FPE 2010のForefront管理シェルで使用できるコマンドレット (Get-FseQuarantine) について

Forefront Protection 2010 for Exchange Server (FPE 2010) のForefront管理シェルは、PowerShellを用いたコマンドラインインタフェースです。

Forefront管理シェルは、FPE 2010の管理を目的として様々なコマンドレットが用意されていますが、 オンライン上では説明のみで詳細なコマンド オプション情報については公開されていないようです。

このヘルプ情報について、オンライン上で日本語として確認したいと思い、本ブログ上で纏めたいと思います (内容については「Get-Help」コマンドレットの-Fullオプションを用いて実行した結果を編集したものとなります)。

この記事では、「Get-FseQuarantine」コマンドレットについて記載します (他のコマンドレットについては、「FPE 2010のForefront管理シェルで使用できるコマンドレットについて」を参照)。

■名前

Get-FseQuarantine

■概要

検疫データベースからレコードを取得します。

■構文

Get-FseQuarantine [-Count <int>] [-Descending] [-Filter <string>] [-Sort <string>] [<CommonParameters>]

■説明

検疫データベースからレコードを取得します。このデータベースには、検疫されたアイテムそのものではなく、検疫されたアイテムを表すレコード (メタデータ) が格納されています。各アイテムは一意のIDで表されます。

検疫からアイテムを配信するには、Send-FseQuarantineコマンドレットを使用します。検疫済みのアイテムをディスクに保存するには、Export-FseQuarantineコマンドレットを使用します。

パラメーターを指定せずにGet-FseQuarantineを実行すると、すべてのレコードが返されます。フィルターされた結果セットを作成するには、-Filterパラメーターを使用します。結果セットから返されるレコードの数を制御するには、-Countパラメーターを使用します。結果セットから返されたレコードを並べ替えるには、-Sortパラメーターを使用します。

注意: Get-FseQuarantineからのすべての応答には、結果セットに含まれるレコードの合計数を示すフィールドが含まれます。

■パラメーター

-Count <int>
返されるレコードの最大数を指定します。省略可能です。有効な値は1以上の任意の整数です。このパラメーターが指定されない場合、すべてのレコードが返されます。

必須	false
位置	named
既定値
パイプライン入力を許可する	true (ByPropertyName)
ワイルドカード文字を許可する	false

-Descending [<SwitchParameter>]
レコードを降順に示す必要があることを示します。省略可能です。-Sortパラメーターと組み合わせた場合のみ使用できます。使用しない場合、レコードは昇順で返されます。

必須	false
位置	named
既定値
パイプライン入力を許可する	false
ワイルドカード文字を許可する	false

-Filter <string>
検疫データベースのフィルタリング条件を指定します。省略可能です。フィルター文字列には1,024文字の制限があります。

注意: フィルター文字列のすべての部分の間には、スペースを1個ずつ挿入する必要があります。文字列全体を引用符で囲みます。

以下の任意のフィールドに基づいて並べ替えることができます。

• BccAddresses
• BccNames
• CcAddresses
• CcAddresses
• CcNames
• DetectionTime
• Direction
• DomainName
• File
• Folder
• ID
• IncidentCategory
• IncidentName
• LastModifiedTime
• ProductVersion
• ReceivedTime
• RecipientAddresses
• RecipientNames
• RmsProtected
• ScanJobType
• SenderAddress
• SenderHost
• SenderIP
• SenderLocation
• SenderName
• SentTime
• SequenceID
• ServerName
• State
• Subject

1. DateTime フィールドを使用したフィルタリングです。DateTime フィールド (DetectionTime、LastModifiedTime、ReceivedTime、および SentTime) では、以下のいずれかの構文を使用できます (引用符で囲む)。
   • -Filter “DetectionTime <operator> <value>”
   • -Filter “DetectionTime BETWEEN <value1> AND <value2>”

   許可される演算子は次のとおりです。

   • “<” または “-lt” – (未満) “<=” または”-le” – (以下) “>” または “-gt” – (より大きい) “>=” または “-ge” – (以上) “=” または “-eq” – (等しい)

   Microsoft Forefront Protection 2010 for Exchange Serverは、入力された値を自動的にDateTimeデータ型に変換しようとします。値を期待どおりに確実に変換するには、次のISO日付時刻書式に従って入力する必要があります。

   • YYYY-MM-DDThh:mm:ss.sTZD

   たとえば、2007-07-16T19:20:20.45+01:00は有効な時刻形式です。TZD (Time Zone Designator) は省略可能です。指定しない場合、既定でサーバーのローカル タイム ゾーンに設定されます。UTC時間を使用するには、TZDを+00:00に指定します。

   注意: フィルター パラメーターで提供される時間の値は、サーバーのローカル時刻として認識されます。

   例:

   1. 10:00以降の検出時刻を要求するには、次のように指定します。

       "DetectionTime > 10:00" 

   2. 10:00～15:00 (境界を含む) の検出時刻を要求するには、次のように指定します。

      "DetectionTime BETWEEN 10:00 AND 15:00" 

   3. 今日検疫されたすべてのアイテムを要求するには、次のように指定します。

      $Today = [DateTimeOffset]::Now.Date<br>$Tomorrow = $Today.AddDays(1)<br>$incidents = Get-FseQuarantine -filter "DetectionTime BETWEEN ' $Today' AND '$Tomorrow'" 

   -filterパラメーターの日付変数はアポストロフィで囲む必要があります。

2. 固定の値を含むフィールドを使用したフィルタリングです。特定のフィールドには、固定の値セットが含まれます。
   • Direction
   • IncidentCategory
   • RmsProtected
   • ScanJobType
   • State

   固定の値セットを含むフィールドでフィルターするには、次の構文を使用します。

    -Filter "Field = SearchString" 

   SearchStringに指定可能な値は次のとおりです。

   • Direction: Inbound, Outbound, Internal, InboundAndOutbound, None
   • State: Removed, Purged, Cleaned, Identified, Detected, Rejected, Deleted, QuarantinedAsSpam, TaggedAndAccepted
   • IncidentCategory: Virus, Spam, Spyware, KeywordFilter, SubjectFilter, FileFilter, SenderFilter, Incident
   • RmsProtected: true, false
   • ScanJobType: Realtime, Scheduled, OnDemand, Transport

   たとえば、クリーニングされた検疫済みのアイテムだけを表示するには、次のように指定します。

    Get-FseIncident -filter "State = cleaned" 

    

3. 固定の値セットを含まないフィールドを使用したフィルタリングです。他のすべてのフィールドでは、次の形式の構文が使用されます。

    -Filter "Field = SearchString" 

   “Field”は、-Filterを開始する時点でリスト内にあるその他のフィールドのいずれかです。SearchStringは、フィルター対象の値です。

   たとえば、VeryEvilウイルスによって発生した検疫済みのアイテムだけを表示するには、次のように指定します。

    Get-FseQuarantine -Filter "IncidentName = VeryEvil" 

必須	false
位置	named
既定値	no value
パイプライン入力を許可する	true (ByPropertyName)
ワイルドカード文字を許可する	false

-Sort <string>
検疫データベースから取得された結果の並べ替え条件を指定します。省略可能です。並べ替え文字列には1,024文字の制限があります。並べ替え条件の構文は次のとおりです。

 -Sort <Field> [-Descending] 

以下の任意のフィールドに基づいて並べ替えることができます。

• BccAddresses
• BccNames
• CcAddresses
• CcNames
• DetectionTime
• Direction
• DomainName
• File
• Folder
• ID
• IncidentCategory
• IncidentName
• LastModifiedTime
• MessageID
• ProductVersion
• ReceivedTime
• RecipientAddresses
• RecipientNames
• RmsProtected
• ScanJobType
• SenderAddress
• SenderHost
• SenderIP
• SenderLocation
• SenderName
• SentTime
• SequenceID
• ServerName
• State
• Subject

オプションの -Descendingパラメーターを使用しない限り、結果は昇順で並べ替えられます。

必須	false
位置	named
既定値	no value
パイプライン入力を許可する	false
ワイルドカード文字を許可する	false

<CommonParameters>
このコマンドレットは、次の共通パラメーターをサポートします: Verbose、Debug、ErrorAction、ErrorVariable、WarningAction、WarningVariable、OutBuffer、およびOutVariable。詳細については、「get-help about_commonparameters」と入力してヘルプを参照してください。

■入力

■出力

■メモ

■例

例1

 Get-FseQuarantine | Out-Host -Paging 

例1:出力結果

DeliveredTime      : FileSize           : 69 FileName           : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} Folder             : SMTP Messages Direction          : Internal SentTime           : 10/20/2008 5:32:17 PM +00:00 ReceivedTime       : 10/20/2008 5:32:19 PM +00:00 Subject            : SenderName         : Carlos SenderAddress      : Carlos@contoso.testdomain.local SenderIP           : SenderHost         : RecipientNames     : Administrator ;AutoAdmin RecipientAddresses : Administrator@contoso.testdomain.local;AutoAdmin@contoso.testdomain.local CcNames            : CcAddresses        : BccNames           : BccAddresses       : MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso..testdomain.local> SequenceID         : 1 EstimatedCount     : 2 ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} DetectionTime      : 10/20/2008 5:32:19 PM +00:00 State              : Removed IncidentCategory   : Virus IncidentName       : DOS/EICAR_Test_File File               : winmail.dat->EICAR.TXT LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00 DomainName         : contoso.testdomain.local ProductVersion     : 285213059 RmsProtected       : False ScanJobType        : Transport ServerName         : contoso-VM01 FileType           : 0 SenderLocation     : Internal Details            : {MICROSOFT} DetailsAsPSObject  : {MICROSOFT}

例1:説明

結果の表示 (一度に1ページ)

検疫されたすべてのファイルに関する情報を返します。結果は、コマンド ウィンドウ内に1ページずつ表示されます。次のページを表示するには、Spaceキーを押します。終了するには、「Q」と入力します。

検疫済みの単一のアイテムが示されます。

例2

 Get-FseQuarantine | Export-CSV c:Quarantine.csv 

例2:出力結果

There is no output if this command completes successfully.

例2:説明

ファイルへの結果の保存 (CSV 形式)

検疫されたすべてのファイルに関する情報を返します。結果は、指定されたファイルにCSV (コンマ区切り値) 形式で保存されます。

例3

 Get-FseQuarantine -Filter "DetectionTime > 13:30" 

例3:出力結果

DeliveredTime      : FileSize           : 69 FileName           : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} Folder             : SMTP Messages Direction          : Internal SentTime           : 10/20/2008 5:32:17 PM +00:00 ReceivedTime       : 10/20/2008 5:32:19 PM +00:00 Subject            : SenderName         : Carlos SenderAddress      : Carlos@contoso.testdomain.local SenderIP           : SenderHost         : RecipientNames     : Administrator ;AutoAdmin RecipientAddresses : Administrator@contoso.testdomain.local;AutoAdmin@contoso.testdomain.local CcNames            : CcAddresses        : BccNames           : BccAddresses       : MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso..testdomain.local> SequenceID         : 1 EstimatedCount     : 2 ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} DetectionTime      : 10/20/2008 13:32:19 PM +00:00 State              : Removed IncidentCategory   : Virus IncidentName       : DOS/EICAR_Test_File File               : winmail.dat->EICAR.TXT LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00 DomainName         : contoso.testdomain.local ProductVersion     : 285213059 RmsProtected       : False ScanJobType        : Transport ServerName         : contoso-VM01 FileType           : 0 SenderLocation     : Internal Details            : {MICROSOFT} DetailsAsPSObject  : {MICROSOFT}

例3:説明

DateTimeフィールドのフィルタリング

問題のあるメッセージに関して、今日の13:30以降に検出され、検疫データベースに書き込まれたすべてのアイテムに関する情報を返します。

検疫済みの単一のアイテムが示されます。

例4

 Get-FseQuarantine -Filter "DetectionTime BETWEEN 2008-10-20T01:20:00.00 AND 2008-10-20T23:30:00.00" 

例4:出力結果

DeliveredTime      : FileSize           : 69 FileName           : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} Folder             : SMTP Messages Direction          : Internal SentTime           : 10/20/2008 5:32:17 PM +00:00 ReceivedTime       : 10/20/2008 5:32:19 PM +00:00 Subject            : SenderName         : Carlos SenderAddress      : Carlos@contoso.testdomain.local SenderIP           : SenderHost         : RecipientNames     : Administrator ;AutoAdmin RecipientAddresses : Administrator@contoso.testdomain.local;AutoAdmin@contoso.testdomain.local CcNames            : CcAddresses        : BccNames           : BccAddresses       : MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso..testdomain.local> SequenceID         : 1 EstimatedCount     : 2 ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} DetectionTime      : 10/20/2008 5:32:19 PM +00:00 State              : Removed IncidentCategory   : Virus IncidentName       : DOS/EICAR_Test_File File               : winmail.dat->EICAR.TXT LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00 DomainName         : contoso.testdomain.local ProductVersion     : 285213059 RmsProtected       : False ScanJobType        : Transport ServerName         : contoso-VM01 FileType           : 0 SenderLocation     : Internal Details            : {MICROSOFT} DetailsAsPSObject  : {MICROSOFT}

例4:説明

時間の範囲を使用したDateTimeフィールドのフィルタリング

問題のあるメッセージに関して、2008年10月20日の01:20～23:30の間に検出され、検疫データベースに書き込まれたすべてのアイテムに関する情報を返します。

検疫済みの単一のアイテムが示されます。

例5

 Get-FseQuarantine -Filter "Subject = Here's a virus for you" 

例5:出力結果

DeliveredTime      : FileSize           : 69 FileName           : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} Folder             : SMTP Messages Direction          : Internal SentTime           : 10/20/2008 5:32:17 PM +00:00 ReceivedTime       : 10/20/2008 5:32:19 PM +00:00 Subject            :  Here’s a virus for you SenderName         : Carlos SenderAddress      : Carlos@contoso.testdomain.local SenderIP           : SenderHost         : RecipientNames     : Administrator ;AutoAdmin RecipientAddresses : Administrator@contoso.testdomain.local;AutoAdmin@contoso.testdomain.local CcNames            : CcAddresses        : BccNames           : BccAddresses       : MessageID          : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso..testdomain.local> SequenceID         : 1 EstimatedCount     : 2 ID                 : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} DetectionTime      : 10/20/2008 5:32:19 PM +00:00 State              : Removed IncidentCategory   : Virus IncidentName       : DOS/EICAR_Test_File File               : winmail.dat->EICAR.TXT LastModifiedTime   : 10/20/2008 5:32:20 PM +00:00 DomainName         : contoso.testdomain.local ProductVersion     : 285213059 RmsProtected       : False ScanJobType        : Transport ServerName         : contoso-VM01 FileType           : 0 SenderLocation     : Internal Details            : {MICROSOFT} DetailsAsPSObject  : {MICROSOFT}

例5:説明

DateTime以外のフィールドのフィルタリング

検疫データベースに書き込まれたアイテムのうち、特定の件名が設定されているすべてのアイテムに関する情報を返します。

検疫済みの単一のアイテムが示されます。

例6

 Get-FseQuarantine -Filter "IncidentCategory = virus" -Sort SenderAddress 

例6:出力結果

Folder             : SMTP Messages Direction          : Internal SentTime           : 10/20/2008 5:32:17 PM +00:00 ReceivedTime       : 10/20/2008 5:32:19 PM +00:00 Subject            : Here’s a virus for you SenderName         : Carlos SenderAddress      : Carlos@contoso.testdomain.local . . . DetectionTime      : 10/20/2008 5:32:19 PM +00:00 State              : Removed IncidentCategory   : Virus IncidentName       : DOS/EICAR_Test_File . . .Folder             : SMTP Messages Direction          : Internal SentTime           : 10/20/2008 5:32:17 PM +00:00 ReceivedTime       : 10/20/2008 5:32:19 PM +00:00 Subject            : Another virus for you SenderName         : Herbie SenderAddress      : Herbie@contoso.testdomain.local . . . DetectionTime      : 10/20/2008 5:32:19 PM +00:00 State              : Removed IncidentCategory   : Virus IncidentName       : DOS/EICAR_Test_File . . .

例6:説明

出力の並べ替え

検疫データベースに書き込まれたすべてのアイテムの中で、ウイルスによって発生したものに関する情報を返します。結果は送信者別に並べ替えられます。

2つのインシデントの一部を示しています。

■関連するリンク

• Export-FseQuarantine
• Send-FseQuarantine
• Remove-FseQuarantine
• Get-FseQuarantineOptions
• Set-FseQuarantineOptions

[参考]

• Forefront Protection 2010 for Exchange Server : ホーム
  http://www.microsoft.com/japan/forefront/protection-for-exchange/default.mspx
• Microsoft Forefront Protection 2010 for Exchange Server
  http://technet.microsoft.com/ja-jp/library/cc482977.aspx
• Forefront Protection 2010 for Exchange Server : ホワイト ペーパー
  http://www.microsoft.com/japan/forefront/protection-for-exchange/white-papers.mspx
• Updates for Microsoft Forefront and Related Technologies
  http://technet.microsoft.com/en-us/forefront/ff899332