对病毒扫描进行故障诊断

如果病毒扫描似乎无法正常运行,可尝试以下操作。

检查运行状况状态

打开 cscancfg.nsf ,浏览到服务器视图,然后打开服务器文档。检查运行状况状态字段的值。如果值是“服务已验证”或“警告”,指示 Domino 能够与 ICAP 服务器通信。

如果运行状况状态为“等待验证”,这意味着 Domino 尚未尝试连接到 ICAP 服务器。这通常意味着 mailscan 任务未在运行。发出 load mailscan 控制台命令,然后不久就应会更新运行状况状态。将 mailscan 添加到 ServerTasks notes.ini 变量,以确保该任务在 Domino 启动时运行。“等待验证”状态还可能指示没有用于连接到 ICAP 服务器的可信根证书 。在这种情况下,请确保您已按照使用 ICAP 连接导入和验证可信根中的步骤进行操作。

如果运行状况状态为“错误”,那么必须先解决问题,然后病毒扫描才能恢复。错误通常是由于 ICAP 服务器证书已过期导致的。在这种情况下,要快速使病毒扫描再次运行,您可以编辑配置文档,选择选项“接受已过期的 TLS 证书”,保存文档,然后重新启动 mailscan 任务。然后,您应该通过联系 ICAP 服务器的管理员来请求他们更新 ICAP 服务器的证书或发布新的证书来解决问题。如果使用新证书,那么您必须遵循使用 ICAP 连接导入和验证可信根中的过程来导入可信根。

检查 cscanlog.nsf

请参阅前面关于监控病毒扫描日志的部分。通常,您仅记录包含病毒的邮件和附件。当病毒扫描出现问题时,临时记录所有符合条件的邮件和附件(即包含至少一个附件的所有未加密邮件)可能很有用。这样,无论每个成功处理的邮件和附件是否包含病毒,您都会在此数据库中看到其文档。这将有助于验证是否正在处理邮件。编辑配置文档,并在邮件扫描选项卡上将邮件日志选项设置为“记录所有附件”,然后保存文档。您必须重新启动 mailscan 任务才能使此更改生效。

检查日志

要获取详细日志记录,请编辑 cscancfg.nsf 中的服务器文档,将日志记录级别更改为详细,然后保存文档。不需要重新启动。在 30 秒内,日志消息将确认新的日志记录级别。

您可能还希望在服务器文档中选中记录到文件选项。这样,病毒扫描日志记录将包含在其自己的单独日志文件中,这可能使得您可以更容易地搜索与病毒扫描相关的问题。日志文件位于 IBM_TECHNICAL_SUPPORT 目录中,其名称包含服务器名称和日期/时间戳记(例如:cscan_Renovations_2022_08_31@12_36_59.log)。

以下是具有两个附件且没有病毒的邮件的典型详细日志记录示例:
  • [48B0:0006-61EC] 09/08/2022 02:04:49 PM nmailscan: Job-1.1 assigned mail.box:0x00001056 to worker 0
  • [48B0:0007-5058] 09/08/2022 02:04:49 PM nmailscan: Job-1.2 Attachment 0x159E - no virus detected.
  • [48B0:0007-5058] 09/08/2022 02:04:49 PM nmailscan: Job-1.3 Attachment 0x15A2 - no virus detected.
  • [48B0:0007-5058] 09/08/2022 02:04:49 PM nmailscan: Job-1.4 *No Viruses Detected* in Note 0x00001056.
  • [48B0:0006-61EC] 09/08/2022 02:04:50 PM nmailscan: Job-1.5 results 0 (No error)
以下是具有两个附件且带有一个病毒的邮件的典型详细日志记录示例:
  • [48B0:0006-61EC] 09/08/2022 02:10:31 PM nmailscan: Job-9.1 assigned mail.box:0x00001072 to worker 0
  • [48B0:0007-5058] 09/08/2022 02:10:31 PM nmailscan: Job-9.2 Attachment 0x15E6 - no virus detected.[48B0:0007-5058] 09/08/2022 02:10:31 PM nma
  • [48B0:0007-5058] 09/08/2022 02:10:31 PM nmailscan: Job-9.3 Attachment 0x15EA - detected virus.
  • [48B0:0007-5058] 09/08/2022 02:10:31 PM nmailscan: Job-9.4 *1 virus Detected* in Note 0x00001072.
  • [48B0:0006-61EC] 09/08/2022 02:10:32 PM nmailscan: Job-9.5 results 0 (No error)

为了帮助进行故障诊断,所处理的每一个邮件都包含一个“作业号”,如上方日志记录中所示。这使您能够轻松跟踪单个邮件的处理。

在日志中查找错误消息(上方典型日志记录之外的任何内容)- 具体错误将帮助您诊断问题。

检查 Domino 统计信息

Mail.Cscan 类别下有许多统计信息可帮助您验证病毒扫描是否正在运行。

功能运行状况:

这些统计信息提供基本的运行状况信息。
  • [5F7C:000B-02E0] Mail.CScan.AV.Enabled = 1
  • [5F7C:000B-02E0] Mail.Cscan.MailScan.MailScanTask = Idle

第二个统计信息显示您在“show tasks”控制台命令的 mailscan 输出中看到的状态。

如果启用了防病毒扫描并且未启动 mailscan 任务,您将看到:
  • [4D54:000B-2754] Mail.CScan.AV.Enabled = 1
  • [4D54:000B-2754] Mail.Cscan.AV.LastVirusDefinitionSignature =
  • [4D54:000B-2754] Mail.Cscan.MailScan.MailScanTask = Warning: Scanning is enabled but MailScan task is NOT Running!
如果启用了防病毒扫描并且已手动停止 mailscan 任务,您将看到:
  • [5F7C:000B-02E0] Mail.Cscan.MailScan.MailScanTask = Stopped
您可能看到的其他状态为:
  • [5F7C:000B-02E0] Mail.Cscan.MailScan.MailScanTask = Connecting...
  • [5F7C:000B-02E0] Mail.Cscan.MailScan.MailScanTask = Scanning

“(Connecting...)”(正在连接...)指示 mailscan 正在等待在启动时或通信中断后连接到 ICAP 服务器。

“Scanning”(正在扫描)指示 mailscan 正在主动扫描。

ICAP 服务器信息

这些统计信息清楚地指示 Domino 正在与 ICAP 服务器联系:
  • [5F7C:000B-02E0] Mail.Cscan.AV.LastHealthCheck = 09/12/2022 15:56:22 EDT
  • [5F7C:000B-02E0] Mail.Cscan.AV.LastVirusDefinitionSignature = "TMWS,3.5605"
  • [5F7C:000B-02E0] Mail.Cscan.AV.LastVirusSignatureUpdate = 09/12/2022 15:52:34 EDT

LastHealthCheck 统计信息指示扫描邮件的最新时间或空闲期间的最新运行状况检查时间。

工作负载

  • [5F7C:000B-02E0] Mail.CScan.Messages.Examined = 229
  • [5F7C:000B-02E0] Mail.CScan.Messages.SentToScanner = 116
  • [5F7C:000B-02E0] Mail.Cscan.Messages.InScannerQueue = 41
  • [5F7C:000B-02E0] Mail.Cscan.Messages.Scanned = 75
  • [5F7C:000B-02E0] Mail.Cscan.Messages.Scanned.Pct = 49
  • [5F7C:000B-02E0] Mail.Cscan.Scan.Result.Infected = 0
  • [5F7C:000B-02E0] Mail.Cscan.Scan.Result.Infected.Pct = 0
  • [5F7C:000B-02E0] Mail.Cscan.Scan.Result.VirusFree = 75
  • [5F7C:000B-02E0] Mail.Cscan.Scan.Result.VirusFree.Pct = 100
  • [5F7C:000B-02E0] Mail.CScan.Token.Rejected = 0
  • [5F7C:000B-02E0] Mail.CScan.Token.Self = 78
  • [5F7C:000B-02E0] Mail.CScan.Token.Self = 78

“Examined”(已检查)统计信息显示检查了多少邮件,以查看它们是否需要病毒扫描。“SentToScanner”(发送到扫描程序)是需要扫描的实际邮件数。

“InScannerQueue”(在扫描程序队列中)统计信息指示已排队但尚未处理的邮件。“Scanned”(已扫描)是已扫描的邮件数。这两个统计信息的值加起来应等于 SentToScanner(发送到扫描程序)值。

“Several Result”(若干结果)统计信息显示有多少邮件被感染或未被感染,同时提供计数和百分比。

“Token”(令牌)统计信息与放置在已成功扫描的邮件上的 $CScanToken 项有关 <可能引用“扫描邮件附件以查找病毒”的“扫描的工作方式”子部分>。“Rejected”(被拒绝)计数存在令牌但没有通过验证而因此需要新扫描的邮件。“Self”(自己)计数由当前服务器扫描并带有标记的邮件。“TrustedServer”(可信服务器)计数存在令牌且已通过验证的邮件。

请注意,由于统计信息会定期刷新,导致统计信息的更新存在一些延迟,因此统计信息可能无法完美平衡。所有未处理的邮件处理完毕后,统计信息应该平衡,使得 SentToScanner(发送到扫描程序)等于 Scanned(已扫描),这也等于 Infected(受感染)和 VirusFree(无病毒)的总和,如以下示例所示。

  • [5F7C:000B-02E0] Mail.CScan.Messages.SentToScanner = 116
  • [5F7C:000B-02E0] Mail.Cscan.Messages.Scanned = 116
  • [5F7C:000B-02E0] Mail.Cscan.Scan.Result.Infected = 0
  • [5F7C:000B-02E0] Mail.Cscan.Scan.Result.VirusFree = 116