明

問題のあるメッセージに関して、2008年10月20日の01:20~23:30の間に検出され、データベースに書き込まれたすべてのインシデントを返します。

単一のインシデントが示されます。

例5

 Get-FseIncident -Filter &quot;Subject = Here's a virus for you&quot; 

例5:出力結果

Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            : Here’s a virus for you
SenderName         : Carlos
SenderAddress      : Carlos@contoso.testdomain.local
SenderIP           :
SenderHost         :
RecipientNames     : Administrator ;AutoAdmin
RecipientAddresses : Administrator@contoso.testdomain.local
CcNames            :
CcAddresses        :
BccNames           :
BccAddresses       :
MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso.testdomain.local>
SequenceID         : 1
EstimatedCount     : 2
ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813}
DetectionTime      : 10/20/2008 5:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
File               : winmail.dat->EICAR.TXT
LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00
DomainName         : contoso.testdomain.local
ProductVersion     : 285213059
RmsProtected       : False
ScanJobType        : Transport
ServerName         : contoso-VM01
FileType           : 0
SenderLocation     : Internal
Details            : {MICROSOFT}
DetailsAsPSObject  : {MICROSOFT}

例5:説明

インシデント データベースに書き込まれたアイテムのうち、特定の件名が設定されているすべてのアイテムに関する情報を返します。

単一のインシデントが示されます。

例6

 Get-FseIncident -Filter &quot;IncidentCategory = virus&quot; -Sort SenderAddress 

例6:出力結果

Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            : Here’s a virus for you
SenderName         : Carlos
SenderAddress      : Carlos@contoso.testdomain.local
.
.
.
DetectionTime      : 10/20/2008 5:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
.
.
.

Folder             : SMTP Messages
Direction          : Internal
SentTime           : 10/20/2008 5:32:17 PM +00:00
ReceivedTime       : 10/20/2008 5:32:19 PM +00:00
Subject            : Another virus for you
SenderName         : Herbie
SenderAddress      : Herbie@contoso.testdomain.local
.
.
.
DetectionTime      : 10/20/2008 5:32:19 PM +00:00
State              : Removed
IncidentCategory   : Virus
IncidentName       : DOS/EICAR_Test_File
.
.
.

例6:説明

インシデント データベースに書き込まれたすべてのアイテムのうち、ウイルスが原因で発生したアイテムに関する情報を返します。結果は送信者別に並べ替えられます。

2つのインシデントの一部を示しています。

■関連するリンク

  • Remove-FseIncident
  • Get-FseIncidentOptions
  • Set-FseIncidentOptions

[参考]

タイトルとURLをコピーしました