Grundlegendes zur Agent-Protokollierung

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2015-03-09

In Agent-Protokollen werden die Aktionen aufgezeichnet, die von bestimmten Antispam-Agents an einer Nachricht vorgenommen werden. Diese Agents werden auf einem Computer mit Microsoft Exchange Server 2010 ausgeführt, auf dem die Edge-Transport-Serverrolle oder die Hub-Transport-Serverrolle installiert ist. Nur die folgenden Agents können Informationen in das Agent-Protokoll schreiben:

• Verbindungsfilter-Agent

• Inhaltsfilter-Agent

• Edge-Regel-Agent

• Empfängerfilter-Agent

• Absenderfilter-Agent

• Sender ID-Agent

Die in das Agent-Protokoll geschriebenen Informationen hängen vom Agent, dem SMTP-Ereignis und der Aktion ab, die für die Nachricht ausgeführt wird.

Die einzige konfigurierbare Option bei der Agent-Protokollierung ist der Parameter AgentLogEnabled in der Anwendungskonfigurationsdatei EdgeTransport.exe.config. Auf Hub-Transport- und Edge-Transport-Servern ist die Agent-Protokollierung standardmäßig aktiviert. Die anderen Agent-Protokollwerte, die nicht konfiguriert werden können, werden in der folgenden Liste beschrieben:

• Der Pfad zum Speicherort der Agent-Protokolle lautet C:\Programme\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog.

• Die maximale Größe für die einzelnen Agent-Protokolldateien beträgt 10 MB.

• Die maximale Größe des Verzeichnisses mit den Agent-Protokolldateien beträgt 250 MB.

• Das maximale Alter von Agent-Protokolldateien ist 30 Tage.

Der Exchange 2010-Server verwendet die Umlaufprotokollierung, um Größe und Alter der Agent-Protokolle zu begrenzen und somit den von den Protokolldateien beanspruchten Festplattenspeicherplatz zu steuern.

Hinweis

Wenn Sie die Agent-Protokolldateien länger aufbewahren möchten, als durch die nicht konfigurierbaren Werte für das Dateialter oder die Verzeichnisgröße zulässig ist, kann ein geplanter Task erstellt werden, der die nicht verwendeten Agent-Protokolldateien an einen anderen Speicherort verschiebt.

Hinweis

Standardmäßig weist der Prozess für die Transportprotokollierung den Wert 0 (Niedrigste) für den Protokolliergrad auf. Wenn Sie möchten, dass Exchange einen Eintrag in das Ereignisprotokoll schreibt, sobald die Umlaufprotokollierung eine Protokolldatei entfernt, müssen Sie den Wert für den Protokolliergrad des Prozesses für die Transportprotokollierung auf 5 (Maximal) oder 7 (Experte) ändern.

Inhalt

Übersicht über Transport-Agents

Struktur der Agent-Protokolldateien

In das Agent-Protokoll geschriebene Informationen

Durchsuchen der Agent-Protokolle

Aktivieren oder Deaktivieren der Agent-Protokollierung

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit der Agent-Protokollierung gibt? Informationen hierzu finden Sie unter Verwalten von Transportservern.

Übersicht über Transport-Agents

Agents können auf Nachrichten nur an bestimmten Punkten in der SMTP-Befehlsfolge einwirken, die zum Transport der Nachrichten durch einen Hub-Transport- oder Edge-Transport-Server verwendet wird. Diese Zugriffspunkte in der SMTP-Befehlsfolge werden SMTP-Ereignisse genannt. Jeder Agent hat einen Prioritätswert, der zugewiesen werden kann. Die SMTP-Ereignisse müssen allerdings stets in einer bestimmten Reihenfolge auftreten. Deshalb hängt die Agent-Priorität vom SMTP-Ereignis ab. Wenn zwei Agents während desselben SMTP-Ereignisses auf eine Nachricht angewendet werden können, wird der Agent mit der höchsten Priorität zuerst auf die Nachricht angewendet.

Die folgende Tabelle enthält die SMTP-Ereignisse in der Reihenfolge ihres Auftretens sowie die Agents, die Informationen in das Agent-Protokoll schreiben (in der Prioritätsreihenfolge vom höchsten zum niedrigsten Wert für jedes SMTP-Ereignis).

SMTP-Ereignisse in der Reihenfolge ihres Auftretens sowie die Agents, die Informationen in das Agent-Protokoll schreiben, in der Prioritätsreihenfolge für jedes SMTP-Ereignis

SMTP-Ereignis	Agent
OnConnect	Verbindungsfilter-Agent
OnMailCommand	Verbindungsfilter-Agent Absenderfilter-Agent
OnRcptCommand	Verbindungsfilter-Agent Empfängerfilter-Agent
OnEndOfHeaders	Verbindungsfilter-Agent Sender ID-Agent Absenderfilter-Agent
OnEndOfData	Edge-Regel-Agent Inhaltsfilter-Agent

Weitere Informationen zu Agents, SMTP-Ereignissen und Agent-Priorität finden Sie unter Grundlegendes zu Transport-Agents.

Zurück zum Seitenanfang

Struktur der Agent-Protokolldateien

Die Agent-Protokolle befinden sich unter C:\Programme\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog.

Die Benennungskonvention für die Agent-Protokolldateien lautet AGENTLOGyyymmdd-nnnn.log. Die Platzhalter enthalten die folgenden Informationen:

• Der Platzhalter yyyymmdd entspricht dem UTC-Datum (Coordinated Universal Time, koordinierte Weltzeit), an dem die Protokolldatei erstellt wurde. Dabei entspricht yyyy dem Jahr, mm dem Monat und dd dem Tag.

• Der Platzhalter nnnn ist eine Instanznummer, die mit dem Wert 1 für jeden Tag beginnt.

In die Protokolldatei werden Informationen geschrieben, bis die Dateigröße 10 MB erreicht. Dann wird eine neue Protokolldatei mit der nächsthöheren Instanznummer geöffnet. Dieser Vorgang wird während des ganzen Tags wiederholt. Die Umlaufprotokollierung löscht die ältesten Protokolldateien, wenn das Agent-Protokollverzeichnis 250 MB erreicht oder eine Protokolldatei 30 Tage alt ist.

Bei den Agent-Protokolldateien handelt es sich um Textdateien, die Daten im CSV-Dateiformat (Comma Separated Value) enthalten. Jede Agent-Protokolldatei enthält eine Kopfzeile mit den folgenden Informationen:

• #Software   Name der Software, mit der die Agent-Protokolldatei erstellt wurde. In der Regel lautet der Wert Microsoft Exchange Server.

• #Version   Versionsnummer der Software, mit der die Agent-Protokolldatei erstellt wurde. Der aktuelle Wert lautet 8.0.0.0.

• #Log-Type   Wert des Protokolltyps, in diesem Fall Agent Log.

• #Date   Datum und Uhrzeit (UTC) der Erstellung der Protokolldatei. Datum und Uhrzeit (UTC) werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu (eine weitere Möglichkeit zur Angabe von UTC).

• #Fields   Durch Kommas getrennte Feldnamen, die in den Agent-Protokolldateien verwendet werden.

Zurück zum Seitenanfang

In das Agent-Protokoll geschriebene Informationen

Im Agent-Protokoll werden die einzelnen Agent-Transaktionen jeweils in einer einzelnen Zeile gespeichert. Die in den einzelnen Zeilen gespeicherten Informationen sind nach Feldern angeordnet. Diese Felder sind durch Kommas getrennt. Anhand des Feldnamens kann im Allgemeinen festgestellt werden, welchen Informationstyp das jeweilige Feld enthält. Einige Felder sind jedoch ggf. leer. Oder der Typ der im Feld gespeicherten Information kann sich basierend auf dem Agent oder der Aktion ändern, die vom Agent auf die Nachricht angewendet wird. In der folgenden Tabelle werden die Felder beschrieben, die zum Klassifizieren der einzelnen Agent-Transaktionen verwendet werden.

Zum Klassifizieren der einzelnen Agent-Transaktionen verwendete Felder

Feld	Beschreibung
Timestamp	Datum und Uhrzeit des Agent-Ereignisses im UTC-Format. Dabei handelt es sich um das ISO 8601-Format. Der Wert wird formatiert als yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu (eine weitere Möglichkeit zur Angabe von UTC).
SessionId	Eindeutige SMTP-Sitzungs-ID. Diese ID wird als 16-stelliger Hexadezimalwert angegeben.
LocalEndpoint	Lokale IP-Adresse und Portnummer, die die Nachricht angenommen hat. Für SMTP-Sitzungen wird meist Port 25 verwendet.
RemoteEndpoint	IP-Adresse und Portnummer des vorherigen SMTP-Servers, der sich zum Übermitteln der Nachricht mit diesem Server verbunden hat. In einer Topologie mit Edge-Transport-Server und Hub-Transport-Server entspricht der Wert von RemoteEndpoint im Agent-Protokoll auf dem Hub-Transport-Server der IP-Adresse des Edge-Transport-Servers. Auch wenn die Nachricht über SMTP übertragen wird, ist die vom absendenden Server verwendete Portnummer eine beliebige Zahl größer als 1.024.
EnteredOrgFromIP	IP-Adresse des SMTP-Remoteservers, der sich zuerst mit der Exchange-Organisation zum Übermitteln der Nachricht verbunden hat. Auf einem Edge-Transport-Server ist der Wert von RemoteEndpoint und EnteredOrgFromIP identisch. Antispam-Agents verwenden die IP-Adresse in EnteredOrgFromIP, um eine Nachricht zu untersuchen.
MessageId	Wert des Kopfzeilenfelds MessageID. Ist dieser Wert leer, weist der Exchange 2010-Transportserver einen beliebigen Wert zu, jedoch nur, wenn die Nachricht angenommen wird. Nach der Zuweisung ist der Wert MessageID für die Lebensdauer der Nachricht konstant.
P1FromAddress	E-Mail-Adresse des Absenders, die unter MAIL FROM im Nachrichtenumschlag angegeben ist. Dieser Wert dient zum Transportieren der Nachricht zwischen SMTP-Messagingservern. Dieser Wert dient zum Vergleich mit dem Wert von P2FromAddresses, um zu ermitteln, ob die Absenderadresse in der Nachrichtenkopfzeile gefälscht ist.
P2FromAddresses	Die E-Mail-Adresse des Absenders im Feld From oder im Feld Sender in der Nachrichtenkopfzeile.
Recipient	E-Mail-Adresse der Empfänger. Obgleich die ursprüngliche Nachricht mehrere Empfänger enthalten kann, wird im Agent-Protokoll pro Zeile nur ein Empfänger angezeigt.
NumRecipients	Gesamtanzahl der Empfänger in der ursprünglichen Nachricht.
Agent	Name des Agents, der die Aktion durchführt. Die folgenden Werte sind möglich: Verbindungsfilter-Agent Inhaltsfilter-Agent Edge-Regel-Agent Empfängerfilter-Agent Absenderfilter-Agent Sender ID-Agent
Event	SMTP-Ereignis, bei dem der Agent die Aktion ausgeführt hat. Der Wert von Event hängt vom Agent ab. Die SMTP-Ereignisse, die jedem Agent zur Verfügung stehen, wurden bereits in der ersten Tabelle weiter oben in diesem Thema beschrieben. Die möglichen Werte für Event lauten wie folgt: OnConnect OnEndOfHeaders OnEndOfData OnMailCommand OnRcptCommand
Action	Vom Agent auf die Nachricht angewendete Aktion. Die möglichen Werte für Action lauten wie folgt: AcceptMessage DeleteMessage DeleteRecipients Disconnect QuarantineMessage QuarantineRecipients RejectAuthentication RejectCommand RejectConnection RejectMessage RejectRecipients
SmtpResponse	Enhanced SMTP-Antwort gemäß der Definition in RFC 2034.
Reason	Grund für die vom Agent durchgeführte Aktion.
ReasonData	Beschreibende Details zu der vom Agent durchgeführten Aktion.

Zurück zum Seitenanfang

Durchsuchen der Agent-Protokolle

Mithilfe des Cmdlets Get-AgentLog in der Exchange-Verwaltungsshell und des Skripts Get-AntiSpamFilteringReport können Sie die Agent-Protokolle durchsuchen. Weitere Informationen finden Sie unter Get-AgentLog.

Zurück zum Seitenanfang

Aktivieren oder Deaktivieren der Agent-Protokollierung

Auf Hub-Transport- und Edge-Transport-Servern ist die Agent-Protokollierung standardmäßig aktiviert. Der Status der Agent-Protokollierung wird in der Datei EdgeTransport.exe.config unter C:\Programme\Microsoft\Exchange Server\V14\Bin festgelegt. Weitere Informationen finden Sie unter Grundlegendes zur Konfigurationsdatei "EdgeTransport.exe". EdgeTransport.exe und MSExchangeTransport.exe sind die Programmdateien, die vom Microsoft Exchange-Transportdienst verwendet werden.

Viele der verfügbaren Konfigurationsoptionen stehen in keinem Zusammenhang mit der Agent-Protokollierung. Alle Konfigurationsoptionen, die nicht mit der Agent-Protokollierung in Zusammenhang stehen, sind in diesem Thema nicht enthalten.

1. Öffnen Sie die folgende Datei in Editor: C:\Programme\Microsoft\Exchange Server\V14\Bin\EdgeTransport.exe.config

2. Ändern Sie im Abschnitt <appSettings> folgende Zeile.

   <add key="AgentLogEnabled" value="<TRUE | FALSE>" />
   

   In diesem Beispiel wird die Agent-Protokollierung durch Ändern des Parameters AgentLogEnabled deaktiviert.

   <add key="AgentLogEnabled" value="FALSE" />
   

3. Speichern und schließen Sie die Datei EdgeTransport.exe.config.

4. Starten Sie den Microsoft Exchange-Transportdienst erneut.

Zurück zum Seitenanfang

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.