Einstellungen des Ereignisprotokolls anpassen

Bei der Einstellung der Speicherdauer von Ereignissen und Auswahl von Ereignisarten für die Speicherung muss der verfügbare Festplatten-Speicherplatz auf den verarbeitenden Servern berücksichtigt werden.

Die Einstellungen der Speicherung der Ereignisse in das Ereignisprotokoll wirken sich nicht aus auf die Einstellungen der Speicherung der Ereignisse gemäß Protokoll Syslog.

So passen Sie die Einstellungen der Speicherung in das Ereignisprotokoll an:

1. Wählen Sie im Fenster der Webschnittstelle der App den Abschnitt Einstellungen → Protokolle und Ereignisse → Ereignisse aus.
2. Führen Sie im Block E-Mail-Datenverkehr folgende Aktionen aus:
   1. Wählen Sie im Einstellungsblock Ereignisse bei der Verarbeitung des Datenverkehrs protokollieren aus, welche Ereignisse während der Verarbeitung des Datenverkehrs im Ereignisprotokoll gespeichert werden sollen. Folgende Varianten stehen zur Auswahl:
      • Alle protokollieren.
      • Ereignisse protokollieren für: E-Mail gelöscht/Anhang gelöscht/Abgelehnt.
      • Nichts protokollieren.

      Standardmäßig ist die Einstellung Alle protokollieren ausgewählt.

      Der ausgewählte Wert der Einstellungen wirkt sich nur auf Ereignisse aus, die nach Anwendung der Änderungen in das Ereignisprotokoll geschrieben werden. Auf Ereignisse, die zu einem früheren Zeitpunkt in das Protokoll geschrieben wurden, wird der neue Wert der Einstellung nicht angewendet.

      Der ausgewählte Wert der Einstellung wirkt sich auf alle Cluster-Knoten aus.

   2. Wählen Sie im Parameterblock Informationen über die Überprüfung von Links und MIME-Teilen protokollieren aus, welche Daten im Ereignisprotokoll basierend auf den Untersuchungsergebnissen von Links und MIME-Teilen durch die Module Anti-Virus, Inhaltsfilterung, Untersuchung von Links und Anti-Phishing aufgezeichnet werden sollen.

      Folgende Varianten stehen zur Auswahl:

      • Nur für Nachrichten, bei denen die Untersuchungsmodule ausgelöst wurden.

        Das Protokoll zeichnet Daten zur Untersuchung aller MIME-Teile aller Nachrichten und aller Links auf, bei denen die Überprüfungsmodule ausgelöst wurden.

        Es wird davon ausgegangen, dass die Prüfmodule einen Link bearbeitet haben, wenn dieser als Ergebnis der Prüfung einen der folgenden Statuswerte erhält:

        • Modul Anti-Phishing: Phishing-Link, Phishing, Fehler.
        • Modul Link-Untersuchung: Erkannt, Fehler.

        Es wird davon ausgegangen, dass die Prüfmodule einen MIME-Teil bearbeitet haben, wenn als Ergebnis der Prüfung mindestens eines der folgenden Ereignisse eingetreten ist:

        • Das Modul Anti-Virus hat der Nachricht einen beliebigen Status zugewiesen, außer Nicht untersucht, Nicht erkannt, Datenbankenfehler.
        • Das Modul Anti-Virus hat in der Nachricht ein Dokument erkannt, das ein Makro enthält.
        • Das Modul Inhaltsfilterung hat einen Ausdruck für die Inhaltsfilterung auf den MIME-Teil angewendet.
      • Für alle Nachrichten.

        Im Protokoll wird die Untersuchung jedes MIME-Teils und jedes Links aller Nachrichten aufgezeichnet.

      Beispielsweise wurden in einer Nachricht 5 Anhänge ohne Bedrohungen oder andere Objekte sowie 10 Links gefunden, die von den Untersuchungsmodulen bearbeitet wurden. Wenn der Wert Nur für Nachrichten, bei denen die Untersuchungsmodule ausgelöst wurden ausgewählt ist, dann werden im Ereignisprotokoll nur die Informationen über die 10 Links aufgezeichnet. Wenn der Wert Für alle Nachrichten ausgewählt ist, dann werden im Ereignisprotokoll Informationen zu den 5 Anhängen und den 10 Links aufgezeichnet.

   3. Wenn Sie den Hash der MIME-Teile der Nachricht im Ereignisprotokoll aufzeichnen möchten, aktivieren Sie den Schalter Hash für MIME-Teile und Anhänge protokollieren. Wenn diese Option aktiviert ist, wird für alle protokollierten MIME-Teile und Anhänge ein Hash hinzugefügt. Für Links wird kein Hash hinzugefügt.
   4. Wenn Sie den Schalter Hash für MIME-Teile und Anhänge protokollieren aktiviert haben, wählen Sie in der Dropdown-Liste Hash-Algorithmus einen der folgenden Werte aus: SHA256, MD5 oder SHA1.
   5. Geben Sie im Feld Maximale Größe des Ereignisprotokolls (MB) die Größe des Ereignisprotokolls an, so dass mit Überschreiten dieses Wertes ältere Einträge gelöscht werden.

      Der voreingestellte Standardwert beträgt 1024 MB. Mögliche Werte sind ganze Zahlen zwischen 100 und 2.147.483.647.

   6. Geben Sie im Feld Speicherdauer der Ereignisse im Protokoll (Tage) in Tagen die Speicherdauer an, während der die App die Ereignisse aus der Verarbeitung des Netzwerk-Datenverkehrs auf dem Server vorhalten muss.

      Der voreingestellte Standardwert: 3 Tage. Mögliche Werte sind ganze Zahlen zwischen 1 und 8.589.934.592.

3. Führen Sie im Einstellungsblock Anwendung folgende Aktionen aus:
   1. Geben Sie im Feld Maximale Größe des Ereignisprotokolls (MB) die Größe des Ereignisprotokolls an, so dass mit Überschreiten dieses Wertes ältere Einträge gelöscht werden.

      Der voreingestellte Standardwert beträgt 1024 MB. Mögliche Werte sind ganze Zahlen zwischen 100 und 2.147.483.647.

   2. Geben Sie im Feld Speicherdauer der Ereignisse im Protokoll (Tage) an, wie viele Tage die App die App-Ereignisse auf dem Server speichern soll.

Die Einstellungen der Speicherung der Ereignisse im Ereignisprotokoll werden angepasst.