Compartilhar via


Noções Básicas Sobre o Log de Agente

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2009-11-17

Logs de agente registram as ações realizadas em uma mensagem por agentes anti-spam específicos instalados e configurados em um computador que executa o Microsoft Exchange Server 2010 que tenha a função de servidor Transporte de Borda ou de Transporte de Hub instalada. Somente os seguintes agentes podem gravar informações no log de agente:

  • Agente de Filtro de Conexão
  • Agente de Filtro de Conteúdo
  • Agente de Regras de Borda
  • Agente de Filtro de Destinatários
  • Agente de Filtro por Remetente
  • Agente de ID de Remetente

As informações por escrito para o log de agente dependem do agente, o evento SMTP, e a ação executada na mensagem.

A única opção configurável no log de agente é o parâmetro AgentLogEnabled do arquivo de configuração do aplicativo EdgeTransport.exe.config. Por padrão, o log de agente é habilitado em servidores de Transporte de Hub e de Transporte de Borda. Os outros valores de log de agente não configuráveis estão descritos na seguinte lista:

  • O caminho para onde os logs de agente são armazenados é C:\Arquivos de Programas\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.
  • O tamanho máximo para os arquivos de log do agente individual é de 10 megabytes (MB).
  • O tamanho máximo do diretório que contém arquivos de log de agente é de 250 MB.
  • A idade máxima dos arquivos de log de agente é 30 dias.

O servidor Exchange 2010 usa o log circular para limitar os logs de agente com base no tamanho e na idade do arquivo, para ajudar a controlar o espaço no disco rígido usado pelos arquivos de log.

Dica

Se desejar manter os arquivos de log de agente por mais tempo que o permitido para idade do arquivo ou tamanho do diretório que não podem ser configurados, você poderá criar uma tarefa agendada que mova periodicamente os arquivos de log de agente não utilizados para um local diferente.

Dica

Por padrão, o processo de log de transporte possui um valor de nível de log 0 (Mais Baixo). Se quiser que o Exchange grave uma entrada de log de evento quando o log circular remover um arquivo de log, você deverá alterar o valor do nível de log do processo de log de transporte para 5 (Máximo) ou 7 (Especialista).

Sumário

Visão geral de agentes de transporte

Estrutura dos arquivos de log de agente

Informações gravadas no log do agente

Pesquisando os logs de agente

Ativar ou desativar o log do agente

Procurando tarefas de gerenciamento relacionadas ao registro no log de agente? Consulte Gerenciando Servidores de Transporte.

Visão geral de agentes de transporte

Os agentes só podem atuar na mensagens em pontos específicos da seqüência de comandos SMTP usada para transportar as mensagens através de um servidor de Transporte de Hub ou de Transporte de Borda. Esses pontos de acesso da seqüência de comandos SMTP são chamados eventos SMTP. A cada agente pode ser atribuído um valor de prioridade. Entretanto, os eventos SMTP devem sempre ocorrer em uma ordem específica. Portanto, a prioridade do agente depende do evento SMTP. Se dois agentes puderem atuar em uma mensagem durante o mesmo evento SMTP, o agente com a prioridade mais alta atuará na mensagem primeiro.

A Tabela a seguir lista os eventos SMTP em ordem de ocorrência e os agentes que gravam informações no log de agente em ordem de prioridade, da mais alta para a mais baixa, para cada evento SMTP.

Os eventos SMTP em ordem de ocorrência e os agentes que gravam informações no log de agente em ordem de prioridade para cada evento SMTP

Evento SMTP Agente

OnConnect

Agente de Filtro de Conexão

OnMailCommand

Agente de Filtro de Conexão

Agente de Filtro por Remetente

OnRcptCommand

Agente de Filtro de Conexão

Agente de Filtro de Destinatários

OnEndOfHeaders

Agente de Filtro de Conexão

Agente de ID de Remetente

Agente de Filtro por Remetente

OnEndOfData

Agente de Regras de Borda

Agente de Filtro de Conteúdo

Para obter mais informações sobre agentes, eventos SMTP e prioridade de agentes, consulte Noções Básicas Sobre Agentes de Transporte.

Retornar ao início

Estrutura dos arquivos de log de agente

Os logs de agente existem em C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog.

A convenção de nomenclatura para arquivos de log de agente é AGENTLOGaaaammdd-nnnn.log. Os marcadores representam as seguintes informações:

  • O espaço reservado aaaammdd é a data no formato Tempo Universal Coordenado (UTC) em que o arquivo de log foi criado. O espaço reservado aaaa = ano, mm = mês e dd = dia.
  • O marcador nnnn é um número de instância que começa com o valor 1 para cada dia.

As informações são gravadas no arquivo de log até que o tamanho do arquivo chegue a 10 MB. Em seguida, um novo arquivo de log com um número de instância incrementado é aberto. Esse processo se repete ao longo do dia. O log circular exclui os arquivos de log mais antigos quando o diretório de log de agente atinge 250 MB ou quando um arquivo de log existe há 30 dias.

Os arquivos de log de agente são arquivos texto que contêm dados no formato CSV (valor separado por vírgula). Cada arquivo de log de agente possui um cabeçalho com as seguintes informações:

  • #Software:   Nome do software que criou o arquivo de log de agente. Geralmente, o valor é Microsoft Exchange Server.
  • #Version:   Número da versão do software que criou o arquivo de log de agente. Atualmente, o valor é 8.0.0.0.
  • #Log-Type:   Valor do tipo do log, que é Log de Agente.
  • #Date:   Data e a hora UTC do momento em que o arquivo de log foi criado. A data e a hora UTC é representada no formato de data e hora ISO 8601: aaaa-mm-ddThh:mm:ss.fffZ, onde aaaa = ano, mm = mês, dd = dia , hh = hora, mm = minutos, ss = segundos, fff = frações de um segundo e Z significa Zulu, que é outra maneira de indicar UTC.
  • #Fields:   Nomes de campos delimitados por vírgulas usados nos arquivos de log de agente.

Retornar ao início

Informações gravadas no log do agente

O log de agente armazena cada transação do agente em uma única linha no log. As informações armazenadas em cada linha são organizadas por campos. Esses campos são separados por vírgulas. Geralmente, o nome do campo é suficientemente descritivo para determinar o tipo de informação que ele contém. Entretanto, alguns dos campos podem estar em branco. Ou o tipo de informação armazenada no campo pode ser alterada com base no agente ou na ação executada na mensagem pelo agente. A tabela a seguir descreve os campos usados para classificar cada transação de agente.

Campos usados para classificar cada transação de agente

Nome do campo Descrição

Timestamp

A data e a hora UTC do evento de agente. São representadas no formato ISO 8601. O valor é formatado como aaaa-mm-ddThh:mm:ss.fffZ, onde aaaa = ano, mm = mês, dd = dia, hh = hora, mm = minuto, ss = segundo, fff = frações de um segundo e Z significa Zulu, que é outra maneira de indicar UTC.

SessionId

O identificador de sessão SMTP exclusivo. Esse identificador é representado como um número hexadecimal de 16 dígitos.

LocalEndpoint

O endereço IP local e o número da porta que aceitou a mensagem. Sessões SMTP geralmente usam a porta 25.

RemoteEndpoint

O endereço IP e o número da porta do servidor SMTP anterior que se conectou a esse servidor para entregar a mensagem. Na topologia de um servidor de Transporte de Borda e de Transporte de Hub, o valor de RemoteEndpoint no log de agente no servidor de Transporte de Hub será o endereço IP do servidor de Transporte de Borda. Embora a mensagem seja transmitida por SMTP, o número da porta usada pelo servidor remetente será um número aleatório maior que 1.024.

EnteredOrgFromIP

O endereço IP do servidor remoto SMTP que se conectou primeiro à organização do Exchange para entregar a mensagem. Em um servidor de Transporte de Borda, o valor de RemoteEndpoint e de EnteredOrgFromIP é o mesmo. Agentes anti-spam usam o endereço IP de EnteredOrgFromIP para examinar uma mensagem.

MessageId

O valor do campo de cabeçalho MessageID. Se esse valor estiver em branco, o servidor de transporte do Exchange 2010 atribuirá um valor arbitrário, mas somente se a mensagem for aceita. Depois de atribuído, o valor de MessageID será constante durante o tempo de vida da mensagem.

P1FromAddress

O endereço de email do remetente especificado por MAIL FROM no envelope da mensagem. O valor é usado para transportar a mensagem entre servidores de mensagem SMTP. Esse valor serve como uma comparação com o valor de P2FromAddresses para determinar se o endereço do remetente no cabeçalho da mensagem é falsificado.

P2FromAddresses

O endereço de email especificado no campo do cabeçalho From ou no campo do cabeçalho Sender, no cabeçalho da mensagem.

Recipient

Endereço de email de destinatário. Embora a mensagem original possa conter vários destinatários, somente um será exibido por linha no log de agente.

NumRecipients

O número total de destinatários existentes na mensagem original.

Agent

Nome do agente que fez a ação. Os valores possíveis são:

  • Agente de Filtro de Conexão
  • Agente de Filtro de Conteúdo
  • Agente de Regras de Borda
  • Agente de Filtro de Destinatários
  • Agente de Filtro por Remetente
  • Agente de ID de Remetente

Event

O evento SMTP no qual a ação foi executada pelo agente. O valor de Event depende do agente. Os eventos SMTP disponíveis para cada agente estão descritos na primeira tabela apresentada anteriormente neste tópico. Os valores possíveis de Event são os seguintes:

  • OnConnect
  • OnEndOfHeaders
  • OnEndOfData
  • OnMailCommand
  • OnRcptCommand

Action

Ação executada na mensagem pelo agente. Os valores possíveis de Action são os seguintes:

  • AcceptMessage
  • DeleteMessage
  • DeleteRecipients
  • Disconnect
  • QuarantineMessage
  • QuarantineRecipients
  • RejectAuthentication
  • RejectCommand
  • RejectConnection
  • RejectMessage
  • RejectRecipients

SmtpResponse

A resposta avançada de SMTP como definida em RFC 2034.

Reason

Razão para a ação fornecida pelo agente.

ReasonData

Detalhes descritivos da ação fornecida pelo agente.

Retornar ao início

Pesquisando os logs de agente

Você pode usar o cmdlet Get-AgentLog no Shell de Gerenciamento do Exchange e o script Get-AntiSpamFilteringReport para procurar os logs de agente. Para obter mais informações, consulte Get-AgentLog.

Retornar ao início

Ativar ou desativar o log do agente

Por padrão, o log de agente é habilitado em servidores de Transporte de Hub ou de Transporte de Borda. O log de agente é habilitado ou desabilitado modificando-se o arquivo EdgeTransport.exe.config, localizado em C:\Arquivos de Programas\Microsoft\Exchange Server\V14\Bin. Para obter mais informações, consulte Noções Básicas Sobre o Arquivo EdgeTransport.exe.Config. O EdgeTransport.exe e o MSExchangeTransport.exe são os arquivos executáveis usados pelo serviço de Transporte do Microsoft Exchange.

Muitas das opções de configuração disponíveis são desvinculadas do log de agente. Todas as opções de configuração que não envolvem log de agente estão fora do escopo deste tópico.

  1. Abra o seguinte arquivo usando o Bloco de Notas: C:\Arquivos de Programas\Microsoft\Exchange Server\V14\Bin\EdgeTransport.exe.config

  2. Modifique a seguinte linha na seção <appSettings>.

    <add key="AgentLogEnabled" value="<TRUE | FALSE>" />
    

    Este exemplo desativa o agente de log modificando o parâmetro AgentLogEnabled.

    <add key="AgentLogEnabled" value="FALSE" />
    
  3. Salve e feche o arquivo EdgeTransport.exe.config.

  4. Reinicie o serviço de Transporte do Microsoft Exchange.

Retornar ao início