Présentation de l'enregistrement dans le journal de l'Agent

  • Article

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2015-03-09

Les journaux de l'Agent enregistrent les actions réalisées sur un message par les agents de blocage du courrier indésirable qui sont installés et configurés sur un ordinateur exécutant Microsoft Exchange Server 2010 sur lequel le rôle serveur de transport Edge ou Hub est installé. Seuls les agents suivants peuvent écrire des informations dans le journal de l'Agent :

  • Agent de filtrage des connexions

  • Agent de filtrage du contenu

  • Agent d'application de règles de transport Edge

  • Agent de filtrage des destinataires

  • Agent de filtrage des expéditeurs

  • Agent d'ID de l'expéditeur

Les informations écrites dans le journal de l'Agent dépendent de l'Agent, de l'événement SMTP et de l'action réalisée sur le message.

La seule option configurable pour l'enregistrement dans le journal de l'Agent est le paramètre AgentLogEnabled du fichier de configuration d'application EdgeTransport.exe.config. Par défaut, l'enregistrement dans le journal de l'Agent est activé sur les serveurs de transport Hub ou de transport Edge. Les autres valeurs du journal de l'Agent qui ne sont pas configurables sont décrites dans la liste suivante :

  • Les journaux de l'Agent sont stockés à l'emplacement suivant : C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog.

  • La taille maximale des fichiers du journal de l'Agent est 10 mégaoctets (Mo).

  • La taille maximale du répertoire contenant les fichiers du journal de l'Agent est 250 Mo.

  • L'âge maximal des fichiers du journal de l'Agent est 30 jours.

Le serveur Exchange 2010 utilise l'enregistrement circulaire pour limiter le nombre de journaux de l'Agent en fonction de la taille et de l'âge du fichier afin de mieux gérer l'espace disque utilisé par les fichiers journaux.

RemarqueRemarque :
Si vous voulez conserver les fichiers journaux de l'Agent pour une durée supérieure à celle autorisée par les valeurs d'âge des fichiers ou de taille du répertoire que vous ne pouvez pas configurer, vous pouvez créer une tâche planifiée qui place périodiquement les fichiers journaux de l'Agent inutilisés dans un emplacement différent.
RemarqueRemarque :
Par défaut, le processus d'enregistrement du transport a une valeur de niveau d'enregistrement égale à 0 (la plus basse). Si vous voulez qu'Exchange écrive une entrée de journal des événements lorsque l'enregistrement circulaire supprime un fichier journal, vous devez modifier la valeur de niveau d'enregistrement du processus d'enregistrement de transport en définissant 5 (Maximum) ou 7 (Expert).

Contenu de cette rubrique

Vue d'ensemble des agents de transport

Structure des fichiers journaux de l'Agent

Informations écrites dans le journal de l'Agent

Recherche des journaux de l'Agent

Activer ou désactiver l'enregistrement dans le journal de l'Agent

Souhaitez-vous rechercher les autres tâches de gestion relatives à l'enregistrement dans le journal de l'Agent ? Voir Gestion des serveurs de transport.

Vue d'ensemble des agents de transport

Les agents peuvent uniquement agir sur les messages à certains points dans la séquence de commandes SMTP utilisée pour transporter les messages via un serveur de transport Hub ou Edge. Ces points d'accès dans la séquence de commande SMTP sont appelés événements SMTP. Chaque agent dispose d'une valeur prioritaire pouvant lui être affectée. Toutefois, les événements SMTP doivent toujours se produire selon un ordre établi. Par conséquent, la priorité de l'Agent dépend de l'événement SMTP. Si deux agents peuvent agir sur un message lors du même événement SMTP, l'Agent disposant de la priorité la plus élevée agit d'abord sur le message.

Le tableau suivant répertorie les événements SMTP dans leur ordre d'apparition et les agents qui écrivent des informations dans le journal de l'Agent selon un ordre de priorité décroissant pour chaque événement SMTP.

Événements SMTP dans leur ordre d'apparition et agents écrivant des informations dans le journal de l'Agent selon l'ordre de priorité pour chaque événement SMTP

Événement SMTP Agent

OnConnect

Agent de filtrage des connexions

OnMailCommand

Agent de filtrage des connexions

Agent de filtrage des expéditeurs

OnRcptCommand

Agent de filtrage des connexions

Agent de filtrage des destinataires

OnEndOfHeaders

Agent de filtrage des connexions

Agent d'ID de l'expéditeur

Agent de filtrage des expéditeurs

OnEndOfData

Agent d'application de règles de transport Edge

Agent de filtrage du contenu

Pour plus d'informations sur les agents, les événements SMTP et la priorité de l'agent, consultez la rubrique Présentation des agents de transport.

Retour au début

Structure des fichiers journaux de l'Agent

Les journaux de l'Agent sont stockés à l'emplacement suivant : C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog.

La convention d'appellation pour les fichiers journaux de l'Agent est AGENTLOGaaaammjj-nnnn.log. Les espaces réservés correspondent aux informations suivantes :

  • L'espace réservé aaaammjj est la date au format UTC (temps universel coordonné) à laquelle le fichier journal a été créé. Dans l'espace réservé, aaaa = année, mm = mois et jj = jour.

  • L'espace réservé nnnn est un numéro d'instance qui commence à la valeur 1 pour chaque jour.

Les informations sont écrites dans le fichier journal jusqu’à ce que la taille du fichier atteigne 10 Mo. Puis, un nouveau fichier journal avec un numéro d’instance incrémenté est alors ouvert. Ce processus est répété au cours de la journée. L'enregistrement circulaire supprime les fichiers journaux les plus anciens lorsque la taille du répertoire du journal de l'Agent atteint 250 Mo ou lorsque le fichier journal est vieux de 30 jours.

Les fichiers journaux de l'Agent sont des fichiers texte contenant des données au format CSV (valeurs séparées par des virgules). Chaque fichier journal de l'Agent comporte un en-tête avec les informations suivantes :

  • #Software   Nom du logiciel ayant créé le fichier journal de l'Agent. La valeur par défaut est généralement Microsoft Exchange Server.

  • #Version   Numéro de version du logiciel ayant créé le fichier journal de l'Agent. La valeur est actuellement 8.0.0.0.

  • #Log-Type   Type de journal (la valeur est « Agent Log »).

  • #Date   Date-heure, au format de temps universel coordonné, de création du fichier journal. La date-heure UTC est représentée au format de date-heure ISO 8601 : yyyy-mm-ddThh:mm:ss.fffZ, où yyyy = année, mm = mois, dd = jour, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z correspond à Zulu (qui est une autre manière de désigner le temps universel coordonné).

  • #Fields   Noms de champ séparés par des virgules utilisés dans les fichiers journaux de l'Agent.

Retour au début

Informations écrites dans le journal de l'Agent

Le journal de l'Agent stocke chaque transaction d'agent sur une seule ligne dans le journal. Les informations stockées sur chaque ligne sont organisées par champs. Ces champs sont séparés par des virgules. Me nom du champ est généralement suffisamment descriptif pour déterminer le type d’information qu’il contient. Toutefois, certains champs peuvent être vides. Ou le type d'informations stockées dans le champ peut évoluer en fonction de l'Agent ou de l'action réalisée par l'Agent sur le message. Le tableau suivant décrit les champs utilisés pour classer chaque transaction d'agent.

Champs utilisés pour classer chaque transaction d'agent

Nom de champ Description

Timestamp

Date et heure, au format UTC, de l'événement de l'agent. La représentation est réalisée au format ISO 8601. La valeur est au format yyyy-mm-ddThh:mm:ss.fffZ, où yyyy = année, mm = mois, dd = jour, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z correspond à Zulu (qui est une autre manière de désigner le temps universel coordonné).

SessionId

Identificateur unique de session SMTP. Cet identificateur est représenté sous la forme d'un nombre hexadécimal à 16 chiffres.

LocalEndpoint

Adresse IP locale et numéro de port acceptés par le message. Les sessions SMTP utilisent généralement le port 25.

RemoteEndpoint

Adresse IP et numéro de port du serveur SMTP précédent qui s'est connecté à ce serveur pour remettre les messages. Dans une topologie de serveur de transport Edge et de transport Hub, la valeur de RemoteEndpoint dans le journal de l'Agent du serveur de transport Hub est l'adresse IP du serveur de transport Edge. Même si la transmission du message s'effectue via le protocole SMTP, le numéro de port utilisé par le serveur d'envoi est un numéro aléatoire supérieur à 1 024.

EnteredOrgFromIP

Adresse IP du serveur SMTP distant qui s'est connecté en premier à l'organisation Exchange pour remettre le message. Sur un serveur de transport Edge, les valeurs de paramètres RemoteEndpoint et EnteredOrgFromIP sont les mêmes. Les agents de blocage du courrier indésirable utilisent l'adresse IP de EnteredOrgFromIP pour examiner un message.

MessageId

Valeur du champ d'en-tête MessageID. Si ce champ n'est pas renseigné, le serveur de transport Exchange 2010 affecte une valeur arbitraire, mais uniquement si le message est accepté. Une fois affectée, la valeur MessageID est constante tout au long de la durée de vie du message.

P1FromAddress

Adresse de messagerie de l'expéditeur spécifiée par MAIL FROM dans l'enveloppe de message. Cette valeur est utilisée pour transporter le message entre les serveurs de messagerie SMTP. Cette valeur sert de comparaison à la valeur P2FromAddresses pour déterminer si l'adresse d'expéditeur présente dans l'en-tête de message est falsifiée.

P2FromAddresses

Adresse de messagerie de l'expéditeur spécifiée dans le champ d'en-tête From ou dans le champ d'en-tête Sender de l'en-tête de message.

Recipient

Adresse de messagerie des destinataires. Bien que le message d'origine puisse contenir plusieurs destinataires, un seul destinataire est affiché par ligne dans le journal de l'Agent.

NumRecipients

Nombre total de destinataires dans le message d'origine.

Agent

Nom de l'agent qui a effectué l'action. Les valeurs possibles sont les suivantes :

  • Agent de filtrage des connexions

  • Agent de filtrage du contenu

  • Agent d'application de règles de transport Edge

  • Agent de filtrage des destinataires

  • Agent de filtrage des expéditeurs

  • Agent d'ID de l'expéditeur

Event

Événement SMTP où l'action a été effectuée par l'Agent. La valeur de Event dépend de l'Agent. Les événements SMTP disponibles pour chaque agent sont présentés dans le premier tableau, plus haut dans cette rubrique. Les valeurs possibles pour Event sont les suivantes :

  • OnConnect ;

  • OnEndOfHeaders

  • OnEndOfData

  • OnMailCommand

  • OnRcptCommand

Action

Action réalisée sur le message par l'Agent. Les valeurs possibles pour Action sont les suivantes :

  • AcceptMessage ;

  • DeleteMessage ;

  • DeleteRecipients ;

  • Disconnect ;

  • QuarantineMessage ;

  • QuarantineRecipients ;

  • RejectAuthentication ;

  • RejectCommand ;

  • RejectConnection ;

  • RejectMessage ;

  • RejectRecipients.

SmtpResponse

Réponse SMTP optimisée comme définie dans RFC 2034.

Reason

Raison de l'action prise en charge par l'Agent.

ReasonData

Informations décrivant l'action prise en charge par l'Agent.

Retour au début

Recherche des journaux de l'Agent

La cmdlet Get-AgentLog de l'environnement de ligne de commande Exchange Management Shell et le script Get-AntiSpamFilteringReport vous permettent d'effectuer des recherches dans les journaux de l'Agent. Pour plus d'informations, voir Get-AgentLog.

Retour au début

Activer ou désactiver l'enregistrement dans le journal de l'Agent

Par défaut, l'enregistrement dans le journal de l'Agent est activé sur les serveurs de transport Hub ou de transport Edge. Pour activer ou désactiver l'enregistrement dans le journal de l'Agent, vous devez modifier le fichier EdgeTransport.exe.config situé dans C:\Program Files\Microsoft\Exchange Server\V14\Bin. Pour plus d'informations, voir Présentation du fichier EdgeTransport.exe.Config. Les fichiers EdgeTransport.exe et MSExchangeTransport.exe sont les fichiers exécutables utilisés par le service de transport Microsoft Exchange.

Il existe de nombreuses options de configuration qui ne sont pas liées à la fonctionnalité d'enregistrement dans le journal de l'Agent. Toute option de configuration n’impliquant pas l'enregistrement dans le journal de l'Agent sort du cadre de cette rubrique.

  1. Ouvrez le fichier suivant dans le Bloc-notes : C:\Program Files\Microsoft\Exchange Server\V14\Bin\EdgeTransport.exe.config

  2. Modifiez la ligne suivante dans la section <appSettings>.

    <add key="AgentLogEnabled" value="<TRUE | FALSE>" />

    Cet exemple désactive l'enregistrement dans le journal de l'Agent en modifiant le paramètre AgentLogEnabled.

    <add key="AgentLogEnabled" value="FALSE" />

  3. Enregistrez et fermez le fichier EdgeTransport.exe.config.

  4. Redémarrez le service de transport de Microsoft Exchange.

Retour au début

 © 2010 Microsoft Corporation. Tous droits réservés.