Forefront Protection 2010 for SharePoint (FPSP 2010) のForefront管理シェルは、PowerShellを用いたコマンドラインインタフェースです。
Forefront管理シェルは、FPSP 2010の管理を目的として様々なコマンドレットが用意されていますが、 オンライン上では説明のみで詳細なコマンド オプション情報については公開されていないようです。
このヘルプ情報について、オンライン上で日本語として確認したいと思い、本ブログ上で纏めたいと思います (内容については「Get-Help」コマンドレットの-Fullオプションを用いて実行した結果を編集したものとなります)。
この記事では、「Get-FsspQuarantine」コマンドレットについて記載します (他のコマンドレットについては、「FPSP 2010のForefront管理シェルで使用できるコマンドレットについて」を参照)。
■名前
Get-FsspQuarantine
■概要
検疫データベースからレコードを取得します。
■構文
Get-FsspQuarantine [-Count <UInt32>] [-Descending] [-Filter <string>] [-Sort <string>] [<CommonParameters>] |
■説明
検疫データベースからレコードを取得します。このデータベースには、検疫されたアイテムそのものではなく、検疫されたアイテムを表すレコード (メタデータ) が格納されています。各アイテムは一意のIDで表されます。
検疫済みのアイテムをディスクに保存するには、Export-FsspQuarantineコマンドレットを使用します。
パラメータを指定せずにGet-FsspQuarantineを実行すると、すべてのレコードが返されます。フィルタされた結果セットを作成するには、-Filterパラメータを使用します。結果セットから返されるレコードの数を制御するには、-Countパラメータを使用します。結果セットから返されたレコードを並べ替えるには、-Sortパラメータを使用します。
注意: Get-FsspQuarantineからのすべての応答には、結果セットに含まれるレコードの合計数を示すフィールドが含まれます。
■パラメーター
-Count <UInt32>
返されるレコードの最大数を指定します。省略可能です。有効な値は1以上の任意の整数です。このパラメータが指定されない場合、すべてのレコードが返されます。
必須 | false |
位置 | named |
既定値 | |
パイプライン入力を許可する | true (ByPropertyName) |
ワイルドカード文字を許可する | false |
-Descending [<SwitchParameter>]
レコードを降順に示す必要があることを示します。省略可能です。-Sortパラメータと組み合わせた場合のみ使用できます。使用しない場合、レコードは昇順で返されます。
必須 | false |
位置 | named |
既定値 | |
パイプライン入力を許可する | false |
ワイルドカード文字を許可する | false |
-Filter <string>
検疫データベースのフィルタリング条件を指定します。省略可能です。フィルタ文字列には1,024文字の制限があります。
注意: フィルタ文字列のすべての部分の間には、スペースを1個ずつ挿入する必要があります。文字列全体を引用符で囲みます。
以下の任意のフィールドに基づいて並べ替えることができます。
AuthorEmail、AuthorName、DetectionTime、DomainName、File、ID、IncidentCategory、IncidentName、LastModifiedEmail、LastModifiedName、LastModifiedTime、ProductVersion、ScanJobType、SequenceID、ServerName、SharepointPath、State、TransferDirection、UserName
- DateTimeフィールドを使用したフィルタリングです。
DateTimeフィールド (DetectionTimeおよびLastModifiedTime) では、次のいずれかの構文を使用できます (引用符で囲む)。
- -Filter “DetectionTime <operator> <value>”
- -Filter “DetectionTime BETWEEN <value1> AND <value2>”
許可される演算子は次のとおりです。
- “<” または “-lt” – (次の値未満)
- “<=” または “-le” – (次の値以下)
- “>” または “-gt” – (次の値より大きい)
- “>=” または “-ge” – (次の値以上)
- “=” または “-eq” – (等しい)
Forefront Protection 2010 for SharePoint (FPSP) では、入力された値は自動的に DateTimeデータ型に変換されます。値を期待どおりに確実に変換するには、次のISO日付時刻書式に従って入力する必要があります。
YYYY-MM-DDThh:mm:ss.sTZD
たとえば、2007-07-16T19:20:20.45+01:00 は有効な時刻形式です。TZD (Time Zone Designator) は省略可能です。指定しない場合、既定でサーバーのローカル タイム ゾーンに設定されます。UTC時間を使用するには、TZDを+00:00に指定します。
注意: フィルタ パラメータで提供される時間の値は、サーバーのローカル時刻として認識されます。
例:
- 10:00 以降の検出時刻を要求するには、次のように指定します。
"DetectionTime > 10:00"
- 10:00 ~ 15:00 (両端を含む) の検出時刻を要求するには、次のように指定します。
"DetectionTime BETWEEN 10:00 AND 15:00"
- 今日検疫されたすべてのアイテムを要求するには、次のように指定します。
$Today = [DateTimeOffset]::Now.Date $Tomorrow = $Today.AddDays(1) $incidents = Get-FsspQuarantine -filter "DetectionTime BETWEEN '$Today' AND '$Tomorrow'"
-filterパラメータの日付変数はアポストロフィで囲む必要があります。
- 固定の値を含むフィールドを使用したフィルタリングです。
特定のフィールドには、固定の値セットが含まれます。IncidentCategory、RmsProtected、ScanJobType、およびState。
固定の値セットを含むフィールドでフィルタするには、次の構文を使用します。
-Filter "Field = SearchString"
SearchStringに指定可能な値は次のとおりです。
- State: Cleaned、Removed、Deleted、Detected、Suspended
- IncidentCategory: Virus、Spyware、KeywordFilter、FileFilter、Incident
- RmsProtected: true、false
- ScanJobType: Realtime、Scheduled、OnDemand
たとえば、クリーニングされた検疫済みのアイテムだけを表示するには、次のように指定します。
Get-FsspQuarantine -filter "State = cleaned"
- 固定の値セットを含まないフィールドを使用したフィルタリングです。
他のすべてのフィールドでは、次の形式の構文が使用されます。
-Filter "Field = SearchString"
“Field”は、-Filterを開始する時点でリスト内にあるその他のフィールドのいずれかです。SearchStringは、フィルタ対象の値です。
たとえば、VeryEvilウイルスによって発生した検疫済みのアイテムだけを表示するには、次のように指定します。
Get-FsspQuarantine -Filter "IncidentName = VeryEvil"
必須 | false |
位置 | named |
既定値 | no value |
パイプライン入力を許可する | true (ByPropertyName) |
ワイルドカード文字を許可する | false |
-Sort <string>
検疫データベースから取得された結果の並べ替え条件を指定します。省略可能です。並べ替え文字列には1,024文字の制限があります。並べ替え条件の構文は次のとおりです。
-Sort <Field> [-Descending]
次のフィールドで並べ替えることができます。
AuthorEmail、AuthorName、DetectionTime、DomainName、File、ID、IncidentCategory、IncidentName、LastModifiedEmail、LastModifiedName、LastModifiedTime、ProductVersion、ScanJobType、SequenceID、ServerName、SharepointPath、State、TransferDirection、UserName
オプションの -Descendingパラメータを使用しない限り、結果は昇順でフィルタリングされます。
必須 | false |
位置 | named |
既定値 | no value |
パイプライン入力を許可する | false |
ワイルドカード文字を許可する | false |
<CommonParameters>
このコマンドレットは、次の共通パラメーターをサポートします: Verbose、Debug、ErrorAction、ErrorVariable、WarningAction、WarningVariable、OutBuffer、およびOutVariable。詳細については、「get-help about_commonparameters」と入力してヘルプを参照してください。
■入力
■出力
■メモ
■例
例1
Get-FsspQuarantine | Out-Host -Paging
例1:出力結果
DeliveredTime : FileSize : 19968 FileName : {30801FF7-A011-457A-84B6-D59198A1779B} UserName : fredAdministrator AuthorName : fredAdministrator AuthorEmail : <n/a> LastModifiedName : fredAdministrator SharepointPath : **During Scanning** LastModifiedEmail : <n/a> TransferDirection : 0 SequenceID : 6 EstimatedCount : 6 ID : {30801FF7-A011-457A-84B6-D59198A1779B} DetectionTime : 2/1/2009 8:56:17 AM +00:00 State : Removed IncidentCategory : Virus IncidentName : DOS/EICAR_Test_File File : eicar.zip->eicar.doc LastModifiedTime : 2/1/2009 8:56:18 AM +00:00 DomainName : ProductVersion : 285213248 RmsProtected : False ScanJobType : Realtime ServerName : FRED-O12 FileType : 0 SenderLocation : Internal Details : {MICROSOFT} DetailsAsPSObject : {MICROSOFT} |
例1:説明
検疫されたすべてのファイルに関する情報を返します。結果は、コマンド ウィンドウ内に1ページずつ表示されます。次のページを表示するには、Spaceキーを押します。終了するには、「Q」と入力します。
検疫済みの単一のアイテムが示されます。
例2
Get-FsspQuarantine | Export-CSV c:Quarantine.csv
例2:説明
検疫されたすべてのファイルに関する情報を返します。結果は、指定されたファイルにCSV (コンマ区切り値) 形式で保存されます。
コマンドが正常に完了した場合は、何も出力されません。
例3
Get-FsspQuarantine -Filter "DetectionTime > 13:30"
例3:出力結果
DeliveredTime : FileSize : 19968 FileName : {30801FF7-A011-457A-84B6-D59198A1779B} UserName : fredAdministrator AuthorName : fredAdministrator AuthorEmail : <n/a> LastModifiedName : fredAdministrator SharepointPath : **During Scanning** LastModifiedEmail : <n/a> TransferDirection : 0 SequenceID : 6 EstimatedCount : 6 ID : {30801FF7-A011-457A-84B6-D59198A1779B} DetectionTime : 2/1/2009 8:56:17 PM +00:00 State : Removed IncidentCategory : Virus IncidentName : DOS/EICAR_Test_File File : eicar.zip->eicar.doc LastModifiedTime : 2/1/2009 8:56:18 PM +00:00 DomainName : ProductVersion : 285213248 RmsProtected : False ScanJobType : Realtime ServerName : FRED-O12 FileType : 0 SenderLocation : Internal Details : {MICROSOFT} DetailsAsPSObject : {MICROSOFT} |
例3:説明
今日の13:30より後に検出された問題ファイルに関して、検疫データベースに書き込まれたすべてのアイテムに関する情報を返します。
検疫済みの単一のアイテムが示されます。
例4
Get-FsspQuarantine -Filter "DetectionTime BETWEEN 2009-02-01T01:20:00.00 AND 2009-02-01T23:30:00.00"
例4:出力結果
DeliveredTime : FileSize : 19968 FileName : {30801FF7-A011-457A-84B6-D59198A1779B} UserName : fredAdministrator AuthorName : fredAdministrator AuthorEmail : <n/a> LastModifiedName : fredAdministrator SharepointPath : **During Scanning** LastModifiedEmail : <n/a> TransferDirection : 0 SequenceID : 6 EstimatedCount : 6 ID : {30801FF7-A011-457A-84B6-D59198A1779B} DetectionTime : 2/1/2009 8:56:17 AM +00:00 State : Removed IncidentCategory : Virus IncidentName : DOS/EICAR_Test_File File : eicar.zip->eicar.doc LastModifiedTime : 2/1/2009 8:56:18 AM +00:00 DomainName : ProductVersion : 285213248 RmsProtected : False ScanJobType : Realtime ServerName : FRED-O12 FileType : 0 SenderLocation : Internal Details : {MICROSOFT} DetailsAsPSObject : {MICROSOFT} |
例4:説明
2009年2月1日の01:20から23:30までに検出された問題ファイルに関して、検疫データベースに書き込まれたすべてのアイテムに関する情報を返します。
検疫済みの単一のアイテムが示されます。
例5
Get-FsspQuarantine -Filter "IncidentCategory = virus"
例5:出力結果
DeliveredTime : FileSize : 19968 FileName : {30801FF7-A011-457A-84B6-D59198A1779B} UserName : fredAdministrator AuthorName : fredAdministrator AuthorEmail : <n/a> LastModifiedName : fredAdministrator SharepointPath : **During Scanning** LastModifiedEmail : <n/a> TransferDirection : 0 SequenceID : 6 EstimatedCount : 6 ID : {30801FF7-A011-457A-84B6-D59198A1779B} DetectionTime : 2/1/2009 8:56:17 AM +00:00 State : Removed IncidentCategory : Virus IncidentName : DOS/EICAR_Test_File File : eicar.zip->eicar.doc LastModifiedTime : 2/1/2009 8:56:18 AM +00:00 DomainName : ProductVersion : 285213248 RmsProtected : False ScanJobType : Realtime ServerName : FRED-O12 FileType : 0 SenderLocation : Internal Details : {MICROSOFT} DetailsAsPSObject : {MICROSOFT} |
例5:説明
検疫データベースに書き込まれたすべてのアイテムの中で、特定のインシデント カテゴリであったものに関する情報を返します。
検疫済みの単一のアイテムが示されます。
例6
Get-FsspQuarantine -Filter "IncidentCategory = virus" -Sort AuthorName
例6:出力結果
UserName : carlosAdministrator AuthorName : carlosAdministrator AuthorEmail : <n/a> LastModifiedName : herbieAdministrator . . . DetectionTime : 2/1/2009 8:56:17 AM +00:00 State : Removed IncidentCategory : Virus IncidentName : DOS/EICAR_Test_File . . . UserName : fredAdministrator |
例6:説明
検疫データベースに書き込まれたすべてのアイテムの中で、ウイルスによって発生したものに関する情報を返します。結果は作成者別に並べ替えられます。
2つのインシデントの一部を示しています。
■関連するリンク
- Export-FsspQuarantine
- Send-FsspQuarantine
- Remove-FsspQuarantine
- Get-FsspQuarantineOptions
- Set-FsspQuarantineOptions
[参考]
- Forefront Protection 2010 for SharePoint : ホーム
http://www.microsoft.com/japan/forefront/protection-for-sharepoint/default.mspx - Microsoft Forefront Protection 2010 for SharePoint
http://technet.microsoft.com/ja-jp/library/cc482990.aspx - Forefront Protection 2010 for SharePoint : ホワイト ペーパー
http://www.microsoft.com/japan/forefront/protection-for-sharepoint/white-papers.mspx - Updates for Microsoft Forefront and Related Technologies
http://technet.microsoft.com/en-us/forefront/ff899332
コメント
[…] Get-FsspQuarantine […]