Forefront Protection 2010 for Exchange Server (FPE 2010) のForefront管理シェルは、PowerShellを用いたコマンドラインインタフェースです。
Forefront管理シェルは、FPE 2010の管理を目的として様々なコマンドレットが用意されていますが、 オンライン上では説明のみで詳細なコマンド オプション情報については公開されていないようです。
このヘルプ情報について、オンライン上で日本語として確認したいと思い、本ブログ上で纏めたいと思います (内容については「Get-Help」コマンドレットの-Fullオプションを用いて実行した結果を編集したものとなります)。
この記事では、「Get-FseIncident」コマンドレットについて記載します (他のコマンドレットについては、「FPE 2010のForefront管理シェルで使用できるコマンドレットについて」を参照)。
■名前
Get-FseIncident
■概要
インシデント データベースからレコードを取得します。
■構文
| Get-FseIncident [-Count <int>] [-Descending] [-Filter <string>] [-Sort <string>] [<CommonParameters>] |
■説明
インシデント データベースからレコードを取得します。このデータベースには、Microsoft Forefront Protection 2010 for Exchange Server (FPE) によって検出されたすべてのインシデントを表すレコード (メタデータ) が含まれています。各インシデントは一意のインシデントIDで表されます。
このコマンドレットを使用して、検出されたインシデントを示すレコードを表示します。インシデント データベースからアイテムを削除するには、Remove-FseIncidentを使用します。インシデント データベースのオプションを構成するには、Set-FseIncidentOptionsを使用します。
パラメーターを指定せずに Get-FseIncidentを実行すると、すべてのレコードが返されます。フィルターされた結果セットを作成するには、-Filterパラメーターを使用します。結果セットから返されるレコードの数を制御するには、-Countパラメーターを使用します。結果セットから返されたレコードを並べ替えるには、-Sortパラメーターを使用します。
注意: Get-FseIncidentからのすべての応答には、結果セットに含まれるレコード数の合計を示すフィールドが含まれます。
注意: 結果セットを.csvファイルにエクスポートするには、次の例を参照してください。
■パラメーター
-Count <int>
返されるレコードの最大数を指定します。省略可能です。有効な値は1以上の任意の整数です。このパラメーターが指定されない場合、すべてのレコードが返されます。
| 必須 | false |
| 位置 | named |
| 既定値 | |
| パイプライン入力を許可する | true (ByPropertyName) |
| ワイルドカード文字を許可する | false |
-Descending [<SwitchParameter>]
レコードを降順に示す必要があることを示します。省略可能です。-Sortパラメーターと組み合わせた場合のみ使用できます。使用しない場合、レコードは昇順で返されます。
| 必須 | false |
| 位置 | named |
| 既定値 | |
| パイプライン入力を許可する | false |
| ワイルドカード文字を許可する | false |
-Filter <string>
インシデント データベースをフィルターする条件を指定します。省略可能です。フィルター文字列には1,024文字の制限があります。
注意: フィルター文字列のすべての部分の間には、スペースを1個ずつ挿入する必要があります。文字列全体を引用符で囲みます。
以下のフィールドでフィルターできます。
- BccAddresses
- BccNames
- CcAddresses
- CcNames
- DetectionTime
- Direction
- DomainName
- File
- Folder
- ID
- IncidentCategory
- IncidentName
- LastModifiedTime
- MessageID
- ProductVersion
- ReceivedTime
- RecipientAddresses
- RecipientNames
- RmsProtected
- ScanJobType
- SenderAddress
- SenderHost
- SenderIP
- SenderLocation
- SenderName
- SentTime
- SequenceID
- ServerName
- State
- Subject
- DateTimeフィールドを使用したフィルタリングです。
DateTimeフィールド (DetectionTime、LastModifiedTime、ReceivedTime、およびSentTime) では、以下のいずれかの構文を使用できます (引用符で囲む)。-Filter "DetectionTime <operator> <value>" -Filter "DetectionTime BETWEEN <value1> AND <value2>"
許可される演算子は次のとおりです。
- “<” または “-lt” – (未満) “<=” または”-le” – (以下) “>” または “-gt” – (より大きい) “>=” または “-ge” – (以上) “=” または “-eq” – (等しい)
FPEでは、入力された値を自動的にDateTimeデータ型に変換しようとします。値を期待どおりに確実に変換するには、次のISO日付時刻書式に従って入力する必要があります。
- YYYY-MM-DDThh:mm:ss.sTZD
たとえば、2007-07-16T19:20:20.45+01:00は有効な時刻形式です。TZD (Time Zone Designator) は省略可能です。指定しない場合、既定でサーバーのローカル タイム ゾーンに設定されます。UTC時間を使用するには、TZDを+00:00に指定します。
注意: フィルター パラメーターで提供される時間の値は、サーバーのローカル時刻として認識されます。
例:
- 10:00以降の検出時刻を要求するには、次のように指定します。
"DetectionTime > 10:00"
- 10:00~15:00 (境界を含む) の検出時刻を要求するには、次のように指定します。
"DetectionTime BETWEEN 10:00 AND 15:00"
- 今日発生したすべてのインシデントを要求するには、次のように指定します。
$Today = [DateTimeOffset]::Now.Date $Tomorrow = $Today.AddDays(1) $incidents = Get-FseIncident -filter "DetectionTime BETWEEN '$Today' AND '$Tomorrow'"
-filterパラメーターの日付変数はアポストロフィで囲む必要があります。
- 固定の値を含むフィールドを使用したフィルタリングです。
特定のフィールドには、固定の値セットが含まれます。Direction、IncidentCategory、RmsProtected、ScanJobType、およびStateです。
固定の値セットを含むフィールドでフィルターするには、次の構文を使用します。
-Filter "Field = SearchString"
SearchStringに指定可能な値は次のとおりです。
- Direction: Inbound, Outbound, Internal, InboundAndOutbound, None
- State: Removed, Purged, Cleaned, Identified, Detected, Rejected, Deleted, QuarantinedAsSpam, TaggedAndAccepted
- IncidentCategory: Virus, Spam, Spyware, KeywordFilter, SubjectFilter, FileFilter, SenderFilter, Incident
- RmsProtected: true, false
- ScanJobType: Realtime, Scheduled, OnDemand, Transport
たとえば、クリーニングされたインシデントのみを表示するには、次のように指定します。
Get-FseIncident -filter "State = cleaned"
- 固定の値セットを含まないフィールドを使用したフィルタリングです。
他のすべてのフィールドでは、次の形式の構文が使用されます。
-Filter "Field = SearchString"
“Field”は、-Filterを開始する時点でリスト内にあるその他のフィールドのいずれかです。SearchStringは、フィルター対象の値です。
たとえば、VeryEvilウイルスが原因で発生したインシデントのみを表示するには、次のように指定します。
Get-FseIncident -Filter "IncidentName = VeryEvil"
| 必須 | false |
| 位置 | named |
| 既定値 | no value |
| パイプライン入力を許可する | true (ByPropertyName) |
| ワイルドカード文字を許可する | false |
-Sort <string>
インシデント データベースの結果を並べ替える条件を指定します。省略可能です。並べ替え文字列には 1,024 文字の制限があります。並べ替え条件の構文は次のとおりです。
-Sort <field>&nbsp; [-Descending]
以下の任意のフィールドで並べ替えることができます。
- BccAddresses
- BccNames
- CcAddresses
- CcNames
- DetectionTime
- Direction
- DomainName
- File
- Folder
- ID
- IncidentCategory
- IncidentName
- LastModifiedTime
- MessageID
- ProductVersion
- ReceivedTime
- RecipientAddresses
- RecipientNames
- RmsProtected
- ScanJobType
- SenderAddress
- SenderHost
- SenderIP
- SenderLocation
- SenderName
- SentTime
- SequenceID
- ServerName
- State
- Subject
オプションの -Descendingパラメーターを使用しない限り、結果は昇順で並べ替えられます。
| 必須 | false |
| 位置 | named |
| 既定値 | no value |
| パイプライン入力を許可する | false |
| ワイルドカード文字を許可する | false |
<CommonParameters>
このコマンドレットは、次の共通パラメーターをサポートします: Verbose、Debug、ErrorAction、ErrorVariable、WarningAction、WarningVariable、OutBuffer、およびOutVariable。詳細については、「get-help about_commonparameters」と入力してヘルプを参照してください。
■入力
■出力
■メモ
■例
例1
Get-FseIncident | Out-Host -Paging
例1:出力結果
| Folder : SMTP Messages Direction : Internal SentTime : 10/20/2008 5:32:17 PM +00:00 ReceivedTime : 10/20/2008 5:32:19 PM +00:00 Subject : SenderName : Carlos SenderAddress : Carlos@contoso.testdomain.local SenderIP : SenderHost : RecipientNames : Administrator ;AutoAdmin RecipientAddresses : Administrator@contoso.testdomain.local CcNames : CcAddresses : BccNames : BccAddresses : MessageID : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso.testdomain.local> SequenceID : 1 EstimatedCount : 2 ID : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} DetectionTime : 10/20/2008 5:32:19 PM +00:00 State : Removed IncidentCategory : Virus IncidentName : DOS/EICAR_Test_File File : winmail.dat->EICAR.TXT LastModifiedTime : 10/20/2008 5:32:20 PM +00:00 DomainName : contoso.testdomain.local ProductVersion : 285213059 RmsProtected : False ScanJobType : Transport ServerName : contoso-VM01 FileType : 0 SenderLocation : Internal Details : {MICROSOFT} DetailsAsPSObject : {MICROSOFT} |
例1:説明
すべてのインシデントに関する情報を返します。結果は、コマンド ウィンドウ内に1ページずつ表示されます。次のページを表示するにはSpaceキーを押します。また、終了するにはQキーを押します。
単一のインシデントが示されます。
例2
Get-FseIncident | Export-CSV c:Quarantine.csv
例2:出力結果
| There is no output if the command completes successfully. |
例2:説明
検疫されたすべてのファイルに関する情報を返します。結果は、指定されたファイルにCSV (コンマ区切り値) 形式で保存されます。
例3
Get-FseIncident -Filter "DetectionTime > 13:30"
例3:出力結果
| Folder : SMTP Messages Direction : Internal SentTime : 10/20/2008 5:32:17 PM +00:00 ReceivedTime : 10/20/2008 5:32:19 PM +00:00 Subject : SenderName : Carlos SenderAddress : Carlos@contoso.testdomain.local SenderIP : SenderHost : RecipientNames : Administrator ;AutoAdmin RecipientAddresses : Administrator@contoso.testdomain.local CcNames : CcAddresses : BccNames : BccAddresses : MessageID : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso.testdomain.local> SequenceID : 1 EstimatedCount : 2 ID : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} DetectionTime : 10/20/2008 13:32:19 PM +00:00 State : Removed IncidentCategory : Virus IncidentName : DOS/EICAR_Test_File File : winmail.dat->EICAR.TXT LastModifiedTime : 10/20/2008 5:32:20 PM +00:00 DomainName : contoso.testdomain.local ProductVersion : 285213059 RmsProtected : False ScanJobType : Transport ServerName : contoso-VM01 FileType : 0 SenderLocation : Internal Details : {MICROSOFT} DetailsAsPSObject : {MICROSOFT} |
例3:説明
問題のあるメッセージに関して、今日の13:30以降に検出され、データベースに書き込まれたすべてのインシデントを返します。
単一のインシデントが示されます。
例4
Get-FseIncident -Filter "DetectionTime BETWEEN 2008-10-20T01:20:00.00 AND 2008-10-20T23:30:00.00"
例4:出力結果
| Folder : SMTP Messages Direction : Internal SentTime : 10/20/2008 5:32:17 PM +00:00 ReceivedTime : 10/20/2008 5:32:19 PM +00:00 Subject : SenderName : Carlos SenderAddress : Carlos@contoso.testdomain.local SenderIP : SenderHost : RecipientNames : Administrator ;AutoAdmin RecipientAddresses : Administrator@contoso.testdomain.local CcNames : CcAddresses : BccNames : BccAddresses : MessageID : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso.testdomain.local> SequenceID : 1 EstimatedCount : 2 ID : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} DetectionTime : 10/20/2008 5:32:19 PM +00:00 State : Removed IncidentCategory : Virus IncidentName : DOS/EICAR_Test_File File : winmail.dat->EICAR.TXT LastModifiedTime : 10/20/2008 5:32:20 PM +00:00 DomainName : contoso.testdomain.local ProductVersion : 285213059 RmsProtected : False ScanJobType : Transport ServerName : contoso-VM01 FileType : 0 SenderLocation : Internal Details : {MICROSOFT} DetailsAsPSObject : {MICROSOFT} |
例4:説明
問題のあるメッセージに関して、2008年10月20日の01:20~23:30の間に検出され、データベースに書き込まれたすべてのインシデントを返します。
単一のインシデントが示されます。
例5
Get-FseIncident -Filter "Subject = Here's a virus for you"
例5:出力結果
| Folder : SMTP Messages Direction : Internal SentTime : 10/20/2008 5:32:17 PM +00:00 ReceivedTime : 10/20/2008 5:32:19 PM +00:00 Subject : Here’s a virus for you SenderName : Carlos SenderAddress : Carlos@contoso.testdomain.local SenderIP : SenderHost : RecipientNames : Administrator ;AutoAdmin RecipientAddresses : Administrator@contoso.testdomain.local CcNames : CcAddresses : BccNames : BccAddresses : MessageID : <0AFB8ED3E89DC44EB74B599697B63E9E02DE7B0772BE@contoso.testdomain.local> SequenceID : 1 EstimatedCount : 2 ID : {477E9AC0-0EE2-4970-869C-DD1CE4C42813} DetectionTime : 10/20/2008 5:32:19 PM +00:00 State : Removed IncidentCategory : Virus IncidentName : DOS/EICAR_Test_File File : winmail.dat->EICAR.TXT LastModifiedTime : 10/20/2008 5:32:20 PM +00:00 DomainName : contoso.testdomain.local ProductVersion : 285213059 RmsProtected : False ScanJobType : Transport ServerName : contoso-VM01 FileType : 0 SenderLocation : Internal Details : {MICROSOFT} DetailsAsPSObject : {MICROSOFT} |
例5:説明
インシデント データベースに書き込まれたアイテムのうち、特定の件名が設定されているすべてのアイテムに関する情報を返します。
単一のインシデントが示されます。
例6
Get-FseIncident -Filter "IncidentCategory = virus" -Sort SenderAddress
例6:出力結果
| Folder : SMTP Messages Direction : Internal SentTime : 10/20/2008 5:32:17 PM +00:00 ReceivedTime : 10/20/2008 5:32:19 PM +00:00 Subject : Here’s a virus for you SenderName : Carlos SenderAddress : Carlos@contoso.testdomain.local . . . DetectionTime : 10/20/2008 5:32:19 PM +00:00 State : Removed IncidentCategory : Virus IncidentName : DOS/EICAR_Test_File . . . Folder : SMTP Messages |
例6:説明
インシデント データベースに書き込まれたすべてのアイテムのうち、ウイルスが原因で発生したアイテムに関する情報を返します。結果は送信者別に並べ替えられます。
2つのインシデントの一部を示しています。
■関連するリンク
- Remove-FseIncident
- Get-FseIncidentOptions
- Set-FseIncidentOptions
[参考]
- Forefront Protection 2010 for Exchange Server : ホーム
http://www.microsoft.com/japan/forefront/protection-for-exchange/default.mspx - Microsoft Forefront Protection 2010 for Exchange Server
http://technet.microsoft.com/ja-jp/library/cc482977.aspx - Forefront Protection 2010 for Exchange Server : ホワイト ペーパー
http://www.microsoft.com/japan/forefront/protection-for-exchange/white-papers.mspx - Updates for Microsoft Forefront and Related Technologies
http://technet.microsoft.com/en-us/forefront/ff899332
コメント
[…] Get-FseIncident […]