瞭解代理程式記錄

  • 發行項

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2015-03-09

代理程式記錄會記錄特定反垃圾郵件代理程式 (安裝並設定於執行 Microsoft Exchange Server 2010 且已安裝 Edge Transport server role 或 Hub Transport server role 的電腦上) 對郵件執行的動作。只有下列代理程式可以將資訊寫入代理程式記錄:

  • 連線篩選器代理程式

  • 內容篩選器代理程式

  • 邊際規則代理程式

  • 收件者篩選器代理程式

  • 寄件者篩選器代理程式

  • 寄件者識別碼代理程式

代理程式記錄中寫入的資訊,會視 SMTP 事件以及對郵件執行的動作而定。

唯一可設定的代理程式記錄選項為 EdgeTransport.exe.config 應用程式組態檔中的 AgentLogEnabled 參數。Hub Transport Server 或 Edge Transport Server 上預設會啟用代理程式記錄功能。不能設定之其他代理程式記錄值的說明,請見下列清單:

  • 代理程式記錄檔的儲存位置路徑是 C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog。

  • 個別代理程式記錄檔的大小上限為 10 MB。

  • 包含代理程式記錄檔的目錄大小上限為 250 MB。

  • 代理程式記錄檔的保留天數最長為 30 天。

Exchange 2010 伺服器會使用循環記錄,限制代理程式記錄使用的檔案大小及檔案保留天數,以協助控制記錄檔所使用的硬碟空間。

注意事項附註:
如果您要讓代理程式記錄檔的保留時間或大小,超過檔案保留天數上限或目錄大小上限等這些無法設定的值,則可以建立排程工作,定期將不使用的代理程式記錄移動到其他位置。
注意事項附註:
依預設,傳輸記錄處理程序的記錄等級值為 0 (最低)。如果想要 Exchange 在循環記錄移除記錄檔時寫入事件日誌項目,則必須將傳輸記錄處理程序的記錄等級值變更為 5 (最大值) 或 7 (專家)。

目錄

傳輸代理程式的概觀

代理程式記錄檔的結構

寫入代理程式記錄檔的資訊

搜尋代理程式記錄

啟用或停用代理程式記錄

要尋找與代理程式記錄相關的管理工作嗎?請參閱 管理傳輸伺服器

傳輸代理程式的概觀

使用 SMTP 命令順序透過 Hub Transport Server 或 Edge Transport Server 傳輸郵件時,代理程式只能在該命令順序中的特定點對郵件執行動作。SMTP 命令順序中的這些存取點稱為「SMTP 事件」。每個代理程式都可以指定一個優先順序值。但 SMTP 事件一定要依特定順序出現。因此,代理程式優先順序需視 SMTP 事件而定。如果在同一 SMTP 事件中,有兩個代理程式會對郵件執行動作,則優先順序較高的代理程式會先對郵件執行動作。

下表列出各 SMTP 事件 (依出現順序排列),並列出每個 SMTP 事件中將資訊寫入代理程式記錄的代理程式 (依優先順序從高至低排列)。

SMTP 事件 (依出現順序排列),以及每個 SMTP 事件中將資訊寫入代理程式記錄的代理程式 (依優先順序排列)

SMTP 事件 代理程式

OnConnect

連線篩選器代理程式

OnMailCommand

連線篩選代理程式

寄件者篩選器代理程式

OnRcptCommand

連線篩選代理程式

收件者篩選器代理程式

OnEndOfHeaders

連線篩選代理程式

寄件者識別碼代理程式

寄件者篩選器代理程式

OnEndOfData

邊際規則代理程式

內容篩選器代理程式

如需代理程式、SMTP 事件及代理程式優先順序的相關資訊,請參閱瞭解傳輸代理程式

回到頁首

代理程式記錄檔的結構

代理程式記錄檔存在於 C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog。

代理程式記錄檔的命名慣例為 AGENTLOGyyyymmdd-nnnn.log。預留位置代表下列資訊:

  • 預留位置 yyyymmdd 是建立記錄檔的國際標準時間 (UTC) 日期。預留位置 yyyy = 年,mm = 月,以及 dd = 日。

  • 預留位置 nnnn 是每天都從 1 開始的執行個體號碼。

資訊會寫入記錄檔中,直到檔案大小達到 10 MB 為止。此時會開啟具有遞增之執行個體編號的新記錄檔。這個程序會在一天當中不斷地重複。當代理程式記錄目錄達到 250 MB,或是當記錄檔保留天數達到 30 天時,循環記錄會刪除最舊的記錄檔。

代理程式記錄檔是包含逗號分隔值檔案 (CSV) 格式之資料的文字檔。每個代理程式記錄檔都具有包含下列資訊的標頭:

  • #Software   建立代理程式記錄檔的軟體名稱。一般來說,這個值為 Microsoft Exchange Server。

  • #Version   建立代理程式記錄檔的軟體版本號碼。目前這個值為 8.0.0.0。

  • #Log-Type   記錄類型值,即「代理程式記錄」。

  • #Date   建立記錄檔的 UTC 日期時間。以 ISO 8601 日期時間格式表示 UTC 日期時間:yyyy-mm-ddThh:mm:ss.fffZ,其中 yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒的分數,以及另外一個表示 UTC 的方法 Z 代表 Zulu。

  • #Fields   代理程式記錄檔中所使用之以逗號分隔的欄位名稱。

回到頁首

寫入代理程式記錄檔的資訊

在代理程式記錄中,每筆代理程式交易會各存一行。每一行所儲存的資訊都會依照欄位進行組織。這些欄位均以逗號隔開。欄位名稱通常具有足夠的描述資訊,可用以判斷其內含的資訊類型。但有些欄位可能會空白。或者,欄位中儲存的資訊類型可能會隨著代理程式,或是代理程式對郵件執行的動作而變更。下表說明用來分類每個代理程式交易的欄位。

用於分類各代理程式交易的欄位

欄位名稱 描述

Timestamp

代理程式事件的 UTC 日期及時間。此項目會以 ISO 8601 格式表示。此值的格式為 yyyy-mm-ddThh:mm:ss.fffZ,其中 yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒的分數,以及另外一個表示 UTC 的方法 Z 代表 Zulu。

SessionId

唯一的 SMTP 工作階段識別碼。此識別碼會以 16 碼的十六進位數表示。

LocalEndpoint

接受郵件的本機 IP 位址及通訊埠號碼。SMTP 工作階段通常會使用通訊埠 25。

RemoteEndpoint

上一個連接此伺服器以傳遞郵件的 SMTP 伺服器的 IP 位址及通訊埠號碼。在 Edge Transport Server 和 Hub Transport Server 拓撲中,Hub Transport Server 上之代理程式記錄中的 RemoteEndpoint 值,將會是 Edge Transport Server 的 IP 位址。雖然郵件是透過 SMTP 傳輸,但送出郵件的伺服器所使用的通訊埠號碼會是大於 1,024 的隨機號碼。

EnteredOrgFromIP

第一個連接至 Exchange 組織以傳遞郵件的遠端 SMTP 伺服器 IP 位址。在 Edge Transport Server 上,RemoteEndpoint 和 EnteredOrgFromIP 的值相同。反垃圾郵件代理程式會使用 EnteredOrgFromIP 中的 IP 位址檢查郵件。

MessageId

MessageID 標頭欄位的值。如果此值空白,則 Exchange 2010 傳輸伺服器會指定任意值,但必須是在接受郵件的情況下。指定好之後,MessageID 的值在郵件存留期間就會維持不變。

P1FromAddress

在郵件信封的 MAIL FROM 中指定的寄件者電子郵件地址。此值可以用來在 SMTP 郵件伺服器之間傳輸郵件。此值可作為 P2FromAddresses 值的對照依據,以判斷郵件標頭中的寄件者地址是否為偽造地址。

P2FromAddresses

在郵件標頭之 From 標頭欄位,或 Sender 標頭欄位中指定的寄件者電子郵件地址。

Recipient

收件者的電子郵件地址。雖然原始郵件可能包含多位收件者,但是在代理程式記錄中,一行只會顯示一位收件者。

NumRecipients

原始郵件中的收件者總數。

Agent

執行動作之代理程式的名稱。可能的值如下:

  • 連線篩選代理程式

  • 內容篩選器代理程式

  • 邊際規則代理程式

  • 收件者篩選器代理程式

  • 寄件者篩選器代理程式

  • 寄件者識別碼代理程式

Event

代理程式採取動作時所處於的 SMTP 事件。Event 的值需視代理程式而定。本主題前面的第一張表,說明每個代理程式可能發生的 SMTP 事件。Event 的可能值如下:

  • OnConnect

  • OnEndOfHeaders

  • OnEndOfData

  • OnMailCommand

  • OnRcptCommand

Action

代理程式對郵件執行的動作。Action 的可能值如下:

  • AcceptMessage

  • DeleteMessage

  • DeleteRecipients

  • Disconnect

  • QuarantineMessage

  • QuarantineRecipients

  • RejectAuthentication

  • RejectCommand

  • RejectConnection

  • RejectMessage

  • RejectRecipients

SmtpResponse

增強的 SMTP 回應,如 RFC 2034 所定義。

Reason

代理程式提供的動作原因。

ReasonData

代理程式提供的動作詳細說明。

回到頁首

搜尋代理程式記錄

您可以使用 Exchange 管理命令介面中的 Get-AgentLog 指令程式,以及 Get-AntiSpamFilteringReport 指令碼來搜尋代理程式記錄。如需相關資訊,請參閱Get-AgentLog

回到頁首

啟用或停用代理程式記錄

Hub Transport Server 或 Edge Transport Server 上預設會啟用代理程式記錄功能。您可以修改 C:\Program Files\Microsoft\Exchange Server\V14\Bin 中的 EdgeTransport.exe.config 檔來啟用或停用代理程式記錄功能。如需相關資訊,請參閱瞭解 EdgeTransport.exe.config 檔案。EdgeTransport.exe 及 MSExchangeTransport.exe 是 Microsoft Exchange Transport 服務所使用的執行檔。

許多可用的組態選項與代理程式記錄功能無關。任何與代理程式記錄功能無關的組態選項,皆不在本主題的討論範圍內。

  1. 使用記事本開啟下列檔案:C:\Program Files\Microsoft\Exchange Server\V14\Bin\EdgeTransport.exe.config

  2. 修改 <appSettings> 區段的下列行。

    <add key="AgentLogEnabled" value="<TRUE | FALSE>" />

    此範例會修改 AgentLogEnabled 參數,以便停用代理程式記錄功能。

    <add key="AgentLogEnabled" value="FALSE" />

  3. 儲存並關閉 EdgeTransport.exe.config 檔案。

  4. 重新啟動 Microsoft Exchange Transport 服務。

回到頁首

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。