はじめに
本稿ではメッセージをアーカイブとして保存するAntivirusの機能をご紹介します。
AsyncOS14.2での動作確認を基にしています。バージョンにより動作が異なる場合があります。
アーカイブの設定
Antivirusでは以下の4つのスキャン結果に対しアーカイブ機能を利用することができます。
- Unscannable Messages(スキャン不能なメッセージ)
- Virus Infected Messages(ウイルス感染したメッセージ)
- Repaired Messages(修復されたメッセージ)
- Encrypted Messages(暗号化されたメッセージ)
GUI > Mail Policies(メールポリシー) > Incoming/Outgoing Mail Policies(受信/送信メールポリシー )> Anti-Virus(アンチウイルス)
Archive Original Message(オリジナルのメッセージをアーカイブ)をYes(はい)に設定します。
アーカイブされたメッセージの確認
アーカイブされたメッセージは、avarchiveという名前のログにmbox形式で記録されます。mbox形式では複数のメールが同じファイルに記録されることになります。メールから脅威が取り除かれていない状態でアーカイブされますので取り扱いにはご注意ください。
CLIでの表示
grepコマンドでavarchiveのログを選択します。
アーカイブされたメッセージには、X-IronPort-RCPT-TOヘッダが追加されます。また、アンチウイルス機能により追加されたX-Ironport-AVヘッダも、アーカイブされたメッセージに含まれています。
GUIでのダウンロード
GUIからavarchiveのログファイルをダウンロードすることができます。
GUI > System Administration(システム管理) > Log Subscriptions (ログサブスクリプション)
Cluster Modeでは、以下のようなURLをブラウザのアドレスバーに貼り付けてログファイルにアクセスすることが可能です。
https://(hostname)/cluster/system_administration/log_list?log_type=avarchive
参考: Cluster Mode - GUIからログファイルへのアクセス
https://community.cisco.com/t5/-/-/ta-p/4167867