Ведение журнала в отношении агента защиты от нежелательной почты

  • Статья

Область применения: Exchange Server 2013 г.

В журналах агентов регистрируются действия, которые специальные агенты защиты от нежелательной почты в службе Microsoft Exchange Server 2013 выполняют с сообщением. Вносить сведения в журнал агентов могут только следующие агенты.

  • Агент фильтрации подключений
  • Агент фильтра содержимого
  • Агент пограничных правил
  • Агент фильтра получателей
  • Агент фильтра отправителей
  • Агент идентификации отправителей

Примечание.

Агент фильтрации подключений и агент пограничных правил недоступны на серверах почтовых ящиков.

Данные, записываемые в журнал агентов, зависят от агента, события SMTP и действия, выполненного над сообщением.

Командлет Set-TransportService позволяет выполнять в командной консоли Exchange все задачи по настройке журнала агентов. Для журналов агентов доступны следующие параметры.

  • Включение или отключение ведения журнала агентов. По умолчанию регистрация включена.
  • Указание расположения файлов журнала агента. Значением по умолчанию является %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.
  • Указание максимального размера для отдельных файлов журнала агента. Значение по умолчанию — 10 мегабайт (МБ).
  • Указание максимального размера для каталога, содержащего файлы журнала агента. Размер по умолчанию — 250 МБ.
  • Указание максимального срока хранения для файлов журнала агента. Значение по умолчанию - 7 дней.

Для упрощения контроля расходования пространства на диске, используемого файлами журнала, в службе Exchange используется циклическое ведение журнала для ограничения размера журналов агентов на основе размера файлов и срока их хранения.

Обзор агентов транспорта

Агенты могут воздействовать на сообщения только в определенных точках последовательности команд SMTP, используемых для транспортировки сообщений через транспортную службу на сервере почтовых ящиков или пограничном транспортном сервере. Эти точки доступа в последовательности команд SMTP называются события SMTP. Каждому агенту можно назначить приоритет. Однако события SMTP всегда должны происходить в определенном порядке. Следовательно, приоритет агента зависит от события SMTP. Если два агента выполняют действие над сообщением во время одного события SMTP, агент, обладающий более высоким приоритетом, выполнит действие первым.

В следующей таблице перечислены события SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета, начиная с наивысшего, для каждого события SMTP.

События SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета для каждого события SMTP

Событие SMTP Агент
OnConnect Агент фильтрации подключений
OnMailCommand Агент фильтрации подключений

Агент фильтра отправителей
OnRcptCommand Агент фильтрации подключений

Агент фильтра получателей
OnEndOfHeaders Агент фильтрации подключений

Агент идентификации отправителей

Агент фильтра отправителей
OnEndOfData Агент пограничных правил

Агент фильтрации содержимого

Примечание.

Агент фильтрации подключений и агент пограничных правил недоступны на серверах почтовых ящиков.

Дополнительные сведения об агентах, событиях SMTP и приоритете агентов см. в разделе Агенты транспорта.

Структура файлов журнала агента

Журналы агентов находятся в папке %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

Соглашение об именовании для файлов журнала агента — AGENTLOGyyyymmdd-nnnn.log. Заполнители обозначают следующее:

  • Заполнитель yyymmdd — это дата создания файла журнала в формате UTC. Заполнитель yyyy = год, мм = месяц и дд = день.
  • Заполнитель nnnn — это номер экземпляра, начинающийся со значения 1 для каждого дня.

Данные записываются в файл журнала до тех пор, пока размер файла не достигнет максимально допустимого значения и не откроется новый файл журнала, имеющий следующий порядковый номер. Эта процедура выполняется круглосуточно. При циклическом ведении журнала удаляются самые старые файлы журнала, когда каталог журналов агентов достигает максимально допустимого размера, или когда файл журнала достигает максимально допустимого срока хранения.

Файлы журнала агентов представляют собой текстовые файлы в формате CSV. Каждый файл журнала агентов снабжен заголовком, содержащим следующие сведения.

  • #Software: имя программного обеспечения, создавшего файл журнала агента. Как правило, значением является: Microsoft Exchange Server.
  • #Version: номер версии программного обеспечения, создавшего файл журнала агента. Текущее значение — 15.0.0.0.
  • #Log-Type: значение типа журнала, которое является журналом агента.
  • #Date: дата и время создания файла журнала в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-мм-ддThh:mm:ss.fffZ, где гггг = год, мм = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.
  • #Fields: имена полей с разделителями-запятыми, используемые в файлах журнала агента.

Сведения, записываемые в журнал агента

В журнале агентов каждая транзакция агента хранится в отдельной строке. Сведения, хранящиеся в каждой строке, сгруппированы по полям. Поля разделяются запятыми. Как правило, имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть пустыми. Кроме того, тип данных, хранящихся в поле, может меняться в зависимости от агента или действия, выполняемого агентом над сообщением. В следующей таблице описаны поля, используемые для классификации каждой транзакции агента.

Поля, используемые для классификации каждой транзакции агента

Имя поля Описание
Timestamp Дата и время события агента в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-мм-ддThh:mm:ss.fffZ, где гггг = год, мм = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.
Sessionid Уникальный идентификатор сеанса SMTP. Идентификатор представляется 16-значным шестнадцатеричным числом.
LocalEndpoint Локальный IP-адрес и номер порта, принявшего сообщение. Сеансы SMTP обычно используют порт 25.
RemoteEndpoint IP-адрес и номер порта предыдущего сервера SMTP, подключавшегося к данному серверу для доставки сообщения. При прохождении потока почты из Интернета через пограничный транспортный сервер в сети периметра значением RemoteEndpoint в журнале агента на сервере почтовых ящиков будет IP-адрес пограничного транспортного сервера. Хотя сообщение передано с помощью протокола SMTP, номер порта, использованного для отправки, будет случайным числом больше 1 024.
EnteredOrgFromIP IP-адрес удаленного сервера SMTP, который первым подключается к организации Exchange, чтобы доставить сообщение. На пограничном транспортном сервере значения полей RemoteEndpoint и EnteredOrgFromIP одинаковы. Агенты защиты от нежелательной почты используют IP-адрес в поле EnteredOrgFromIP для проверки сообщения.
MessageId Значение поля заголовка MessageID . Если это значение пусто, транспортный сервер Exchange назначает произвольное значение, но только если сообщение принято. После присвоения значения значение MessageID является константой в течение всего времени существования сообщения.
P1FromAddress Адрес электронной почты отправителя, указанный в MAIL FROM конверте сообщения. Это значение используется для передачи сообщения между серверами обмена сообщениями SMTP. Это значение сравнивается со значением P2FromAddresses для определения того, не подделан ли адрес отправителя в заголовке сообщения.
P2FromAddresses Адрес электронной почты отправителя, указанный From в поле заголовка Sender или в поле заголовка в заголовке сообщения.
Получатель Адреса электронной почты получателей. Хотя исходное сообщение может быть предназначено нескольким получателям, в одной строке журнала агентов показывается только один получатель.
NumRecipients Общее количество получателей исходного сообщения.
Агент Имя агента, выполнившего данное действие. Возможные значения:
  • Агент фильтра содержимого
  • Агент фильтра получателей
  • Агент фильтра отправителей
  • Агент идентификации отправителей
Event Событие SMTP, при котором агент выполнил действие. Значение поля Event зависит от агента. События SMTP, доступные для каждого агента, описаны в первой таблице данного раздела. Возможны следующие значения поля Event:
  • OnConnect
  • OnEndOfHeaders
  • OnEndOfData
  • OnMailCommand
  • OnRcptCommand
Action Выполненное агентом действие над сообщением. Возможны следующие значения поля Action:
  • AcceptMessage
  • DeleteMessage
  • DeleteRecipients
  • Disconnect
  • QuarantineMessage
  • QuarantineRecipients
  • ОтклонитьAuthentication
  • RejectCommand
  • RejectConnection
  • RejectMessage
  • RejectRecipients
SmtpResponse Ответ Enhanced SMTP согласно RFC 2034.
Reason Причина действия, указанная агентом.
ReasonData Описание действия, указанное агентом.

Поиск журналов агентов

Искать журналы агентов можно с помощью командлета Get-AgentLog и сценария Get-AntiSpamFilteringReport.ps1.

Скрипт Get-AntiSpamFilteringReport.ps1 находится в %ExchangeInstallPath%Scripts. Вам необходимо запустить сценарий в командной консоли из папки "Сценарии". Чтобы изменить расположение в командной консоли на папку сценариев, выполните следующую команду:

Cd $env:ExchangeInstallPath\Scripts

Чтобы запустить папку сценариев, введите команду в следующем формате:

.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]

Для получения сведений об использовании сценария, выполните следующую команду:

Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1