Journalisation de l’agent anti-courrier indésirable

 

Sapplique à :Exchange Server 2013

Dernière rubrique modifiée :2015-03-09

Les journaux de l'agent enregistrent les actions effectuées sur un message par des agents de blocage de courrier indésirable spécifiques dans Microsoft Exchange Server 2013. Seuls les agents suivants peuvent écrire des informations dans le journal de l'agent :

  • Agent de filtrage des connexions

  • Agent de filtrage du contenu

  • Agent d'application de règles de transport Edge

  • Agent de filtrage des destinataires

  • Agent de filtrage des expéditeurs

  • Agent d'ID de l'expéditeur

RemarqueRemarque :
L'agent de filtrage des connexions et l'agent de règles Edge ne ​​sont pas disponibles sur les serveurs de boîtes aux lettres.

Les informations écrites dans le journal de l'Agent dépendent de l'Agent, de l'événement SMTP et de l'action réalisée sur le message.

La cmdlet Set-TransportService de l'environnement de ligne de commande Exchange Management Shell vous permet d'exécuter toutes les tâches de configuration du journal de l'agent. Les options suivantes peuvent être sélectionnées pour les journaux de l'agent :

  • Activer ou désactiver la journalisation de l'agent. Par défaut, le suivi des messages est activé.

  • Spécifier l'emplacement des fichiers journaux de l'agent. La valeur par défaut est %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

  • Spécifier la taille maximale de chaque fichier journal de l'agent. La taille par défaut est 10 mégaoctets (Mo).

  • Spécifier la taille maximale du répertoire contenant les fichiers journaux de l'agent. La taille par défaut est 250 Mo.

  • Spécifier l'âge maximal des fichiers journaux de l'agent. L'âge par défaut est 7 jours.

Exchange utilise l'enregistrement circulaire pour limiter le nombre de journaux de l'agent en fonction de la taille et de l'âge du fichier afin de mieux gérer l'espace disque utilisé par les fichiers journaux.

Contenu de cette rubrique

Vue d'ensemble des agents de transport

Structure des fichiers journaux de l'agent

Informations écrites dans le journal de l'agent

Rechercher les journaux de l'agent

Les agents peuvent uniquement agir sur les messages à certains points dans la séquence de commandes SMTP utilisée pour transporter les messages via le service de transport sur un serveur de boîtes aux lettres ou un serveur de transport Edge. Ces points d'accès dans la séquence de commande SMTP sont appelés événements SMTP. Chaque agent dispose d'une valeur prioritaire pouvant lui être affectée. Toutefois, les événements SMTP doivent toujours se produire selon un ordre établi. Par conséquent, la priorité de l'Agent dépend de l'événement SMTP. Si deux agents peuvent agir sur un message lors du même événement SMTP, l'Agent disposant de la priorité la plus élevée agit d'abord sur le message.

Le tableau suivant répertorie les événements SMTP dans leur ordre d'apparition et les agents qui écrivent des informations dans le journal de l'Agent selon un ordre de priorité décroissant pour chaque événement SMTP.

Événements SMTP dans leur ordre d'apparition et agents écrivant des informations dans le journal de l'Agent selon l'ordre de priorité pour chaque événement SMTP

Événement SMTP Agent

OnConnect

Agent de filtrage des connexions

OnMailCommand

Agent de filtrage des connexions

Agent de filtrage des expéditeurs

OnRcptCommand

Agent de filtrage des connexions

Agent de filtrage des destinataires

OnEndOfHeaders

Agent de filtrage des connexions

Agent d'ID de l'expéditeur

Agent de filtrage des expéditeurs

OnEndOfData

Agent d'application de règles de transport Edge

Agent de filtrage du contenu

RemarqueRemarque :
L'agent de filtrage des connexions et l'agent de règles Edge ne ​​sont pas disponibles sur les serveurs de boîtes aux lettres.

Pour plus d'informations sur les agents, les événements SMTP et la priorité de l'agent, consultez la rubrique Agents de transport.

Retour au début

Les journaux de l'agent résident dans %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

La convention d'appellation pour les fichiers journaux de l'Agent est AGENTLOGaaaammjj-nnnn.log. Les espaces réservés correspondent aux informations suivantes :

  • L'espace réservé aaaammjj est la date au format UTC (temps universel coordonné) à laquelle le fichier journal a été créé. Dans l'espace réservé, aaaa = année, mm = mois et jj = jour.

  • L'espace réservé nnnn est un numéro d'instance qui commence à la valeur 1 pour chaque jour.

Les informations sont consignées dans le fichier journal jusqu'à ce que la taille du fichier atteigne la valeur maximale spécifiée ; un nouveau fichier journal avec un numéro d'instance incrémenté est alors ouvert. Ce processus est répété au cours de la journée. L'enregistrement circulaire supprime les fichiers journaux les plus anciens lorsque le répertoire des journaux de l'agent atteint la taille maximale spécifiée ou lorsqu'un fichier journal atteint l'âge maximal spécifié.

Les fichiers journaux de l'Agent sont des fichiers texte contenant des données au format CSV (valeurs séparées par des virgules). Chaque fichier journal de l'Agent comporte un en-tête avec les informations suivantes :

  • #Software   Nom du logiciel ayant créé le fichier journal de l'Agent. En règle générale, la valeur est Microsoft Exchange Server.

  • #Version   Numéro de version du logiciel ayant créé le fichier journal de l'Agent. La valeur actuelle est 15.0.0.0.

  • #Log-Type   Type de journal (la valeur est « Agent Log »).

  • #Date   Date-heure, au format de temps universel coordonné, de création du fichier journal. La date-heure UTC est représentée au format de date-heure ISO 8601 : yyyy-mm-ddyyyy-mm-ddThh:mm:ss.fffhh:mm:ss.fffZ, où yyyyyyyyy = année, mmmm = mois, dddd = jour, T indique le début du composant temps, hhhh = heure, mmmm = minute, ssss = seconde, ffffff = fractions de seconde et Z correspond à Zulu (qui est une autre manière de désigner le temps universel).

  • #Fields   Noms de champ séparés par des virgules utilisés dans les fichiers journaux de l'Agent.

Retour au début

Le journal de l'Agent stocke chaque transaction d'agent sur une seule ligne dans le journal. Les informations stockées sur chaque ligne sont organisées par champs. Ces champs sont séparés par des virgules. Me nom du champ est généralement suffisamment descriptif pour déterminer le type d'information qu'il contient. Toutefois, certains champs peuvent être vides. Ou le type d'informations stockées dans le champ peut évoluer en fonction de l'Agent ou de l'action réalisée par l'Agent sur le message. Le tableau suivant décrit les champs utilisés pour classer chaque transaction d'agent.

Champs utilisés pour classer chaque transaction d'agent

Nom de champ Description

Timestamp

Date et heure, au format UTC, de l'événement de l'agent. La date-heure UTC est représentée au format de date-heure ISO 8601 : yyyy-mm-ddyyyy-mm-ddThh:mm:ss.fffhh:mm:ss.fffZ, où yyyyyyyyy = année, mmmm = mois, dddd = jour, T indique le début du composant temps, hhhh = heure, mmmm = minute, ssss = seconde, ffffff = fractions de seconde et Z correspond à Zulu (qui est une autre manière de désigner le temps universel).

SessionId

Identificateur unique de session SMTP. Cet identificateur est représenté sous la forme d'un nombre hexadécimal à 16 chiffres.

LocalEndpoint

Adresse IP locale et numéro de port acceptés par le message. Les sessions SMTP utilisent généralement le port 25.

RemoteEndpoint

Adresse IP et numéro de port du serveur SMTP précédent qui s'est connecté à ce serveur pour remettre les messages. Lorsque la messagerie Internet passe par un serveur de transport Edge dans le réseau de périmètre, la valeur RemoteEndpoint du journal de l'agent sur le serveur de boîtes aux lettres est l'adresse IP du serveur de transport Edge. Même si la transmission du message s'effectue via le protocole SMTP, le numéro de port utilisé par le serveur d'envoi est un numéro aléatoire supérieur à 1 024.

EnteredOrgFromIP

Adresse IP du serveur SMTP distant qui s'est connecté en premier à l'organisation Exchange pour remettre le message. Sur un serveur de transport Edge, les valeurs de paramètres RemoteEndpoint et EnteredOrgFromIP sont les mêmes. Les agents de blocage du courrier indésirable utilisent l'adresse IP de EnteredOrgFromIP pour examiner un message.

MessageId

Valeur du champ d'en-tête MessageID. Si ce champ n'est pas renseigné, le serveur de transport Exchange attribue une valeur arbitraire, mais uniquement si le message est accepté. Une fois attribuée, la valeur de MessageID est constante tout au long de la durée de vie du message.

P1FromAddress

Adresse de messagerie de l'expéditeur spécifiée par MAIL FROM dans l'enveloppe de message. Cette valeur est utilisée pour transporter le message entre les serveurs de messagerie SMTP. Cette valeur sert de comparaison à la valeur P2FromAddresses pour déterminer si l'adresse d'expéditeur présente dans l'en-tête de message est falsifiée.

P2FromAddresses

Adresse de messagerie de l'expéditeur spécifiée dans le champ d'en-tête From ou dans le champ d'en-tête Sender de l'en-tête de message.

Recipient

Adresse de messagerie des destinataires. Bien que le message d'origine puisse contenir plusieurs destinataires, un seul destinataire est affiché par ligne dans le journal de l'Agent.

NumRecipients

Nombre total de destinataires dans le message d'origine.

Agent

Nom de l'agent qui a effectué l'action. Les valeurs possibles sont les suivantes :

  • Agent de filtrage du contenu

  • Agent de filtrage des destinataires

  • Agent de filtrage des expéditeurs

  • Agent d'ID de l'expéditeur

Event

Événement SMTP où l'action a été effectuée par l'Agent. La valeur de Event dépend de l'Agent. Les événements SMTP disponibles pour chaque agent sont présentés dans le premier tableau, plus haut dans cette rubrique. Les valeurs possibles pour Event sont les suivantes :

  • OnConnect

  • OnEndOfHeaders

  • OnEndOfData

  • OnMailCommand

  • OnRcptCommand

Action

Action réalisée sur le message par l'Agent. Les valeurs possibles pour Action sont les suivantes :

  • AcceptMessage

  • DeleteMessage

  • DeleteRecipients

  • Disconnect

  • QuarantineMessage

  • QuarantineRecipients

  • RejectAuthentication

  • RejectCommand

  • RejectConnection

  • RejectMessage

  • RejectRecipients

SmtpResponse

Réponse SMTP optimisée comme définie dans RFC 2034.

Reason

Raison de l'action prise en charge par l'Agent.

ReasonData

Informations décrivant l'action prise en charge par l'Agent.

Retour au début

La cmdlet Get-AgentLog et le script Get-AntiSpamFilteringReport.ps1 permettent de rechercher les journaux de l'agent.

Le script Get-AntiSpamFilteringReport.ps1 se situe dans %ExchangeInstallPath%Scripts. Vous devez exécuter le script dans l'environnement de ligne de commande Exchange Management Shell à partir du dossier Scripts. Pour modifier votre emplacement dans l'environnement de ligne de commande Exchange Management Shell pour le dossier Scripts, exécutez la commande suivante :

Cd $env:ExchangeInstallPath\Scripts

Pour exécuter le script dans le dossier Scripts, utilisez la syntaxe suivante :

.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]

Pour obtenir plus d'informations sur l'utilisation du script, exécutez la commande suivante :

Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1

Retour au début

 
Afficher: