Rapport de MailDetailMalware
L'URI REST MailDetailMalware fournit plus d'informations sur les étapes de traitement effectuées sur les messages de courrier électronique identifiés comme contenant des programmes malveillants lors du traitement du message. Start et end date/heure du rapport peut être spécifiée dans la demande.
Dernière modification : jeudi 17 septembre 2015
S’applique à : Office 365
URI DE REST
https://reports.office365.com/ecp/reportingwebservice/reporting.svc/MailDetailMalware[?ODATA options]
Champs
Les champs suivants peuvent être spécifiés dans les options de requête de ODATA2 $select, $filter et $orderby . Tous les champs sont renvoyés si aucune option $select n'est fournie.
Nom |
WCF Type * |
Type EDM * |
[In/Out] ** Description |
Exemples de valeurs |
Ajouté dans la version de service |
|---|---|---|---|---|---|
Action |
string |
Aucun n'est spécifié |
[In/Out] Description de l'action effectuée sur le message, le cas échéant. Ce champ peut être vide ou null si aucune action n'a été effectuée. Pour plus d'informations sur les valeurs d'Action valides, reportez-vous à la section Rapport de MailFilterList. |
SetSpamConfidenceLevel, RejectMessage |
2013-V1 |
Date |
System.DateTime |
Edm.DateTime |
[In/Out] La date et l'heure que du message a été identifié comme contenant des programmes malveillants. |
Date, abrégé (par exemple, 03/10/2013) ou l' Heure avec les guillemets (par exemple, "03/10/2013 4:55 PM") |
2013-V1 |
Direction |
string |
Aucun n'est spécifié |
[In/Out] Spécifie si le message électronique a été envoyé dans (Inbound) ou parallèle à partir de (Outbound) l'organisation lorsqu'il a été détecté comme conteneur de programmes malveillants. |
Les valeurs sont limitées à Inbound et Outbound. |
2013-V1 |
Domain |
string |
Non spécifié |
[In/Out] Le nom de domaine complet qui a été de traitement du message électronique. |
example.onmicrosoft.com |
2013-V1 |
EndDate |
System.DateTime |
Edm.DateTime |
[In] Ce champ est utilisé pour limiter la période du rapport. Utilisez ce champ dans une option de requête $filter pour définir la date de fin et l'heure de la période de rapport. Si vous fournissez EndDate dans l'option $filter, vous devez également fournir StartDate. |
Date, abrégé (par exemple, 03/10/2013) ou l' Heure avec les guillemets (par exemple, "03/10/2013 4:55 PM") |
2013-V1 2013-V1 |
EventType |
string |
Aucun n'est spécifié |
[In/Out] Le type d'événement ouvert une session d'analyse. Pour plus d'informations sur les valeurs valides EventType , consultez la rubrique Rapport de MailFilterList. |
SpamContentFiltered, SpamIPBlock |
2013-V1 |
FileName |
string |
Aucun n'est spécifié |
[In/Out] Le nom de fichier de la pièce jointe qui a été désignée pour exécuter le programme malveillant. |
MalwareFileName.ext |
2013-V1 |
Index |
int |
Edm.Int64 |
[In/Out] Plusieurs actions peuvent être effectuées sur un seul message. Cette valeur indique l'ordre dans lequel les règles de traitement des programmes malveillants ont été appliquées au message. Lorsqu'elle est utilisée dans une option $filter= l'opérande eq n'est pas autorisée. |
4 |
2013-V1 |
MalwareName |
string |
Aucun n'est spécifié |
Le nom de la norme du fichier programme malveillant détecté. |
SQL Slammer |
2013-V1 |
MessageId |
string |
Aucun n'est spécifié |
[In/Out] L'en-tête de MessageID Internet du message, si celui-ci a été fourni. Cette valeur peut également être explicitement null. |
Si aucun ID a été fourni pour le message, les données du rapport indiquera <d:MessageId m:null="true" /> pour Atom et "MessageId":null pour JSON. |
2013-V1 |
MessageSize |
int |
Edm.Int64 |
[In/Out] La taille du message en octets. |
130840 |
2013-V1 |
MessageTraceId |
System.Guid |
Edm.Guid |
[In/Out] Un identificateur utilisé pour obtenir le message détaillé transférer les informations de suivi. Le format interne du champ MessageTraceId doit être considéré opaque, comme le format peut changer. Pour plus d'informations sur le suivi des messages, consultez la rubrique Rapport de MessageTrace. |
ae4ad8f6-7613-411c-e67e-08cfc740629 |
2013-V1 |
Organization |
string |
Aucun n'est spécifié |
[In/Out] Le nom de domaine complet qui a été de traitement du message électronique. |
example.onmicrosoft.com |
2013-V1 |
RecipientAddress |
string |
Aucun n'est spécifié |
[In/Out] L'adresse de messagerie SMTP de l'utilisateur que le message a été adressé. |
userone@example.onmicrosoft.com |
2013-V1 |
SenderAddress |
string |
Aucun n'est spécifié |
[In/Out] L'adresse de messagerie SMTP de l'utilisateur, le message a été qui seraient à partir de. Étant donné que les adresses de l'expéditeur sont couramment usurpés dans les messages électroniques de programmes malveillants, elles sont considérées comme entièrement fiables. |
usertwo@example.onmicrosoft.com |
2013-V1 |
StartDate |
System.DateTime |
Edm.DateTime |
[In] Ce champ est utilisé pour limiter la période du rapport. Utilisez ce champ dans une option de requête $filter pour définir la date de début et l'heure de la période de rapport. Si vous fournissez un StartDate dans l'option $filter , vous devez également spécifier et EndDate. |
Date, abrégé (par exemple, 03/10/2013) ou l' Heure avec les guillemets (par exemple, "03/10/2013 4:55 PM") |
2013-V1 |
Subject |
string |
Aucun n'est spécifié |
[In/Out] La ligne objet du message, s'il a été présente sur le message. |
Free M0ney WoN! |
2013-V1 |
* WCF Type fait référence au type de données .NET Framework affecté au champ lorsque vous créez une référence de Service Windows Communication Framework (WCF) dans Visual Studio V. Le Type EDM fait référence aux types ADO.NET Entity Data Model (EDM) renvoyées dans les rapports au format Atom.
** [In/Out]: consultez les paramètres d'entrée et sortie colonnes section d'état.
Remarques
Chaque entrée dans le rapport comprend plusieurs champs de métadonnées. Pour plus d'informations, voir Les métadonnées renvoyées par le service web de création de rapports Office 365.
Le champ Date indique lorsque les messages ont été traitées par le système Office 365 et sont déclarées dans le fuseau horaire de ces serveurs.
À l'aide de StartDate et EndDate
Les champs StartDate et EndDate ne fournissent pas d'informations utiles dans les résultats du rapport et sont toujours la valeur 0001-01-01T00:00:00Z dans la sortie du rapport. Ils sont destinés à activer la restriction facile de la fenêtre de temps de création de rapports et fournir une plus fine précision que seraient disponibles dans un état « quotidien ».
Cela peut être particulièrement utile, par exemple, lors de l'enregistrement des attaques par déni de service courrier toutes les heures. Lorsque vous utilisez ces champs, vous devez inclure les champs StartDate et EndDate dans l'option $filter . Ils sont considérées comme étant facultatifs, mais si vous fournissez une, vous devez fournir l'autre. Si la paire StartDate/EndDate n'est pas disponibles dans la requête, la période de création de rapports par défaut est deux semaines précédentes. La section exemples ci-dessous montre comment utiliser les champs StartDate et EndDate .
Exemples
Le suivant exemple MailDetailMalware URL REST demande des informations sur le programme malveillant détecté entre le 1er septembre 2012 et le 1er janvier 2013, triés par le champ MalwareName , au format Atom XML. Dans ce cas, le rapport indique qu'aucun programme malveillant ne détecté pendant cette période pour l'organisation, la mention là en cours sans entry des éléments dans l'élément feed .
https://reports.office365.com/ecp/reportingwebservice/reporting.svc/MailDetailMalware?
$select=Action,Date,Direction,FileName,MalwareName&
$filter=StartDate%20eq%20datetime'2012-09-01T00:00:00Z'%20and%20EndDate%20eq%20datetime'2013-01-01T00:00:00Z'%20&
$orderby=MalwareName&
$format=Atom
<?xml version="1.0" encoding="utf-8"?>
<feed xml:base="https://reports.office365.com/ecp/ReportingWebService/Reporting.svc/"
xmlns="http://www.w3.org/2005/Atom"
xmlns:d="https://schemas.microsoft.com/ado/2007/08/dataservices"
xmlns:m="https://schemas.microsoft.com/ado/2007/08/dataservices/metadata">
<id>https://reports.office365.com/ecp/reportingwebservice/reporting.svc/MailDetailMalware</id>
<title type="text">MailDetailMalware</title>
<updated>2013-02-08T07:31:25Z</updated>
<link rel="self" title="MailDetailMalware" href="MailDetailMalware" />
<author>
<name />
</author>
</feed>
Paramètres d'entrée et de colonnes de sortie de l'état
Les indicateurs [In/Out] dans la table champs ont les significations suivantes :
Les champs marqués [In] dans les champs de table sont principalement destinés à être utilisés dans $filter=, $orderby= et autres options de requête qui restreignent les entrées renvoie le rapport. Les champs marqués [In] dans les champs de table peut être inclus à l'option $select= et ils s'affichent dans les entrées de rapport, mais ils ne contiendront aucune donnée utile.
Les champs marqués [In/Out] dans les champs de table peut être utilisée dans les options de ($filter= et $orderby=) de restriction de l'entrée et de sélection de la colonne ($select=). Lorsque vous incluez un de ces champs dans l'option $select= , ils apparaissent dans les entrées de rapport et contient des données utiles lorsqu'elle est disponible.
Compatibilité
Le rapport MailDetailMalware a été introduit dans Service Office 365 version 2013-V1. Pour plus d'informations sur le contrôle de version, consultez la rubrique Contrôle de version dans le service web de création de rapports Office 365.
Applets de commande PowerShell correspondant
Le rapport MailDetailMalware renvoie les mêmes informations que l'applet de commande Get-MailDetailMalwareReportWindows PowerShell.
Autorisations
Le compte que vous accédez aux rapports du doit disposer d'autorisations d'administration dans cette organisation Office 365. Si le compte peut afficher ce rapport dans le panneau de configuration de Office 365, le compte dispose des autorisations pour récupérer les données à partir du service web REST. Ce rapport oblige l'utilisateur à affecter au rôle de destinataires en affichage seul. Dans la structure des autorisations Office 365 par défaut, les utilisateurs disposant des autorisations d'administrateur suivantes peuvent accéder à ce rapport : administrateur, administrateur général, le mot de passe et administrateur de facturation, administrateur de service, administrateur de gestion des utilisateurs.
Disponibilité, persistance et la granularité des données
Informations disponibles dans ce rapport contient exactement date et heure de chaque événement. Vous pouvez utiliser n'importe quel réalisable-période plus longue et la durée en incluant les champs StartDate et EndDate dans l'option $filter . Temps sont déclarés dans le fuseau horaire du serveur d'analyse du message électronique.
Les informations de ce rapport sont disponibles pour une période de 7 jours, ou jusqu'à ce que l'abonnement est annulé.
Les événements peuvent être retardées par jusqu'à 24 heures avant qu'ils s'affichent dans un rapport.