Поделиться через

Управление журналом агентов

  • Статья

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2007-01-09

В журналы агентов заносятся сведения о действиях над сообщениями, выполненных специальными агентами защиты от нежелательной почты, которые установлены и настроены на компьютере с сервером Microsoft Exchange Server 2007, на котором установлена роль пограничного транспортного сервера или роль транспортного сервера-концентратора. Только следующие агенты могут записывать данные в журнал агентов:

  • Агент фильтра подключений

  • Агент фильтра содержимого

  • Агент пограничных правил

  • Агент фильтра получателей

  • Агент фильтра отправителей

  • Агент идентификации отправителей

Данные, записываемые в журнал агентов, зависят от агента, события SMTP и действия, выполненного над сообщением.

Единственным параметром ведения журнала агентов, который можно изменять, является параметр AgentLogEnabled в файле конфигурации приложения EdgeTransport.exe.config. По умолчанию ведение журналов агентов включено на транспортных серверах-концентраторах или на пограничных транспортных серверах. Другие значение журнала агентов, которые нельзя настраивать, перечислены в приведенном ниже списке.

  • Путь, где хранятся журналы агентов — C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.

  • Максимальный размер отдельного файла журнала агента равен 10 МБ.

  • Максимальный размер каталога с файлами журналов агентов равен 250 МБ.

  • Максимальный срок хранения файлов журналов агентов составляет 30 дней.

Для облегчения контроля за расходованием пространства на диске, где хранятся файлы журналов, в сервере Exchange 2007 используется циклическое ведение журнала для ограничения размера журналов подключения на основе размера файлов и срока их хранения.

noteПримечание.
Если нужно хранить файлы журнала агентов дольше, чем позволяют значения срока хранения файла или размера каталога, которые нельзя изменять, можно создать запускаемую по расписанию задачу, которая будет периодически перемещать неиспользуемые файлы журнала агентов в другую папку.
noteПримечание.
По умолчанию процесс ведения журнала транспорта осуществляется на уровне 0 (самый низкий). Если требуется, чтобы сервер Microsoft Exchange делал запись в журнал событий при удалении файла журнала механизмом циклического ведения журнала, уровню ведения журнала транспорта необходимо присвоить значение 5 (максимальный) или 7 (эксперт). Дополнительные сведения см. в разделе Изменение уровня ведения журнала для процессов сервера Exchange Server.

Обзор агентов транспорта

Агенты могут обрабатывать сообщения только в определенных точках последовательности команд SMTP, используемых для передачи сообщения через транспортный сервер-концентратор или пограничный транспортный сервер. Эти точки доступа в последовательности команд SMTP называются события SMTP. Каждому агенту можно назначить приоритет. Однако события SMTP всегда должны происходить в определенном порядке. Следовательно, приоритет агента зависит от события SMTP. Если два агента выполняют действие над сообщением во время одного события SMTP, агент, обладающий более высоким приоритетом, выполнит действие первым.

В таблице 1 перечислены события SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета, начиная с наивысшего, для каждого события SMTP.

Таблица 1   События SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета для каждого события SMTP.

Событие SMTP Агент

OnConnect

Агент фильтра подключений

OnMailCommand

Агент фильтра подключений

Агент фильтра отправителей

OnRcptCommand

Агент фильтра подключений

Агент фильтра получателей

OnEndOfHeaders

Агент фильтра подключений

Агент идентификации отправителей

Агент фильтра отправителей

OnEndOfData

Агент пограничных правил

Агент фильтра содержимого

Дополнительные сведения об агентах, событиях SMTP и приоритете агентов см. в разделе Обзор агентов транспорта.

Структура файлов журнала агентов

Журналы агентов находятся в папке C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.

Имена файлов журнала агентов имеют следующий вид: AGENTLOGyyyymmdd-nnnn.log. Заполнители обозначают следующее:

  • Замещающий текст yyyymmdd представляет собой дату создания файла журнала в формате UTC. yyyy = год, mm = месяц и dd =  день.

  • Заменитель nnnn представляет собой порядковый номер, который каждый день начинается со значения 1.

Данные заносятся в файл журнала до тех пор, пока размер файла не достигнет 10 МБ. После этого будет открыт новый файл журнала со следующим порядковым номером. Эта процедура выполняется круглосуточно. При циклическом ведении журнала, когда каталог журналов подключений достигает 250 МБ или когда истекает срок хранения файла журнала (30 дней), удаляются самые старые файлы журнала.

Файлы журнала агентов представляют собой текстовые файлы в формате CSV. Каждый файл журнала агентов снабжен заголовком, содержащим следующие сведения.

  • #Software:   Название программы, создавшей файл журнала агентов. Обычно здесь указана программа Microsoft Exchange Server.

  • #Version:   Номер версии программы, создавшей файл журнала агентов. Текущее значение – 8.0.0.0.

  • #Log-Type:   В этом поле указано значение – Agent Log («Журнал агентов»).

  • #Date:   Дата и время создания файла журнала в формате UTC. Дата и время UTC представлены в формате ISO 8601: гггг-мм-ддTчч:мм:сс.fffZ, где гггг = год, мм = месяц, дд = день, чч = часы, мм = минуты, сс = секунды, fff = доли секунды, а буква Z означает Zulu, что является другим обозначением UTC.

  • #Fields:   Разделенные запятыми имена полей, используемые в файлах журнала агентов.

Сведения, записываемые в журнал агентов

В журнале агентов каждая транзакция агента хранится в отдельной строке. Сведения, хранящиеся в каждой строке, сгруппированы по полям. Поля разделяются запятыми. Как правило, имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть пустыми. Кроме того, тип данных, хранящихся в поле, может меняться в зависимости от агента или действия, выполняемого агентом над сообщением. В таблице 2 описаны поля, используемые для классификации каждой транзакции агента.

Таблица 2. Поля, используемые для классификации каждой транзакции агента

Имя поля Описание

Timestamp

Дата и время события агента в формате UTC. Представляется в формате ISO 8601. Значение приводится в формате yyyy-mm-ddThh:mm:ss.fffZ, где yyyy = год, mm = месяц, dd = день, hh = часы, mm = минуты, ss = секунды, fff = доли секунды, а Z означает Zulu.

SessionId

Уникальный идентификатор сеанса SMTP. Идентификатор представляется 16-значным шестнадцатеричным числом.

LocalEndpoint

Локальный IP-адрес и номер порта, принявшего сообщение. Сеансы SMTP обычно используют порт 25.

RemoteEndpoint

IP-адрес и номер порта предыдущего сервера SMTP, подключавшегося к данному серверу для доставки сообщения. В топологии пограничного транспортного сервера и транспортного сервера-концентратора значением поля RemoteEndpoint в журнале агентов на транспортном сервере-концентраторе будет IP-адрес пограничного транспортного сервера. Хотя сообщение передано с помощью протокола SMTP, номер порта, использованного для отправки, будет случайным числом больше 1024.

EnteredOrgFromIP

IP-адрес удаленного сервера SMTP, который подключается к организации Exchange для передачи сообщения. На пограничном транспортном сервере значения полей RemoteEndpoint и EnteredOrgFromIP одинаковы. Агенты защиты от нежелательной почты используют IP-адрес в поле EnteredOrgFromIP для проверки сообщения.

MessageId

Значение поля заголовка MessageID:. Если это значение пусто, транспортный сервер Exchange 2007 присваивает произвольное значение, но только если сообщение принято. После этого значение поля MessageID: остается постоянным на протяжении всего срока существования сообщения.

P1FromAddress

Адрес электронной почты отправителя, указанный в параметре MAIL FROM: конверта сообщения. Это значение используется для передачи сообщения между серверами обмена сообщениями SMTP. Это значение сравнивается со значением P2FromAddresses для определения того, не подделан ли адрес отправителя в заголовке сообщения.

P2FromAddresses

Адрес электронной почты отправителя, указанный в полях From: или Sender: в заголовке сообщения.

Recipient

Адрес электронной почты получателей. Хотя исходное сообщение может быть предназначено нескольким получателям, в одной строке журнала агентов показывается только один получатель.

NumRecipients

Общее количество получателей исходного сообщения.

Агент

Имя агента, выполнившего действие. Возможные значения:

  • Агент фильтра подключений

  • Агент фильтра содержимого

  • Агент пограничных правил

  • Агент фильтра получателей

  • Агент фильтра отправителей

  • Агент идентификации отправителей

Event

Событие SMTP, при котором агент выполнит действие. Значение поля Event зависит от агента. События SMTP, доступные для каждого агента, описаны в таблице 1 выше в данном разделе. Возможны следующие значения поля Event:

  • OnConnect

  • OnEndOfHeaders

  • OnEndOfData

  • OnMailCommand

  • OnRcptCommand

Action

Выполненное агентом действие над сообщением. Возможны следующие значения поля Action:

  • AcceptMessage

  • DeleteMessage

  • DeleteRecipients

  • Disconnect

  • QuarantineMessage

  • QuarantineRecipients

  • RejectAuthentication

  • RejectCommand

  • RejectConnection

  • RejectMessage

  • RejectRecipients

SmtpResponse

Ответ Enhanced SMTP согласно RFC 2034.

Reason

Причина действия, указанная агентом.

ReasonData

Описание действия, выполненного агентом.

Поиск в журналах агентов

Для поиска в журналах агентов можно воспользоваться командлетом Get-AgentLog в командной консоли Exchange и сценарием Get-AntiSpamFilteringReport.

Дополнительные сведения см. в разделе Get-AgentLog.

Включение и выключение ведения журналов агентов

По умолчанию ведение журналов агентов включено на транспортных серверах-концентраторах или на пограничных транспортных серверах. Ведение журналов агентов включается или отключается путем изменения файла EdgeTransport.exe.config, расположенного в папке C:\Program Files\Microsoft\Exchange Server\Bin. Файл EdgeTransport.exe.config является XML-файлом конфигурации приложения, связанным с файлом EdgeTransport.exe. EdgeTransport.exe и MSExchangeTransport.exe являются исполняемыми файлами, которые используются службой транспорта Microsoft Exchange. Эта служба выполняется на каждом транспортном сервере-концентраторе или пограничном транспортном сервере. Изменения, внесенные в файл EdgeTransport.exe.config, применяются после перезапуска службы транспорта Microsoft Exchange.

В следующем примере показана типичная структура файла EdgeTransport.exe.config:

<configuration>

<runtime>

<gcServer enabled="true" />

</runtime>

<appSettings>

<add key=" Параметр конфигурации " value=" Значение " />

...

</appSettings>

</configuration>

В разделе <appSettings> можно добавлять новые или изменять существующие параметры конфигурации. Многие из доступных параметров конфигурации не имеют отношения к ведению журналов агентов. В этом разделе не рассматриваются параметры настройки, которые не относятся к ведению журналов агентов.

noteПримечание.
В именах параметров в разделе <add key=../> учитывается регистр.

Включение или отключение ведения журналов агентов

  1. Откройте в Блокноте файл C:\Program Files\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config.

  2. Измените в разделе <appSettings> строку

    <add key="AgentLogEnabled" value="<TRUE | FALSE>" />

    Например, чтобы отключить ведение журналов агентов, измените параметр AgentLogEnabled следующим образом:

    <add key="AgentLogEnabled" value="FALSE" />

  3. Сохраните и закройте файл EdgeTransport.exe.config.

  4. Перезапустите службу транспорта Microsoft Exchange.

Дополнительные сведения

Дополнительные сведения см. в разделе Функции защиты от нежелательной почты и вирусов.