查看 DLP 策略检测报告
适用于:Exchange Server 2013
数据丢失预防 (DLP) 策略检测管理宽泛地定义组织为标识、调查和解决 DLP 策略违反而执行的活动。 为了管理事件,需要访问标识 DLP 策略已检测内容的信息。 此检测信息与现有 Microsoft Exchange Server 2013 数据和日志格式集成,以便您能够利用现有的丰富数据系统管理您的邮件流事件。
有关创建事件报告和单个策略检测事件的信息,请参阅创建 DLP 策略检测的事件报告。 有关邮件日志的详细信息,请参阅使用送达报告跟踪邮件。
注意
Exchange 2013:DLP 是一项高级功能,要求使用 Exchange 企业客户端访问许可证 (CAL)。 有关 CAL 和服务器许可的详细信息,请参阅 Exchange 许可常见问题解答。
审核信息
Exchange 中与 DLP 检测管理相关的数据会集成到邮件跟踪日志(也称为送达报告)中。 功能会重用系统中提供的许多现有日志记录框架。 有关常规信息(包括了解邮件跟踪日志文件的结构),请查看了解邮件跟踪或使用送达报告跟踪邮件的现有内容。
送达报告是在邮箱服务器上运行传输服务的计算机上收发邮件时的所有邮件活动的详细日志。 可以使用 Get-MessageTrackingLog cmdlet,通过 Exchange 命令行管理程序访问邮件跟踪日志。 DLP 数据会按照现有数据格式和约定集成到送达报告中。
数据日志记录格式
邮件跟踪日志包含来自邮件流内容处理所涉及的代理的数据。 对于 DLP,传输规则代理 (TRA) 用于调用深度邮件内容扫描并应用作为 ETR 的一部分定义的策略。 现有 AgentInfo 事件用于在邮件跟踪日志中添加 DLP 相关条目。
The agent name will be TRA or Transport Rule Agent in the AgentInfo event. A single AgentInfo event will be logged per message describing the DLP processing applied to the message. The CustomData field of the message tracking log entry field is where the DLP data logged by the transport rule agent will appear. This field may contain multiple entries: one data classification and client information line for each data classification found in the message, one rule line for each rule that applies to the message, and one health monitoring line for each rule that exceeds the load or execution time threshold.
此处显示了 DLP 日志条目的示例。 输出内容进行了格式设置,以在单独行中显示字符串(各行之间为新行)。
Source: AGENT
EventId: AGENTINFO
CustomData: S:TRA=DC|dcid=41BFDBC6C9D811E0816A3CD34824019B|count=10|conf=77;
S:TRA=DC|dcid=C7ECCBA0CA0011E0B6C00B124924019B|count=3|conf=81;
S:TRA=CI|sndOverride=or|just=Business Reason;
S:TRA=CI|sndOverride=fp;
S:TRA=ETR|ruleId=FC2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=PrependSubject|action=Encrypt|sev=2|mode=audit|dcid=41BFDBC6C9D811E0816A3CD34824019B|sndOverride=or;
S:TRA=ETR|ruleId=AB2AA60C9D811E0AFC076D34824019B|dlpid=1B81CC82C9DB11E09052C5D64824019B|st=2010-11-03 15:30T|action=Encrypt|sev=1|mode=enabled|dcid=C7ECCBA0CA0011E0B6C00B124924019B|sndOverride=fp;
S:TRA=ETRP|ruleId=C27D21EECA0311E0BCB896154924019B|LoadW=200|LoadC=100|ExecW=5500|ExecC=200;
传输规则代理需要对规则 ID、DLP 策略 ID(可选)、上次修改日期、操作、严重性、模式、检测到的数据分类(可选)以及基于规则 ID 的发件人替代(可选)进行分组(通过日志行中的"TRA=ETR"指示)。 它还需要按分类名称对分类的数据分类 ID、计数和可信度级别进行分组(通过日志行中的"TRA=DC"指示)。
其他分组包括针对在客户端上检测到的所有分类的数据分类 ID、发件人替代(可选)以及基于数据分类 ID 的替代理由(可选)(通过日志行中的"TRA=CI"指示)。 传输规则代理还对超过加载或执行普通或 CPU 时钟阈值的所有规则,按规则 ID 对规则 ID、加载普通时钟(可选)、执行普通时钟(可选)和执行 CPU 时钟(可选)进行分组(通过日志行中的"TRA=ETRP"指示)。
下面是数据字段的完整列表。 MTL 中的所有数据都是类型字符串。 "格式"列描述如何识别邮件跟踪日志中的每个字段。 "可选字段"列指定当规则匹配时不能记录的字段。 “特定于 DLP”列显示特定于 DLP 功能的字段。
字段名 | 说明 | 格式 | 可选字段 | 特定于 DLP |
---|---|---|---|---|
TRA | 传输规则代理;类型 AgentName | TRA=DC、ETR、CI 或 ETRP | 强制 | 否 |
DC | 数据分类;类型 groupName | TRA=DC | 可选 | 是 |
ETR | Exchange 传输规则;类型 groupName | TRA=ETR | 强制 | 否 |
CI | 客户端信息,类型 groupName | TRA=CI | 可选 | 是 |
ETRP | Exchange 传输规则性能;类型 groupName | TRA=ETRP | 可选 | 否 |
dcid | 数据分类的 ID | dcid=GUID | 可选 | 是 |
计数 | 数据分类的计数 | count=整数 | 可选 | 是 |
conf | 数据分类的可信度级别 | conf=整数(百分比) | 可选 | 是 |
sndOverride | 发件人替代;该字段是可选的。 在 TRA=CI 行中,当该字段设置为"or"时,表示已替代数据分类。 如果该字段设置为"fp",则表示将数据分类报告为误报。 在 TRA=ETR 行中,当该字段设置为"or"时,表示已替代规则或规则的一部分。 如果该字段设置为"fp",则表示将规则或规则的一部分报告为误报。 |
sndOverride=or 或 fp 其中"or"表示替代,而"fp"表示误报。 当最终用户对某个规则报告了替代或误报时,存在 sndOverride 字段。 |
可选 | 是 |
just | 理由;该字段是可选的,仅当发件人替代字段在 TRA=CI 行中等于"or"时才可用。 理由文本由最终用户提供作为应替代数据分类的原因。 | just=IW 输入理由字符串 仅当最终用户报告替代时才记录理由字段。 |
可选 | 是 |
ruleId | 规则的 ID | ruleId=GUID | 强制 | 否 |
dlpId | DLP 策略的 ID。 该字段是可选的;如果不存在 dlpId,则规则不属于 DLP 策略。 | dlpId=GUID | 可选 | 是 |
st | 规则的上次修改日期 | st=UTC 日期-时间 | 强制 | 否 |
action | 规则执行的操作;每个规则可能具有多个操作 | action=单个操作 如果对规则应用了多个操作,则存在多个操作字段。 |
强制 | 否 |
sev | 审核规则的严重性 | sev=1、2 或 3 其中 1 表示低,2 为中,3 表示高。 |
可选 | 否 |
mode | 命中规则时的规则状态(enforcement、audit 或 auditandnotify)。 | mode=audit、auditandnotify 或 enforcement | 强制 | 否 |
loadW | 加载普通时钟;该字段是可选的 | loadW=时间(毫秒) | 可选 | 否 |
loadC | 加载 CPU 时钟;该字段是可选的 | loadC=时间(毫秒) | 可选 | 否 |
execW | 执行普通时钟;该字段是可选的 | execW=时间(毫秒) | 可选 | 否 |
execC | 执行 CPU 时钟;该字段是可选的 | execC=时间(毫秒) | 可选 | 否 |
message-id | 邮件 ID | message-id=邮件 ID | 强制 | 否 |
date-time | 发送邮件的日期和时间(通用时间) | date-time=UTC 日期-时间 | 强制 | 否 |
sender-address | 发件人字段中指定的电子邮件地址 | sender-address=电子邮件地址 | 强制 | 否 |
recipient-address | 邮件收件人的电子邮件地址 | recipient-address=电子邮件地址 | 强制 | 否 |
message-subject | 邮件主题字段中发现的数据 | message-subject=最终用户输入主题字符串 | 强制 | 否 |