管理代理程式記錄

  • 發行項

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-01-09

代理程式記錄會記錄特定反垃圾郵件代理程式 (安裝並設定於執行 Microsoft Exchange Server 2007 且已安裝 Edge Transport server role 或 Hub Transport server role 的電腦上) 對郵件執行的動作。只有下列代理程式可以將資訊寫入代理程式記錄:

  • 連線篩選器代理程式
  • 內容篩選器代理程式
  • 邊際規則代理程式
  • 收件者篩選器代理程式
  • 寄件者篩選器代理程式
  • 寄件者識別碼代理程式

代理程式記錄中寫入的資訊,需視簡易郵件傳送通訊協定 (SMTP) 事件以及對郵件執行的動作而定。

唯一可設定的代理程式記錄選項為 EdgeTransport.exe.config 應用程式組態檔中的 AgentLogEnabled 參數。Hub Transport Server 或 Edge Transport Server 上預設會啟用代理程式記錄功能。不能設定之其他代理程式記錄值的說明,請見下列清單:

  • 儲存代理程式記錄的路徑為 C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog。
  • 個別代理程式記錄檔的大小上限為 10 MB。
  • 包含代理程式記錄檔的目錄大小上限為 250 MB。
  • 代理程式記錄檔的保留天數最長為 30 天。

Exchange 2007 伺服器會使用循環記錄,限制代理程式記錄使用的檔案大小及檔案保留天數,以協助控制記錄檔所使用的硬碟空間。

note附註:
如果您要讓代理程式記錄檔的保留時間或大小,超過檔案保留天數上限或目錄大小上限等這些無法設定的值,則可以建立排程工作,定期將不使用的代理程式記錄移動到其他位置。
note附註:
依預設,傳輸記錄處理程序的記錄等級值為 0 (最低)。如果想要 Microsoft Exchange 在循環記錄移除記錄檔時寫入事件日誌項目,則必須將傳輸記錄處理程序的記錄等級值變更為 5 (最大值) 或 7 (專家)。如需相關資訊,請參閱如何變更 Exchange 處理程序的記錄等級

傳輸代理程式概觀

使用 SMTP 命令順序透過 Hub Transport Server 或 Edge Transport Server 傳輸郵件時,代理程式只能在該命令順序中的特定點對郵件執行動作。SMTP 命令順序中的這些存取點稱為「SMTP 事件」。每個代理程式都可以指定一個優先順序值。但 SMTP 事件一定要依特定順序出現。因此,代理程式優先順序需視 SMTP 事件而定。如果在同一 SMTP 事件中,有兩個代理程式會對郵件執行動作,則優先順序較高的代理程式會先對郵件執行動作。

表 1 列出各 SMTP 事件 (依出現順序排列),並列出每個 SMTP 事件中將資訊寫入代理程式記錄的代理程式 (依優先順序從高至低排列)。

表 1   SMTP 事件 (依出現順序排列),以及每個 SMTP 事件中將資訊寫入代理程式記錄的代理程式 (依優先順序排列)

SMTP 事件 代理程式

OnConnect

連線篩選器代理程式

OnMailCommand

連線篩選器代理程式

寄件者篩選器代理程式

OnRcptCommand

連線篩選器代理程式

收件者篩選器代理程式

OnEndOfHeaders

連線篩選器代理程式

寄件者識別碼代理程式

寄件者篩選器代理程式

OnEndOfData

邊際規則代理程式

內容篩選器代理程式

如需代理程式、SMTP 事件及代理程式優先順序的相關資訊,請參閱傳輸代理程式的概觀

代理程式記錄檔的結構

代理程式記錄位於 C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog 中。

代理程式記錄檔的命名慣例為 AGENTLOGyyyymmdd-nnnn.log。預留位置代表下列資訊:

  • 預留位置 yyyymmdd 是建立記錄檔的 Coordinated Universal Time (UTC) 日期。yyyy = 年、mm = 月,而 dd = 日。
  • 預留位置 nnnn 是每天都從 1 開始的執行個體號碼。

資訊會寫入記錄檔中,直到檔案大小達到 10 MB 為止。此時會開啟具有遞增之執行個體編號的新記錄檔。這個程序會在一天當中不斷地重複。當代理程式記錄目錄達到 250 MB,或是當記錄檔保留天數達到 30 天時,循環記錄會刪除最舊的記錄檔。

代理程式記錄檔是以逗號分隔 (CSV) 格式包含資料的文字檔。每個代理程式記錄檔都具有包含下列資訊的標頭:

  • #Software:   建立代理程式記錄檔的軟體名稱。一般來說,這個值為 Microsoft Exchange Server。
  • #Version:   建立代理程式記錄的軟體版本號碼。目前這個值為 8.0.0.0。
  • #Log-Type   此欄位的值是「代理程式記錄」。
  • #Date:   建立記錄檔的 UTC 日期時間。以 ISO 8601 日期時間格式表示 UTC 日期時間:yyyy-mm-ddhh:mm:ss.fffZ,其中 yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒的分數,以及另外一個表示 UTC 的方法 Z 代表 Zulu。
  • #Fields:   代理程式記錄檔中所使用之以逗號分隔的欄位名稱。

寫入至代理程式記錄的資訊

在代理程式記錄中,每筆代理程式交易會各存一行。每一行所儲存的資訊都會依照欄位進行組織。這些欄位均以逗號隔開。欄位名稱通常具有足夠的描述資訊,可用以判斷其內含的資訊類型。但有些欄位可能會空白。或者,欄位中儲存的資訊類型可能會隨著代理程式,或是代理程式對郵件執行的動作而變更。表 2 說明用來將每筆代理程式交易進行分類的欄位。

表 2   用來將每筆代理程式交易進行分類的欄位

欄位名稱 描述

Timestamp

代理程式事件的 UTC 日期及時間。此項目會以 ISO 8601 格式表示。此值的格式為 yyyy-mm-ddThh:mm:ss.fffZ,其中 yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒的小數,而 Z 表示 Zulu。

SessionId

唯一的 SMTP 工作階段識別碼。此識別碼會以 16 碼的十六進位數表示。

LocalEndpoint

接受郵件的本機 IP 位址及通訊埠號碼。SMTP 工作階段通常會使用通訊埠 25。

RemoteEndpoint

上一個連接此伺服器以傳遞郵件的 SMTP 伺服器的 IP 位址及通訊埠號碼。在 Edge Transport Server 和 Hub Transport Server 拓撲中,Hub Transport Server 上之代理程式記錄中的 RemoteEndpoint 值,將會是 Edge Transport Server 的 IP 位址。雖然郵件是透過 SMTP 傳輸,但送出郵件的伺服器所使用的通訊埠號碼會是大於 1024 的隨機號碼。

EnteredOrgFromIP

第一個連接至 Exchange 組織以傳遞郵件的遠端 SMTP 伺服器 IP 位址。在 Edge Transport Server 上,RemoteEndpoint 和 EnteredOrgFromIP 的值相同。反垃圾郵件代理程式會使用 EnteredOrgFromIP 中的 IP 位址檢查郵件。

MessageId

MessageID: 標頭欄位的值。如果此值空白,則 Exchange 2007 傳輸伺服器會指定任意值,但必須是在接受郵件的情況下。指定好之後,MessageID: 的值在郵件存留期間就會維持不變。

P1FromAddress

在郵件信封的 MAIL FROM: 中指定的寄件者電子郵件地址。此值可以用來在 SMTP 郵件伺服器之間傳輸郵件。此值可作為 P2FromAddresses 值的對照依據,以判斷郵件標頭中的寄件者地址是否為偽造地址。

P2FromAddresses

在郵件標頭的 From: 標頭欄位或 Sender: 標頭欄位中指定的寄件者電子郵件地址。

Recipient

收件者的電子郵件地址。雖然原始郵件可能包含多位收件者,但是在代理程式記錄中,一行只會顯示一位收件者。

NumRecipients

原始郵件中的收件者總數。

Agent

執行動作之代理程式的名稱。可能的值如下:

  • 連線篩選器代理程式
  • 內容篩選器代理程式
  • 邊際規則代理程式
  • 收件者篩選器代理程式
  • 寄件者篩選器代理程式
  • 寄件者識別碼代理程式

Event

代理程式採取動作時所處於的 SMTP 事件。Event 的值需視代理程式而定。本主題前面的表 1 說明每個代理程式可能處於的 SMTP 事件。Event 的可能值如下:

  • OnConnect
  • OnEndOfHeaders
  • OnEndOfData
  • OnMailCommand
  • OnRcptCommand

Action

代理程式對郵件執行的動作。Action 的可能值如下:

  • AcceptMessage
  • DeleteMessage
  • DeleteRecipients
  • Disconnect
  • QuarantineMessage
  • QuarantineRecipients
  • RejectAuthentication
  • RejectCommand
  • RejectConnection
  • RejectMessage
  • RejectRecipients

SmtpResponse

增強的 SMTP 回應,如 RFC 2034 所定義。

Reason

代理程式提供的動作原因。

ReasonData

代理程式提供的動作詳細說明。

搜尋代理程式記錄

您可以使用 Exchange 管理命令介面中的 Get-AgentLog 指令程式,以及 Get-AntiSpamFilteringReport 指令碼來搜尋代理程式記錄。

如需相關資訊,請參閱Get-AgentLog

如何啟用或停用代理程式記錄功能

Hub Transport Server 或 Edge Transport Server 上預設會啟用代理程式記錄功能。您可以修改 C:\Program Files\Microsoft\Exchange Server\Bin 中的 EdgeTransport.exe.config 檔來啟用或停用代理程式記錄功能。EdgeTransport.exe.config 檔案是與 EdgeTransport.exe 檔案關聯的 XML 應用程式組態檔。EdgeTransport.exe 和 MSExchangeTransport.exe 是 Microsoft Exchange Transport 服務所使用的可執行檔。每個 Hub Transport Server 或 Edge Transport Server 上都會執行這個服務。重新啟動 Microsoft Exchange Transport 服務之後,對 EdgeTransport.exe.config 檔案所做的變更就會生效。

下列範例顯示 EdgeTransport.exe.config 檔案的一般結構:

<configuration>

<runtime>

<gcServer enabled="true" />

</runtime>

<appSettings>

<add key=" 組態選項 " value=" " />

...

</appSettings>

</configuration>

您可以在 <appSettings> 區段加入新的組態選項或修改現有的組態選項。許多可用的組態選項與代理程式記錄功能完全無關。任何與代理程式記錄功能無關的組態選項,皆不在本主題的討論範圍內。

note附註:
<add key=../> 區段中的參數名稱會區分大小寫。

啟用或停用代理程式記錄功能

  1. 使用記事本開啟下列檔案:C:\Program Files\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config

  2. 修改 <appSettings> 區段的下列行:

    <add key="AgentLogEnabled" value="<TRUE | FALSE>" />

    例如,若要停用代理程式記錄功能,請修改 AgentLogEnabled 參數,如下所示:

    <add key="AgentLogEnabled" value="FALSE" />

  3. 儲存並關閉 EdgeTransport.exe.config 檔案。

  4. 重新啟動 Microsoft Exchange Transport 服務。

相關資訊

如需相關資訊,請參閱反垃圾郵件及防毒功能

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.