Использование отчетов о защите почты в Office 365 для просмотра сведений об обнаруженных вредоносных программах, нежелательных сообщениях и сработавших правилахUse mail protection reports in Office 365 to view data about malware, spam, and rule detections

Если вы администрируете Exchange Online или Exchange Online Protection (EOP), вероятно, вы хотите знать, сколько спама и вредоносных программ обнаруживается и как часто срабатывают правила потока обработки почты, также называемые правилами транспорта. Благодаря интерактивным отчетам о защите почты в Центр администрирования Office 365 вы можете быстро ознакомиться со сводными данными, а также изучить детальные сведения об отдельных сообщениях за последние 90 дней.If you're an Exchange Online or Exchange Online Protection (EOP) admin, there's a good chance you'd like to monitor how much spam and malware is being detected, or how often your mail flow rules, also called transport rules, are being matched. With the interactive mail protection reports in the Office 365 admin center, you can quickly get a visual report of summary data, and drill-down into details about individual messages, for as far back as 90 days.

Отчеты о защите электронной почты в Office 365

В этой статье рассматриваются следующие темы:This topic covers the following areas:

Можно настроить некоторые отчеты о защите почты для фильтрации с отправителя и получателя или для определенного домена. Также можно запланировать отчеты о почты автоматически отправлять папки "Входящие". Чтобы узнать, как это сделать, обратитесь к разделу Настройка и расписание почтовые отчеты о защите в Office 365 автоматически отправку в папку "Входящие".You can customize certain mail protection reports to filter on sender and/or recipient or on a specific domain. You can also schedule mail reports to be sent automatically to your inbox. To learn how to do this, see Customize and schedule mail protection reports in Office 365 to be automatically sent to your inbox.

Общие сведения об отчетахReporting overview

Указанные ниже отчеты о защите почты доступны на странице Отчеты в Центр администрирования Office 365.You can access the following mail protection reports from the REPORTS page in Office 365 admin center.

Отчеты о защитеProtection reports

ОтчетReport ОписаниеDescription
Пользователи, которые чаще всего отправляют и получают почтуTop senders and recipients
Отображает следующие сведения в зависимости от типа выбранного отчета.Shows the following, depending on the type of report you select:
Получатели почты: первые в списке — 10 получателей с наибольшим числом сообщений.Top mail recipients - the top 10 recipients for overall mail.
Отправители почты: первые в списке — 10 пользователей с наибольшим числом отправленных сообщений.Top mail senders - the top 10 senders for overall mail.
Получатели нежелательной почты: первые в списке — 10 получателей с наибольшим числом обнаруженных нежелательных сообщений.Top spam recipients - the top 10 recipients for spam detections.
Получатели вредоносных программ: первые в списке — 10 получателей с наибольшим числом обнаруженных вредоносных программ.Top malware recipients - the top 10 recipients for malware detections.
Вредоносные программы для почты: первые в спискеTop malware for mail
Отображает 10 вредоносных программ, которые наиболее часто встречаются в отправляемой и получаемых сообщениях.Shows the top 10 malware in received and sent mail.
Обнаружения вредоносных программMalware detections
Отображает число обнаруженных вредоносных программ в отправленной или полученной почте до применения действия к вредоносной программе. Сведения об отдельных отфильтрованных сообщениях можно получить, выбрав точку на графике.Shows the number of malware detections in sent or received mail before the malware action was applied. Details about individual malware-filtered messages are available by selecting a point on the graph.
Обнаружения нежелательной почтыSpam detections
Отображает, какие нежелательные отфильтрованных были обнаружены в отправленной или полученной почте, сгруппированные по типу фильтрации нежелательной почты:Shows what spam was detected in sent or received mail, grouped by spam filtering type:
Фильтрация содержимого — почта, определенная как нежелательная из-за характеристик сообщения, схожих с характеристиками нежелательных сообщений.Content filtered - mail identified as spam due to message characteristics consistent with spam.
SMTP заблокирован — сообщение было заблокировано перед тем, как оно попало в службу, из-за фильтрации отправителей или получателей.SMTP blocked - mail blocked before entering the service, based on sender/recipient filtering.
IP-адрес заблокирован — сообщение было заблокировано перед тем, как оно попало в службу, из-за репутации IP-адреса.IP blocked - mail blocked before entering the service, based on IP reputation.
По умолчанию включаются все сообщения. Можно изменить сведения об этом отчете для фильтрации для определенного отправителя или получателя или вы можете использовать *@domain для получения отчета для одного домена. Чтобы узнать, как это сделать, обратитесь к разделу Настройка и расписание почтовые отчеты о защите в Office 365 автоматически отправку в папку "Входящие".By default, all messages are included. You can modify the details of this report to filter to a specific sender and/or a recipient or you can use *@domain to get a report on a single domain. To learn how to do this, see Customize and schedule mail protection reports in Office 365 to be automatically sent to your inbox.
Сведения об отдельных отфильтрованных сообщениях можно получить, выбрав точку на графике.Details about individual content-filtered messages are available by selecting a point on the graph.
Отправленная и полученная почтаSent and received mail
Отображает отправленные и полученные сообщения, сгруппированные по типу трафика:Shows the sent and received mail grouped by traffic type:
Хорошая почта — сообщения, которые получены и не определены как нежелательная почта или вредоносная программа.Good mail - messages that were received and not identified as spam or malware.
Нежелательная почта — сообщения, определенные как нежелательная почта.Spam - messages identified as spam.
Вредоносная программа — сообщения, содержащие вредоносную программу.Malware - messages that contained malware.
Правила потока обработки почты (также называемые правилами транспорта) — это сообщения, соответствующие по крайней мере одному правилу.Mail flow rules (also called transport rules) - messages that matched at least one rule.
По умолчанию включаются все сообщения. Можно изменить сведения об этом отчете для фильтрации для определенного отправителя или получателя или вы можете использовать *@domain для получения отчета для одного домена. Чтобы узнать, как это сделать, обратитесь к разделу Настройка и расписание почтовые отчеты о защите в Office 365 автоматически отправку в папку "Входящие".By default, all messages are included. You can modify the details of this report to filter to a specific sender and/or a recipient or you can use *@domain to get a report on a single domain. To learn how to do this, see Customize and schedule mail protection reports in Office 365 to be automatically sent to your inbox.
Сведения об отдельных сообщениях недоступны.Details about individual messages are not available.
Отчет о поддельной почтеSpoof mail report
Для пользователей, которые приобрели план Office 365 корпоративный E5 или лицензии Advanced Threat Protection (ATP), на этой диаграмме отображаются входящие сообщения, отправленные якобы из вашей организации, но на самом деле адрес отправителя подделан. Это называется "внутренний спуфинг". For customers who have Office 365 Enterprise E5 or have purchased Advanced Threat Protection (ATP) licenses, this chart shows inbound emails sent to your organization where the sender appears to represent your organization, but the actual sender identity is different. This is known as "insider spoofing".
Организации могут использовать спуфинг специально, а некоторые виды спуфинга носят вредоносный характер. Этот отчет содержит сведения о поддельных сообщениях обоих типов, полученных вашей организацией, и элементы для разрешения или блокировки сообщений от этого отправителя. Например, вы можете поручить третьей стороне отправить всем сотрудникам приглашение на корпоративное мероприятие — такое сообщение будет отображаться в отчете как проверенное или Хорошая почта. Office 365 также определяет вредоносные сообщения, отправляемые от имени вашей компании, и помечает их тегами Перехвачено как нежелательная почта. Organizations might use spoofing intentionally for good reason, and some types of spoofing are malicious. This report includes both types of spoofing emails received by your organization, and helps you take action to allow or block further emails from that sender. For example, you might contract a third party to send an invite to all employees for a company event - an email like this would appear in this report as non-spam or Good mail. Office 365 also detects mail sent as your company in a malicious way and labels this Caught as spam.
Вы можете просмотреть подробный отчет, выбрав на диаграмме точку данных, соответствующую определенному дню. Показатели группируются на основе следующих атрибутов: You can see a detailed view by clicking on a data point in the chart for a given day. The counts are aggregated based on the following attributes:
Поддельный отправитель — указанное имя отправителя из вашей организации.Spoofed Sender - The visible sender name which appears to be from your organization.
Настоящий отправитель — настоящий отправитель, связанный с зарегистрированным IP-адресом. Если это поле пустое, Office 365 не удалось обнаружить домен отправителя при проверке записи DNS. True Sender - The actual sender associated with the registered IP address. If this field is blank, the sender's domain was not detected when the DNS record was examined by Office 365.
IP-адрес отправителя — IP-адрес или диапазон адресов, связанный с отправителем поддельного сообщения.Sender IP - The IP address or address range associated with the sender of the spoof message.
Тип события — помечено ли поддельное сообщение как спам ( Перехвачено как нежелательная почта) или проверенное ( Хорошая почта).Event Type - Whether the spoof message was marked as spam ( Caught as spam) or non-spam ( Good mail).
Вы можете заблокировать или разрешить сообщения с этого IP-адреса, выбрав элемент Добавить в список заблокированных или разрешенных IP-адресов. Добавляйте IP-адреса в список разрешенных, только если они принадлежат надежным доменам. You can block or allow email sent from this IP address in future by selecting Add to IP Block or IP Allow list. Only add IP addresses to the Allow list if you know they belong to safe domains.

Отчета по правиламRules reports

ОтчетReport
ОписаниеDescription
Соответствия правилам для почты: первые в спискеTop rule matches for mail
Отображает 10 правил потока обработки почты с наибольшим числом соответствий для полученных и отправленных сообщений.Shows the top 10 most-matched mail flow rules for received and sent mail.
Соответствия правилам для почтыRule matches for mail
Отображает число соответствий правилам потока обработки почты, сгруппированных по важности правила. Сведения об отдельных сообщениях можно получить, выбрав точку на графике. Shows the number of mail flow rule matches, grouped by rule severity. Details about individual messages are available by selecting a point on the graph.
По умолчанию включаются все сообщения. Можно изменить сведения об этом отчете для фильтрации для определенного отправителя или получателя или вы можете использовать *@domain для получения отчета для одного домена. Чтобы узнать, как это сделать, обратитесь к разделу Настройка и расписание почтовые отчеты о защите в Office 365 автоматически отправку в папку "Входящие".By default, all messages are included. You can modify the details of this report to filter to a specific sender and/or a recipient or you can use *@domain to get a report on a single domain. To learn how to do this, see Customize and schedule mail protection reports in Office 365 to be automatically sent to your inbox.

Отчеты DLPDLP reports

ОтчетReport
ОписаниеDescription
Соответствия политике DLP для почты: первые в спискеTop DLP policy matches for mail
Отображает 10 политик предотвращения потери данных (DLP) с наибольшим числом соответствий для полученных и отправленных сообщений.Shows the top 10 most-matched data loss prevention (DLP) policies for received and sent mail.
Соответствия правилам DLP для почты: первые в спискеTop DLP rule matches for mail
Отображает 10 правил DLP с наибольшим числом соответствий для полученных и отправленных сообщений.Shows the top 10 most-matched DLP rules for received and sent mail.
Соответствия политике DLP по уровню серьезности для почтыDLP policy matches by severity for mail
Отображает число соответствий правилам политики DLP для почтовых сообщений, сгруппированных по уровню серьезности. Сведения об отдельных сообщениях можно получить, выбрав точку на графике.Shows the number of DLP policy rule matches for mail, grouped by severity. Details about individual messages are available by selecting a point on the graph.
Соответствия политики DLP, переопределения и ложные срабатывания для почтыDLP policy matches, overrides, and false positives for mail
Отображает число соответствий политике DLP, переопределений (пользователь отправил почту несмотря на соответствие DLP) и ложных срабатываний (пользователь сообщил, что соответствие DLP было неверным). Сведения об отдельных сообщениях можно получить, выбрав точку на графике.Shows the number of DLP policy matches, overrides (the user has sent the mail despite a DLP match), and false positives (the user reports that a DLP match was incorrect). Details about individual messages are available by selecting a point on the graph.

Примечание

Функция DLP доступна только для определенных планов подписки Exchange Online и EOP. Сведения о доступности этой функции для каждого плана см. в записях таблицы "Предотвращение потери данных" статей Описание службы Exchange Online и Описание службы Exchange Online Protection.The DLP feature is available only with certain Exchange Online and EOP subscription plans. For information about DLP feature availability with each plan, see the Data Loss Prevention table entries in the Exchange Online Service Description and the Exchange Online Protection Service Description.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения.You need to be assigned permissions before you can perform this procedure or procedures:

    • Чтобы администраторы Exchange Online могли просматривать отчеты Центр администрирования Office 365, необходима роль "глобального администратора" Office 365 и роли администратора Exchange, перечисленные в разделе "Просмотр отчетов" статьи Разрешения компонентов в Exchange Online.For Exchange Online admins, in order to view Office 365 admin center reports, you need the "global admin" Office 365 admin role, and the Exchange admin roles listed for the "View reports" entry in the Feature permissions in Exchange Online topic.

    • Чтобы администраторы EOP могли просматривать отчеты Центр администрирования Office 365, необходима роль "глобального администратора" Office 365 и роли администратора Exchange, перечисленные в разделе "Просмотр отчетов" статьи Feature Permissions in EOP.For EOP admins, in order to view Office 365 admin center reports, you need the "global admin" Office 365 admin role, and the Exchange admin roles listed for the "View reports" entry in the Feature Permissions in EOP topic.

  • Сведения о том, когда и как долго данные доступны, см. в разделе "Доступность и задержка данных отчетов и трассировки сообщений" статьи Reporting and Message Trace in Exchange Online Protection.For information about when data is available and for how long, see the "Reporting and message trace data availability and latency" section in Reporting and Message Trace in Exchange Online Protection.

  • Если подробный отчет выполняется для сообщений старше 7 дней, отчет можно загрузить как CSV-файл, который можно открыть, например, в Excel.If a detail report is run for messages that are older than 7 days, the report is available as a downloadable .csv file, which can be opened in an application such as Excel.

  • Отчеты о защите почты Exchange также доступны через удаленный сеанс Windows PowerShell. Полный список командлетов, связанных с отчетами Exchange Online, см. в статье Командлеты отчетов в Exchange Online.Exchange mail protection reports are also accessible through remote Windows PowerShell. For a complete list of Exchange Online reporting cmdlets, see Reporting cmdlets in Exchange Online.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection.

Просмотр отчетов о защите почты в Центр администрирования Office 365View mail protection reports in the Office 365 admin center

При переходе по ссылке на отчет о защите почты, например отчет об отправленных и полученных сообщениях, открывается новое окно с интерактивной диаграммой и сводной информацией.When you click a mail protection report link, such as the sent and received mail report, a new window opens up and displays an interactive chart with summary-level information.

Отчет об отправленной и полученной почте

Сводные данные: вы можете выбрать соответствующий диапазон дат для просмотра сводных данных в пределах 90 дней. Представление можно изменить, чтобы просмотреть только сообщения, соответствующие определенным критериям, изменив срезы в правой части графика. Например, чтобы отобразить все сообщения, кроме нежелательных, отключите параметр Нежелательная почта. В некоторых отчетах над графиками могут быть параметры, которые позволяют дополнительно сузить область отображаемых данных. Для получения сведений об отчете и его параметрах наведите указатель на ссылку рядом с названием отчета.Summary data: You can select the appropriate date range to see up to 90 days of summary data. You can change the view to see only messages that match specific criteria by altering the series slicers located on the right side of the graph. For example, if you want to view all messages except spam messages, clear the Spam slicer option. Some reports might also have parameters above the graph that let you further narrow down your criteria. For information about the report and its parameters, you can hover over the information link next to the report title.

Подробные данные: для некоторых отчетов доступны подробные данные о сообщения. Для их получения щелкните определенную точку данных на графике. После выбора точки сведения о сообщения отображаются под графиком в таблице. Если все записи не помещаются на одной странице, вы можете перейти на другие страницы. Подробные сведения о сообщения содержат следующие данные:Detail data: Detailed message data is available for some reports by clicking on a specific data point within the graph. When a point is selected, the message details are displayed below the graph in a table. You can page through the detail messages if there are more records than can be displayed on one page. Each detail lists the following:

  • дата отправки сообщения;The date the message was sent.

  • отправитель и получатель сообщения (в одной строке указывается только один получатель);The sender and recipient of the message (only one recipient is listed per line).

  • код сообщения (берется из заголовка сообщения и отображается в следующем формате: <08f1e0f6806a47b4ac103961109ae6ef@сервер.домен>);The message ID (found in the header of the message and usually similar to the following format: <08f1e0f6806a47b4ac103961109ae6ef@server.domain>).

  • текст в строке темы сообщения.The subject line text of the message.

В зависимости от типа отчета могут отображаться дополнительные поля, содержащие такие сведения, как тип события нежелательной почты, соответствующее правило потока обработки почты и действие, связанное с правилом.Depending on the type of report, you may see additional fields that include information such as the spam event type, the mail flow rule matched, and the action associated with a rule.

На следующем рисунке показан отчет об обнаружениях нежелательной почты с подробными данными.The following image shows the spam detections report with detail data.

Отчет об обнаружении нежелательной почты

Примечание

Число подробных записей может отличаться от счетчика в сводных данных. Каждый отчет содержит описание способа вычисления количества записей.The number of details may differ from the summary count. Each report will have an explanation about how the number of detail records is computed.

Совет

Щелкните ссылку Просмотр таблицы для отображения данных в виде таблицы, а не графика. Однако в табличном представлении нельзя детализировать сведения о сообщении.You can click the View table link to display the data in a table rather than a graph. You can't drill down into message details within the table view, however.

Просмотр сведений о сообщениях старше 7 днейView detail data for messages that are older than 7 days

Подробные данные для сообщений старше 7 дней можно загрузить в файле. Это отображается как область на графике с серым фоном. При выборе точки данных в сводном графике для данных старше 7 дней, в нижней части страницы появляется ссылка Запросить этот отчет.Detail data for messages that are older than 7 days is available as a download. This will be shown as the area in the graph with a gray background. When you select a data point in the summary graph for data older than 7 days, a Request this report link will be displayed on the bottom of the page.

Обнаружения нежелательной почты сроком дольше семи дней

Выполнение подробного отчета о сообщениях старше 7 днейRun a detail report for messages that are older than 7 days

При выборе ссылки Запросить этот отчет вы увидите новую страницу, которая позволяет ввести сведения об уведомлении и отфильтровать запрос.When you click the Request this report link, you'll be presented with a new page that lets you provide notification information and further filter the request.

Параметры отчета о запросе

Вы можете указать перечисленные ниже параметры.You can specify the following parameters:

  • Дата и время начала и Дата и время окончания. Укажите диапазон дат для получения отчета. Дата и время окончания должны идти по крайней мере через 24 часа после даты и времени начала.Start date and time and End date and time Specify the date range from which you want reporting data. The end date and time must be at least 24 hours old.

  • Состояние доставки. С помощью списка выберите состояние сообщения, сведения о котором необходимо просмотреть. Выберите Все, чтобы включить в поиск сообщения со всеми состояниями (это значение по умолчанию). Другие возможные значения.Delivery status Using the list, select the status of the message you want to view information about. Leave the default value of All to cover all statuses. Other possible values are:

    • Доставлено. Сообщение было успешно доставлено в место назначения.Delivered The message was successfully delivered to the intended destination.

    • Не доставлено. Сообщение не было доставлено. Это означает, что либо попытка доставить сообщение закончилась неудачно, либо оно не было доставлено в результате действий службы фильтрации. Например, было определено, что сообщение содержит вредоносную программу.Failed The message was not delivered. Either the delivery was attempted and failed, or the message was not delivered as a result of actions taken by the filtering service. For example, if the message was determined to contain malware.

    • Расширено. Сообщение было отправлено в список рассылки и было расширено, чтобы просмотреть участников списка отдельно.Expanded The message was sent to a distribution list and was expanded so the members of the list can be viewed individually.

  • Код сообщения. Это идентификатор сообщения Интернета (также называемый кодом клиента), найденный в заголовке сообщения с маркером "Message-ID:". Пользователи могут предоставлять эти сведения, чтобы исследовать определенные сообщения.Message ID This is the Internet message ID (also known as the Client ID) found in the header of the message with the "Message-ID:" token. Users can provide you with this information in order to investigate specific messages.

    Этот идентификатор может иметь различную форму, зависящую от почтовой системы, из которой отправлено сообщение. Пример: <08f1e0f6806a47b4ac103961109ae6ef@сервер.домен>.The form of this ID varies depending on the sending mail system. The following is an example: <08f1e0f6806a47b4ac103961109ae6ef@server.domain>.

    Примечание

    Не забудьте включить полную строку идентификатора сообщения. Она может включать угловые скобки (<>).Be sure to include the full Message ID string. This may include angle brackets (<>).

    Этот идентификатор должен быть уникальным. Но он зависит от почтовой системы, отправившей сообщение и создавшей его, и не все почтовые системы, отправляющие сообщения, ведут себя одинаково. Поэтому существует вероятность, что при запросе сведений с использованием одного кода сообщения могут быть получены результаты для нескольких сообщений.This ID should be unique; however, it is dependent on the sending mail system for generation, and not all sending mail systems behave the same way. As a result, there's a possibility that you may get results for multiple messages when querying on a single Message ID.

  • Исходный IP-адрес клиента. Укажите IP-адрес клиента отправителя.Original client IP address Specify the IP address of the sender's client.

  • Заголовок отчета. Укажите уникальный идентификатор для отчета. Он также будет использоваться как текст строки темы для уведомления по электронной почте. По умолчанию задано значение "< Отчет о трассировке сообщений > < день недели >, < текущая дата > < текущее время >". Ниже приведен пример: "Подробный отчет о нежелательной почте, четверг, 27 февраля 2014 г. 07:21:09".Report title Specify the unique identifier for this report. This will also be used as the subject line text for the email notification. The default is "< Report type > detail report < day of the week >, < current date > < current time >". Here's an example: "Spam detail report Thursday, February 27, 2014 7:21:09 AM".

  • Адрес электронной почты для уведомления. Укажите адрес электронной почты, на который нужно прислать уведомление после выполнения запроса на получение отчета. Этот адрес должен находиться в списке обслуживаемых доменов.Notification email address Specify the email address that you want to receive the notification when the report request completes. This address must reside within your list of accepted domains.

Щелкните Отправить, чтобы отправить запрос на получение отчета. Хотя числа отчетов, которые можно выполнить в течение 24 часов, должно быть достаточно для ваших потребностей в отчетах, при приближении к пороговому ограничению, о чем будет показано предупреждение, 24-часовой период можно превысить.Click Submit to submit the report request. Although the amount of reports you can run over a 24-hour period should be sufficient for your reporting needs, you'll be warned if you're nearing the threshold of the amount of reports you're allowed to run over a 24-hour period.

После нажатия кнопки Отправить должно появиться сообщение о том, что запрос отчета успешно отправлен и после его выполнения на адрес электронной почты (если он указан) будет отправлено уведомление. Для выполнения запроса может потребоваться несколько часов. (Если запрос обработан и данные, соответствующие критериям поиска, успешно получены, это уведомление будет содержать сведения об отчете и ссылку на загружаемый CSV-файл. Если данные, соответствующие критериям поиска, не найдены, вам будет предложено создать новый запрос с другими критериями для получения действительных результатов.)After you click the Submit button, a message should appear letting you know that the report request was successfully submitted and that an email notification will be sent to the email address (if supplied) when it has completed. It may take up to a few hours for the report request to complete. (If the request is processed, and data that matches your search criteria is successfully retrieved, this notification message will include information about the report and a link to the downloadable .csv file. If no data was found that matched the search criteria you specified, you'll be asked to submit a new request with changed criteria in order to obtain valid results.)

Просмотр ожидающих выполнения или выполненных запросов отчетаView pending or completed report requests

Для просмотра состояния запросов отчета можно щелкнуть ссылку Просмотреть ожидающие и завершенные запросы на основной странице, после чего откроется страница ожидающих и завершенных запросов.To view the status of report requests, you can click the View pending or completed requests link from the main page, which will open the pending or completed requests page.

Ожидающие или завершенные запросы

На странице Ожидающие и завершенные запросы вы можете просмотреть состояние любых отправленных запросов (в дополнение к запросам отчетов здесь также показаны отправлены запросы трассировки сообщений). На этой странице можно отменить ожидающие запросы или загрузить выполненный отчет.The Pending or completed requests page lets you see the status of any of your submitted requests (in addition to your report requests, it also lists your submitted message trace requests). From here, you can cancel pending requests or download a completed report.

Список запросов можно отсортировать, щелкнув любой из заголовков столбцов. Помимо названия (заголовка) отчета, даты и времени отправки запроса, а также количества сообщений, в отчете выводятся следующие значения состояния.The list of requests can be sorted by clicking any of the column headers. In addition to the report title, the date and time the request was submitted, and the number of messages in the report, the following status values are listed:

  • Не запущено. Запрос отправлен, но еще не выполняется. На этом этапе вы можете отменить запрос.Not started The request was submitted but is not yet running. At this point, you have the option to cancel the request.

  • Отменено. Запрос был отправлен, но затем отменен.Cancelled The request was submitted but was cancelled.

  • Выполняется. Запрос выполняется. Отменить или загрузить его невозможно.In progress The request is running, and you can't cancel the request or download the report.

  • Завершено. Запрос выполнен. Чтобы получить результаты в виде CSV-файла, щелкните Загрузить отчет. Обратите внимание, что если результаты содержат более 5000 сообщений для одного отчета, они будут усечены до 5000 сообщений. Если не получены все необходимые результаты, рекомендуется разбить поиск на несколько отчетов.Completed The request has completed, and you can click Download this report to retrieve the results in a .csv file. Note that if your results exceed 5,000 messages for a report, they will be truncated to 5,000 messages. If you don't see all the results that you need, we recommend that you break your search out into multiple queries.

При выборе определенного отчета дополнительные сведения появляются в правой области, где отображаются условия поиска, выбранные для этого отчета.When you select a specific report, additional information appears in the right pane, which shows the search criteria you specified for that report.

Примечание

Отчеты автоматически удаляются через 10 дней. Удалить их вручную нельзя.Reports are automatically deleted after 10 days. They can't be manually deleted.

Просмотр загруженного подробного отчетаView a downloaded detail report

Важно!

Для просмотра загруженного отчета о защите почты или о правилах потока обработки почты вашей группе ролей должна быть назначена роль "Получатели с правом просмотра". По умолчанию эта роль назначена группам ролей: "Управление соответствием требованиям", "Служба технической поддержки", "Управление санацией", "Управление организацией" и "Управление организацией с правами только на просмотр". Для просмотра загруженных отчетов о DLP требуется роль "Защита от потери данных". По умолчанию она доступна только группе ролей "Управление соответствием требованиям".To view downloaded mail protection and mail flow rules reports, you must have the "View-Only Recipients" role assigned to your role group. By default, the following role groups have this role assigned: Compliance Management, Help Desk, Hygiene Management, Organization Management, and View-Only Organization Management. To view downloaded DLP reports, the required role is "Data Loss Prevention," and by default, it's only available to the Compliance Management role group.

После загрузки отчета со страницы Просмотр ожидающих и завершенных запросов или из сообщения с уведомлением вы можете открыть и просмотреть отчет в приложении, например, Microsoft Excel.When you download a report either from the View pending or completed requests page or from a notification email, you can open and view it in an application such as Microsoft Excel.

Во все типы отчета включены следующие сведения о каждом сообщении:The following information about each message is included for every type of report:

  • origin_timestamp. Дата и время в формате UTC, когда служба получила сообщение (согласно настройкам часового пояса).origin_timestamp The date and time at which the message was received by the service, using the configured UTC time zone.

  • sender_address. Адрес электронной почты отправителя в следующей форме: псевдоним @ домен .sender_address The email address of the sender in the form alias @ domain .

  • recipient_address. Получатель сообщения.recipient_address The recipient of the message.

  • message_subject. Текст в строке темы сообщения. При необходимости эта строка усекается до первых 256 знаков.message_subject The subject line text of the message. If necessary, this is truncated to the first 256 characters.

  • total_bytes. Размер сообщения, включая вложения, в байтах.total_bytes The size of the message, including attachments, in bytes.

  • message_id. Это идентификатор сообщения Интернета (также называемый кодом клиента), найденный в заголовке сообщения с маркером "Message-ID:". Он может иметь различную форму, зависящую от почтовой системы, из которой отправлено сообщение. Пример. < 08f1e0f6806a47b4ac103961109ae6ef @ сервер . домен >.message_id This is the Internet message ID (also known as the Client ID) found in the header of the message with the "Message-ID:" token. The form of this varies depending on the sending mail system. The following is an example: < 08f1e0f6806a47b4ac103961109ae6ef @ server . domain >.

    Этот идентификатор должен быть уникальным. Но он зависит от почтовой системы, отправившей сообщение и создавшей его, и не все почтовые системы, отправляющие сообщения, ведут себя одинаково. Поэтому существует вероятность, что при запросе сведений с использованием одного кода сообщения могут быть получены результаты для нескольких сообщений.This ID should be unique; however, it is dependent on the sending mail system for generation, and not all sending mail systems behave the same way. As a result, there is a possibility that you may get results for multiple messages when querying on a single message ID.

  • network_message_id. Это уникальное значение идентификатора сообщения, которое сохраняется в различных копиях сообщения, которые могут создаваться в связи с развертыванием или расширением группы рассылки. В примере он имеет значение 1341ac7b13fb42ab4d4408cf7f55890f.network_message_id This is a unique message ID value that persists across copies of the message that may be created due to bifurcation or distribution group expansion. An example value is 1341ac7b13fb42ab4d4408cf7f55890f.

  • original_client_ip. IP-адрес клиента отправителя.original_client_ip The IP address of the sender's client.

  • directionality. Это поле указывает, было ли сообщение входящим (1) или исходящим (2) из вашей организации.directionality This field denotes whether the message was sent inbound (1) to your organization or whether it was sent outbound (2) from your organization.

В отчетах о сообщениях с обнаруженной нежелательной почтой также включаются следующие поля:The following fields are also included in reports about spam-detected messages:

  • event_type. Указывает тип фильтрации нежелательной почты:event_type Denotes whether the spam filtering type is:

    • Фильтр содержимого — сообщение, определенное как нежелательное из-за его содержимого.Content filtered The message was identified as spam due to its content.

    • SMTP заблокирован — сообщение было заблокировано перед тем, как оно попало в службу, из-за фильтрации отправителей или получателей.SMTP blocked The message was blocked before entering the service based on sender/recipient filtering.

    • IP-адрес заблокирован — сообщение было заблокировано перед тем, как оно попало в службу, из-за репутации IP-адреса.IP blocked The message was blocked before entering the service based on IP reputation.

  • вероятность нежелательной почты Дополнительные сведения о различных значения вероятности нежелательной почты и их значение Уровня вероятности нежелательной почтысм.scl For more information about the different SCL values and what they mean, see Spam Confidence Levels.

  • country. Страна или регион, из которого было отправлено данное сообщение (если доступно).country The country or region from which the message originated, if available.

  • language. Код языка, на котором написано сообщение (например, ru указывает на то, что сообщение написано на русском языке).language The language code in which the message was written (for example, en denotes the message was written in English).

  • helo string. Строка HELO или EHLO почтового сервера, который подключается.helo string The HELO or EHLO string of the connecting mail server.

  • reverse_dns. Запись PTR отправляющего IP-адреса, называемая также обратным DNS-адресом.reverse_dns The PTR record of the sending IP address, also known as the reverse DNS address.

В отчетах о сообщениях с обнаруженной вредоносной программой также включаются следующие поля:The following fields are also included in reports about malware-detected messages:

  • event_type. Это поле всегда содержит значение Вредоносная программа.event_type This will always be Malware.

  • filename. Имя файла, содержащего вредоносные программы.filename The name of the file that contained the malware.

  • malware_name. Имя обнаруженной вредоносной программы.malware_name The name of the malware that was detected.

В отчеты о сообщениях, которые соответствуют правилам потока обработки почты, также включаются следующие поля:The following fields are also included in reports about messages that matched a mail flow rule:

  • ruleid. Код соответствующего правила, например 368067fd-c36c-4b56-9f38-08d0ffcf8b23. Код каждого правила уникальный, его можно получить с помощью удаленной консоли Windows PowerShell.ruleid The rule ID that was matched, for example 368067fd-c36c-4b56-9f38-08d0ffcf8b23. Each rule has a unique ID. You can get this value via remote Windows PowerShell

  • Действие Действие, которая была применена. Список доступных действий в разделе поток обработки почты действия правил в Exchange Online.action The action that was applied. For a list of available actions, see Mail flow rule actions in Exchange Online.

  • severity. Серьезность проверки сработавшего правила.severity The audit severity of the rule that was matched.

  • set_time. Дата и время (в формате UTC) выполнения правила.set_time The date and time (in UTC) when the rule match occurred.

  • mode. Режим правила. Возможные значения:mode The mode of the rule. Possible values are:

    • Принудительно — все действия правила используются принудительно.Enforce All actions on the rule will be enforced.

    • Тест с подсказками политики — все действия правила отправляются, но другие принудительные действия не применяются.Test with Policy Tips Any Policy Tip actions will be sent, but other enforcement actions will not be acted on.

    • Тест без подсказок политики — действия перечисляются в файле журнала, но отправители не получают никаких уведомлений; принудительные действия не применяются.Test without Policy Tips Actions will be listed in a log file, but senders will not be notified in any way, and enforcement actions will not be acted on.

В отчеты о сообщениях, которые соответствуют политике DLP, также включаются следующие поля:The following fields are also included in reports about messages that matched a DLP policy:

  • dlpid. Идентификатор соответствующей политики DLP. Код каждой политики уникальный, его можно получить с помощью удаленной консоли Windows PowerShell.dlpid The DLP policy ID that was matched. Each policy has a unique ID. You can get this value via remote Windows PowerShell.

  • sender_override. Конечный пользователь сообщил о переопределении или ложном срабатывании правила.sender_override An end user reported either an override or false positive for a rule.

  • Sender_just. Следует переопределить текст обоснования, приведенный пользователем в качестве причины классификации данных.Sender_just The justification text provided by the end user as the reason the data classification should be overridden.

  • dcid. Идентификатор классификации данных, которые были обнаружены.dcid The ID of the data classification that was matched.

  • dc_count. Номер классификации данных, которые были обнаружены.dc_count The count of the data classification that was matched.

  • dc_conf. Уровень вероятности классификации данных, которые были обнаружены. Подробное описание уровня вероятности см. в разделе "Правила сущности" статьи Developing Sensitive Information Rule Packages.dc_conf The confidence level of the data classification that was matched. For a detailed explanation of the confidence level, see the "Entity rules" section in Developing Sensitive Information Rule Packages.

Примечание

Поля ruleid, action, severity, set_time и mode, указанные ранее для отчетов о правилах потока обработки почты, также включены в отчеты DLP.The ruleid, action, severity, set_time, and mode fields defined previously for mail flow rule reports also appear in DLP reports.