Орин Томас (orin@windowsitpro.com) — редактор Windows IT Pro, имеет звание Windows Security MVP

Программные средства поиска сообщений, или e-discovery, позволяют отыскивать в инфраструктуре обмена сообщениями информацию по заданным ключевым словам. Необходимость обращения к средствам поиска обычно возникает в ходе судебных разбирательств или в процессе обеспечения соответствия установленным законом требованиям. При поступлении от юридических инстанций запроса, обязывающего организацию представить все сообщения, которые содержат заданное ключевое слово или фразу, задача обнаружения всех таких сообщений и предоставления их запрашивающей стороне возлагается на администратора средств поиска.

Во многих компаниях сотрудники, основные обязанности которых состоят в управлении инфраструктурой обмена сообщениями, не привлекаются к работе со средствами поиска. Появляется все больше специалистов, обладающих опытом и знаниями как в области юриспруденции, так и в сфере управления обменом сообщениями. Из этого следует, что добротное средство поиска должно быть удобным в эксплуатации и не должно требовать от пользователя навыков построения регулярных выражений.

Система Exchange Server 2010 обеспечивает выполнение функций поиска без предварительной настройки. Задействовать их можно в области Discovery панели управления Exchange (Exchange Control Panel, ECP), показанной на экране 1. Доступ к панели осуществляется через веб-интерфейс.

 

Область Discovery консоли ECP
Экран 1. Область Discovery консоли ECP

Реализованная в Exchange 2010 технология Discovery позволяет выполнять операции поиска, охватывающие несколько почтовых ящиков, по адресам в полях To и From, а также по диапазонам дат. Поле поиска можно ограничивать заданными почтовыми ящиками или распространять его на все почтовые ящики организации, в том числе архивные. Допускается выбор почтовых ящиков на основе критериев, задаваемых в запросах; этот метод может оказаться полезным при работе в организациях, эксплуатирующих десятки тысяч почтовых ящиков. При выполнении поиска средствами Exchange 2010 разрешается применять операторы AND, OR, а также NOT. Владельцы роли Discovery Management могут с помощью панели ECP «просеивать» все типы сообщений, включая электронную почту, материалы совещаний, задания, заметки, документы, журналы, контакты, а также цепочки мгновенных сообщений. Для выполнения операций поиска, охватывающих несколько почтовых ящиков, требуется клиентская лицензия Enterprise CAL. Еще одна возможность лицензии Enterprise CAL — функция хранения для судебного разбирательства (litigation hold), которая блокирует прямые или непрямые действия по удалению сообщений — даже в тех случаях, когда пользователи необратимо удаляют сообщения из своих почтовых ящиков.

В данном обзоре я рассматриваю два продукта, ориентированные на решение задач поиска. Оба они по своим возможностям превосходят базовые средства, реализованные в Exchange 2010. Эти продукты — Discovery Attender компании Sherpa Software и Archive Manager, разработанный специалистами Quest Software.

Discovery Attender

Продукт Discovery Attender позволяет осуществлять поиск в почтовых ящиках Exchange, включая архивные почтовые ящики, общедоступные папки и файлы личных папок. Кроме того, этот продукт можно применять для поиска данных в документах Microsoft Office, в файлах NSF, созданных с помощью программы Lotus Notes, а также в файлах PDF, хранящихся на доступных файловых ресурсах и на серверах SharePoint.

Discovery Attender можно развертывать на рабочих станциях или на отдельных серверах. Изготовитель не рекомендует запускать этот продукт на компьютере, используемом для решения критически важных задач, так как процесс поиска характеризуется интенсивным потреблением ресурсов процессора. Интерфейс Discovery Attender представлен на экране 2.

 

Интерфейс пакета Discovery Attender
Экран 2. Интерфейс пакета Discovery Attender

Рассматриваемый продукт позволяет выполнять сложные и детализированные запросы, в том числе с использованием списков слов. Утилита логической иерархической взаимосвязи ключевых слов (keyword logic tree) дает возможность исследовать синтаксическую логику ключевых слов, что позволяет гарантировать выполнение поиска в соответствии с замыслом пользователя. Сложные либо часто используемые запросы можно сохранять в виде шаблонов, чтобы позднее с легкостью изменять их в соответствии с новыми обстоятельствами. Существует еще одна возможность: выполнять пробные операции поиска в массиве известных данных. Таким образом, еще до того, как приступить к исследованию инфраструктуры Exchange своей организации, вы сможете определить, будут ли избранные параметры поиска возвращать именно те типы данных, которые вас интересуют.

Результаты выполнения программы Discovery Attender возвращаются в локальное хранилище; вы можете экспортировать их в формат PST. В результате отобранные сообщения будут доступны и в дальнейшем — даже если позднее они будут безвозвратно удалены из инфраструктуры обмена сообщениями Exchange. И хотя при надлежащих настройках инфраструктуры Exchange обычные пользователи не должны иметь права удалять сообщения, отобранные с целью хранения для судебного разбирательства, может возникнуть необходимость поиска информации методом обнаружения в данных тех администраторов Exchange, которые имеют право игнорировать эту настройку.

Discovery Attender — мощное средство поиска, но всякому, кто захочет в полной мере освоить все возможности этого продукта, придется приложить немало усилий. И хотя администраторы поиска могут всегда ознакомиться с документацией, посвященной всем настройкам конструктора запросов, продукт стоило бы наделить функцией, подобной той, что реализована в IntelliSense; вот тогда можно было бы с уверенностью утверждать, что эти сотрудники действительно имеют представление о поисковых возможностях продукта. Discovery Attender — развитое инструментальное средство, но для того чтобы полностью освоить все его возможности, большинству администраторов поиска понадобится некоторое время.

Archive Manager

Archive Manager — средство сохранения и обнаружения данных. Оно фиксирует, индексирует и сохраняет содержимое сообщений в репозитории. Сообщения перемещаются в репозиторий сразу же после того, как завершается их обработка сервером обмена сообщениями. Этот репозиторий также играет роль архива сообщений. При его настройке важно обеспечить соблюдение организацией соответствующих требований к хранению информации. Вы можете предоставлять пользователям права доступа, позволяющие выполнять операции поиска методом обнаружения по всему содержимому данного хранилища информации. Archive Manager не имеет непосредственной функции хранения данных для судебного разбирательства, но конечные пользователи лишены возможности непосредственно модифицировать содержимое хранилища Archive Manager.

Администраторы поиска обращаются к репозиторию Archive Manager с помощью веб-интерфейса, показанного на экране 3. Данный интерфейс поддерживает те же запросы, что и средство поиска Exchange 2010 Discovery, но при этом он имеет одно преимущество: поиск осуществляется в автономных данных, а значит, воздействие на инфраструктуру обмена сообщениями сводится к минимуму. Кроме того, с помощью рассматриваемого интерфейса вы можете предоставить конечным пользователям возможность выполнять операции поиска в их почтовых архивах. Реализованная в Archive Manager тщательно проработанная модель разрешений позволяет ограничивать диапазон поиска методом обнаружения таким образом, чтобы выполнять поиск в почтовых ящиках других сотрудников могли только пользователи, получившие соответствующие разрешения. В состав пакета Archive Manager входит средство импорта файлов личных папок, которое обеспечивает возможность добавления файлов PST к существующему архиву. По завершении процедуры импорта такого файла администратор поиска может осуществлять поиск по его содержимому.

 

Веб-интерфейс продукта Archive Manager
Экран 3. Веб-интерфейс продукта Archive Manager

Archive Manager позволяет сохранять результаты поисков для последующего хранения в формате, совместимом со стандартами RSS; этот формат представляет собой вид обновляемых данных, которые клиент может получать по подписке. Таким образом, систему Archive Manager можно настроить таким образом, чтобы любое средство чтения RSS могло анализировать результаты плановых запросов и извещать администраторов поиска обо всех случаях получения новых результатов поиска.

Хотя функция поиска данных в электронном формате фигурирует в числе возможностей Archive Manager, этот пакет нельзя назвать средством поиска по преимуществу. Пользователи могут сохранять результаты поиска, но реализованный в продукте веб-интерфейс ограничивает сложность формируемых запросов. Представители большинства организаций сочтут предлагаемый набор функций вполне достаточным, но надо отметить, что он уступает возможностям продукта Discovery Attender.

Процедура установки Archive Manager показалась мне делом довольно хлопотным. Я смог добиться корректной работы продукта лишь после того как несколько раз обращался к документации, а учебное видео, выложенное на сайте Quest Software, описывает установку предыдущей версии изделия. Для окончательной установки потребовалось модифицировать свойства файла настроек IIS 7.5, и только после этого система заработала как положено. Было бы неплохо дополнить программу установки Archive Manager полнофункциональным средством проверки готовности к развертыванию. Кроме того, для облегчения процесса следовало бы автоматизировать несколько операций, пока выполняемых вручную.

Редакция советует

Многие продукты, относящиеся к категории средств поиска e-discovery, используются главным образом в качестве программ управления архивами, поскольку функция сохранения тесно связана с функцией обнаружения. После выхода системы Exchange 2010 с ее мощными средствами сохранения специалисты многих организаций питают к продуктам для управления хранением данных не столь активный интерес, как в прошлые годы, когда им приходилось работать с предыдущими версиями Exchange. Благодаря пристальному вниманию, которое уделили разработчики Discovery Attender функции поиска методом обнаружения, а также тому обстоятельству, что этот продукт позволяет анализировать динамические данные и файлы личных папок, Discovery Attender удостаивается отличия «редакция советует». Если вы приобретете этот продукт, обязательно проследите за тем, чтобы ваш администратор, отвечающий за поиск, прошел соответствующую подготовку, в ходе которой он получит представление обо всех возможностях данного продукта.

Discovery Attender

ЗА: продукт позволяет анализировать динамические данные и файлы личных папок.

ПРОТИВ: Многие пользователи могут остаться в неведении относительно полного набора возможностей данного продукта.

ОЦЕНКА: 4,5 из 5

ЦЕНА: 2450 долл. за первую установку, 1500 долл. за каждую последующую установку.

РЕКОМЕНДАЦИИ: Discovery Attender подойдет тем организациям, в которых есть необходимость анализировать как сообщения, хранимые в системе Exchange, так и содержимое файлов личных папок пользователей.

КОНТАКТНАЯ ИНФОРМАЦИЯ: Sherpa Software

Archive Manager

ЗА: Полный набор функций уровня предприятия по архивированию электронной почты, сохранению и обнаружению данных.

ПРОТИВ: Явный упор на архивирование; продукт может не представлять интереса для организаций, которым требуется простое средство поиска данных методом обнаружения; средства установки следовало бы дополнить функцией проверки готовности к установке

ОЦЕНКА: 4 из 5

ЦЕНА: 40 долл. в расчете на управляемый почтовый ящик

РЕКОМЕНДАЦИИ: Archive Manager найдет применение в организациях, которым требуется пакет для управления сохранением данных и для поиска методом обнаружения.

КОНТАКТНАЯ ИНФОРМАЦИЯ: Quest Software