Informazioni sulla registrazione agente
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2015-03-09
I registri degli agenti consentono di registrare le azioni eseguite su un messaggio da specifici agenti di protezione dalla posta indesiderata installati e configurati su un computer in cui è in esecuzione Microsoft Exchange Server 2010 e in cui è installato il ruolo del server Trasporto Edge o Trasporto Hub. Le informazioni vengono scritte nei registri solo dai seguenti agenti:
Agente filtro connessioni
Agente filtro contenuto
Agente regole Edge
Agente filtro destinatario
Agente filtro mittente
Agente ID mittente
Le informazioni inserite nel registro dipendono dall'agente, dall'evento SMTP e dall'azione eseguita sul messaggio.
L'unica opzione configurabile per la registrazione degli agenti è il parametro AgentLogEnabled nel file di configurazione dell'applicazione EdgeTransport.exe.config. Per impostazione predefinita, la registrazione degli agenti è abilitata sui server Trasporto Hub o Trasporto Edge. Gli altri valori non configurabili relativi al registro degli agenti sono descritti nell'elenco seguente:
Il percorso in cui sono archiviati i registri degli agenti è C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog.
La dimensione massima dei singoli file del registro degli agenti è 10 MB.
La dimensione massima della directory contenente i file del registro degli agenti è 250 MB.
Il limite di validità massimo per i file del registro degli agenti è 30 giorni.
Il server Exchange 2010 utilizza la registrazione circolare per limitare i registri degli agenti in base alle dimensioni e al limite di validità dei file al fine di controllare lo spazio su disco rigido utilizzato dai file di registro.
Nota
Per conservare i file dei registri degli agenti più a lungo del valore non configurabile impostato come limite di validità o per utilizzare file di dimensioni maggiori rispetto al valore impostato e non configurabile, è necessario creare un'attività pianificata per spostare periodicamente i file di registro non utilizzati in una posizione diversa.
Nota
Per impostazione predefinita, il valore del livello di registrazione del processo di registrazione del trasporto è pari a 0 (Minimo). Se si desidera che Exchange scriva una voce del registro eventi quando la registrazione circolare rimuove un file di registro, è necessario modificare il valore del livello di registrazione del processo di registrazione del trasporto a 5 (Massimo) o 7 (Avanzato).
Sommario
Informazioni generali sugli agenti di trasporto
Struttura dei file di registro degli agenti
Informazioni scritte nel registro degli agenti
Ricerca nei registri degli agenti
Attivazione o disattivazione della registrazione degli agenti
Per informazioni sulle attività di gestione relative alla registrazione degli agenti, vedere Gestione dei server di trasporto.
Informazioni generali sugli agenti di trasporto
Gli agenti possono agire sui messaggi solo in determinati punti della sequenza di comandi SMTP utilizzata per trasportare i messaggi attraverso un server Trasporto Hub o Trasporto Edge. Questi punti di accesso nella sequenza dei comandi SMTP sono denominati eventi SMTP. A ciascun agente può essere assegnato un valore relativo alla priorità. Tuttavia, gli eventi SMTP devono sempre verificarsi secondo un ordine specifico. Pertanto, la priorità di un agente dipende dall'evento SMTP. Difatti, se due agenti possono agire su un messaggio durante lo stesso evento SMTP, l'agente cui è stata assegnata la priorità più elevata agirà per primo.
Nella seguente tabella sono elencati gli eventi SMTP nell'ordine in cui si verificano. Per ciascun evento SMTP viene inoltre indicato quali agenti sono in grado di scrivere informazioni nel registro degli agenti in base alla priorità, dalla più alta alla più bassa.
Eventi SMTP nell'ordine in cui si verificano e agenti in grado di scrivere informazioni nel registro degli agenti in base alla priorità per ciascun evento SMTP
Evento SMTP | Agente |
---|---|
OnConnect |
Agente filtro connessioni |
OnMailCommand |
Agente filtro connessioni Agente filtro mittente |
OnRcptCommand |
Agente filtro connessioni Agente filtro destinatario |
OnEndOfHeaders |
Agente filtro connessioni Agente ID mittente Agente filtro mittente |
OnEndOfData |
Agente regole Edge Agente filtro contenuto |
Per ulteriori informazioni sugli agenti, sugli eventi SMTP e sulla priorità degli agenti, vedere Informazioni sugli agenti di trasporto.
Inizio pagina
Struttura dei file di registro degli agenti
I registri degli agenti sono presenti nella cartella C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog.
La denominazione convenzionale per i file di registro degli agenti è AGENTLOGaaaammgg-nnnn.log. I segnaposto rappresentano le seguenti informazioni:
Il segnaposto aaaammgg rappresenta la data UTC (Coordinated Universal Time) di creazione del file di registro. aaaa = anno, mm = mese, gg = giorno.
Il segnaposto nnnn è un numero di istanza che inizia con il valore 1 per ciascun giorno.
Le informazioni vengono scritte su ciascun file di registro fino a quando le dimensioni del file non raggiungono 10 MB. Viene quindi aperto un nuovo file di registro con un numero di istanza maggiore. Questo processo si ripete per tutta la giornata. Grazie alla registrazione circolare, i file di registro meno recenti vengono eliminati non appena la dimensione della directory dei registri degli agenti raggiunge 250 MB oppure alla scadenza dei 30 giorni dalla data di creazione del file di registro.
I file di registro degli agenti sono file di testo contenenti dati nel formato con valori delimitati da virgole (CSV). In ciascun file di registro degli agenti è presente un'intestazione in cui sono contenute le seguenti informazioni:
#Software Il nome del software con cui è stato creato il file di registro degli agenti. In genere, il valore è Microsoft Exchange Server.
#Versione Il numero di versione del software con cui è stato creato il file di registro degli agenti. Il valore corrente è 8.0.0.0.
#Log-Type Il valore del tipo di registro, in questo caso il registro degli agenti.
#Date Data/ora UTC in cui è stato creato il file di registro. La data/ora UTC viene rappresentata nel formato data/ora ISO 8601: aaaa-mm-ggThh:mm:ss.fffZ, dove aaaa = anno, mm = mese, gg = giorno, hh = ore, mm = minuti, ss = secondi, fff = frazioni di secondo, Z = Zulu (un altro modo di indicare la data UTC).
#Fields I nomi dei campi, delimitati da virgole, utilizzati nei file di registro degli agenti.
Inizio pagina
Informazioni scritte nel registro degli agenti
Nel registro degli agenti ciascuna transazione eseguita dall'agente viene archiviata su un'unica riga. Le informazioni archiviate su ciascuna riga sono organizzate per campi. Questi campi sono separati da virgole. Il nome del campo in genere è abbastanza descrittivo da consentire di determinare il tipo di informazione contenuta. Alcuni campi, tuttavia, potrebbero risultare vuoti, oppure il tipo di informazione archiviata nel campo può variare in base all'agente o all'azione eseguita dall'agente sul messaggio. Nella seguente tabella sono descritti i campi utilizzati per classificare ciascuna transazione degli agenti.
Campi utilizzati per classificare ogni transazione degli agenti
Nome del campo | Descrizione |
---|---|
Timestamp |
Data e ora UTC dell'evento dell'agente. È rappresentata nel formato ISO 8601. Il valore è nel formato aaaa-mm-ggThh:mm:ss.fffZ, dove aaaa = anno, mm = mese, gg = giorno, hh = ore, mm = minuti, ss = secondi, fff = frazioni di secondo, Z = Zulu (un altro modo di indicare la data UTC). |
SessionId |
Identificatore univoco della sessione SMTP. È rappresentato come numero esadecimale di 16 cifre. |
LocalEndpoint |
Indirizzo IP locale e numero della porta che ha accettato il messaggio. Le sessioni SMTP utilizzano in genere la porta 25. |
RemoteEndpoint |
Indirizzo IP e numero della porta del server SMTP precedente che ha eseguito la connessione al server corrente per il recapito del messaggio. In una topologia con server Trasporto Edge e Trasporto Hub, il valore del campo RemoteEndpoint nel registro degli agenti sul server Trasporto Hub corrisponde all'indirizzo IP del server Trasporto Edge. Pertanto, anche se il messaggio viene trasmesso tramite SMTP, il numero della porta utilizzata dal server di invio sarà un numero casuale superiore a 1.024. |
EnteredOrgFromIP |
Indirizzo IP del server SMTP remoto che ha eseguito la connessione iniziale all'organizzazione di Exchange per il recapito del messaggio. Sul server Trasporto Edge i valori dei campi RemoteEndpoint ed EnteredOrgFromIP sono identici. Gli agenti di protezione dalla posta indesiderata utilizzano l'indirizzo IP del campo EnteredOrgFromIP per esaminare un messaggio. |
MessageId |
Valore del campo di intestazione |
P1FromAddress |
Indirizzo di posta elettronica del mittente specificato nel campo |
P2FromAddresses |
L'indirizzo di posta elettronica del mittente specificato nel campo di intestazione |
Recipient |
Indirizzo di posta elettronica dei destinatari. Sebbene il messaggio originale possa contenere più destinatari, su ogni riga del registro degli agenti viene visualizzato un solo destinatario. |
NumRecipients |
Numero totale di destinatari del messaggio originale. |
Agent |
Nome dell'agente che richiama l'azione I valori possibili sono:
|
Event |
Evento SMTP in cui l'agente ha eseguito l'azione. Il valore del campo Event dipende dall'agente. Gli eventi SMTP disponibili per ciascun agente sono descritti nella prima tabella riportata in precedenza in questo argomento. I valori possibili del campo Event sono elencati di seguito:
|
Action |
Azione eseguita dall'agente sul messaggio. I valori possibili del campo Action sono riportati di seguito:
|
SmtpResponse |
Risposta ESMTP (Enhanced SMTP) come definita in RFC 2034. |
Reason |
Motivo dell'azione fornita dall'agente. |
ReasonData |
Dettagli descrittivi per l'azione fornita dall'agente. |
Inizio pagina
Ricerca nei registri degli agenti
Per eseguire ricerche nei registri degli agenti, è possibile utilizzare il cmdlet Get-AgentLog in Exchange Management Shell e lo script Get-AntiSpamFilteringReport. Per ulteriori informazioni, vedere Get-AgentLog.
Inizio pagina
Attivazione o disattivazione della registrazione degli agenti
Per impostazione predefinita, la registrazione degli agenti è abilitata sui server Trasporto Hub o Trasporto Edge. Per abilitare o disabilitare la registrazione degli agenti, modificare il file EdgeTransport.exe.config in C:\Program Files\Microsoft\Exchange Server\V14\Bin. Per ulteriori informazioni, vedere Informazioni sul file EdgeTransport.exe.Config File. EdgeTransport.exe e MSExchangeTransport.exe sono i file eseguibili che vengono utilizzati dal servizio di trasporto di Microsoft Exchange.
Molte opzioni di configurazione disponibili non sono collegate in alcun modo alla registrazione degli agenti. Tutte le opzioni di configurazione che non riguardano tale funzione esulano dall'ambito di questo argomento.
Aprire il seguente file utilizzando Blocco note: C:\Program Files\Microsoft\Exchange Server\V14\Bin\EdgeTransport.exe.config
Modificare la riga seguente nella sezione
<appSettings>
.<add key="AgentLogEnabled" value="<TRUE | FALSE>" />
Con questo esempio viene disattivata la registrazione degli agenti mediante modifica del parametro AgentLogEnabled.
<add key="AgentLogEnabled" value="FALSE" />
Salvare e chiudere il file EdgeTransport.exe.config.
Riavviare il servizio di trasporto di Microsoft Exchange.
Inizio pagina
©2010 Microsoft Corporation. Tutti i diritti riservati.