Gestion de l'enregistrement dans le journal de l'Agent
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-01-09
Les journaux de l'Agent enregistrent les actions réalisées sur un message par les agents de protection contre le courrier indésirable spécifiques qui sont installés et configurés sur un ordinateur exécutant Microsoft Exchange Server 2007 sur lequel le rôle serveur de transport Edge ou de transport Hub est installé. Seuls les agents suivants peuvent écrire des informations dans le journal de l'Agent :
Agent de filtrage des connexions
Agent de filtrage du contenu
Agent d'application de règles de transport Edge
Agent de filtrage des destinataires
Agent de filtrage des expéditeurs
Agent d'ID de l'expéditeur
Les informations écrites dans le journal de l'Agent dépendent de l'Agent, de l'événement SMTP (Simple Mail Transfer Protocol) et de l'action réalisée sur le message.
La seule option configurable pour l'enregistrement dans le journal de l'Agent est le paramètre AgentLogEnabled du fichier de configuration d'application EdgeTransport.exe.config. Par défaut, l'enregistrement dans le journal de l'Agent est activé sur les serveurs de transport Hub ou de transport Edge. Les autres valeurs du journal de l'Agent qui ne sont pas configurables sont décrites dans la liste suivante :
Le chemin d'accès de l'emplacement de stockage des journaux de l'Agent est C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.
La taille maximale des fichiers du journal de l'Agent individuel est 10 Mo.
La taille maximale du répertoire contenant les fichiers du journal de l'Agent est 250 Mo.
L'âge maximal des fichiers du journal de l'Agent est 30 jours.
Le serveur Exchange 2007 utilise l'enregistrement circulaire pour limiter le nombre de journaux de l'Agent sur la base de la taille et de l'âge du fichier afin de contrôler l'espace disque utilisé par les fichiers journaux.
Notes
Si vous voulez conserver les fichiers journaux de l'Agent pour une durée supérieure à celle autorisée par âge du fichier ou les valeurs de la taille de répertoire que vous ne pouvez pas configurer, vous pouvez créer une tâche planifiée qui déplace périodiquement les fichiers journaux de l'Agent inutilisés dans un emplacement différent.
Notes
Par défaut, le processus d'enregistrement du transport a une valeur de niveau d'enregistrement égale à 0 (la plus basse). Si vous voulez qu'Microsoft Exchange écrive une entrée de journal des événements quand un enregistrement circulaire supprime un fichier journal, vous devez modifier la valeur de niveau d'enregistrement du processus d'enregistrement de transport en définissant 5 (Maximum) ou 7 (Expert). Pour plus d'informations, consultez la rubrique Procédure de modification des niveaux d'enregistrement des processus Exchange.
Vue d'ensemble des agents de transport
Les agents peuvent uniquement agir sur des messages à des points spécifiques dans la séquence de la commande SMTP utilisée pour transporter les messages via un serveur de transport Hub ou Edge. Ces points d'accès dans la séquence de commande SMTP sont appelés événements SMTP. Chaque agent dispose d'une valeur prioritaire pouvant lui être affectée. Toutefois, les événements SMTP doivent toujours se produire selon un ordre établi. Par conséquent, la priorité de l'Agent dépend de l'événement SMTP. Si deux agents peuvent agir sur un message lors du même événement SMTP, l'Agent disposant de la priorité la plus élevée agit d'abord sur le message.
Le tableau 1 répertorie les événements SMTP dans leur ordre d'apparition et les agents qui écrivent des informations dans le journal de l'Agent selon l'ordre de priorité décroissant pour chaque événement SMTP.
Tableau 1 Événements SMTP dans leur ordre d'apparition et les agents qui écrivent des informations dans le journal de l'Agent selon l'ordre de priorité pour chaque événement SMTP
Événement SMTP | Agent |
---|---|
OnConnect ; |
Agent de filtrage des connexions |
OnMailCommand |
Agent de filtrage des connexions Agent de filtrage des expéditeurs |
OnRcptCommand |
Agent de filtrage des connexions Agent de filtrage des destinataires |
OnEndOfHeaders |
Agent de filtrage des connexions Agent d'ID de l'expéditeur Agent de filtrage des expéditeurs |
OnEndOfData |
Agent d'application de règles de transport Edge Agent de filtrage du contenu |
Pour plus d'informations sur les agents, les événements SMTP et la priorité de l'agent, consultez la rubrique Vue d'ensemble des agents de transport.
Structure des fichiers journaux de l'Agent
Les fichiers journaux se trouvent dans C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog.
La convention d'appellation pour les fichiers journaux de l'Agent est AGENTLOGaaaammjj-nnnn.log. Les espaces réservés correspondent aux informations suivantes :
L'espace réservé aaaammjj est la date au format UTC (temps universel coordonné) à laquelle le fichier journal a été créé. aaaa = année, mm = mois et jj = jour.
L'espace réservé nnnn est un numéro d'instance qui commence à la valeur 1 pour chaque jour.
Les informations sont écrites dans le fichier journal jusqu’à ce que la taille du fichier atteigne 10 Mo. Puis, un nouveau fichier journal avec un numéro d’instance incrémenté est alors ouvert. Ce processus est répété au cours de la journée. L'enregistrement circulaire supprime les fichiers journaux les plus anciens lorsque la taille du répertoire du journal de l'Agent atteint 250 Mo ou lorsque le fichier journal est vieux de 30 jours.
Les fichiers journaux de l'Agent sont des fichiers texte contenant des données au format CSV (valeurs séparées par des virgules). Chaque fichier journal de l'Agent comporte un en-tête avec les informations suivantes :
#Software: Nom du logiciel ayant créé le fichier journal de l'Agent. La valeur par défaut est généralement Microsoft Exchange Server.
#Version: Numéro de version du logiciel ayant créé le fichier journal de l'Agent. La valeur est actuellement 8.0.0.0.
#Log-Type La valeur de ce champ est Agent Log.
#Date: Date-heure UTC de création du fichier journal. La date-heure UTC est représentée au format de date-heure ISO 8601 : yyyy-mm-ddThh:mm:ss.fffZ, où yyyy = année, mm = mois, dd = jour, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z correspond à Zulu (qui est une autre manière de désigner le temps universel).
#Fields: Noms de champ séparés par des virgules utilisés dans les fichiers journaux de l'Agent.
Informations consignées dans le journal de l'Agent
Le journal de l'Agent stocke chaque transaction d'agent sur une seule ligne dans le journal. Les informations stockées sur chaque ligne sont organisées par champs. Ces champs sont séparés par des virgules. Me nom du champ est généralement suffisamment descriptif pour déterminer le type d’information qu’il contient. Toutefois, certains champs peuvent être vides. Ou le type d'informations stockées dans le champ peut évoluer en fonction de l'Agent ou de l'action réalisée sur le message par l'Agent. Le tableau 2 présente les champs utilisés pour classifier chaque transaction d'agent.
Tableau 2 Champs utilisés pour classifier chaque transaction d'agent
Nom de champ | Description |
---|---|
Timestamp |
Date et heure UTC de l'événement de l'Agent. La représentation est réalisée au format ISO 8601. La valeur a le format yyyy-mm-ddThh:mm:ss.fffZ, où yyyy = année, mm = mois, dd = jour, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z correspond à Zulu. |
SessionId |
Identificateur unique de session SMTP. Cet identificateur est représenté sous la forme d'un nombre hexadécimal à 16 chiffres. |
LocalEndpoint |
Adresse IP locale et numéro de port acceptés par le message. Les sessions SMTP utilisent généralement le port 25. |
RemoteEndpoint |
Adresse IP et numéro de port du serveur SMTP précédent qui se sont connectés à ce serveur pour remettre les messages. Dans une topologie de serveur de transport Edge et de transport Hub, la valeur de RemoteEndpoint dans le journal de l'Agent du serveur de transport Hub est l'adresse IP du serveur de transport Edge. Même si la transmission du message s'effectue via le protocole SMTP, le numéro de port utilisé par le serveur d'envoi est un numéro aléatoire supérieur à 1024. |
EnteredOrgFromIP |
Adresse IP du serveur SMTP distant qui s'est connectée en premier à l'organisation Exchange pour remettre le message. Sur un serveur de transport Edge, les valeurs de paramètres RemoteEndpoint et EnteredOrgFromIP sont les mêmes. Les agents de blocage du courrier indésirable utilisent l'adresse IP de EnteredOrgFromIP pour examiner un message. |
MessageId |
Valeur du champ d'en-tête |
P1FromAddress |
Adresse de messagerie de l'expéditeur spécifiée par |
P2FromAddresses |
Adresse de messagerie de l'expéditeur spécifiée dans le champ d'en-tête |
Destinataire |
Adresse de messagerie des destinataires. Bien que le message d'origine puisse contenir plusieurs destinataires, un seul destinataire est affiché par ligne dans le journal de l'Agent. |
NumRecipients |
Nombre total de destinataires dans le message d'origine. |
Agent |
Nom de l'Agent qui a effectué l'action. Les valeurs possibles sont les suivantes :
|
Événement |
Événement SMTP où l'action a été effectuée par l'Agent. La valeur de Event dépend de l'Agent. Les événements SMTP disponibles pour chaque agent sont présentés dans le tableau 1, antérieurement dans cette rubrique. Les valeurs possibles pour Event sont les suivantes :
|
Action |
Action réalisée sur le message par l'Agent. Les valeurs possibles pour Action sont les suivantes :
|
SmtpResponse |
Réponse SMTP optimisée comme définie dans RFC 2034. |
Reason |
Raison de l'action prise en charge par l'Agent. |
ReasonData |
Détails descriptifs de l'action prise en charge par l'Agent. |
Recherche des journaux de l'Agent
La cmdlet Get-AgentLog de l'environnement de ligne de commande Exchange Management Shell et le script Get-AntiSpamFilteringReport permettent de rechercher des journaux de l'Agent.
Pour plus d'informations, consultez la rubrique Get-AgentLog.
Procédure d'activation ou de désactivation de l'enregistrement dans le journal de l'Agent
Par défaut, l'enregistrement dans le journal de l'Agent est activé sur les serveurs de transport Hub ou de transport Edge. L'enregistrement dans le journal de l'Agent est activé ou désactivé par la modification du fichier EdgeTransport.exe.config se trouvant dans C:\Program Files\Microsoft\Exchange Server\Bin. Le fichier EdgeTransport.exe.config file est un fichier de configuration d'application XML associé au fichier EdgeTransport.exe. EdgeTransport.exe et MSExchangeTransport.exe sont les fichiers exécutables utilisés par le service de transport Microsoft Exchange. Ce service s'exécute sur chaque serveur de transport Hub ou Edge. Les modifications apportées dans le fichier EdgeTransport.exe.config sont appliquées après le redémarrage du service de transport de Microsoft Exchange.
Voici un exemple de base de la structure typique du fichier EdgeTransport.exe.config :
<configuration>
<runtime>
<gcServer enabled="true" />
</runtime>
<appSettings>
<add key="
Option de configuration " value="
Valeur " />
...
</appSettings>
</configuration>
Vous pouvez ajouter des options de configuration ou modifier des options de configuration existantes dans la section <appSettings>
. De nombreuses options de configuration disponibles n'ont aucune relation avec la fonctionnalité d'enregistrement dans le journal de l'Agent. Toute option de configuration n’impliquant pas l'enregistrement dans le journal de l'Agent sort du cadre de cette rubrique.
Notes
Les noms de paramètre dans la section <add key=../>
sont sensibles à la casse.
Activation ou désactivation de l'enregistrement dans le journal de l'Agent
Ouvrez le fichier suivant dans le Bloc-notes : C:\Program Files\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config.
Modifiez la ligne suivante dans la section
<appSettings>
:<add key="AgentLogEnabled" value="<TRUE | FALSE>" />
Par exemple, pour désactiver l'enregistrement dans le journal de l'Agent, modifiez le paramètre AgentLogEnabled comme suit :
<add key="AgentLogEnabled" value="FALSE" />
Enregistrez et fermez le fichier EdgeTransport.exe.config.
Redémarrez le service de transport de Microsoft Exchange.
Pour plus d'informations
Pour plus d'informations, consultez la rubrique Fonctionnalités de blocage du courrier indésirable et des virus.