Compartilhar via

Gerenciando log de agente

  • Artigo

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-01-09

Logs de agente registram as ações realizadas em uma mensagem por agentes anti-spam específicos instalados e configurados em um computador que executa o Microsoft Exchange Server 2007 que tenha a função de servidor Transporte de Borda ou de Transporte de Hub instalada. Somente os seguintes agentes podem gravar informações no log de agente:

  • Agente de Filtro de Conexão

  • Agente de Filtro de Conteúdo

  • Agente de Regras de Borda

  • Agente de Filtro de Destinatários

  • Agente de Filtro por Remetente

  • Agente de ID de Remetente

As informações gravadas no log de agente dependem do agente, do evento SMTP e da ação executada na mensagem.

A única opção configurável no log de agente é o parâmetro AgentLogEnabled do arquivo de configuração do aplicativo EdgeTransport.exe.config. Por padrão, o log de agente é habilitado em servidores de Transporte de Hub e de Transporte de Borda. Os outros valores de log de agente não configuráveis estão descritos na seguinte lista:

  • O caminho para onde os logs de agente são armazenados é C:\Arquivos de Programas\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.

  • O tamanho máximo dos arquivos de log de agente individual é de 10 MB.

  • O tamanho máximo do diretório que contém arquivos de log de agente é de 250 MB.

  • A idade máxima dos arquivos de log de agente é 30 dias.

O servidor Exchange 2007 usa o log circular para limitar os logs de agente com base no tamanho e na idade do arquivo, para ajudar a controlar o espaço no disco rígido usado pelos arquivos de log.

Dica

Se desejar manter os arquivos de log de agente por mais tempo do que o permitido para idade do arquivo ou tamanho do diretório que não podem ser configurados, você poderá criar uma tarefa agendada que mova periodicamente os arquivos de log de agente não utilizados para um local diferente.

Dica

Por padrão, o processo de log de transporte possui um valor de nível de log 0 (Mais Baixo). Se quiser que o Microsoft Exchange grave uma entrada de log de evento quando o log circular remover um arquivo de log, você deverá alterar o valor do nível de log do processo de log de transporte para 5 (Máximo) ou 7 (Especialista). Para obter mais informações, consulte Como alterar níveis de log para processos do Exchange

Uma visão geral de agentes de transporte

Os agentes só podem atuar na mensagens em pontos específicos da seqüência de comandos SMTP usada para transportar as mensagens através de um servidor de Transporte de Hub ou de Transporte de Borda. Esses pontos de acesso da seqüência de comandos SMTP são chamados eventos SMTP. A cada agente pode ser atribuído um valor de prioridade. Entretanto, os eventos SMTP devem sempre ocorrer em uma ordem específica. Portanto, a prioridade do agente depende do evento SMTP. Se dois agentes puderem atuar em uma mensagem durante o mesmo evento SMTP, o agente com a prioridade mais alta atuará na mensagem primeiro.

A Tabela 1 lista os eventos SMTP em ordem de ocorrência e os agentes que gravam informações no log de agente em ordem de prioridade, da mais alta para a mais baixa, para cada evento SMTP.

Tabela 1 Eventos SMTP em ordem de ocorrência e os agentes que gravam informações no log de agente em ordem de prioridade para cada evento SMTP.

Evento SMTP Agente

OnConnect

Agente de Filtro de Conexão

OnMailCommand

Agente de Filtro de Conexão

Agente de Filtro por Remetente

OnRcptCommand

Agente de Filtro de Conexão

Agente de Filtro de Destinatários

OnEndOfHeaders

Agente de Filtro de Conexão

Agente de ID de Remetente

Agente de Filtro por Remetente

OnEndOfData

Agente de Regras de Borda

Agente de Filtro de Conteúdo

Para obter mais informações sobre agentes, eventos SMTP e prioridade de agentes, consulte Visão geral de agentes de transporte.

Estrutura dos arquivos de log de agente

Os logs de agente estão em C:\Arquivos de Programas\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.

A convenção de nomenclatura para arquivos de log de agente é AGENTLOGaaaammdd-nnnn.log. Os marcadores representam as seguintes informações:

  • O marcador aaaammdd é a data UTC (tempo universal coordenado) em que o arquivo de log foi criado. aaaa = ano, mm = mês e dd = dia.

  • O marcador nnnn é um número de instância que começa com o valor 1 para cada dia.

As informações são gravadas no arquivo de log até que o tamanho do arquivo chegue a 10 MB. Em seguida, um novo arquivo de log com um número de instância incrementado é aberto. Esse processo se repete ao longo do dia. O log circular exclui os arquivos de log mais antigos quando o diretório de log de agente atinge 250 MB ou quando um arquivo de log existe há 30 dias.

Os arquivos de log de agente são arquivos texto que contêm dados no formato CSV (valor separado por vírgula). Cada arquivo de log de agente possui um cabeçalho com as seguintes informações:

  • #Software:   O nome do software que criou o arquivo de log de agente. Geralmente, o valor é Microsoft Exchange Server.

  • #Version:   O número da versão do software que criou o arquivo de log de agente. Atualmente, o valor é 8.0.0.0.

  • #Log-Type:   O valor desse campo é Log de Agente.

  • #Date:   A data e a hora UTC do momento em que o arquivo de log foi criado. A data e a hora UTC é representada no formato de data e hora ISO 8601: aaaa-mm-ddThh:mm:ss.fffZ, em que aaaa = ano, mm = mês, dd = dia , hh = hora, mm = minutos, ss = segundos, fff = frações de um segundo e Z significa Zulu, que é outra maneira de indicar UTC.

  • #Fields:   Os nomes de campos delimitados por vírgulas usados nos arquivos de log de agente.

Informações gravadas no log de agente

O log de agente armazena cada transação do agente em uma única linha no log. As informações armazenadas em cada linha são organizadas por campos. Esses campos são separados por vírgulas. Geralmente, o nome do campo é suficientemente descritivo para determinar o tipo de informação que ele contém. Entretanto, alguns dos campos podem estar em branco. Ou o tipo de informação armazenada no campo pode ser alterada com base no agente ou na ação executada na mensagem pelo agente. A Tabela 2 descreve os campos usados para classificar cada transação de agente.

Tabela 2   Campos usados para classificar cada evento de agente

Nome do campo Descrição

Timestamp

A data e a hora UTC do evento de agente. São representadas no formato ISO 8601. O valor é formatado como aaaa-mm-ddThh:mm:ss.fffZ, onde aaaa = ano, mm = mês, dd = dia, hh = hora, mm = minuto, ss = segundo, fff = frações de um segundo e Z significa Zulu.

SessionId

O identificador de sessão SMTP exclusivo. Esse identificador é representado como um número hexadecimal de 16 dígitos.

LocalEndpoint

O endereço IP local e o número da porta que aceitou a mensagem. Sessões SMTP geralmente usam a porta 25.

RemoteEndpoint

O endereço IP e o número da porta do servidor SMTP anterior que se conectou a esse servidor para entregar a mensagem. Na topologia de um servidor de Transporte de Borda e de Transporte de Hub, o valor de RemoteEndpoint no log de agente no servidor de Transporte de Hub será o endereço IP do servidor de Transporte de Borda. Embora a mensagem seja transmitida por SMTP, o número da porta usada pelo servidor remetente será um número aleatório maior que 1024.

EnteredOrgFromIP

O endereço IP do servidor remoto SMTP que se conectou primeiro à organização do Exchange para entregar a mensagem. Em um servidor de Transporte de Borda, o valor de RemoteEndpoint e de EnteredOrgFromIP é o mesmo. Agentes anti-spam usam o endereço IP de EnteredOrgFromIP para examinar uma mensagem.

MessageId

O valor do campo de cabeçalho MessageID:. Se esse valor estiver em branco, o servidor de transporte do Exchange 2007 atribuirá um valor arbitrário, mas somente se a mensagem for aceita. Depois de atribuído, o valor de MessageID: será constante durante o tempo de vida da mensagem.

P1FromAddress

O endereço de email do remetente especificado por MAIL FROM: no envelope da mensagem. O valor é usado para transportar a mensagem entre servidores de mensagem SMTP. Esse valor serve como comparação com o valor de P2FromAddresses para determinar se o endereço do remetente no cabeçalho da mensagem é falsificado.

P2FromAddresses

O endereço de email do remetente especificado no campo de cabeçalho From: ou no campo de cabeçalho Sender: do cabeçalho da mensagem.

Destinatário

O endereço de email dos destinatários. Embora a mensagem original possa conter vários destinatários, somente um será exibido por linha no log de agente.

NumRecipients

O número total de destinatários existentes na mensagem original.

Agente

O nome do agente que executou a ação. Os valores possíveis são:

  • Agente de Filtro de Conexão

  • Agente de Filtro de Conteúdo

  • Agente de Regras de Borda

  • Agente de Filtro de Destinatários

  • Agente de Filtro por Remetente

  • Agente de ID de Remetente

Evento

O evento SMTP no qual a ação foi executada pelo agente. O valor de Event depende do agente. Os eventos SMTP disponíveis para cada agente estão descritos na Tabela 1 apresentada anteriormente neste tópico. Os valores possíveis de Event são os seguintes:

  • OnConnect

  • OnEndOfHeaders

  • OnEndOfData

  • OnMailCommand

  • OnRcptCommand

Ação

A ação executada na mensagem pelo agente. Os valores possíveis de Action são os seguintes:

  • AcceptMessage

  • DeleteMessage

  • DeleteRecipients

  • Disconnect

  • QuarantineMessage

  • QuarantineRecipients

  • RejectAuthentication

  • RejectCommand

  • RejectConnection

  • RejectMessage

  • RejectRecipients

SmtpResponse

A resposta avançada de SMTP como definida em RFC 2034.

Reason

O motivo da ação executada pelo agente.

ReasonData

Os detalhes descritivos da ação executada pelo agente.

Pesquisando os logs de agente

Você pode usar o cmdlet Get-AgentLog no Shell de Gerenciamento do Exchange e o script Get-AntiSpamFilteringReport para procurar os logs de agente.

Para obter mais informações, consulte Get-AgentLog

Como habilitar ou desabilitar o log de agente

Por padrão, o log de agente é habilitado em servidores de Transporte de Hub ou de Transporte de Borda. O log de agente é habilitado ou desabilitado modificando-se o arquivo EdgeTransport.exe.config, localizado em C:\Arquivos de Programas\Microsoft\Exchange Server\Bin. O arquivo EdgeTransport.exe.config é um arquivo de configuração de aplicativo XML associado ao arquivo EdgeTransport.exe. O EdgeTransport.exe e o MSExchangeTransport.exe são os arquivos executáveis usados pelo serviço de Transporte do Microsoft Exchange. Esse serviço é executado em cada servidor de Transporte de Hub ou Transporte de Borda. As alterações feitas no arquivo EdgeTransport.exe.config são aplicadas depois que o serviço de Transporte do Microsoft Exchange é reiniciado.

O exemplo a seguir mostra a estrutura típica do arquivo EdgeTransport.exe.config:

<configuration>

<runtime>

<gcServer enabled="true" />

</runtime>

<appSettings>

<add key=" Opção de configuração " value=" Valor " />

...

</appSettings>

</configuration>

Você pode adicionar novas opções de configuração ou modificar as opções de configuração existentes na seção <appSettings>. Muitas das opções de configuração disponíveis são totalmente desvinculadas do log de agente. Todas as opções de configuração que não envolvem log de agente estão fora do escopo deste tópico.

Dica

Os nomes de parâmetros da seção <add key=../> diferenciam maiúsculas e minúsculas.

Para habilitar ou desabilitar o log de agente

  1. Abra o seguinte arquivo usando o Bloco de Notas: C:\Arquivos de Programas\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config

  2. Modifique a seguinte linha da seção <appSettings>:

    <add key="AgentLogEnabled" value="<TRUE | FALSE>" />

    Por exemplo, para desabilitar o log de agente, modifique o parâmetro AgentLogEnabled da seguinte forma:

    <add key="AgentLogEnabled" value="FALSE" />

  3. Salve e feche o arquivo EdgeTransport.exe.config.

  4. Reinicie o serviço de Transporte do Microsoft Exchange.

Para obter mais informações

Para obter mais informações, consulte Funcionalidade anti-spam e antivírus.