跟踪服务概述
思科安全邮件和 Web 管理器设备的跟踪服务是邮件安全设备的补充功能。利用安全管理设备,邮件管理员可以在单一位置处跟踪通过任意邮件安全设备的邮件的状态。
利用安全管理设备,可以很方便地查找邮件安全设备处理的邮件的状态。通过确定邮件的确切位置,邮件管理员可以快速解决支持中心的呼叫问题。使用安全管理设备,管理员可以确定特定邮件是已传送、包含病毒或放在垃圾邮件隔离区,还是位于邮件流的其他位置。
您可以使用安全管理设备灵活的跟踪界面来查找邮件,而不必使用 grep 或类似工具搜索日志文件。您可以组合使用多种搜索参数。
跟踪查询可以包括:
-
时间范围:查找在指定的日期和时间之间发送的邮件。
-
信封信息:通过输入要匹配的文本字符串,查找来自特定信封发件人或收件人的邮件。
-
主题:与主题行中的文本字符串相匹配。警告:请勿在法规禁止此类跟踪的环境中使用此类型的搜索。
-
附件名称:您可以根据附件名称搜索邮件。搜索结果中将显示至少包含一个采用查询名称的附件的邮件。
出于性能原因,附件(如 OLE 对象)或存档文件(如 .ZIP 文件)内的文件名不会被跟踪。
对于某些附件,可能不跟踪。由于性能原因,附件名称扫描仅在其他扫描操作过程中发生,例如邮件或内容过滤、DLP 或免责声明印戳。只有通过正文扫描,且仍附带附件的邮件,才能获得其附件名称。附件名称将不会出现的一些示例包括(但不限于): -
如果系统只使用内容过滤器,并且邮件被删除或其附件被反垃圾邮件或防病毒过滤器隔离
-
如果在进行正文扫描之前,邮件拆分策略从某些邮件中删除了附件。
-
-
文件 SHA256:查找具有邮件文件 SHA-256 值的邮件
-
思科主机:将搜索条件缩小为特定的邮件安全设备,或在所有托管设备内搜索。
-
邮件 ID 信头和思科 MID:通过标识 SMTP“Message-ID:”信头或思科邮件 ID (MID) 来查找邮件。
-
发件人 IP 地址/域/网络所有者:搜索来自特定 IP 地址、域名或网络所有者的邮件。
-
邮件事件:查找与指定的事件相匹配的邮件,例如标记为病毒邮件、垃圾邮件或疑似垃圾邮件的邮件,以及已传送、硬退回、软退回或发送到病毒爆发隔离区的邮件
-
拒绝的连接:在搜索结果中搜索来自被拒绝连接的特定 IP 地址、域名或网络所有者的邮件