Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2009-11-17
В журналы агентов заносятся сведения о действиях над сообщениями, выполненных специальными агентами защиты от нежелательной почты, которые установлены и настроены на компьютере с сервером Microsoft Exchange Server 2010, на котором установлена роль пограничного транспортного сервера или роль транспортного сервера-концентратора. Только следующие агенты могут записывать данные в журнал агентов:
- Агент фильтра подключений
- Агент фильтра содержимого
- Агент пограничных правил
- Агент фильтра получателей
- Агент фильтра отправителей
- Агент идентификации отправителей
Данные, записываемые в журнал агентов, зависят от агента, события SMTP и действия, выполненного над сообщением.
Единственным параметром ведения журнала агентов, который можно изменять, является параметр AgentLogEnabled в файле конфигурации приложения EdgeTransport.exe.config. По умолчанию ведение журналов агентов включено на транспортных серверах-концентраторах или на пограничных транспортных серверах. Другие значение журнала агентов, которые нельзя настраивать, перечислены в приведенном ниже списке.
- Путь, где хранятся журналы агентов —
C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog.
- Максимальный размер отдельного файла журнала агента равен
10 мегабайтам (МБ).
- Максимальный размер каталога с файлами журналов агентов равен
250 МБ.
- Максимальный срок хранения файлов журналов агентов составляет
30 дней.
Для облегчения контроля за расходованием пространства на диске, где хранятся файлы журналов, в сервере Exchange 2010 используется циклическое ведение журнала для ограничения размера журналов агентов на основе размера файлов и срока их хранения.
Примечание. |
---|
Если нужно хранить файлы журнала агентов дольше, чем позволяют значения срока хранения файла или размера каталога, которые нельзя изменять, можно создать запускаемую по расписанию задачу, которая будет периодически перемещать неиспользуемые файлы журнала агентов в другую папку. |
Примечание. |
---|
По умолчанию процесс ведения журнала транспорта осуществляется на уровне 0 (самый низкий). Если требуется, чтобы Exchange заносил запись в журнал событий при удалении файла журнала механизмом циклического ведения журнала, уровню ведения журнала транспорта необходимо присвоить значение 5 (максимальный) или 7 (эксперт). |
Содержание
Структура файлов журнала агентов
Сведения, записываемые в журнал агентов
Включение и отключение ведения журналов агентов
Необходимы сведения о задачах управления, связанных с ведением журналов агентов? См. раздел Управление транспортными серверами.
Обзор агентов транспорта
Агенты могут обрабатывать сообщения только в определенных точках последовательности команд SMTP, используемых для передачи сообщения через транспортный сервер-концентратор или пограничный транспортный сервер. Эти точки доступа в последовательности команд SMTP называются события SMTP. Каждому агенту можно назначить приоритет. Однако события SMTP всегда должны происходить в определенном порядке. Следовательно, приоритет агента зависит от события SMTP. Если два агента выполняют действие над сообщением во время одного события SMTP, агент, обладающий более высоким приоритетом, выполнит действие первым.
В следующей таблице перечислены события SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета, начиная с наивысшего, для каждого события SMTP.
События SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета для каждого события SMTP.
Событие SMTP | Агент |
---|---|
OnConnect |
Агент фильтра подключений |
OnMailCommand |
Агент фильтра подключений Агент фильтра отправителей |
OnRcptCommand |
Агент фильтра подключений Агент фильтра получателей |
OnEndOfHeaders |
Агент фильтра подключений Агент идентификации отправителей Агент фильтра отправителей |
OnEndOfData |
Агент пограничных правил Агент фильтра содержимого |
Дополнительные сведения об агентах, событиях SMTP и приоритете агентов см. в разделе Общие сведения об агентах транспорта.
Структура файлов журнала агентов
Журналы агентов находятся в папке C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog.
Имена файлов журнала агентов имеют следующий вид: AGENTLOGyyyymmdd-nnnn.log. Заполнители обозначают следующее:
- Заполнитель yyyymmdd представляет собой дату в формате
UTC, когда был создан файл журнала. При этом заполнитель
yyyy обозначает год, mm — месяц, а dd —
день.
- Заменитель nnnn представляет собой порядковый номер,
который каждый день начинается со значения 1.
Данные заносятся в файл журнала до тех пор, пока размер файла не достигнет 10 МБ. После этого будет открыт новый файл журнала со следующим порядковым номером. Эта процедура выполняется круглосуточно. При циклическом ведении журнала, когда каталог журналов подключений достигает 250 МБ или когда истекает срок хранения файла журнала (30 дней), удаляются самые старые файлы журнала.
Файлы журнала агентов представляют собой текстовые файлы в формате CSV. Каждый файл журнала агентов снабжен заголовком, содержащим следующие сведения.
- #Software Название программы, создавшей
файл журнала агентов. Обычно здесь указана программа
Microsoft Exchange Server.
- #Version Номер версии программы,
создавшей файл журнала агентов. Текущее значение – 8.0.0.0.
- #Log-Type Тип журнала — «Agent
Log».
- #Date Дата и время создания файла
журнала в формате UTC. Дата и время UTC представлены в формате ISO
8601: yyyy-mm-ddThh:mm:ss.fffZ, где
yyyy = год, mm = месяц,
dd = день, hh = час,
mm = минута, ss = секунда,
fff = доли секунды, а Z означает «Зулу»,
что является другим обозначением UTC.
- #Fields Разделенные запятыми имена
полей, используемые в файлах журнала агентов.
Сведения, записываемые в журнал агентов
В журнале агентов каждая транзакция агента хранится в отдельной строке. Сведения, хранящиеся в каждой строке, сгруппированы по полям. Поля разделяются запятыми. Как правило, имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть пустыми. Кроме того, тип данных, хранящихся в поле, может меняться в зависимости от агента или действия, выполняемого агентом над сообщением. В следующей таблице описаны поля, используемые для классификации каждой транзакции агента.
Поля, используемые для классификации каждой транзакции агента
Имя поля | Описание |
---|---|
Timestamp |
Дата и время события агента в формате UTC. Представляется в формате ISO 8601. Значение имеет следующий формат: yyyy-mm-ddThh:mm:ss.fffZ, где yyyy = год, mm = месяц, dd = день, hh = час, mm = минута, ss = секунда, fff = доли секунды, а Z означает «Зулу», что является другим обозначением UTC. |
SessionId |
Уникальный идентификатор сеанса SMTP. Идентификатор представляется 16-значным шестнадцатеричным числом. |
LocalEndpoint |
Локальный IP-адрес и номер порта, принявшего сообщение. Сеансы SMTP обычно используют порт 25. |
RemoteEndpoint |
IP-адрес и номер порта предыдущего сервера SMTP, подключавшегося к данному серверу для доставки сообщения. В топологии пограничного транспортного сервера и транспортного сервера-концентратора значением поля RemoteEndpoint в журнале агентов на транспортном сервере-концентраторе будет IP-адрес пограничного транспортного сервера. Хотя сообщение передано с помощью протокола SMTP, номер порта, использованного для отправки, будет случайным числом больше 1 024. |
EnteredOrgFromIP |
IP-адрес удаленного сервера SMTP, который подключается к организации Exchange для передачи сообщения. На пограничном транспортном сервере значения полей RemoteEndpoint и EnteredOrgFromIP одинаковы. Агенты защиты от нежелательной почты используют IP-адрес в поле EnteredOrgFromIP для проверки сообщения. |
MessageId |
Значение поля заголовка |
P1FromAddress |
Адрес электронной почты отправителя, указанный в параметре
|
P2FromAddresses |
Адрес электронной почты отправителя, указанный в поле заголовка
|
Recipient |
Адрес электронной почты получателей. Хотя исходное сообщение может быть предназначено нескольким получателям, в одной строке журнала агентов показывается только один получатель. |
NumRecipients |
Общее количество получателей исходного сообщения. |
Agent |
Имя агента, выполнившего данное действие Возможные значения:
|
Event |
Событие SMTP, при котором агент выполнил действие. Значение поля Event зависит от агента. События SMTP, доступные для каждого агента, описаны в первой таблице данного раздела. Возможны следующие значения поля Event:
|
Action |
Выполненное агентом действие над сообщением. Возможны следующие значения поля Action:
|
SmtpResponse |
Ответ Enhanced SMTP согласно RFC 2034. |
Reason |
Причина действия, указанная агентом. |
ReasonData |
Описание действия, указанное агентом. |
Поиск в журналах агентов
Для поиска в журналах агентов можно воспользоваться командлетом Get-AgentLog в командной консоли Exchange и сценарием Get-AntiSpamFilteringReport. Дополнительные сведения см. в разделе Get-AgentLog.
Включение и отключение ведения журналов агентов
По умолчанию ведение журналов агентов включено на транспортных серверах-концентраторах или на пограничных транспортных серверах. Ведение журналов агентов включается или отключается путем изменения файла EdgeTransport.exe.config, расположенного в папке C:\Program Files\Microsoft\Exchange Server\V14\Bin. Дополнительные сведения см. в разделе Общие сведения о файле EdgeTransport.exe.Config. EdgeTransport.exe и MSExchangeTransport.exe являются исполняемыми файлами, которые используются службой транспорта Microsoft Exchange.
Многие из доступных параметров конфигурации не имеют отношения к ведению журналов агентов. В этом разделе не рассматриваются параметры настройки, которые не относятся к ведению журналов агентов.
- Откройте в Блокноте файл
C:\Program Files\Microsoft\Exchange Server\V14\Bin\EdgeTransport.exe.config
- Измените в разделе
<appSettings>
следующую строку.
Скопировать код <add key="AgentLogEnabled" value="<TRUE | FALSE>" />
Скопировать код <add key="AgentLogEnabled" value="FALSE" />
- Сохраните и закройте файл EdgeTransport.exe.config.
- Перезапустите службу транспорта Microsoft Exchange.