Ведение журнала агента защиты от спама

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-03-09

В журналах агентов регистрируются действия, которые специальные агенты защиты от нежелательной почты в службе Microsoft Exchange Server 2013 выполняют с сообщением. Вносить сведения в журнал агентов могут только следующие агенты.

  • Агент фильтрации подключений

  • Агент фильтра содержимого

  • Агент пограничных правил

  • Агент фильтра получателей

  • Агент фильтра отправителей

  • Агент идентификации отправителей

ПримечаниеПримечание.
Агент фильтрации подключений и агент пограничных правил недоступны на серверах почтовых ящиков.

Данные, записываемые в журнал агентов, зависят от агента, события SMTP и действия, выполненного над сообщением.

Командлет Set-TransportService позволяет выполнять в командной консоли Exchange все задачи по настройке журнала агентов. Для журналов агентов доступны следующие параметры.

  • Включение или отключение ведения журнала агентов. По умолчанию регистрация включена.

  • Указание расположения файлов журнала агента. Значением по умолчанию является %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

  • Указание максимального размера для отдельных файлов журнала агента. Значение по умолчанию — 10 мегабайт (МБ).

  • Указание максимального размера для каталога, содержащего файлы журнала агента. Размер по умолчанию — 250 МБ.

  • Указание максимального срока хранения для файлов журнала агента. Значение по умолчанию – 7 дней.

Для упрощения контроля расходования пространства на диске, используемого файлами журнала, в службе Exchange используется циклическое ведение журнала для ограничения размера журналов агентов на основе размера файлов и срока их хранения.

Содержание

Обзор агентов транспорта

Структура файлов журнала агента

Сведения, записываемые в журнал агента

Поиск журналов агентов

Агенты могут воздействовать на сообщения только в определенных точках последовательности команд SMTP, используемых для транспортировки сообщений через транспортную службу на сервере почтовых ящиков или пограничном транспортном сервере. Эти точки доступа в последовательности команд SMTP называются события SMTP. Каждому агенту можно назначить приоритет. Однако события SMTP всегда должны происходить в определенном порядке. Следовательно, приоритет агента зависит от события SMTP. Если два агента выполняют действие над сообщением во время одного события SMTP, агент, обладающий более высоким приоритетом, выполнит действие первым.

В следующей таблице перечислены события SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета, начиная с наивысшего, для каждого события SMTP.

События SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета для каждого события SMTP

Событие SMTP Agent

OnConnect

Агент фильтрации подключений

OnMailCommand

Агент фильтрации подключений

Агент фильтра отправителей

OnRcptCommand

Агент фильтрации подключений

Агент фильтра получателей

OnEndOfHeaders

Агент фильтрации подключений

Агент идентификации отправителей

Агент фильтра отправителей

OnEndOfData

Агент пограничных правил

Агент фильтрации содержимого

ПримечаниеПримечание.
Агент фильтрации подключений и агент пограничных правил недоступны на серверах почтовых ящиков.

Дополнительные сведения об агентах, событиях SMTP и приоритете агентов см. в разделе Агенты транспорта.

В начало

Журналы агентов находятся в папке %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

Имена файлов журнала агентов имеют следующий вид: AGENTLOGyyyymmdd-nnnn.log. Заполнители обозначают следующее:

  • Заполнитель yyyymmdd представляет собой дату в формате UTC, когда был создан файл журнала. При этом заполнитель yyyy обозначает год, mm — месяц, а dd — день.

  • Заменитель nnnn представляет собой порядковый номер, который каждый день начинается со значения 1.

Данные записываются в файл журнала до тех пор, пока размер файла не достигнет максимально допустимого значения и не откроется новый файл журнала, имеющий следующий порядковый номер. Эта процедура выполняется круглосуточно. При циклическом ведении журнала удаляются самые старые файлы журнала, когда каталог журналов агентов достигает максимально допустимого размера, или когда файл журнала достигает максимально допустимого срока хранения.

Файлы журнала агентов представляют собой текстовые файлы в формате CSV. Каждый файл журнала агентов снабжен заголовком, содержащим следующие сведения.

  • #Software   Название программы, создавшей файл журнала агентов. Как правило, значением является: Microsoft Exchange Server.

  • #Version   Номер версии программы, создавшей файл журнала агентов. Текущее значение — 15.0.0.0.

  • #Log-Type   Тип журнала — «Agent Log».

  • #Date   Дата и время создания файла журнала в формате UTC. Дата и время в формате UTC переводятся в формат по стандарту ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, где yyyy — год, mm — месяц, dd — день, hh — час, mm — минута, ss — секунда, fff — доли секунды. "T" указывает на начало кода времени. "Z" значит "время зулу" (еще одно обозначение формата UTC).

  • #Fields   Разделенные запятыми имена полей, используемые в файлах журнала агентов.

В начало

В журнале агентов каждая транзакция агента хранится в отдельной строке. Сведения, хранящиеся в каждой строке, сгруппированы по полям. Поля разделяются запятыми. Как правило, имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть пустыми. Кроме того, тип данных, хранящихся в поле, может меняться в зависимости от агента или действия, выполняемого агентом над сообщением. В следующей таблице описаны поля, используемые для классификации каждой транзакции агента.

Поля, используемые для классификации каждой транзакции агента

Имя поля Описание

Timestamp

Дата и время события агента в формате UTC. Дата и время в формате UTC переводятся в формат по стандарту ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, где yyyy — год, mm — месяц, dd — день, hh — час, mm — минута, ss — секунда, fff — доли секунды. "T" указывает на начало кода времени. "Z" значит "время зулу" (еще одно обозначение формата UTC).

SessionId

Уникальный идентификатор сеанса SMTP. Идентификатор представляется 16-значным шестнадцатеричным числом.

LocalEndpoint

Локальный IP-адрес и номер порта, принявшего сообщение. Сеансы SMTP обычно используют порт 25.

RemoteEndpoint

IP-адрес и номер порта предыдущего сервера SMTP, подключавшегося к данному серверу для доставки сообщения. При прохождении потока почты из Интернета через пограничный транспортный сервер в сети периметра значением RemoteEndpoint в журнале агента на сервере почтовых ящиков будет IP-адрес пограничного транспортного сервера. Хотя сообщение передано с помощью протокола SMTP, номер порта, использованного для отправки, будет случайным числом больше 1 024.

EnteredOrgFromIP

IP-адрес удаленного сервера SMTP, который первым подключается к организации Exchange, чтобы доставить сообщение. На пограничном транспортном сервере значения полей RemoteEndpoint и EnteredOrgFromIP одинаковы. Агенты защиты от нежелательной почты используют IP-адрес в поле EnteredOrgFromIP для проверки сообщения.

MessageId

Значение поля заголовка MessageID. Если это значение пусто, транспортный сервер Exchange назначает произвольное значение, но только если сообщение принято. После этого значение поля MessageID остается постоянным на протяжении всего времени существования сообщения.

P1FromAddress

Адрес электронной почты отправителя, указанный в MAIL FROM конверта сообщения. Это значение используется для передачи сообщения между серверами обмена сообщениями SMTP. Это значение сравнивается со значением P2FromAddresses для определения того, не подделан ли адрес отправителя в заголовке сообщения.

P2FromAddresses

Адрес электронной почты отправителя, указанный в поле заголовка From или в поле Sender заголовка сообщения.

Recipient

Адреса электронной почты получателей. Хотя исходное сообщение может быть предназначено нескольким получателям, в одной строке журнала агентов показывается только один получатель.

NumRecipients

Общее количество получателей исходного сообщения.

Агент

Имя агента, выполнившего данное действие. Возможные значения:

  • Агент фильтра содержимого

  • Агент фильтра получателей

  • Агент фильтра отправителей

  • Агент идентификации отправителей

Event

Событие SMTP, при котором агент выполнил действие. Значение поля Event зависит от агента. События SMTP, доступные для каждого агента, описаны в первой таблице данного раздела. Возможны следующие значения поля Event:

  • OnConnect

  • OnEndOfHeaders

  • OnEndOfData

  • OnMailCommand

  • OnRcptCommand

Action

Выполненное агентом действие над сообщением. Возможны следующие значения поля Action:

  • AcceptMessage

  • DeleteMessage

  • DeleteRecipients

  • Disconnect

  • QuarantineMessage

  • QuarantineRecipients

  • RejectAuthentication

  • RejectCommand

  • RejectConnection

  • RejectMessage

  • RejectRecipients

SmtpResponse

Ответ Enhanced SMTP согласно RFC 2034.

Reason

Причина действия, указанная агентом.

ReasonData

Описание действия, указанное агентом.

В начало

Искать журналы агентов можно с помощью командлета Get-AgentLog и сценария Get-AntiSpamFilteringReport.ps1.

Сценарий Get-AntiSpamFilteringReport.ps1 расположен в %ExchangeInstallPath%Scripts. Вам необходимо запустить сценарий в командной консоли из папки "Сценарии". Чтобы изменить расположение в командной консоли на папку сценариев, выполните следующую команду:

Cd $env:ExchangeInstallPath\Scripts

Чтобы запустить папку сценариев, введите команду в следующем формате:

.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]

Для получения сведений об использовании сценария, выполните следующую команду:

Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1

В начало

 
Показ: