Verwalten der Agent-Protokollierung
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-01-09
In Agent-Protokollen werden die Aktionen aufgezeichnet, die von bestimmten Antispam-Agents, die auf einem Computer installiert und konfiguriert sind, auf dem Microsoft Exchange Server 2007 ausgeführt wird und auf dem die Serverfunktion Edge-Transport oder Hub-Transport installiert ist, auf eine Nachricht angewendet werden. Nur die folgenden Agents können Informationen in das Agent-Protokoll schreiben:
Verbindungsfilter-Agent
Inhaltsfilter-Agent
Edge-Regel-Agent
Empfängerfilter-Agent
Absenderfilter-Agent
Sender ID-Agent
Die Informationen, die in das Agent-Protokoll geschrieben werden, hängen vom Agent, dem SMTP-Ereignis (Simple Mail Transfer Protocol) und der Aktion ab, die auf die Nachricht angewendet wurde.
Die einzige konfigurierbare Option bei der Agent-Protokollierung ist der Parameter AgentLogEnabled in der Anwendungskonfigurationsdatei EdgeTransport.exe.config. Auf Hub-Transport- und Edge-Transport-Servern ist die Agent-Protokollierung standardmäßig aktiviert. Die anderen Agent-Protokollwerte, die nicht konfiguriert werden können, werden in der folgenden Liste beschrieben:
Der Speicherort der Agent-Protokolle ist C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.
Die maximale Größe der einzelnen Agent-Protokolldateien ist 10 MB.
Die maximale Größe des Verzeichnisses mit den Agent-Protokolldateien ist 250 MB.
Das maximale Alter von Agent-Protokolldateien ist 30 Tage.
Der Server mit Exchange 2007 verwendet die Umlaufprotokollierung, um Größe und Alter der Agent-Protokolle zu begrenzen und somit den von den Dateien benötigten Festplattenspeicherplatz zu verringern.
Hinweis
Wenn Sie die Agent-Protokolldateien länger aufbewahren möchten, als von Werten für das Dateialter oder die Verzeichnisgröße zulässig ist, die Sie nicht konfigurieren können, kann ein geplanter Task erstellt werden, der die nicht verwendeten Agent-Protokolldateien an einen anderen Speicherort verschiebt.
Hinweis
Standardmäßig weist der Prozess für die Transportprotokollierung den Wert 0 (Niedrigste) für den Protokolliergrad auf. Wenn Microsoft Exchange einen Eintrag in das Ereignisprotokoll schreiben soll, wenn die Umlaufprotokollierung eine Protokolldatei entfernt, müssen Sie den Wert für den Protokolliergrad des Prozesses für die Transportprotokollierung auf 5 (Maximal) oder 7 (Experte) ändern. Weitere Informationen finden Sie unter Ändern der Protokolliergrade für Exchange-Prozesse.
Übersicht über Transport-Agents
Agents können nur an bestimmten Punkten in der SMTP-Befehlsfolge angewendet werden, die zum Transport der Nachrichten durch einen Hub-Transport- oder Edge-Transport-Server verwendet wird. Diese Zugriffspunkte in der SMTP-Befehlsfolge werden SMTP-Ereignisse genannt. Jeder Agent hat einen Prioritätswert, der zugewiesen werden kann. Die SMTP-Ereignisse müssen allerdings stets in einer bestimmten Reihenfolge auftreten. Deshalb hängt die Agent-Priorität vom SMTP-Ereignis ab. Wenn zwei Agents während desselben SMTP-Ereignisses auf eine Nachricht angewendet werden können, wird der Agent mit der höchsten Priorität zuerst auf die Nachricht angewendet.
Tabelle 1 enthält die SMTP-Ereignisse in der Reihenfolge des Auftretens sowie die Agents, die Informationen in das Agent-Protokoll schreiben (in der Prioritätsreihenfolge vom höchsten zum niedrigsten Wert für jedes SMTP-Ereignis).
Tabelle 1 SMTP-Ereignisse in der Reihenfolge des Auftretens sowie die Agents, die Informationen in das Agent-Protokoll schreiben, in der Prioritätsreihenfolge für jedes SMTP-Ereignis
SMTP-Ereignis | Agent |
---|---|
OnConnect |
Verbindungsfilter-Agent |
OnMailCommand |
Verbindungsfilter-Agent Absenderfilter-Agent |
OnRcptCommand |
Verbindungsfilter-Agent Empfängerfilter-Agent |
OnEndOfHeaders |
Verbindungsfilter-Agent Sender ID-Agent Absenderfilter-Agent |
OnEndOfData |
Edge-Regel-Agent Inhaltsfilter-Agent |
Weitere Informationen zu Agents, SMTP-Ereignissen und Agent-Priorität finden Sie unter Übersicht über Transport-Agents.
Struktur der Agent-Protokolldateien
Der Speicherort der Agent-Protokolle lautet C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.
Die Benennungskonvention für die Agent-Protokolldateien lautet AGENTLOGyyymmdd-nnnn.log. Die Platzhalter enthalten die folgenden Informationen:
Bei dem Platzhalter yyyymmdd handelt es sich um das UTC-Datum (Universal Time Coordinated), an dem die Protokolldatei erstellt wurde. yyyy = Jahr, mm = Monat und dd = Tag.
Der Platzhalter nnnn ist eine Instanznummer, die mit dem Wert 1 für jeden Tag beginnt.
In die Protokolldatei werden Informationen geschrieben, bis die Dateigröße 10 MB erreicht. Dann wird eine neue Protokolldatei mit der nächsthöheren Instanznummer geöffnet. Dieser Vorgang wird während des ganzen Tags wiederholt. Die Umlaufprotokollierung löscht die ältesten Protokolldateien, wenn das Agent-Protokollverzeichnis 250 MB erreicht oder eine Protokolldatei 30 Tage alt ist.
Bei den Agent-Protokolldateien handelt es sich um Textdateien, die Daten im CSV-Format (Comma Separated Value) enthalten. Jede Agent-Protokolldatei enthält eine Kopfzeile mit den folgenden Informationen:
#Software: Der Name der Software, mit der die Agent-Protokolldatei erstellt wurde. In der Regel lautet der Wert Microsoft Exchange Server.
#Version: Die Versionsnummer der Software, mit der die Agent-Protokolldatei erstellt wurde. Der aktuelle Wert lautet 8.0.0.0.
#Log-Type Der Wert dieses Felds ist Agent Log.
#Date: Datum und Uhrzeit (UTC) der Erstellung der Protokolldatei. Datum und Uhrzeit (UTC) werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ddThh:mm:ss.fffZ, mit yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu (eine weitere Möglichkeit zur Angabe von UTC).
#Fields: Kommagetrennte Feldnamen, die in den Agent-Protokolldateien verwendet werden.
Daten, die in das Agent-Protokoll geschrieben werden
Im Agent-Protokoll werden die einzelnen Agent-Transaktionen jeweils in einer einzelnen Zeile gespeichert. Die in den einzelnen Zeilen gespeicherten Informationen sind nach Feldern angeordnet. Diese Felder sind durch Kommas getrennt. Anhand des Feldnamens kann im Allgemeinen festgestellt werden, welchen Informationstyp das jeweilige Feld enthält. Einige Felder sind jedoch ggf. leer. Oder der Typ der Information, die im Feld gespeichert ist, kann sich basierend auf dem Agent oder der Aktion ändern, die vom Agent auf die Nachricht angewendet wird. In Tabelle 2 werden die Felder beschrieben, die zum Klassifizieren der einzelnen Agent-Transaktionen dienen.
Tabelle 2 Felder, die zum Klassifizieren einzelner Agent-Transaktionen dienen
Feld | Beschreibung |
---|---|
Timestamp |
Datum und Uhrzeit des Agent-Ereignisses im UTC-Format. Dabei handelt es sich um das ISO 8601-Format. Der Wert wird formatiert als yyyy-mm-ddThh:mm:ss.fffZ, mit yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu. |
SessionId |
Die eindeutige SMTP-Sitzungs-ID. Diese ID wird als 16-stelliger Hexadezimalwert angegeben. |
LocalEndpoint |
Die lokale IP-Adresse und Portnummer, die die Nachricht angenommen hat. Für SMTP-Sitzungen wird meist Port 25 verwendet. |
RemoteEndpoint |
Die IP-Adresse und Portnummer des vorherigen SMTP-Servers, der sich zum Übermitteln der Nachricht mit diesem Server verbunden hat. In einer Topologie mit Edge-Transport-Server und Hub-Transport-Server entspricht der Wert von RemoteEndpoint im Agent-Protokoll auf dem Hub-Transport-Server der IP-Adresse des Edge-Transport-Servers. Auch wenn die Nachricht über SMTP übertragen wird, ist die Portnummer, die vom absendenden Server verwendet wird, eine beliebige Zahl größer als 1024. |
EnteredOrgFromIP |
Die IP-Adresse des SMTP-Remoteservers, der sich zuerst mit der Exchange-Organisation zum Übermitteln der Nachricht verbunden hat. Auf einem Edge-Transport-Server ist der Wert von RemoteEndpoint und EnteredOrgFromIP identisch. Antispam-Agents verwenden die IP-Adresse in EnteredOrgFromIP, um eine Nachricht zu untersuchen. |
MessageId |
Der Wert des Kopfzeilenfelds |
P1FromAddress |
Die E-Mail-Adresse des Absenders, die unter |
P2FromAddresses |
Die E-Mail-Adresse des Absenders im Feld |
Recipient |
Die E-Mail-Adresse der Empfänger. Obgleich die ursprüngliche Nachricht mehrere Empfänger enthalten kann, wird im Agent-Protokoll pro Zeile nur ein Empfänger angezeigt. |
NumRecipients |
Die Gesamtanzahl der Empfänger in der ursprünglichen Nachricht. |
Agent |
Der Name des Agents, der die Aktion ausgeführt hat. Die folgenden Werte sind möglich:
|
Event |
Das SMTP-Ereignis, bei dem der Agent die Aktion ausgeführt hat. Der Wert von Event hängt vom Agent ab. Die SMTP-Ereignisse, die jedem Agent zur Verfügung stehen, wurden bereits in Tabelle 1 beschrieben. Die möglichen Werte für Event lauten wie folgt:
|
Action |
Die Aktion, die vom Agent auf die Nachricht angewendet wird. Die möglichen Werte für Action lauten wie folgt:
|
SmtpResponse |
Die Enhanced SMTP-Antwort gemäß der Definition in RFC 2034. |
Reason |
Der Grund für die vom Agent ausgeführte Aktion. |
ReasonData |
Beschreibende Details zur vom Agent ausgeführten Aktion. |
Durchsuchen der Agent-Protokolle
Mithilfe des Cmdlets Get-AgentLog in der Exchange-Verwaltungsshell und des Skripts Get-AntiSpamFilteringReport können Sie die Agent-Protokolle durchsuchen.
Weitere Informationen finden Sie unter Get-AgentLog.
Aktivieren oder Deaktivieren der Agent-Protokollierung
Auf Hub-Transport- und Edge-Transport-Servern ist die Agent-Protokollierung standardmäßig aktiviert. Der Status der Agent-Protokollierung wird in der Datei EdgeTransport.exe.config in C:\Programme\Microsoft\Exchange Server\Bin festgelegt. Die Datei EdgeTransport.exe.config ist eine XML-Anwendungskonfigurationsdatei, die der Datei EdgeTransport.exe zugeordnet ist. EdgeTransport.exe und MSExchangeTransport.exe sind die Programmdateien, die vom Microsoft Exchange-Transportdienst verwendet werden. Dieser Dienst wird auf jedem Hub-Transport-Server oder Edge-Transport-Server ausgeführt. Änderungen, die in der Datei EdgeTransport.exe.config vorgenommen werden, werden nach dem erneuten Starten des Microsoft Exchange-Transportdiensts angewendet.
Das folgende Beispiel zeigt die typische Struktur der Datei EdgeTransport.exe.config:
<configuration>
<runtime>
<gcServer enabled="true" />
</runtime>
<appSettings>
<add key="
Konfigurationsoption " value="
Wert " />
...
</appSettings>
</configuration>
Sie können im Abschnitt <appSettings>
neue Konfigurationsoptionen hinzufügen oder vorhandene Konfigurationsoptionen ändern. Viele der verfügbaren Konfigurationsoptionen stehen in keinem Zusammenhang mit der Agent-Protokollierung. Alle Konfigurationsoptionen, die nicht mit der Agent-Protokollierung in Zusammenhang stehen, sind in diesem Thema nicht enthalten.
Hinweis
Bei den Parameternamen im Abschnitt <add key=../>
ist Groß- und Kleinschreibung zu beachten.
So aktivieren oder deaktivieren Sie die Agent-Protokollierung
Öffnen Sie die folgende Datei in Editor: C:\Programme\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config
Ändern Sie im
<appSettings>
-Abschnitt folgende Zeile:<add key="AgentLogEnabled" value="<TRUE | FALSE>" />
Um die Agent-Protokollierung beispielsweise zu deaktivieren, ändern Sie den Parameter AgentLogEnabled wie folgt:
<add key="AgentLogEnabled" value="FALSE" />
Speichern und schließen Sie die Datei EdgeTransport.exe.config.
Starten Sie den Microsoft Exchange-Transportdienst erneut.
Weitere Informationen
Weitere Informationen finden Sie unter Antispam- und Antivirusfunktionen.