简介
本文档介绍如何记录通过思科邮件安全设备(ESA)的附件的文件名。
先决条件
本文档中的信息基于以下软件和硬件版本:
配置
注意:在AsyncOS版本7.x及更高版本中,如果安装了至少一个过滤器来检查文件信息(文件名、扩展名、文件类型、内容扫描),则自动记录附件。 有关详细信息,请参阅AsyncOS的用户指南或联机帮助。
此解决方案可用于早期的AsyncOS版本。
- 创建一个包含所有附件文件名的新信头。
- 使用logconfig > logheaders将该信头的值记录到mail_log。
以下过滤器记录带有附件的邮件的文件名:
add_filenames_header:
if (attachment-filename == "^.+$") {
insert-header ("X-fn", "$filenames");
“^.+$”正则表达式确保文件名中至少包含一个字符。对于没有附件的邮件,此关键字为false,因此只记录附件。
注意:电子邮件中“附件”的定义存在争议。通常,第一个文本/纯文本和文本/HTML部分被视为“正文”。 有关附件内容的更多详细信息,请参阅用户指南。
以下是mail_logs中显示的内容的示例:
Fri Sep 15 13:49:39 2006 Info: Start MID 98 ICID 146
Fri Sep 15 13:49:39 2006 Info: MID 98 ICID 146 From: <joe@example.com>
Fri Sep 15 13:49:39 2006 Info: MID 98 ICID 146 RID 0 To: <carl@example.com>
Fri Sep 15 13:49:39 2006 Info: MID 98 Message-ID '<9151349.VSREACRQ@example.com>'
Fri Sep 15 13:49:39 2006 Info: MID 98 Subject '1:49 pm'
Fri Sep 15 13:49:39 2006 Info: MID 98 ready 20670 bytes from <joe@example.com>
Fri Sep 15 13:49:39 2006 Info: MID 98 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Fri Sep 15 13:49:39 2006 Info: MID 98 antivirus negative
Fri Sep 15 13:49:39 2006 Info: MID 98 queued for delivery
Fri Sep 15 13:49:39 2006 Info: Delivery start DCID 64 MID 98 to RID [0]
Fri Sep 15 13:49:41 2006 Info: Message done DCID 64 MID 98 to RID [0] [('X-fn',
'Encoding.txt')]
Fri Sep 15 13:49:41 2006 Info: MID 98 RID [0] Response '2.0.0 OK 1158353381
r66si9145992pye'
Fri Sep 15 13:49:41 2006 Info: Message finished MID 98 done
反馈