Grundlegendes zur Agent-Protokollierung

  • Artikel

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2015-03-09

In Agent-Protokollen werden die Aktionen aufgezeichnet, die von bestimmten Antispam-Agents an einer Nachricht vorgenommen werden. Diese Agents werden auf einem Computer mit Microsoft Exchange Server 2010 ausgeführt, auf dem die Edge-Transport-Serverrolle oder die Hub-Transport-Serverrolle installiert ist. Nur die folgenden Agents können Informationen in das Agent-Protokoll schreiben:

  • Verbindungsfilter-Agent

  • Inhaltsfilter-Agent

  • Edge-Regel-Agent

  • Empfängerfilter-Agent

  • Absenderfilter-Agent

  • Sender ID-Agent

Die in das Agent-Protokoll geschriebenen Informationen hängen vom Agent, dem SMTP-Ereignis und der Aktion ab, die für die Nachricht ausgeführt wird.

Die einzige konfigurierbare Option bei der Agent-Protokollierung ist der Parameter AgentLogEnabled in der Anwendungskonfigurationsdatei EdgeTransport.exe.config. Auf Hub-Transport- und Edge-Transport-Servern ist die Agent-Protokollierung standardmäßig aktiviert. Die anderen Agent-Protokollwerte, die nicht konfiguriert werden können, werden in der folgenden Liste beschrieben:

  • Der Pfad zum Speicherort der Agent-Protokolle lautet C:\Programme\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog.

  • Die maximale Größe für die einzelnen Agent-Protokolldateien beträgt 10 MB.

  • Die maximale Größe des Verzeichnisses mit den Agent-Protokolldateien beträgt 250 MB.

  • Das maximale Alter von Agent-Protokolldateien ist 30 Tage.

Der Exchange 2010-Server verwendet die Umlaufprotokollierung, um Größe und Alter der Agent-Protokolle zu begrenzen und somit den von den Protokolldateien beanspruchten Festplattenspeicherplatz zu steuern.

Hinweis

Wenn Sie die Agent-Protokolldateien länger aufbewahren möchten, als durch die nicht konfigurierbaren Werte für das Dateialter oder die Verzeichnisgröße zulässig ist, kann ein geplanter Task erstellt werden, der die nicht verwendeten Agent-Protokolldateien an einen anderen Speicherort verschiebt.

Hinweis

Standardmäßig weist der Prozess für die Transportprotokollierung den Wert 0 (Niedrigste) für den Protokolliergrad auf. Wenn Sie möchten, dass Exchange einen Eintrag in das Ereignisprotokoll schreibt, sobald die Umlaufprotokollierung eine Protokolldatei entfernt, müssen Sie den Wert für den Protokolliergrad des Prozesses für die Transportprotokollierung auf 5 (Maximal) oder 7 (Experte) ändern.

Inhalt

Übersicht über Transport-Agents

Struktur der Agent-Protokolldateien

In das Agent-Protokoll geschriebene Informationen

Durchsuchen der Agent-Protokolle

Aktivieren oder Deaktivieren der Agent-Protokollierung

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit der Agent-Protokollierung gibt? Informationen hierzu finden Sie unter Verwalten von Transportservern.

Übersicht über Transport-Agents

Agents können auf Nachrichten nur an bestimmten Punkten in der SMTP-Befehlsfolge einwirken, die zum Transport der Nachrichten durch einen Hub-Transport- oder Edge-Transport-Server verwendet wird. Diese Zugriffspunkte in der SMTP-Befehlsfolge werden SMTP-Ereignisse genannt. Jeder Agent hat einen Prioritätswert, der zugewiesen werden kann. Die SMTP-Ereignisse müssen allerdings stets in einer bestimmten Reihenfolge auftreten. Deshalb hängt die Agent-Priorität vom SMTP-Ereignis ab. Wenn zwei Agents während desselben SMTP-Ereignisses auf eine Nachricht angewendet werden können, wird der Agent mit der höchsten Priorität zuerst auf die Nachricht angewendet.

Die folgende Tabelle enthält die SMTP-Ereignisse in der Reihenfolge ihres Auftretens sowie die Agents, die Informationen in das Agent-Protokoll schreiben (in der Prioritätsreihenfolge vom höchsten zum niedrigsten Wert für jedes SMTP-Ereignis).

SMTP-Ereignisse in der Reihenfolge ihres Auftretens sowie die Agents, die Informationen in das Agent-Protokoll schreiben, in der Prioritätsreihenfolge für jedes SMTP-Ereignis

SMTP-Ereignis Agent

OnConnect

Verbindungsfilter-Agent

OnMailCommand

Verbindungsfilter-Agent

Absenderfilter-Agent

OnRcptCommand

Verbindungsfilter-Agent

Empfängerfilter-Agent

OnEndOfHeaders

Verbindungsfilter-Agent

Sender ID-Agent

Absenderfilter-Agent

OnEndOfData

Edge-Regel-Agent

Inhaltsfilter-Agent

Weitere Informationen zu Agents, SMTP-Ereignissen und Agent-Priorität finden Sie unter Grundlegendes zu Transport-Agents.

Zurück zum Seitenanfang

Struktur der Agent-Protokolldateien

Die Agent-Protokolle befinden sich unter C:\Programme\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog.

Die Benennungskonvention für die Agent-Protokolldateien lautet AGENTLOGyyymmdd-nnnn.log. Die Platzhalter enthalten die folgenden Informationen:

  • Der Platzhalter yyyymmdd entspricht dem UTC-Datum (Coordinated Universal Time, koordinierte Weltzeit), an dem die Protokolldatei erstellt wurde. Dabei entspricht yyyy dem Jahr, mm dem Monat und dd dem Tag.

  • Der Platzhalter nnnn ist eine Instanznummer, die mit dem Wert 1 für jeden Tag beginnt.

In die Protokolldatei werden Informationen geschrieben, bis die Dateigröße 10 MB erreicht. Dann wird eine neue Protokolldatei mit der nächsthöheren Instanznummer geöffnet. Dieser Vorgang wird während des ganzen Tags wiederholt. Die Umlaufprotokollierung löscht die ältesten Protokolldateien, wenn das Agent-Protokollverzeichnis 250 MB erreicht oder eine Protokolldatei 30 Tage alt ist.

Bei den Agent-Protokolldateien handelt es sich um Textdateien, die Daten im CSV-Dateiformat (Comma Separated Value) enthalten. Jede Agent-Protokolldatei enthält eine Kopfzeile mit den folgenden Informationen:

  • #Software   Name der Software, mit der die Agent-Protokolldatei erstellt wurde. In der Regel lautet der Wert Microsoft Exchange Server.

  • #Version   Versionsnummer der Software, mit der die Agent-Protokolldatei erstellt wurde. Der aktuelle Wert lautet 8.0.0.0.

  • #Log-Type   Wert des Protokolltyps, in diesem Fall Agent Log.

  • #Date   Datum und Uhrzeit (UTC) der Erstellung der Protokolldatei. Datum und Uhrzeit (UTC) werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu (eine weitere Möglichkeit zur Angabe von UTC).

  • #Fields   Durch Kommas getrennte Feldnamen, die in den Agent-Protokolldateien verwendet werden.

Zurück zum Seitenanfang

In das Agent-Protokoll geschriebene Informationen

Im Agent-Protokoll werden die einzelnen Agent-Transaktionen jeweils in einer einzelnen Zeile gespeichert. Die in den einzelnen Zeilen gespeicherten Informationen sind nach Feldern angeordnet. Diese Felder sind durch Kommas getrennt. Anhand des Feldnamens kann im Allgemeinen festgestellt werden, welchen Informationstyp das jeweilige Feld enthält. Einige Felder sind jedoch ggf. leer. Oder der Typ der im Feld gespeicherten Information kann sich basierend auf dem Agent oder der Aktion ändern, die vom Agent auf die Nachricht angewendet wird. In der folgenden Tabelle werden die Felder beschrieben, die zum Klassifizieren der einzelnen Agent-Transaktionen verwendet werden.

Zum Klassifizieren der einzelnen Agent-Transaktionen verwendete Felder

Feld Beschreibung

Timestamp

Datum und Uhrzeit des Agent-Ereignisses im UTC-Format. Dabei handelt es sich um das ISO 8601-Format. Der Wert wird formatiert als yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu (eine weitere Möglichkeit zur Angabe von UTC).

SessionId

Eindeutige SMTP-Sitzungs-ID. Diese ID wird als 16-stelliger Hexadezimalwert angegeben.

LocalEndpoint

Lokale IP-Adresse und Portnummer, die die Nachricht angenommen hat. Für SMTP-Sitzungen wird meist Port 25 verwendet.

RemoteEndpoint

IP-Adresse und Portnummer des vorherigen SMTP-Servers, der sich zum Übermitteln der Nachricht mit diesem Server verbunden hat. In einer Topologie mit Edge-Transport-Server und Hub-Transport-Server entspricht der Wert von RemoteEndpoint im Agent-Protokoll auf dem Hub-Transport-Server der IP-Adresse des Edge-Transport-Servers. Auch wenn die Nachricht über SMTP übertragen wird, ist die vom absendenden Server verwendete Portnummer eine beliebige Zahl größer als 1.024.

EnteredOrgFromIP

IP-Adresse des SMTP-Remoteservers, der sich zuerst mit der Exchange-Organisation zum Übermitteln der Nachricht verbunden hat. Auf einem Edge-Transport-Server ist der Wert von RemoteEndpoint und EnteredOrgFromIP identisch. Antispam-Agents verwenden die IP-Adresse in EnteredOrgFromIP, um eine Nachricht zu untersuchen.

MessageId

Wert des Kopfzeilenfelds MessageID. Ist dieser Wert leer, weist der Exchange 2010-Transportserver einen beliebigen Wert zu, jedoch nur, wenn die Nachricht angenommen wird. Nach der Zuweisung ist der Wert MessageID für die Lebensdauer der Nachricht konstant.

P1FromAddress

E-Mail-Adresse des Absenders, die unter MAIL FROM im Nachrichtenumschlag angegeben ist. Dieser Wert dient zum Transportieren der Nachricht zwischen SMTP-Messagingservern. Dieser Wert dient zum Vergleich mit dem Wert von P2FromAddresses, um zu ermitteln, ob die Absenderadresse in der Nachrichtenkopfzeile gefälscht ist.

P2FromAddresses

Die E-Mail-Adresse des Absenders im Feld From oder im Feld Sender in der Nachrichtenkopfzeile.

Recipient

E-Mail-Adresse der Empfänger. Obgleich die ursprüngliche Nachricht mehrere Empfänger enthalten kann, wird im Agent-Protokoll pro Zeile nur ein Empfänger angezeigt.

NumRecipients

Gesamtanzahl der Empfänger in der ursprünglichen Nachricht.

Agent

Name des Agents, der die Aktion durchführt. Die folgenden Werte sind möglich:

  • Verbindungsfilter-Agent

  • Inhaltsfilter-Agent

  • Edge-Regel-Agent

  • Empfängerfilter-Agent

  • Absenderfilter-Agent

  • Sender ID-Agent

Event

SMTP-Ereignis, bei dem der Agent die Aktion ausgeführt hat. Der Wert von Event hängt vom Agent ab. Die SMTP-Ereignisse, die jedem Agent zur Verfügung stehen, wurden bereits in der ersten Tabelle weiter oben in diesem Thema beschrieben. Die möglichen Werte für Event lauten wie folgt:

  • OnConnect

  • OnEndOfHeaders

  • OnEndOfData

  • OnMailCommand

  • OnRcptCommand

Action

Vom Agent auf die Nachricht angewendete Aktion. Die möglichen Werte für Action lauten wie folgt:

  • AcceptMessage

  • DeleteMessage

  • DeleteRecipients

  • Disconnect

  • QuarantineMessage

  • QuarantineRecipients

  • RejectAuthentication

  • RejectCommand

  • RejectConnection

  • RejectMessage

  • RejectRecipients

SmtpResponse

Enhanced SMTP-Antwort gemäß der Definition in RFC 2034.

Reason

Grund für die vom Agent durchgeführte Aktion.

ReasonData

Beschreibende Details zu der vom Agent durchgeführten Aktion.

Zurück zum Seitenanfang

Durchsuchen der Agent-Protokolle

Mithilfe des Cmdlets Get-AgentLog in der Exchange-Verwaltungsshell und des Skripts Get-AntiSpamFilteringReport können Sie die Agent-Protokolle durchsuchen. Weitere Informationen finden Sie unter Get-AgentLog.

Zurück zum Seitenanfang

Aktivieren oder Deaktivieren der Agent-Protokollierung

Auf Hub-Transport- und Edge-Transport-Servern ist die Agent-Protokollierung standardmäßig aktiviert. Der Status der Agent-Protokollierung wird in der Datei EdgeTransport.exe.config unter C:\Programme\Microsoft\Exchange Server\V14\Bin festgelegt. Weitere Informationen finden Sie unter Grundlegendes zur Konfigurationsdatei "EdgeTransport.exe". EdgeTransport.exe und MSExchangeTransport.exe sind die Programmdateien, die vom Microsoft Exchange-Transportdienst verwendet werden.

Viele der verfügbaren Konfigurationsoptionen stehen in keinem Zusammenhang mit der Agent-Protokollierung. Alle Konfigurationsoptionen, die nicht mit der Agent-Protokollierung in Zusammenhang stehen, sind in diesem Thema nicht enthalten.

  1. Öffnen Sie die folgende Datei in Editor: C:\Programme\Microsoft\Exchange Server\V14\Bin\EdgeTransport.exe.config

  2. Ändern Sie im Abschnitt <appSettings> folgende Zeile.

    <add key="AgentLogEnabled" value="<TRUE | FALSE>" />

    In diesem Beispiel wird die Agent-Protokollierung durch Ändern des Parameters AgentLogEnabled deaktiviert.

    <add key="AgentLogEnabled" value="FALSE" />

  3. Speichern und schließen Sie die Datei EdgeTransport.exe.config.

  4. Starten Sie den Microsoft Exchange-Transportdienst erneut.

Zurück zum Seitenanfang

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.