防護記錄檔案
防護記錄檔案包含已發生之重要程式事件的相關資訊,並提供掃描結果、偵測到之威脅的概觀。在系統分析、威脅偵測及疑難排解方面,防護記錄都是一項很重要的工具。記錄作業會主動在背景中執行,不需使用者介入。系統會依據目前的防護記錄冗贅設定來記錄資訊。您可以直接從 ESET Mail Security 環境檢視文字訊息及防護記錄,或是匯出這些記錄以供檢視。
從下拉式功能表中選取適當的防護記錄類型。下列防護計畫可供使用:
偵測
威脅防護記錄提供 ESET Mail Security 模組所偵測到入侵的詳細資訊。資訊包括偵測時間、入侵的名稱、位置,以及在偵測到入侵時,所登入的使用者名稱及其執行的處理方法。
按兩下防護記錄項目,以在個別視窗中顯示其詳細資訊。如果有需要,您可以建立偵測排除,方法是以滑鼠右鍵按一下防護記錄項目 (偵測),然後按一下 [建立排除]。以預定義準則開啟排除精靈。如果在排除檔案旁有偵測名稱,表示該檔案只受到特定的偵測排除。如果該檔案之後受到其他惡意軟體感染,仍然會被偵測到。
事件
ESET Mail Security 執行的所有重要處理方法,都會記錄在事件防護記錄中。事件防護記錄包含在程式中發生的事件及錯誤相關資訊,專門用來協助系統管理員及使用者解決問題。針對程式中發生的問題,在這裡找到的資訊通常可協助您找到解決方案。
電腦掃描
所有掃描結果都會顯示在這個視窗中。每一行均與單一電腦控制項對應。按兩下任何項目,以檢視各個掃描的詳情。
封鎖的檔案
包含遭到封鎖且無法存取的檔案記錄。通訊協定會顯示封鎖該檔案之來源模組的原因,以及會執行該檔案的應用程式及使用者。
已傳送檔案
包含雲端型防護、ESET LiveGuard Advanced 和 ESET LiveGrid® 的檔案記錄。
審查防護記錄
包含配置中變更或防護狀態的記錄,並建立稍後參考的記錄快照。以滑鼠右鍵按一下設定變更類型的任何記錄,並從內容功能表選取 [顯示] 以顯示已執行變更的相關詳細資訊。如果您要使用先前的設定,請選擇 [還原]。您也可以使用 [全部刪除] 來移除防護記錄。如果您要停用審查防護記錄,請瀏覽至 [進階設定] > [工具] > [防護記錄檔案] > 審核防護記錄。
HIPS
包含已標記要記錄之特定規則的記錄。通訊協定會顯示呼叫該作業的應用程式、結果 (是否允許或禁止規則),及已建立規則的名稱。
網路防護
包含殭屍網路防護及 IDS (網路攻擊防護) 封鎖的檔案記錄。
已過濾的網站
已由 Web 存取防護 與防網路釣魚郵件防護封鎖的網站清單。這些防護記錄會顯示開啟特定網站連線的時間、URL、使用者與應用程式。
裝置控制
包含連接到電腦的可移除媒體或裝置記錄。僅含有裝置控制規則的裝置將記錄於防護記錄檔案中。如果規則不符合連接的裝置,將不會對連接的裝置建立防護記錄項目。您也可以在這裡看見詳細資訊,例如裝置類型、序號、供應商名稱及媒體大小 (如果有)。
郵件伺服器防護
ESET Mail Security 偵測為入侵或垃圾郵件的所有訊息都會記錄在此處。這些防護記錄適用於下列防護類型:反垃圾郵件、網路釣魚防護、寄件者詐騙防護、規則以及反惡意軟體。
當您按兩下項目即會開啟快顯視窗,其中對於偵測到的電子郵件訊息附有額外相關資訊,例如 IP 位址、HELO 網域、訊息 ID、掃描類型 (顯示所測到的防護層級)。此外,您可以看到防毒、防網路釣魚和垃圾郵件防護掃描的結果以及它遭到偵測的原因,或者規則是否已啟動。
|
並非會將所有處理的訊息記錄到郵件伺服器防護記錄。但是,實際上已修改的所有郵件 (已刪除附件、已新增至郵件標頭的自訂字串等) 會寫入記錄檔中。 |
信箱資料庫掃描
包含偵測引擎版本、日期、已掃描位置、已掃描的物件數目、已發現的威脅數目、規則命中數目和完成時間。
SMTP 防護
使用灰名單方法評估的所有訊息。SPF 及 Backscatter 也會顯示為此處。每個記錄包含 HELO 網域、IP 寄件人和收件人的地址、動作狀態 (已拒絕、已拒絕 (未驗證) 和已驗證的傳入郵件)。具有將子網域新增至通過灰名單過濾之白名單的動作,請參閱以下表格
Hyper-V 掃描
包含 Hyper-V scan 掃描結果清單。按兩下任何項目,以檢視各個掃描的詳情。
(以滑鼠右鍵按一下) 內容功能表讓您選擇要對防護記錄採取的動作:
處理方法 |
使用 |
快捷鍵 |
也請參閱 |
|---|---|---|---|
顯示 |
顯示有關在新視窗中所選取防護記錄的詳細資訊 (與按兩下相同)。 |
|
|
過濾相同的記錄 |
此功能會啟動防護記錄過濾並只顯示與所選記錄相同的記錄類型。 |
Ctrl + Shift + F |
|
過濾... |
按一下此選項之後,會出現 [防護記錄過濾] 視窗,可讓您定義特定防護記錄項目的過濾條件。 |
|
|
啟用過濾 |
啟動過濾設定。第一次啟動過濾,您必須定義設定。 |
|
|
停用過濾 |
關閉過濾 (與按一下底部的切換相同)。 |
|
|
複製 |
將選取的/強調的記錄資訊複製到剪貼簿。 |
Ctrl + C |
|
全部複製 |
複製視窗中所有記錄的資訊。 |
|
|
刪除 |
刪除選取/強調的記錄 - 此動作需要管理員權限才能執行。 |
刪除 |
|
全部刪除 |
刪除視窗中的所有記錄 - 此動作需要管理員權限才能執行。 |
|
|
匯出... |
匯出選取的/強調的記錄資訊至 XML 檔案。 |
|
|
全部匯出... |
將視窗中的所有資訊匯出至 XML 檔案。 |
|
|
尋找... |
開啟 [在防護記錄中尋找] 視窗可讓您定義搜尋條件。即使在過濾功能開啟時,您也可以使用搜尋功能找出特定記錄。 |
Ctrl + F |
|
尋找下一個 |
使用先前定義的搜尋條件尋找下一筆項目。 |
F3 |
|
尋找上一個 |
尋找前一筆項目。 |
Shift + F3 |
|
建立排除 |
若要使用偵測名稱、路徑或其雜湊從清除排除物件。 |
|
新增 IP 位址至通過灰名單過濾的白名單 |
將寄件者的 IP 位址新增至 IP 白名單。您可以在篩選與驗證的灰名單和 SPF 區段下找到 IP 白名單。這適用於由灰名單或 SPF 記錄的項目。 |
|
|
新增網域至 SPF 和通過灰名單過濾的白名單 |
將寄件者的網域新增至「網域目的地 IP」白名單。僅會新增網域而會忽略子網域。例如,如果寄件者地址是 sub.domain.com,則只有 domain.com 會新增至白名單。您可以在篩選與驗證的灰名單和 SPF 區段下找到「網域目的地 IP」白名單。這適用於由灰名單記錄的項目。 |
|
|
新增子網域至 SPF 和通過灰名單過濾的白名單 |
將寄件者的子網域新增至「網域目的地 IP」白名單。將新增整個網域,包括其子網域 (例如 sub.domain.com)。這讓您在必要時能夠更靈活地篩選。您可以在篩選與驗證的灰名單和 SPF 區段下找到「網域目的地 IP」白名單。這適用於由灰名單記錄的項目。 |
|
|