Gestione dei registri degli agenti
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2007-01-09
I registri degli agenti consentono di registrare le azioni eseguite su un messaggio da specifici agenti protezione posta indesiderata installati e configurati in un computer su cui è in esecuzione Microsoft Exchange Server 2007 e in cui è installato il ruolo del server Trasporto Edge o Trasporto Hub. Le informazioni vengono scritte nei registri solo dai seguenti agenti:
Agente filtro connessioni
Agente filtro contenuto
Agente regole Edge
Agente filtro destinatario
Agente filtro mittente
Agente ID mittente
Le informazioni registrate dipendono dall'agente, dall'evento SMTP (Simple Mail Transfer Protocol) e dall'azione eseguita sul messaggio.
L'unica opzione configurabile per la registrazione delle informazioni nei registri degli agenti è il parametro AgentLogEnabled nel file di configurazione dell'applicazione EdgeTransport.exe.config. Per impostazione predefinita, la registrazione è abilitata sui server Trasporto Hub o Trasporto Edge. Gli altri valori non configurabili relativi ai registri degli agenti sono descritti nell'elenco seguente:
Il percorso in cui sono archiviati i registri degli agenti è C:\Programmi\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.
La dimensione massima dei singoli file dei registri degli agenti è 10 MB.
La dimensione massima della directory contenente i file dei registri degli agenti è 250 MB.
Il limite massimo di scadenza per i file dei registri degli agenti è 30 giorni.
Il server Exchange 2007 utilizza la registrazione circolare per limitare i registri degli agenti in base alle dimensioni e alla scadenza del relativo file in modo da controllare meglio lo spazio del disco rigido utilizzato dai file di registro.
Nota
Per conservare i file dei registri degli agenti più a lungo del valore non configurabile impostato come scadenza o per utilizzare file di dimensioni maggiori rispetto al valore impostato e non configurabile, è necessario creare un'attività pianificata per spostare periodicamente i file di registro non utilizzati in una posizione diversa.
Nota
Per impostazione predefinita, il valore del livello di registrazione del processo di registrazione di trasporto è pari a 0 (Minimo). Per consentire a Microsoft Exchange di scrivere una voce del registro eventi quando la registrazione circolare rimuove un file di registro, è necessario modificare il valore del livello di registrazione del processo di registrazione di trasporto impostandolo su 5 (Massimo) o 7 (Avanzato). Per ulteriori informazioni, vedere Come modificare i livelli di registrazione per i processi di Exchange.
Panoramica sugli agenti di trasporto
Gli agenti possono agire sui messaggi solo in determinati punti della sequenza di comandi SMTP utilizzata per trasportare i messaggi attraverso un server Trasporto Hub o Trasporto Edge. Tali punti di accesso nella sequenza di comandi SMTP sono denominati eventi SMTP. A ciascun agente può essere assegnato un valore relativo alla priorità. Tuttavia, gli eventi SMTP devono sempre verificarsi secondo un determinato ordine. Pertanto, la priorità di un agente dipende dall'evento SMTP. Difatti, se due agenti possono agire su un messaggio durante lo stesso evento SMTP, l'agente cui è stata assegnata la priorità più elevata agirà per primo.
Nella tabella 1 sono elencati gli eventi SMTP nell'ordine in cui si verificano. Per ciascun evento SMTP viene, inoltre, indicato quali agenti sono in grado di scrivere informazioni nel registro dell'agente in base alla priorità, dalla più alta alla più bassa.
Tabella 1 Eventi SMTP nell'ordine in cui si verificano e agenti in grado di scrivere informazioni nel registro dell'agente in base alla priorità per ciascun evento SMTP
| Evento SMTP | Agente |
|---|---|
OnConnect |
Agente filtro connessioni |
OnMailCommand |
Agente filtro connessioni Agente filtro mittente |
OnRcptCommand |
Agente filtro connessioni Agente filtro destinatario |
OnEndOfHeaders |
Agente filtro connessioni Agente ID mittente Agente filtro mittente |
OnEndOfData |
Agente regole Edge Agente filtro contenuto |
Per ulteriori informazioni sugli agenti, sugli eventi SMTP e sulla priorità degli agenti, vedere Panoramica sugli agenti di trasporto.
Struttura dei file di registro degli agenti
I registri degli agenti sono archiviati in C:\Programmi\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.
La denominazione convenzionale per i file di registro degli agenti è AGENTLOGaaaammgg-nnnn.log. I segnaposto rappresentano le seguenti informazioni:
Il segnaposto aaaammgg è la data in formato UTC (Coordinated Universal Time) di creazione del file di registro. aaaa = anno, mm = mese e gg = giorno.
Il segnaposto nnnn è un numero di istanza che inizia con il valore 1 per ciascun giorno.
Le informazioni vengono scritte su ciascun file di registro fino a quando le dimensioni del file non raggiungono 10 MB. Quindi viene aperto un nuovo file di registro con un numero di istanza maggiore. Questo processo si ripete per tutta la giornata. Grazie alla registrazione circolare, i file di registro meno recenti vengono eliminati non appena la dimensione della directory dei registri degli agenti raggiunge 250 MB oppure alla scadenza dei 30 giorni dalla data di creazione del file di registro.
I file di registro degli agenti sono file di testo contenenti dati nel formato con valori delimitati da virgole (CSV, comma separated value). In ciascun file di registro dell'agente è presente un'intestazione in cui sono contenute le seguenti informazioni:
#Software: Nome del software con cui è stato creato il file di registro dell'agente. In genere, il valore è Microsoft Exchange Server.
#Version: Numero della versione del software con cui è stato creato il file di registro dell'agente. Il valore corrente è 8.0.0.0.
#Log-Type: Al valore di questo campo corrisponde il registro dell'agente.
#Date: Data/ora UTC in cui il file di registro è stato creato. La data/ora UTC viene rappresentata nel formato data/ora ISO 8601: aaaa-mm-ggThh:mm:ss.fffZ, dove aaaa = anno, mm = mese, gg = giorno, hh = ore, mm = minuti, ss = secondi, fff = frazioni di secondo e Z significa Zulu, un altro modo di indicare la data UTC.
#Fields: Nomi dei campi con valori delimitati da virgole utilizzati nei file di registro degli agenti.
Informazioni scritte nel registro dell'agente
Nel registro dell'agente ciascuna transazione eseguita dall'agente viene archiviata su un'unica riga. Le informazioni archiviate su ciascuna riga sono organizzate per campi. Questi campi sono separati da virgole. Il nome del campo in genere è abbastanza descrittivo da consentire di determinare il tipo di informazione contenuta. Alcuni campi, tuttavia, potrebbero risultare vuoti. Oppure il tipo di informazione archiviata nel campo può variare in base all'agente o all'azione eseguita dall'agente sul messaggio. Nella tabella 2 vengono descritti i campi utilizzati per classificare ciascuna transazione eseguita dagli agenti.
Tabella 2 Campi utilizzati per classificare le singole transazioni degli agenti
| Nome campo | Descrizione |
|---|---|
Timestamp |
Data/ora UTC dell'evento dell'agente. È rappresentata nel formato ISO 8601. Il valore è formattato come aaaa-mm-ggThh:mm:ss.fffZ, dove aaaa = anno, mm = mese, gg = giorno, hh = ora, mm = minuti, ss = secondi, fff = frazioni di secondo e Z significa Zulu. |
SessionId |
Identificatore univoco della sessione SMTP. È rappresentato come numero esadecimale di 16 cifre. |
LocalEndpoint |
Indirizzo IP e numero di porta locali che accettano il messaggio. Le sessioni SMTP utilizzano in genere la porta 25. |
RemoteEndpoint |
Indirizzo IP e numero di porta del server SMTP precedente che ha eseguito la connessione al server corrente per il recapito del messaggio. In una topologia con server Trasporto Edge e Trasporto Hub, il valore del campo RemoteEndpoint nel registro dell'agente sul server Trasporto Hub corrisponde all'indirizzo IP del server Trasporto Edge. Pertanto, anche se il messaggio viene trasmesso tramite SMTP, il numero della porta utilizzata dal server mittente sarà un numero casuale superiore a 1024. |
EnteredOrgFromIP |
Indirizzo IP del server SMTP remoto che ha eseguito la connessione iniziale all'organizzazione di Exchange per il recapito del messaggio. Sul server Trasporto Edge i valori dei campi RemoteEndpoint e EnteredOrgFromIP sono identici. Gli agenti protezione posta indesiderata utilizzano l'indirizzo IP del campo EnteredOrgFromIP per esaminare un messaggio. |
MessageId |
Valore del campo di intestazione |
P1FromAddress |
Indirizzo di posta elettronica del mittente specificato nel campo |
P2FromAddresses |
Indirizzo di posta elettronica del mittente specificato nel campo di intestazione |
Destinatario |
Indirizzo di posta elettronica dei destinatari. Sebbene il messaggio originale possa contenere più destinatari, su ogni riga del registro dell'agente viene visualizzato un solo destinatario. |
NumRecipients |
Numero totale di destinatari del messaggio originale. |
Agente |
Nome dell'agente che ha eseguito l'azione. I valori possibili sono:
|
Evento |
Evento SMTP in cui l'agente ha eseguito l'azione. ll valore del campo Event dipende dall'agente. Gli eventi SMTP disponibili per ciascun agente sono descritti nella tabella 1, riportata in precedenza in questo argomento. I valori possibili del campo Event sono elencati di seguito:
|
Azione |
Azione eseguita sul messaggio dall'agente. I valori possibili del campo Azione sono riportati di seguito:
|
SmtpResponse |
Risposta ESMTP (Enhanced SMTP) come definita in RFC 2034. |
Motivo |
Motivo dell'azione fornito dall'agente. |
ReasonData |
Dati descrittivi dell'azione forniti dall'agente. |
Ricerca nei registri degli agenti
Per eseguire ricerche nei registri degli agenti, è possibile utilizzare il cmdlet Get-AgentLog in Exchange Management Shell e lo script Get-AntiSpamFilteringReport.
Per ulteriori informazioni, vedere Get-AgentLog.
Abilitazione o disabilitazione della registrazione nei registri degli agenti
Per impostazione predefinita, la registrazione è abilitata sui server Trasporto Hub o Trasporto Edge. Per abilitare o disabilitare la registrazione, modificare il file EdgeTransport.exe.config in C:\Programmi\Microsoft\Exchange Server\Bin. Il file EdgeTransport.exe.config è un file di configurazione di applicazione XML associato al file EdgeTransport.exe. EdgeTransport.exe e MSExchangeTransport.exe sono file eseguibili utilizzati dal servizio di trasporto di Microsoft Exchange. Questo servizio viene eseguito su ogni server Trasporto Hub o Trasporto Edge. Le modifiche apportate al file EdgeTransport.exe.config vengono applicate una volta riavviato il servizio di trasporto di Microsoft Exchange.
Un esempio della struttura tipica del file EdgeTransport.exe.config è riportato di seguito:
<configuration>
<runtime>
<gcServer enabled="true" />
</runtime>
<appSettings>
<add key=" Opzione di configurazione " value=" Valore " />
...
</appSettings>
</configuration>
È possibile aggiungere nuove opzioni di configurazione o modificare le opzioni di configurazione esistenti dalla sezione <appSettings>. Molte opzioni di configurazione disponibili non sono collegate in alcun modo alla registrazione delle informazioni nei registri degli agenti. Tutte le opzioni di configurazione che non riguardano tale funzione esulano dallo scopo di questo argomento.
Nota
Per i nomi dei parametri nella sezione <add key=../> viene applicata la distinzione fra maiuscole e minuscole.
Per abilitare o disabilitare la registrazione nei registri degli agenti
Aprire il seguente file utilizzando Blocco note: C:\Programmi\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config
Modificare la riga seguente nella sezione
<appSettings>:<add key="AgentLogEnabled" value="<TRUE | FALSE>" />Ad esempio, per disabilitare la funzione di registrazione, modificare il parametro AgentLogEnabled come indicato di seguito:
<add key="AgentLogEnabled" value="FALSE" />Salvare e chiudere il file EdgeTransport.exe.config.
Riavviare il servizio di trasporto di Microsoft Exchange.
Ulteriori informazioni
Per ulteriori informazioni, vedere Funzionalità di protezione da posta indesiderata e antivirus.