Share via

Administración del registro de agentes

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-01-09

Los registros de agentes registran las acciones que han realizado agentes contra correo electrónico no deseado específicos en un mensaje y que se han instalado y configurado en un equipo en el que se ejecuta Microsoft Exchange Server 2007 con la función del servidor Transporte perimetral o del servidor de transporte de concentradores instaladas. En el registro de agentes, sólo los siguientes agentes pueden escribir información:

  • agente de filtro de conexiones

  • Agente de filtro de contenido

  • agente reglas de borde

  • Agente de filtro de destinatarios

  • Agente de filtro de remitentes

  • Agente de Id. de remitente

La información escrita en el registro de agentes depende del agente, del evento de Protocolo simple de transferencia de correo (SMTP) y de la acción realizada en el mensaje.

La única opción configurable en el registro de agentes es el parámetro AgentLogEnabled del archivo de configuración de aplicación de EdgeTransport.exe.config. De forma predeterminada, el registro de agentes está activado en los servidores de transporte de concentradores o de transporte perimetral. En la siguiente lista, se describen los otros valores de registro de agentes que no pueden configurarse:

  • La ruta en la que se almacenan los registros de agentes es C:\Archivos de programa\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.

  • El tamaño máximo de los archivos de registro de agentes individuales es de 10 MB.

  • El tamaño máximo del directorio que contiene archivos de registro de agentes es de 250 MB.

  • La antigüedad máxima de los archivos de registro de agentes es de 30 días.

El servidor de Exchange 2007 usa un registro circular para limitar los registros de agentes basándose en el tamaño y la antigüedad del archivo con el fin de ayudar a controlar el espacio del disco duro que usan los archivos de registro.

Nota

Si desea guardar los archivos de registro de agentes durante más tiempo del permitido por la antigüedad del archivo o por los valores de tamaño de directorio que no pueden configurarse, puede crear una tarea programada que mueva periódicamente los archivos de registro de agentes no usados a una ubicación diferente.

Nota

De manera predeterminada, el proceso de registro de transporte tiene un valor de nivel de registro de 0 (Inferior). Si desea que Microsoft Exchange escriba una entrada de registro cuando un registro circular quita un archivo de registro, debe cambiar el valor de nivel de registro del proceso de registro de transporte a 5 (Máximo) o 7 (Experto). Para obtener más información, consulte Cómo modificar los niveles de registro para procesos de Exchange.

Introducción a los agentes de transporte

Los agentes sólo pueden actuar en los mensajes en puntos específicos de la secuencia de comandos SMTP que se usa para transportar los mensajes a través de un servidor de transporte de concentradores o de un servidor de transporte perimetral. Estos puntos de acceso de la secuencia de comandos SMTP se denominan Eventos SMTP. Cada agente tiene un valor prioritario que puede asignarse. Sin embargo, los eventos SMTP siempre deben producirse en un orden determinado. Por lo tanto, la prioridad de agentes depende del evento SMTP. Si dos agentes pueden actuar en un mensaje durante el mismo evento SMTP, el agente que tiene mayor prioridad actuará sobre el mensaje en primer lugar.

En la Tabla 1 se enumeran los eventos SMTP en el orden en que suceden y los agentes que escriben la información en el registro de agentes en orden de prioridad de mayor a menor para cada evento SMTP.

Tabla 1 Eventos SMTP en el orden en que suceden y los agentes que escriben la información en el registro de agentes en orden de prioridad para cada evento SMTP.

Evento SMTP Agente

OnConnect

agente de filtro de conexiones

OnMailCommand

Agente de filtro de conexiones

Agente de filtro de remitentes

OnRcptCommand

Agente de filtro de conexiones

Agente de filtro de destinatarios

OnEndOfHeaders

Agente de filtro de conexiones

Agente de Id. de remitente

Agente de filtro de remitentes

OnEndOfData

Agente de reglas perimetrales

Agente de filtro de contenido

Para obtener más información sobre los agentes, eventos SMTP y la prioridad de agentes, consulte Introducción a los agentes de transporte.

Estructura de los archivos de registro de agentes

Las registros de agentes se encuentran en C:\Archivos de programa\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.

La convención de la nomenclatura para los archivos de registro de agentes es AGENTLOGyyyymmdd-nnnn.log. Los marcadores de posición representan la siguiente información:

  • El marcador de posición yyyymmdd es la fecha UTC (hora universal coordinada) en que se ha creado el archivo de registro. yyyy = año, mm = mes y dd = día.

  • El marcador de posición nnnn es un número de instancia que empieza por el valor 1 para cada día.

La información se escribe en el archivo de registro hasta que el tamaño del archivo alcanza los 10 MB. A continuación, se abre un archivo de registro nuevo con un número de instancia incrementado. Este proceso se repite durante el día. El registro circular elimina los archivos de registro más antiguos cuando el directorio de registro de agentes alcanza los 250 MB o cuando un archivo de registro alcanza los 30 días.

Los archivos de registro de agentes son archivos de texto que contienen datos en el formato de valores separados por comas (CSV). Cada archivo de registro de agentes tiene un encabezado que contiene la siguiente información:

  • #Software:   El nombre del software que crea el archivo de registro de agentes. Normalmente, el valor es Microsoft Exchange Server.

  • #Versión:   El número de versión del software que crea el archivo de registro de agentes. Actualmente, el valor es 8.0.0.0.

  • #Tipo de registro:   El valor de este campo es el registro de agentes.

  • #Fecha:   La fecha y hora UTC en el momento de crearse el archivo. La fecha y hora UTC se representa mediante el formato de fecha y hora conforme a ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, donde yyyy = año, mm = mes, dd = día, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra forma de denominar UTC.

  • #Campos:   Los nombres de campos delimitados por comas que se usan en los archivos de registro de agentes.

Información que se escribe en el registro de agentes

El registro de agentes almacena cada transacción de agentes en una sola línea del registro. La información que se almacena en cada línea se organiza por campos. Estos campos se separan con comas. El nombre del campo suele ser lo bastante descriptivo como para determinar el tipo de información que contiene. Sin embargo, algunos campos permanecen en blanco. O el tipo de información almacenada en el campo puede cambiar en función del agente o de la acción que el agente realiza en el mensaje. La Tabla 2 describe los campos que se usan para clasificar cada transacción de agentes

Tabla 2   Campos que se usan para clasificar cada transacción de agentes

Nombre del campo Descripción

Marca de tiempo

La fecha y hora UTC del evento de agente. Está representada en formato ISO 8601. El valor tiene la forma aaaa-mm-ddThh:mm:ss.fffZ, donde aaaa = año, mm = mes, dd = día, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo, y Z indica Zulú.

SessionId

El identificador de sesión SMTP exclusivo. Este identificador se representa con un número hexadecimal de 16 dígitos.

LocalEndpoint

La dirección IP local y el número de puerto que aceptó el mensaje. Las sesiones SMTP usan normalmente el puerto 25.

RemoteEndpoint

La dirección IP y el número de puerto del servidor SMTP anterior que se conectó a este servidor para entregar el mensaje. En una topología de servidor de transporte perimetral y de servidor de transporte de concentradores, el valor de RemoteEndpoint del registro de agentes del servidor de transporte de concentradores será la dirección IP del servidor de transporte perimetral. Incluso aunque el mensaje se haya transmitido por SMTP, el número de puerto usado por el servidor de envío será un número aleatorio mayor que 1024.

EnteredOrgFromIP

La dirección IP del servidor SMTP remoto que se ha conectado en primer lugar a la organización de Exchange para entregar el mensaje. En un servidor de transporte perimetral, el valor de RemoteEndpoint y de EnteredOrgFromIP es el mismo. Los agentes contra correo electrónico no deseado usan la dirección IP en EnteredOrgFromIP para examinar un mensaje.

MessageId

El valor del campo de encabezado de MessageID:. Si este valor está en blando, el servidor de transporte de Exchange 2007 asigna un valor arbitrario, pero sólo si se acepta el mensaje. Una vez asignado, el valor de MessageID: es constante durante la vigencia del mensaje.

P1FromAddress

La dirección de correo electrónico del remitente especificada en MAIL FROM: en el sobre del mensaje. Este valor se usa para transportar el mensaje entre servidores de mensajería SMTP. Este valor sirve como comparación con el valor de P2FromAddresses para determinar si la dirección del remitente de la cabecera del mensaje se ha falsificado.

P2FromAddresses

La dirección de correo electrónico del remitente especificada en el campo de encabezado From: o en Sender: el campo de encabezado del encabezado del mensaje.

Recipient

Dirección de correo electrónico de los destinatarios. Aunque el mensaje original puede contener muchos destinatarios, en el registro de agentes sólo se muestra un destinatario por línea.

NumRecipients

El número total de destinatarios del mensaje original.

Agente

El nombre del agente que realiza la acción. Los valores posibles son:

  • Agente de filtro de conexiones

  • Agente de filtro de contenido

  • Agente de reglas perimetrales

  • Agente de filtro de destinatarios

  • Agente de filtro de remitentes

  • Agente de Id. de remitente

Evento

El evento SMTP en el que el agente realizó la acción. El valor de Evento depende del agente. Los eventos SMTP disponibles para cada agente se describen en la Tabla 1 que aparece anteriormente en este tema. Los posibles valores para el Evento son los siguientes:

  • OnConnect

  • OnEndOfHeaders

  • OnEndOfData

  • OnMailCommand

  • OnRcptCommand

Action

La acción que el agente realizó en el mensaje. Los posibles valores para la Acción son los siguientes:

  • AcceptMessage

  • DeleteMessage

  • DeleteRecipients

  • Disconnect

  • QuarantineMessage

  • QuarantineRecipients

  • RejectAuthentication

  • RejectCommand

  • RejectConnection

  • RejectMessage

  • RejectRecipients

SmtpResponse

El SMTP mejorado responde tal como se ha definido en RFC 2034.

Reason

La razón para la acción que ha proporcionado el agente.

ReasonData

Los detalles descriptivos de la acción que ha proporcionado el agente.

Búsqueda de registros de agentes

Puede usar el cmdlet Get-AgentLog del Shell de administración de Exchange y la secuencia de comandos Get-AntiSpamFilteringReport para buscar los registros de agentes.

Para obtener más información, vea Get-AgentLog (en inglés).

Cómo habilitar o deshabilitar el registro de agentes

De forma predeterminada, el registro de agentes está activado en un servidor de transporte de concentradores o de transporte perimetral. El registro de agentes se habilita o deshabilita modificando el archivo EdgeTransport.exe.config que se encuentra en C:\Archivos de programa\Microsoft\Exchange Server\Bin. El archivo EdgeTransport.exe.config es una configuración de aplicación XML que está asociada al archivo EdgeTransport.exe. EdgeTransport.exe y MSExchangeTransport.exe son los archivos ejecutables usados por el servicio de transporte de Microsoft Exchange. Este servicio se ejecuta en todos los servidores de transporte de concentradores o en todos los servidores de transporte perimetral. Los cambios realizados en el archivo EdgeTransport.exe.config se aplican después de que se reinicie el servicio de transporte de Microsoft Exchange.

El ejemplo siguiente muestra la estructura típica del archivo EdgeTransport.exe.config:

<configuration>

<runtime>

<gcServer enabled="true" />

</runtime>

<appSettings>

<add key=" Opción de configuración " value=" Valor " />

...

</appSettings>

</configuration>

Puede agregar nuevas opciones de configuración o modificar las opciones de configuración existentes en la sección <appSettings>. Muchas de las opciones de configuración disponibles no están relacionadas en absoluto con el registro de agentes. En este tema no se incluye ninguna opción de configuración que no esté relacionada con el registro de agentes.

Nota

Los nombres de los parámetros de la sección <add key=../> son sensibles a las mayúsculas y minúsculas.

Para habilitar o deshabilitar el registro de agentes

  1. Abra el siguiente archivo mediante Notepad: C:\Archivos de programa\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config

  2. Modifique la siguiente línea en la sección de <appSettings>:

    <add key="AgentLogEnabled" value="<TRUE | FALSE>" />

    Por ejemplo, para deshabilitar el registro de agentes, modifique el parámetro AgentLogEnabled del siguiente modo:

    <add key="AgentLogEnabled" value="FALSE" />

  3. Guarde y cierre el archivo EdgeTransport.exe.config.

  4. Reinicie el servicio de transporte de Microsoft Exchange.

Para obtener más información

Para obtener más información, vea Funcionalidad contra correo electrónico no deseado y antivirus (en inglés).