Relatório de MailDetailMalware
O URI do REST MailDetailMalware fornece detalhes sobre as etapas de processamento realizadas em mensagens de email identificadas como contendo malware enquanto a mensagem estava sendo processada. A data de início e término/hora do relatório pode ser especificada na solicitação.
Última alteração: quinta-feira, 17 de setembro de 2015
Aplica-se a: Office 365
URI DO REST
https://reports.office365.com/ecp/reportingwebservice/reporting.svc/MailDetailMalware[?ODATA options]
Campos
Os campos a seguir podem ser especificados em Opções de consulta ODATA2 $select, $filter e $orderby . Todos os campos são retornados se nenhuma opção $select for fornecida.
Nome |
Tipo WCF * |
Tipo EDM * |
[Em/fora] * * descrição |
Valores de exemplo |
Adicionado ao serviço versão |
|---|---|---|---|---|---|
Action |
Cadeia de caracteres |
Nenhum especificado |
[/ Saída] Descrição da ação tomada na mensagem, se houver alguma. Este campo pode estar em branco ou null se nenhuma ação foi realizada. Para obter informações sobre os valores válidos de ação, consulte Relatório de MailFilterList. |
SetSpamConfidenceLevel, RejectMessage |
2013-V1 |
Date |
System.DateTime |
Edm.DateTime |
[/ Saída] A data e hora que a mensagem foi detectada como contendo o malware. |
Data curta (por exemplo, 03/10/2013) ou Data hora com aspas (por exemplo, "03/10/2013 4:55 PM") |
2013-V1 |
Direction |
Cadeia de caracteres |
Nenhum especificado |
[/ Saída] Especifica se a mensagem de email foi que está sendo enviada em (Inbound) ou o check-out de (Outbound) a organização quando ele estava detectado como que contêm malware. |
Os valores são restritos Inbound e Outbound. |
2013-V1 |
Domain |
Cadeia de caracteres |
Não especificado |
[/ Saída] O nome de domínio totalmente qualificado que estava processando a mensagem de email. |
example.onmicrosoft.com |
2013-V1 |
EndDate |
System.DateTime |
Edm.DateTime |
[In] Este campo é usado para limitar o período do relatório. Use este campo em uma opção de consulta $filter para definir a data de término e a hora do período do relatório. Se você fornecer EndDate na opção $filter, você também deverá fornecer StartDate. |
Data curta (por exemplo, 03/10/2013) ou Data hora com aspas (por exemplo, "03/10/2013 4:55 PM") |
2013-V1 V1 de 2013 |
EventType |
Cadeia de caracteres |
Nenhum especificado |
[/ Saída] O tipo de verificação de evento registrada. Para obter informações sobre os valores válidos EventType , consulte Relatório de MailFilterList. |
SpamContentFiltered, SpamIPBlock |
2013-V1 |
FileName |
Cadeia de caracteres |
Nenhum especificado |
[/ Saída] O nome de arquivo do anexo que foi determinado para transportar o malware. |
MalwareFileName.ext |
2013-V1 |
Index |
int |
Edm.Int64 |
[/ Saída] Várias ações podem ser executadas em uma única mensagem. Esse valor indica a ordem na qual as regras de processamento de malware foram aplicadas à mensagem. Quando usada em uma opção de $filter= o operando eq não é permitido. |
4 |
2013-V1 |
MalwareName |
Cadeia de caracteres |
Nenhum especificado |
O nome padrão do setor do arquivo malware detectado. |
SQL Slammer |
2013-V1 |
MessageId |
Cadeia de caracteres |
Nenhum especificado |
[/ Saída] O cabeçalho de MessageID Internet da mensagem, se houver uma foi fornecido. Esse valor também pode ser explicitamente null. |
Se nenhuma identificação foi fornecida para a mensagem, os dados do relatório mostrará <d:MessageId m:null="true" /> para Atom e "MessageId":null para JSON. |
2013-V1 |
MessageSize |
int |
Edm.Int64 |
[/ Saída] O tamanho da mensagem em bytes. |
130840 |
2013-V1 |
MessageTraceId |
System.Guid |
Edm.Guid |
[/ Saída] Um identificador usado para fazer a mensagem detalhada transferir informações de rastreamento. O formato interno do campo MessageTraceId deve ser considerado opaco, como o formato pode ser alteradas. Para obter mais informações sobre o rastreamento de mensagem, consulte Relatório de MessageTrace. |
ae4ad8f6-7613-411c-e67e-08cfc740629 |
2013-V1 |
Organization |
Cadeia de caracteres |
Nenhum especificado |
[/ Saída] O nome de domínio totalmente qualificado que estava processando a mensagem de email. |
example.onmicrosoft.com |
2013-V1 |
RecipientAddress |
Cadeia de caracteres |
Nenhum especificado |
[/ Saída] O endereço de email SMTP do que a mensagem foi endereçada ao usuário. |
userone@example.onmicrosoft.com |
2013-V1 |
SenderAddress |
Cadeia de caracteres |
Nenhum especificado |
[/ Saída] O endereço de email SMTP do usuário a mensagem estava propositalmente de. Como os endereços do remetente são comumente falsificados em mensagens de email de malware, eles não são considerados completamente confiáveis. |
usertwo@example.onmicrosoft.com |
2013-V1 |
StartDate |
System.DateTime |
Edm.DateTime |
[In] Este campo é usado para limitar o período do relatório. Use este campo em uma opção de consulta $filter para definir a data de início e a hora do período do relatório. Se você fornecer um StartDate na opção $filter , você também deve especificar e EndDate. |
Data curta (por exemplo, 03/10/2013) ou Data hora com aspas (por exemplo, "03/10/2013 4:55 PM") |
2013-V1 |
Subject |
Cadeia de caracteres |
Nenhum especificado |
[/ Saída] A linha de assunto da mensagem, se houver uma estava presente na mensagem. |
Free M0ney WoN! |
2013-V1 |
* Tipo de WCF se refere ao tipo de dados .NET Framework atribuído ao campo quando você cria uma referência de serviço de comunicações Framework WCF (Windows) no Visual Studio V. O tipo de EDM refere-se para os tipos de modelo de dados de entidade ADO.NET (EDM) retornados nos relatórios Atom formatada.
* * [/ Saída]: ver os parâmetros de entrada e saída seção de colunas do relatório.
Comentários
Cada entrada no relatório inclui vários campos de metadados. Para obter mais informações, consulte Metadados comum retornados pelo serviço web de relatório do Office 365.
O campo Date indica quando as mensagens foram tratadas pelo sistema Office 365 e informadas no fuso horário desses servidores.
Usando StartDate e EndDate
Os campos StartDate e EndDate não fornecem informações úteis nos resultados do relatório e sempre estão definidos para 0001-01-01T00:00:00Z na saída do relatório. Eles servem para habilitar fácil restrição da janela de tempo de relatórios e fornecer mais fina precisão de seria disponíveis em um relatório "diariamente".
Isso pode ser especialmente útil, por exemplo, quando a gravação de ataques de negação de serviço baseados em email em uma base por hora. Ao usar esses campos, você deve incluir campos StartDate e o EndDate na opção $filter . Eles são considerados opcionais, mas se você fornecer um, você precisa fornecer o outro. Se o par StartDate/EndDate não forem fornecido na consulta, o padrão de período de relatório é as duas semanas anteriores. A seção de exemplos a seguir mostra como usar os campos StartDate e EndDate .
Exemplos
O seguinte exemplo MailDetailMalware URL do REST solicita informações sobre detecções de malware foi detectado entre 1 de setembro de 2012 e 1º de janeiro de 2013, classificadas pelo campo MalwareName , no formato XML Atom. Neste exemplo, o relatório indica que nenhuma malware foi detectado durante o período para a organização, indicado pela existência de nenhum elementos entry no elemento feed .
https://reports.office365.com/ecp/reportingwebservice/reporting.svc/MailDetailMalware?
$select=Action,Date,Direction,FileName,MalwareName&
$filter=StartDate%20eq%20datetime'2012-09-01T00:00:00Z'%20and%20EndDate%20eq%20datetime'2013-01-01T00:00:00Z'%20&
$orderby=MalwareName&
$format=Atom
<?xml version="1.0" encoding="utf-8"?>
<feed xml:base="https://reports.office365.com/ecp/ReportingWebService/Reporting.svc/"
xmlns="http://www.w3.org/2005/Atom"
xmlns:d="https://schemas.microsoft.com/ado/2007/08/dataservices"
xmlns:m="https://schemas.microsoft.com/ado/2007/08/dataservices/metadata">
<id>https://reports.office365.com/ecp/reportingwebservice/reporting.svc/MailDetailMalware</id>
<title type="text">MailDetailMalware</title>
<updated>2013-02-08T07:31:25Z</updated>
<link rel="self" title="MailDetailMalware" href="MailDetailMalware" />
<author>
<name />
</author>
</feed>
Parâmetros de entrada e relatar colunas de saída
Os indicadores de [/ saída] na tabela campos têm os significados a seguintes:
Campos marcados [In] nos campos de tabela destinam-se principalmente para uso em $filter=, $orderby= e outras opções de consulta que restringem quais entradas retorna o relatório. Campos marcados [In] em campos de tabela pode ser incluído a opção $select= e eles serão exibidos nas entradas de relatório, mas que não irão conter nenhum dado útil.
Campos marcados [/ saída] nos campos de tabela pode ser usada em Opções de ($filter= e $orderby=) de restrição de entrada e de seleção de coluna ($select=). Quando você inclui um desses campos na opção $select= , eles aparecerão nas entradas de relatório e irá conter dados úteis quando ele estiver disponível.
Compatibilidade
O relatório de MailDetailMalware foi introduzido no Office 365 service version 2013-V1. Para obter mais informações sobre o controle de versão, consulte Controle de versão no serviço da web de relatório do Office 365.
Cmdlets do PowerShell correspondentes
O relatório de MailDetailMalware retorna as mesmas informações que o cmdlet Get-MailDetailMalwareReportWindows PowerShell.
Permissões
A conta que você acessar os relatórios do deve ter permissões administrativas nessa organização Office 365. Se a conta pode exibir este relatório no painel de controle Office 365, a conta tem permissões para recuperar os dados do serviço web REST. Este relatório requer que o usuário a ser atribuído à função de destinatários de somente para exibição. Na estrutura de permissões de Office 365 padrão, os usuários com as seguintes permissões de administrador podem acessar este relatório: administrador de gerenciamento de usuário, administrador global, administrador de senha, administrador de serviço e administrador de faturamento.
Disponibilidade, persistência e granularidade de dados
Informações disponíveis neste relatório contém a data e hora exatas para cada evento. Você pode usar qualquer viável de período de tempo e a duração, incluindo os campos StartDate e EndDate na opção $filter . Tempos são relatados no fuso horário do servidor de exame de mensagem de email.
As informações para esse relatório estão disponíveis por um período de 7 dias, ou até que a assinatura será cancelada.
Eventos podem ser atrasados por até 24 horas antes que eles aparecem em um relatório.