Коды параметров модуля Контентная фильтрация

Если в параметрах журнала событий включена запись событий аудита и измененных параметров, при настройке параметров модуля Контентная фильтрация в событие журнала аудита записывается детальная информация об изменениях.

В таблице ниже показано, как параметры модуля Контентная фильтрация кодируются в записи журнала аудита.

Коды параметров раздела Контентная фильтрация → Основное в записи события аудита

Параметр Контентная фильтрация → Основное	Код в записи события аудита	Примеры
Переключатель Контентная фильтрация в панели слева	`scanSettings.cfScanSettings.` `engineSettings.enableScan` Возможные значения: `true`, если переключатель в положении Вкл. `false`, если переключатель в положении Выкл.	Правило создано: `scanSettings.cfScanSettings.engineSettings.` `enableScan[][false]` `scanSettings.cfScanSettings.actionSelectionPolicy[]` `[HighestPriorityExpressionAction]` Правило изменено: `scanSettings.cfScanSettings.engineSettings.` `enableScan[false][true]` `scanSettings.cfScanSettings.actionSelectionPolicy` `[HighestPriorityExpressionAction][StrictestAction]` Правило удалено `scanSettings.cfScanSettings.engineSettings.enableScan` `[true][]` `scanSettings.cfScanSettings.actionSelectionPolicy` `[StrictestAction][]`
При срабатывании выражений	`scanSettings.cfScanSettings.` `actionSelectionPolicy` Возможные значения: `HighestPriorityExpressionAction`, если выбрано действие Применить действие выражения с высшим приоритетом, остальные выражения игнорировать. `StrictestAction`, если выбрано действие Применить самое строгое среди действий сработавших выражений.

Параметр Контентная фильтрация → Основное

Код в записи события аудита

Примеры

Переключатель Контентная фильтрация в панели слева

scanSettings.cfScanSettings.
engineSettings.enableScan

Возможные значения:

true, если переключатель в положении Вкл.
false, если переключатель в положении Выкл.

Правило создано:

scanSettings.cfScanSettings.engineSettings.
enableScan[][false]

scanSettings.cfScanSettings.actionSelectionPolicy[]
[HighestPriorityExpressionAction]

Правило изменено:

scanSettings.cfScanSettings.engineSettings.
enableScan[false][true]

scanSettings.cfScanSettings.actionSelectionPolicy
[HighestPriorityExpressionAction][StrictestAction]

Правило удалено

scanSettings.cfScanSettings.engineSettings.enableScan
[true][]

scanSettings.cfScanSettings.actionSelectionPolicy
[StrictestAction][]

При срабатывании выражений

scanSettings.cfScanSettings.
actionSelectionPolicy

Возможные значения:

HighestPriorityExpressionAction, если выбрано действие Применить действие выражения с высшим приоритетом, остальные выражения игнорировать.
StrictestAction, если выбрано действие Применить самое строгое среди действий сработавших выражений.

Коды параметров раздела Контентная фильтрация → Действия при ошибке проверки в записи события аудита


Параметр Контентная фильтрация → Действия при ошибке проверки	Код в записи события аудита	Примеры
Вкладка Действия при ошибке проверки, блок Если произошла ошибка контентной фильтрации
Действие	`scanSettings.cfScanSettings.` `errorActions.action` Возможные значения: `Skip`, если выбрано действие Пропустить. `Reject`, если выбрано действие Отклонить. `DeleteMessage`, если выбрано действие Удалить сообщение.	Правило создано: `scanSettings.cfScanSettings.errorActions.action[][Skip]` `scanSettings.cfScanSettings.errorActions.backup[][false]` `scanSettings.cfScanSettings.errorActions.mark[][%5BERROR%5D]` Правило изменено: `scanSettings.cfScanSettings.errorActions.action[Skip][Reject]` `scanSettings.cfScanSettings.errorActions.backup[false][true]` `scanSettings.cfScanSettings.errorActions.mark[%5BERROR%5D]` `[%5BCF ERROR%5D]` Правило удалено `scanSettings.cfScanSettings.errorActions.action[Reject][]` `scanSettings.cfScanSettings.errorActions.backup[true][]` `scanSettings.cfScanSettings.errorActions.mark[%5BCF ERROR%5D][]`
Поместить исходное сообщение в Хранилище	`scanSettings.cfScanSettings.` `errorActions.backup` Возможные значения: `true`, если переключатель в положении Вкл. `false`, если переключатель в положении Выкл.
Добавить в тему сообщения следующий текст	`scanSettings.cfScanSettings.` `errorActions.mark`
Вкладка Действия при ошибке проверки, блок Другие параметры
Удаление заголовков – Текст	`scanSettings.cfScanSettings.` `errorActions.headersToChange.` `headersToDelete.textList`	Для изменений на вкладке Текст: Правило создано: `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToDelete.textList.Added[X-MS-Exchange-Abc X-MS-Exchange-Def]` Правило изменено: `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToDelete.textList.Added[X-MS-Exchange-Ghi X-MS-Exchange-Xyz]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToDelete.textList.Removed[X-MS-Exchange-Def]` Правило удалено `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToDelete.textList.Removed[X-MS-Exchange-Abc X-MS-Exchange-Ghi X-MS-Exchange-Xyz]`
Удаление заголовков – Маска	`scanSettings.cfScanSettings.` `errorActions.headersToChange.` `headersToDelete.wildcardList`
Удаление заголовков – Регулярное выражение	`scanSettings.cfScanSettings.` `errorActions.headersToChange.` `headersToDelete.regexList`
Изменение заголовков	`scanSettings.cfScanSettings.` `errorActions.headersToChange.` `headersToModify` Значения списка представлены парами записей: одна запись для имени заголовка, вторая запись для значения. Если заголовок добавлен или удален, такое событие должно быть представлено двумя записями: 1. Запись с добавленным или удаленным заголовком вида: `scanSettings.cfScanSettings.` `errorActions.headersToChange.` `headersToModify{N}.<имя заголовка>` 2. Запись со значением добавленного или удаленного заголовка вида: `scanSettings.cfScanSettings.` `errorActions.headersToChange.` `headersToModify{N}.<значение заголовка>` Если изменился только заголовок, то изменения пары будут представлены одной записью вида: `scanSettings.cfScanSettings.` `errorActions.headersToChange.` `headersToModify{N}.<имя заголовка>` Если изменилось только значение заголовка, то изменения пары будут представлены одной записью вида: `scanSettings.cfScanSettings.` `errorActions.headersToChange.` `headersToModify{N}.<значение заголовка>` N – порядковый номер пары в списке пар. Если изменился порядковый номер строки, то изменения пары будут представлены одной записью вида: `scanSettings.cfScanSettings.` `errorActions.headersToChange.` `headersToModify{N}.<порядковый номер>`	Правило создано `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{1}.name[][X-MS-Exchange-Abc]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{1}.value[][123]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{2}.name[][X-MS-Exchange-Def]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{2}.value[][456]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{3}.name[][X-MS-Exchange-Ghi]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{3}.value[][789]` Правило изменено `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{1}.name[X-MS-Exchange-Abc][]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{1}.value[123][]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{2}.value[456][444]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{2}.index[2][1]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{3}.name[X-MS-Exchange-Ghi][X-PT-Ghi]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{3}.index[3][2]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{3}.name[][X-MS-Exchange-Xyz]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{3}.value[][111]` Правило удалено `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{1}.name[X-MS-Exchange-Def][]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{1}.value[444][]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{2}.name[X-PT-Ghi][]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{2}.value[789][]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{3}.name[X-MS-Exchange-Def][]` `scanSettings.cfScanSettings.errorActions.headersToChange.` `headersToModify{3}.value[111][]`

В начало