FPSP 2010のForefront管理シェルで使用できるコマンドレット (Get-FsspIncident) について

スポンサーリンク

Forefront Protection 2010 for SharePoint (FPSP 2010) のForefront管理シェルは、PowerShellを用いたコマンドラインインタフェースです。

Forefront管理シェルは、FPSP 2010の管理を目的として様々なコマンドレットが用意されていますが、 オンライン上では説明のみで詳細なコマンド オプション情報については公開されていないようです。

このヘルプ情報について、オンライン上で日本語として確認したいと思い、本ブログ上で纏めたいと思います (内容については「Get-Help」コマンドレットの-Fullオプションを用いて実行した結果を編集したものとなります)。

この記事では、「Get-FsspIncident」コマンドレットについて記載します (他のコマンドレットについては、「FPSP 2010のForefront管理シェルで使用できるコマンドレットについて」を参照)。

■名前

Get-FsspIncident

■概要

インシデント データベースからレコードを取得します。

■構文

Get-FsspIncident [-Count <UInt32>] [-Descending] [-Filter <string>] [-Sort <string>]
     [<CommonParameters>]

■説明

インシデント データベースからレコードを取得します。このデータベースには、Forefront Protection 2010 for SharePoint (FPSP) によって検出されたすべてのインシデントを表すレコード (メタデータ) が含まれています。各インシデントは一意のインシデントIDで表されます。

このコマンドレットを使用して、検出されたインシデントを示すレコードを表示します。インシデント データベースからアイテムを削除するには、Remove-FsspIncidentを使用します。インシデント データベースのオプションを構成するには、Set-FsspIncidentOptionsを使用します。

パラメータを指定せずにGet-FsspIncidentを実行すると、すべてのレコードが返されます。フィルタされた結果セットを作成するには、-Filterパラメータを使用します。結果セットから返されるレコードの数を制御するには、-Countパラメータを使用します。結果セットから返されたレコードを並べ替えるには、-Sortパラメータを使用します。

注意: Get-FsspIncidentからのすべての応答には、結果セットに含まれるレコードの合計数を示すフィールドが含まれます。

注意: 結果セットを.csvファイルにエクスポートするには、次の例を参照してください。

■パラメーター

-Count <UInt32>
返されるレコードの最大数を指定します。省略可能です。有効な値は1以上の任意の整数です。 このパラメータが指定されない場合、すべてのレコードが返されます。

必須false
位置named
既定値
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-Descending [<SwitchParameter>]
レコードを降順に示す必要があることを示します。省略可能です。-Sortパラメータと組み合わせた場合のみ使用できます。使用しない場合、レコードは昇順で返されます。

必須false
位置named
既定値
パイプライン入力を許可するfalse
ワイルドカード文字を許可するfalse

-Filter <string>
インシデント データベースをフィルタする条件を指定します。省略可能です。フィルタ文字列には1,024文字の制限があります。

注意: フィルタ文字列のすべての部分の間には、スペースを1個ずつ挿入する必要があります。文字列全体を引用符で囲みます。

以下のフィールドでフィルタできます。

AuthorEmail、AuthorName、DetectionTime、DomainName、File、ID、IncidentCategory、IncidentName、LastModifiedEmail、LastModifiedName、LastModifiedTime、ProductVersion、ScanJobType、SequenceID、ServerName、SharepointPath、State、TransferDirection、UserName

  1. DateTimeフィールドを使用したフィルタリングです。

    DateTimeフィールド (DetectionTimeおよびLastModifiedTime) では、次のいずれかの構文を使用できます (引用符で囲む)。

    • -Filter “DetectionTime <operator> <value>”
    • -Filter “DetectionTime BETWEEN <value1> AND <value2>”

    許可される演算子は次のとおりです。

    • “<” または “-lt” – (次の値未満) 
    • “<=” または “-le” – (次の値以下)
    • “>” または “-gt” – (次の値より大きい)
    • “>=” または “-ge” – (次の値以上)
    • “=” または “-eq” – (等しい)

    Forefront Protection 2010 for SharePoint (FPSP) では、入力された値は自動的に DateTimeデータ型に変換されます。値を期待どおりに確実に変換するには、次のISO日付時刻書式に従って入力する必要があります。

    YYYY-MM-DDThh:mm:ss.sTZD

    たとえば、2007-07-16T19:20:20.45+01:00 は有効な時刻形式です。TZD (Time Zone Designator) は省略可能です。指定しない場合、既定でサーバーのローカル タイム ゾーンに設定されます。UTC時間を使用するには、TZDを+00:00に指定します。

    注意: フィルタ パラメータで提供される時間の値は、サーバーのローカル時刻として認識されます。

    例:

    1. 10:00 以降の検出時刻を要求するには、次のように指定します。
      &quot;DetectionTime &gt; 10:00&quot;
    2. 10:00 ~ 15:00 (両端を含む) の検出時刻を要求するには、次のように指定します。
      &quot;DetectionTime BETWEEN 10:00 AND 15:00&quot;
    3. 今日検疫されたすべてのアイテムを要求するには、次のように指定します。
      $Today = [DateTimeOffset]::Now.Date
      $Tomorrow = $Today.AddDays(1)
      $incidents = Get-FsspQuarantine -filter &quot;DetectionTime BETWEEN '$Today' AND '$Tomorrow'&quot;

    -filterパラメータの日付変数はアポストロフィで囲む必要があります。

  2. 固定の値を含むフィールドを使用したフィルタリングです。

    特定のフィールドには、固定の値セットが含まれます。IncidentCategory、RmsProtected、ScanJobType、およびState。

    固定の値セットを含むフィールドでフィルタするには、次の構文を使用します。

    -Filter &quot;Field = SearchString&quot;

    SearchStringに指定可能な値は次のとおりです。

    • State: Cleaned、Removed、Deleted、Detected、Suspended
    • IncidentCategory: Virus、Spyware、KeywordFilter、FileFilter、Incident
    • RmsProtected: true、false
    • ScanJobType: Realtime、Scheduled、OnDemand

    たとえば、クリーニングされた検疫済みのアイテムだけを表示するには、次のように指定します。

    Get-FsspQuarantine -filter &quot;State = cleaned&quot;

  3. 固定の値セットを含まないフィールドを使用したフィルタリングです。

    他のすべてのフィールドでは、次の形式の構文が使用されます。

    -Filter &quot;Field = SearchString&quot;

    “Field”は、-Filterを開始する時点でリスト内にあるその他のフィールドのいずれかです。SearchStringは、フィルタ対象の値です。

    たとえば、VeryEvilウイルスによって発生した検疫済みのアイテムだけを表示するには、次のように指定します。

    Get-FsspQuarantine -Filter &quot;IncidentName = VeryEvil&quot;

必須false
位置named
既定値no value
パイプライン入力を許可するtrue (ByPropertyName)
ワイルドカード文字を許可するfalse

-Sort <string>
インシデント データベースの結果を並べ替える条件を指定します。省略可能です。並べ替え文字列には1,024文字の制限があります。並べ替え条件の構文は次のとおりです。

-Sort &lt;Field&gt; [-Descending]

次のフィールドで並べ替えることができます。

AuthorEmail、AuthorName、DetectionTime、DomainName、File、ID、IncidentCategory、IncidentName、LastModifiedEmail、LastModifiedName、LastModifiedTime、ProductVersion、ScanJobType、SequenceID、ServerName、SharepointPath、State、TransferDirection、UserName

オプションの -Descendingパラメータを使用しない限り、結果は昇順で並べ替えられます。

必須false
位置named
既定値no value
パイプライン入力を許可するfalse
ワイルドカード文字を許可するfalse

<CommonParameters>
このコマンドレットは、次の共通パラメーターをサポートします: VerboseDebugErrorActionErrorVariableWarningActionWarningVariableOutBuffer、およびOutVariable。詳細については、「get-help about_commonparameters」と入力してヘルプを参照してください。

■入力

■出力

■メモ

■例

例1

 Get-FsspIncident | Out-Host -Paging 

例1:出力結果

UserName          : fredAdministrator
AuthorName        : fredAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : fredAdministrator
SharepointPath    : **During Scanning**
LastModifiedEmail : <n/a>
TransferDirection : 0
SequenceID        : 6
EstimatedCount    : 6
ID                : {30801FF7-A011-457A-84B6-D59198A1779B}
DetectionTime     : 2/1/2009 8:56:17 AM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
File              : eicar.zip->eicar.doc
LastModifiedTime  : 2/1/2009 8:56:18 AM +00:00
DomainName        :
ProductVersion    : 285213248
RmsProtected      : False
ScanJobType       : Realtime
ServerName        : FRED-O12
FileType          : 0
SenderLocation    : Internal
Details           : {MICROSOFT}
DetailsAsPSObject : {MICROSOFT}

例1:説明

すべてのインシデントに関する情報を返します。結果は、コマンド ウィンドウ内に1ページずつ表示されます。次のページを表示するにはSpaceキーを押します。また、終了するにはQキーを押します。

単一のインシデントが示されます。

例2

 Get-FsspIncident | Export-CSV c:Quarantine.csv 

例2:説明

検疫されたすべてのファイルに関する情報を返します。結果は、指定されたファイルにCSV (コンマ区切り値) 形式で保存されます。

コマンドが正常に完了した場合は、何も出力されません。

例3

 Get-FsspIncident -Filter &quot;DetectionTime &gt; 13:30&quot; 

例3:出力結果

UserName          : fredAdministrator
AuthorName        : fredAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : fredAdministrator
SharepointPath    : **During Scanning**
LastModifiedEmail : <n/a>
TransferDirection : 0
SequenceID        : 6
EstimatedCount    : 6
ID                : {30801FF7-A011-457A-84B6-D59198A1779B}
DetectionTime     : 2/1/2009 8:56:17 PM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
File              : eicar.zip->eicar.doc
LastModifiedTime  : 2/1/2009 8:56:18 AM +00:00
DomainName        :
ProductVersion    : 285213248
RmsProtected      : False
ScanJobType       : Realtime
ServerName        : FRED-O12
FileType          : 0
SenderLocation    : Internal
Details           : {MICROSOFT}
DetailsAsPSObject : {MICROSOFT}

例3:説明

問題のあるファイルに関して、今日の13:30以降に検出され、データベースに書き込まれたすべてのインシデントを返します。

単一のインシデントが示されます。

例4

 Get-FsspIncident -Filter &quot;DetectionTime BETWEEN 2009-02-01T01:20:00.00 AND 2009-02-01T23:30:00.00&quot; 

例4:出力結果

UserName          : fredAdministrator
AuthorName        : fredAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : fredAdministrator
SharepointPath    : **During Scanning**
LastModifiedEmail : <n/a>
TransferDirection : 0
SequenceID        : 6
EstimatedCount    : 6
ID                : {30801FF7-A011-457A-84B6-D59198A1779B}
DetectionTime     : 2/1/2009 8:56:17 AM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
File              : eicar.zip->eicar.doc
LastModifiedTime  : 2/1/2009 8:56:18 AM +00:00
DomainName        :
ProductVersion    : 285213248
RmsProtected      : False
ScanJobType       : Realtime
ServerName        : FRED-O12
FileType          : 0
SenderLocation    : Internal
Details           : {MICROSOFT}
DetailsAsPSObject : {MICROSOFT}

例4:説明

問題のあるファイルに関して、2009年2月1日の01:20~23:30の間に検出され、データベースに書き込まれたすべてのインシデントを返します。

単一のインシデントが示されます。

例5

 Get-FsspIncident -Filter &quot;IncidentCategory = virus&quot; 

例5:出力結果

UserName          : fredAdministrator
AuthorName        : fredAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : fredAdministrator
SharepointPath    : **During Scanning**
LastModifiedEmail : <n/a>
TransferDirection : 0
SequenceID        : 6
EstimatedCount    : 6
ID                : {30801FF7-A011-457A-84B6-D59198A1779B}
DetectionTime     : 2/1/2009 8:56:17 AM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
File              : eicar.zip->eicar.doc
LastModifiedTime  : 2/1/2009 8:56:18 AM +00:00
DomainName        :
ProductVersion    : 285213248
RmsProtected      : False
ScanJobType       : Realtime
ServerName        : FRED-O12
FileType          : 0
SenderLocation    : Internal
Details           : {MICROSOFT}
DetailsAsPSObject : {MICROSOFT}

例5:説明

インシデント データベースに書き込まれたすべてのアイテムのうち、特定のインシデント カテゴリに属するアイテムに関する情報を返します。

単一のインシデントが示されます。

例6

 Get-FsspIncident -Filter &quot;IncidentCategory = virus&quot; -Sort AuthorName 

例6:出力結果

UserName          : carlosAdministrator
AuthorName        : carlosAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : herbieAdministrator
  .
  .
  .
DetectionTime     : 2/1/2009 8:56:17 AM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
  .
  .
  .

UserName          : fredAdministrator
AuthorName        : fredAdministrator
AuthorEmail       : <n/a>
LastModifiedName  : fredAdministrator
  .
  .
  .
DetectionTime     : 2/1/2009 8:56:17 AM +00:00
State             : Removed
IncidentCategory  : Virus
IncidentName      : DOS/EICAR_Test_File
  .
  .
  .

例6:説明

インシデント データベースに書き込まれたすべてのアイテムのうち、ウイルスが原因で発生したアイテムに関する情報を返します。結果は作成者別に並べ替えられます。

2つのインシデントの一部を示しています。

■関連するリンク

  • Remove-FsspIncident
  • Get-FsspIncidentOptions
  • Set-FsspIncidentOptions

[参考]