Fichiers journaux

Copier l'URL de l'article actuel Envoyer par courriel

Cet article (PDF) Documentation complète (PDF)

Cette section vous permet de modifier la configuration de la journalisation de ESET Mail Security.

Enregistrements journaux

Les enregistrements sont inscrits dans le journal Événements (C:\ProgramData\ESET\ESET Security\Logs) et peuvent être consultés dans l'afficheur de Fichiers journaux. Utilisez les commutateurs pour activer ou désactiver une fonction particulière :

Inscrire les erreurs de transport de courriel au journal : si cette option est activée et que des problèmes surviennent dans la couche de transport des courriels, des messages d’erreur sont inscrits dans le journal Événements.

Inscrire les exceptions de transport de courriel au journal : si des exceptions surviennent sur la couche de transport des courriels, les détails concernant ces exceptions sont inscrits dans le journal Événements.

Journalisation de diagnostic

Génère une quantité importante de données car toutes les options de journalisation sont activées par défaut. Nous vous recommandons de désactiver sélectivement la journalisation des composants qui ne sont pas intéressants ou liés au problème.

Pour démarrer la journalisation comme telle, vous devez activer la journalisation diagnostique générale au niveau du produit à partir de menu principal dans Configuration > Outils. Une fois que la journalisation est activée, ESET Mail Security collecte les journaux détaillés selon les fonctionnalités qui sont activées dans cette section.

Utilisez les commutateurs pour activer ou désactiver une fonction particulière. Ces options peuvent également être combinées en fonction de la disponibilité des composants individuels dans ESET Mail Security.

Journalisation diagnostique du transport du courriel

Lorsque vous résolvez des problèmes avec l'analyse de la base de données exécutée dans le cadre d'une opération normale, nous vous recommandons de désactiver la journalisation des diagnostics de transport du courriel. Sinon, cela pourrait obstruer le journal résultant et le rendre difficile à analyser.

Journalisation de diagnostic de transport et de base de données : Collecte les enregistrements internes à partir de l'addiciel LMON (tous les journaux de protection de transport et de base de données).

Journalisation de diagnostic du moteur antipourriel : Lorsque vous avez besoin de dépannage, vous pouvez consulter des renseignements détaillés sur le moteur antipourriel dans les journaux. Inscrit des renseignements détaillés sur le moteur antipourriel dans les fichiers journaux pour fins de diagnostic. Le moteur antipourriel n'utilise pas le journal Événements (warnlog.dat) et ne peut donc pas être consulté dans le visionneur de fichiers journaux. Il inscrit les entrées directement dans un fichier dédié (par exemple C:\ProgramData\ESET\ESET Mail Security\Logs\antispam.0.log) de sorte que les données de diagnostique du moteur antipourriel sont conservées en un seul endroit. De cette façon, les performances de ESET Mail Security ne sont pas compromises lorsque le trafic de courriels est important.

Journalisation diagnostique de l'analyse de la base de données à la demande : Inscrit des informations détaillées dans les journaux, en particulier lorsque le dépannage est nécessaire.

Journalisation diagnostique de grappe - La journalisation de la grappe sera incluse dans la journalisation diagnostique générale.

Fichiers journaux

Permet de définir comment gérer les journaux. Ceci est particulièrement important pour empêcher l'utilisation complète du disque. Les paramètres par défaut permettent la suppression automatique des anciens journaux afin d'économiser de l'espace sur le disque.

Supprimer automatiquement les entrées : les entrées de journal plus anciennes que le nombre de jours indiqué (ci-dessous) seront supprimées.

Supprimer les notes vieilles de plus de (jours) : précisez le nombre de jours.

Supprimer automatiquement les anciennes entrées si la taille du journal est trop grande : lorsque la taille du journal dépasse la Taille maximale du journal [Mo], les anciennes entrées de journal sont supprimées jusqu’à ce que la Taille réduite du journal [Mo] soit atteinte.

Sauvegarder les entrées supprimées automatiquement : les entrées et les fichiers journaux supprimés automatiquement seront sauvegardés dans le répertoire spécifié et pourront être compressés en fichiers ZIP.

Sauvegarder les journaux de diagnostic : sauvegarde automatiquement les journaux de diagnostic supprimés. Si cette option est désactivée, les entrées de journaux de diagnostic ne sont pas sauvegardées.

Dossier de sauvegarde : dossier dans lequel les sauvegardes de journaux seront stockées. Vous pouvez activer la sauvegarde des journaux compressés à l'aide de ZIP.

Optimiser automatiquement les fichiers journaux

Lorsque cette option est activée, les fichiers journaux sont automatiquement défragmentés si le pourcentage de fragmentation est supérieur à la valeur indiquée dans le champ Si le nombre d'entrées inutilisées dépasse (%). Cliquez sur Optimiser pour lancer la défragmentation des fichiers journaux. Toutes les entrées de journal vides sont supprimées pour améliorer la performance et la vitesse de traitement du journal. Cette amélioration peut être notable, tout particulièrement lorsque les journaux contiennent un grand nombre d'entrées.

Activer le protocole de texte : pour permettre le stockage des journaux dans un autre format de fichier différent des Fichiers journaux :

•Répertoire cible - Le répertoire où les fichiers journaux seront stockés (s'applique uniquement aux fichiers texte/CSV). Chaque section du journal possède son propre fichier avec un nom prédéfini (par exemple, virlog.txtvirlog.txt pour la section Menaces détectées des fichiers journaux, si vous utilisez le format de fichier texte brut pour stocker les journaux).

•Type - Si vous sélectionnez le format de fichier Texte, les journaux seront stockés dans un fichier texte et les données seront séparées par des tabulations. La même chose s'applique au format de fichier CSV contenant des données séparées par des virgules. Si vous sélectionnez Événement, les journaux seront stockés dans le journal d'événement Windows (qui peuvent être consultés à l'aide de la fonction Observateur d'événements dans Panneau de contrôle) contrairement aux fichiers.

•Supprimer tous les fichiers journaux efface tous les journaux stockés et sélectionnés dans le menu déroulant Type.

Pour accélérer la résolution de problèmes, Service d'assistance technique d'ESET pourrait vous demander de fournir les journaux de votre ordinateur. ESET Log Collector facilite la collecte des informations nécessaires. Pour plus de détails sur ESET Log Collector, consultez cet article de la Base de connaissances.

Journal d’audit

Suivre les modifications de configuration ou de protection. Étant donné que la modification de la configuration du produit peut affecter considérablement le fonctionnement de celui-ci, vous pouvez suivre les modifications à des fins d'audit. Vous verrez les enregistrements de journal des modifications dans la section Fichiers journaux > Journal d’audit.

Exporter le journal

Exporter vers les journaux d'applications et de services Windows

Vous permet de dupliquer des enregistrements du journal de protection du serveur de messagerie vers les journaux Applications et services. Pour afficher le journal de protection du serveur de messagerie, ouvrez l'Observateur d'événements de Windows et accédez à Journaux des applications et des services > ESET > Sécurité > ExchangeServer >Protection de la messagerie. Les journaux d'applications et de services sont pris en charge sur Microsoft Windows Server 2012 ou plus récent.

Exporter vers le serveur syslog

Vous pouvez faire dupliquer les journaux de protection du serveur de messagerie sur le serveur syslog au format CEF (Common Event Format). CEF est un format normalisé extensible, basé sur le texte, qui peut être utilisé pour faciliter la collecte et l'agrégation de données en vue d'une analyse ultérieure par un système de gestion d'entreprise. Dans ce cas, vous pouvez l'utiliser avec les solutions SIEM (Security Information and Event Management) et celles de gestion des journaux telles que Micro Focus ArcSight. Consultez la section Mappage des événements Syslog pour plus d'informations sur les champs d'événement exportés et leur description.

Adresse du serveur

Entrez l'adresse IP ou le nom d'hôte du serveur. Dans le cas d'ArcSight, spécifiez le serveur sur lequel SmartConnector est installé.

Protocole

Sélectionnez le protocole à utiliser : protocole TCP ou UDP.

Port

La valeur par défaut est 514 pour les deux protocoles.

Exporter vers le fichier

Permet aux journaux d'être exportés localement dans un fichier au format CEF. La capacité de stockage de la journalisation étant limitée, une journalisation circulaire est utilisée. Les enregistrements sont écrits séquentiellement dans les fichiers (de mailserver.0.log à mailserver.9.log). Les derniers enregistrements sont stockés dans mailserver.0.log. Une fois la taille limite atteinte, le fichier le plus ancien mailserver.9.log est supprimé et les autres fichiers journaux sont renommés en séquence (mailserver.0.log est renommé mailserver.1.log, etc.).

Chemin d'accès

Le chemin par défaut est C:\ProgramData\ESET\ESET Security\Logs. Vous pouvez modifier l'emplacement si nécessaire.

˄˅