Journalisation de l’agent anti-courrier indésirable
S’applique à : Exchange Server 2013
Les journaux de l'agent enregistrent les actions effectuées sur un message par des agents de blocage de courrier indésirable spécifiques dans Microsoft Exchange Server 2013. Seuls les agents suivants peuvent écrire des informations dans le journal de l'agent :
- Agent de filtrage des connexions
- Agent de filtrage du contenu
- Agent d'application de règles de transport Edge
- Agent de filtrage des destinataires
- Agent de filtrage des expéditeurs
- Agent d'ID de l'expéditeur
Remarque
L'agent de filtrage des connexions et l'agent de règles Edge ne sont pas disponibles sur les serveurs de boîtes aux lettres.
Les informations écrites dans le journal de l'Agent dépendent de l'Agent, de l'événement SMTP et de l'action réalisée sur le message.
La cmdlet Set-TransportService de l'environnement de ligne de commande Exchange Management Shell vous permet d'exécuter toutes les tâches de configuration du journal de l'agent. Les options suivantes peuvent être sélectionnées pour les journaux de l'agent :
- Activer ou désactiver la journalisation de l'agent. Par défaut, le suivi des messages est activé.
- Spécifier l'emplacement des fichiers journaux de l'agent. La valeur par défaut est %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.
- Spécifier la taille maximale de chaque fichier journal de l'agent. La taille par défaut est 10 mégaoctets (Mo).
- Spécifier la taille maximale du répertoire contenant les fichiers journaux de l'agent. La taille par défaut est 250 Mo.
- Spécifier l'âge maximal des fichiers journaux de l'agent. L'âge par défaut est 7 jours.
Exchange utilise l'enregistrement circulaire pour limiter le nombre de journaux de l'agent en fonction de la taille et de l'âge du fichier afin de mieux gérer l'espace disque utilisé par les fichiers journaux.
Vue d'ensemble des agents de transport
Les agents peuvent uniquement agir sur les messages à certains points dans la séquence de commandes SMTP utilisée pour transporter les messages via le service de transport sur un serveur de boîtes aux lettres ou un serveur de transport Edge. Ces points d'accès dans la séquence de commande SMTP sont appelés événements SMTP. Chaque agent dispose d'une valeur prioritaire pouvant lui être affectée. Toutefois, les événements SMTP doivent toujours se produire selon un ordre établi. Par conséquent, la priorité de l'Agent dépend de l'événement SMTP. Si deux agents peuvent agir sur un message lors du même événement SMTP, l'Agent disposant de la priorité la plus élevée agit d'abord sur le message.
Le tableau suivant répertorie les événements SMTP dans leur ordre d'apparition et les agents qui écrivent des informations dans le journal de l'Agent selon un ordre de priorité décroissant pour chaque événement SMTP.
Événements SMTP dans leur ordre d'apparition et agents écrivant des informations dans le journal de l'Agent selon l'ordre de priorité pour chaque événement SMTP
| Événement SMTP | Agent |
|---|---|
| OnConnect | Agent de filtrage des connexions |
| OnMailCommand | Agent de filtrage des connexions Agent de filtrage des expéditeurs |
| OnRcptCommand | Agent de filtrage des connexions Agent de filtrage des destinataires |
| OnEndOfHeaders | Agent de filtrage des connexions Agent d'ID de l'expéditeur Agent de filtrage des expéditeurs |
| OnEndOfData | Agent d'application de règles de transport Edge Agent de filtrage du contenu |
Remarque
L'agent de filtrage des connexions et l'agent de règles Edge ne sont pas disponibles sur les serveurs de boîtes aux lettres.
Pour plus d'informations sur les agents, les événements SMTP et la priorité de l'agent, consultez la rubrique Agents de transport.
Structure des fichiers journaux de l'agent
Les journaux de l'agent résident dans %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.
La convention d’affectation de noms pour les fichiers journaux de l’agent est AGENTLOGyyyymmdd-nnnn.log. Les espaces réservés correspondent aux informations suivantes :
- L’espace réservé yyyymmdd est la date UTC (Temps universel coordonné) à laquelle le fichier journal a été créé. Espace réservé aaaa = année, mm = mois et jj = jour.
- L’espace réservé nnnn est un numéro d’instance qui commence à la valeur 1 pour chaque jour.
Les informations sont consignées dans le fichier journal jusqu'à ce que la taille du fichier atteigne la valeur maximale spécifiée ; un nouveau fichier journal avec un numéro d'instance incrémenté est alors ouvert. Ce processus est répété au cours de la journée. L'enregistrement circulaire supprime les fichiers journaux les plus anciens lorsque le répertoire des journaux de l'agent atteint la taille maximale spécifiée ou lorsqu'un fichier journal atteint l'âge maximal spécifié.
Les fichiers journaux de l'Agent sont des fichiers texte contenant des données au format CSV (valeurs séparées par des virgules). Chaque fichier journal de l'Agent comporte un en-tête avec les informations suivantes :
- #Software : nom du logiciel qui a créé le fichier journal de l’agent. Généralement, la valeur est Microsoft Exchange Server.
- #Version : numéro de version du logiciel qui a créé le fichier journal de l’agent. Actuellement, la valeur actuelle est 15.0.0.0.
- #Log-Type : valeur du type de journal, qui est Journal de l’agent.
- #Date : date-heure UTC de création du fichier journal. La date-heure UTC est représentée au format date-heure ISO 8601 : aaaa-mm-ddThh:mm:ss.fffZ, où aaaa = année, mm = mois, jj = jour, T indique le début du composant heure, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z signifie Zulu, ce qui est une autre façon de désigner UTC.
- #Fields : noms de champs délimités par des virgules utilisés dans les fichiers journaux de l’agent.
Informations écrites dans le journal de l'agent
Le journal de l'Agent stocke chaque transaction d'agent sur une seule ligne dans le journal. Les informations stockées sur chaque ligne sont organisées par champs. Ces champs sont séparés par des virgules. Me nom du champ est généralement suffisamment descriptif pour déterminer le type d'information qu'il contient. Toutefois, certains champs peuvent être vides. Ou le type d'informations stockées dans le champ peut évoluer en fonction de l'Agent ou de l'action réalisée par l'Agent sur le message. Le tableau suivant décrit les champs utilisés pour classer chaque transaction d'agent.
Champs utilisés pour classer chaque transaction d'agent
| Nom de champ | Description |
|---|---|
| Timestamp | Date et heure, au format UTC, de l'événement de l'agent. La date-heure UTC est représentée au format date-heure ISO 8601 : aaaa-mm-ddThh:mm:ss.fffZ, où aaaa = année, mm = mois, jj = jour, T indique le début du composant heure, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z signifie Zulu, ce qui est une autre façon de désigner UTC. |
| Sessionid | Identificateur unique de session SMTP. Cet identificateur est représenté sous la forme d'un nombre hexadécimal à 16 chiffres. |
| LocalEndpoint | Adresse IP locale et numéro de port acceptés par le message. Les sessions SMTP utilisent généralement le port 25. |
| RemoteEndpoint | Adresse IP et numéro de port du serveur SMTP précédent qui s'est connecté à ce serveur pour remettre les messages. Lorsque la messagerie Internet passe par un serveur de transport Edge dans le réseau de périmètre, la valeur RemoteEndpoint du journal de l'agent sur le serveur de boîtes aux lettres est l'adresse IP du serveur de transport Edge. Même si la transmission du message s'effectue via le protocole SMTP, le numéro de port utilisé par le serveur d'envoi est un numéro aléatoire supérieur à 1 024. |
| EnteredOrgFromIP | Adresse IP du serveur SMTP distant qui s'est connecté en premier à l'organisation Exchange pour remettre le message. Sur un serveur de transport Edge, les valeurs de paramètres RemoteEndpoint et EnteredOrgFromIP sont les mêmes. Les agents de blocage du courrier indésirable utilisent l'adresse IP de EnteredOrgFromIP pour examiner un message. |
| MessageId | Valeur du champ d’en-tête MessageID . Si ce champ n'est pas renseigné, le serveur de transport Exchange attribue une valeur arbitraire, mais uniquement si le message est accepté. Une fois qu’une valeur est affectée, la valeur de MessageID est constante pendant la durée de vie du message. |
| P1FromAddress | Adresse e-mail de l’expéditeur spécifiée dans MAIL FROM l’enveloppe du message. Cette valeur est utilisée pour transporter le message entre les serveurs de messagerie SMTP. Cette valeur sert de comparaison à la valeur P2FromAddresses pour déterminer si l'adresse d'expéditeur présente dans l'en-tête de message est falsifiée. |
| P2FromAddresses | Adresse e-mail de l’expéditeur spécifiée dans le From champ d’en-tête ou dans le champ d’en-tête Sender dans l’en-tête du message. |
| Destinataire | Adresse de messagerie des destinataires. Bien que le message d'origine puisse contenir plusieurs destinataires, un seul destinataire est affiché par ligne dans le journal de l'Agent. |
| NumRecipients | Nombre total de destinataires dans le message d'origine. |
| Agent | Nom de l'agent qui a effectué l'action. Les valeurs possibles sont les suivantes :
|
| Event | Événement SMTP où l'action a été effectuée par l'Agent. La valeur de Event dépend de l'Agent. Les événements SMTP disponibles pour chaque agent sont présentés dans le premier tableau, plus haut dans cette rubrique. Les valeurs possibles pour Event sont les suivantes :
|
| Action | Action réalisée sur le message par l'Agent. Les valeurs possibles pour Action sont les suivantes :
|
| SmtpResponse | Réponse SMTP optimisée comme définie dans RFC 2034. |
| Reason | Raison de l'action prise en charge par l'Agent. |
| ReasonData | Informations décrivant l'action prise en charge par l'Agent. |
Rechercher les journaux de l'agent
La cmdlet Get-AgentLog et le script Get-AntiSpamFilteringReport.ps1 permettent de rechercher les journaux de l'agent.
Le script Get-AntiSpamFilteringReport.ps1 se trouve dans %ExchangeInstallPath%Scripts. Vous devez exécuter le script dans l'environnement de ligne de commande Exchange Management Shell à partir du dossier Scripts. Pour modifier votre emplacement dans l'environnement de ligne de commande Exchange Management Shell pour le dossier Scripts, exécutez la commande suivante :
Cd $env:ExchangeInstallPath\Scripts
Pour exécuter le script dans le dossier Scripts, utilisez la syntaxe suivante :
.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]
Pour obtenir plus d'informations sur l'utilisation du script, exécutez la commande suivante :
Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1