스팸 방지 에이전트 로깅

  • 아티클

적용 대상: Exchange Server 2013

에이전트 로그는 2013년 Microsoft Exchange Server 특정 스팸 방지 에이전트가 메시지에 수행한 작업을 기록합니다. 다음 에이전트만 에이전트 로그에 정보를 쓸 수 있습니다.

  • 연결 필터링 에이전트
  • 콘텐츠 필터 에이전트
  • Edge 규칙 에이전트
  • 받는 사람 필터 에이전트
  • 보낸 사람 필터 에이전트
  • 보낸 사람 ID 에이전트

참고

연결 필터링 에이전트 및 Edge 규칙 에이전트는 사서함 서버에서 사용할 수 없습니다.

에이전트 로그에 기록된 정보는 에이전트, SMTP 이벤트 및 메시지에 대해 수행된 작업에 따라 달라집니다.

Exchange 관리 셸에서 Set-TransportService cmdlet을 사용하여 모든 에이전트 로그 구성 작업을 수행합니다. 에이전트 로그에 사용할 수 있는 옵션은 다음과 같습니다.

  • 에이전트 로깅을 사용하거나 사용하지 않도록 설정합니다. 기본적으로 사용하도록 설정되어 있습니다.
  • 에이전트 로그 파일의 위치를 지정합니다. 기본값은 %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog입니다.
  • 개별 에이전트 로그 파일의 최대 크기를 지정합니다. 기본 크기는 10MB입니다.
  • 에이전트 로그 파일이 포함된 디렉터리의 최대 크기를 지정합니다. 기본 크기는 250MB입니다.
  • 에이전트 로그 파일의 최대 기간을 지정합니다. 기본 연령은 7일입니다.

Exchange는 순환 로깅을 사용하여 파일 크기 및 파일 기간을 기준으로 에이전트 로그를 제한하여 로그 파일에 사용되는 하드 디스크 공간을 제어합니다.

전송 에이전트 개요

에이전트는 사서함 서버 또는 Edge 전송 서버의 전송 서비스를 통해 메시지를 전송하는 데 사용되는 SMTP 명령 시퀀스의 특정 지점에서만 메시지를 처리할 수 있습니다. SMTP 명령 시퀀스의 이러한 액세스 지점을 SMTP 이벤트라고 합니다. 각 에이전트에는 할당할 수 있는 우선 순위 값이 있습니다. 그러나 SMTP 이벤트는 항상 특정 순서로 발생해야 합니다. 따라서 에이전트 우선 순위는 SMTP 이벤트에 따라 달라집니다. 두 에이전트가 동일한 SMTP 이벤트 중에 메시지에 대해 작업할 수 있는 경우 우선 순위가 가장 높은 에이전트가 먼저 메시지에 대해 작동합니다.

다음 표에서는 발생 순서대로 SMTP 이벤트와 각 SMTP 이벤트에 대해 우선 순위 순서로 에이전트 로그에 정보를 쓰는 에이전트를 나열합니다.

발생 순서의 SMTP 이벤트 및 각 SMTP 이벤트에 대한 우선 순위 순서대로 에이전트 로그에 정보를 쓰는 에이전트

SMTP 이벤트 에이전트
OnConnect 연결 필터링 에이전트
OnMailCommand 연결 필터링 에이전트

보낸 사람 필터 에이전트
OnRcptCommand 연결 필터링 에이전트

받는 사람 필터 에이전트
OnEndOfHeaders 연결 필터링 에이전트

보낸 사람 ID 에이전트

보낸 사람 필터 에이전트
Onendofdata Edge 규칙 에이전트

콘텐츠 필터링 에이전트

참고

연결 필터링 에이전트 및 Edge 규칙 에이전트는 사서함 서버에서 사용할 수 없습니다.

에이전트, SMTP 이벤트 및 에이전트 우선 순위에 대한 자세한 내용은 전송 에이전트를 참조하세요.

에이전트 로그 파일의 구조

에이전트 로그는 %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog에 있습니다.

에이전트 로그 파일에 대한 명명 규칙은 입니다 AGENTLOGyyyyMMdd-nnnn.log. 자리 표시자는 다음 정보를 표시합니다.

  • 자리 표시자 yyyyMMdd 는 로그 파일을 만든 UTC(협정 세계시) 날짜입니다. 자리 표시자 yyyy = year, MM = month 및 dd = day입니다.
  • 자리 표시자 nnnn은 매일 값 1에서 시작하는 instance 숫자입니다.

파일 크기가 지정된 최대 값에 도달할 때까지 로그 파일에 정보가 기록되며, 증가된 인스턴스 번호를 지닌 새 로그 파일이 열립니다. 이 프로세스는 하루 종일 반복됩니다. 순환 로깅은 에이전트 로그 디렉터리가 지정된 최대 크기에 도달하거나 로그 파일이 지정된 최대 수에 도달할 때 가장 오래된 로그 파일을 삭제합니다.

에이전트 로그 파일은 CSV(쉼표로 구분된 값 파일) 형식의 데이터를 포함하는 텍스트 파일입니다. 각 에이전트 로그 파일에는 다음 정보가 포함된 헤더가 있습니다.

  • #Software: 에이전트 로그 파일을 만든 소프트웨어의 이름입니다. 일반적으로 이 값은 Microsoft Exchange Server입니다.
  • #Version: 에이전트 로그 파일을 만든 소프트웨어의 버전 번호입니다. 현재 이 값은 15.0.0.0입니다.
  • #Log 형식: 로그 형식 값(에이전트 로그)입니다.
  • #Date: 로그 파일을 만든 UTC 날짜-시간입니다. UTC 날짜-시간은 ISO 8601 날짜-시간 형식으로 표시됩니다 . yyyy-MM-ddThh:mm:ss.fffZ, 여기서 yyyy = year, MM = month, dd = day, T는 시간 구성 요소의 시작을 나타내고, hh = hour, mm = minute, ss = second, fff = 초의 분수, Z는 UTC를 나타내는 또 다른 방법인 Zulu를 나타냅니다.
  • #Fields: 에이전트 로그 파일에 사용되는 쉼표로 구분된 필드 이름입니다.

에이전트 로그에 기록된 정보

에이전트 로그는 각 에이전트 트랜잭션을 로그의 한 줄에 저장합니다. 각 줄에 저장된 정보는 필드별로 구성됩니다. 이러한 필드는 쉼표로 구분됩니다. 필드 이름은 일반적으로 포함된 정보의 유형을 확인할 수 있을 만큼 충분히 설명되어 있습니다. 그러나 일부 필드는 비어 있을 수 있습니다. 또는 필드에 저장된 정보의 유형은 에이전트 또는 에이전트가 메시지에 대해 수행한 작업에 따라 변경될 수 있습니다. 다음 표에서는 각 에이전트 트랜잭션을 분류하는 데 사용되는 필드에 대해 설명합니다.

각 에이전트 트랜잭션을 분류하는 데 사용되는 필드

필드 이름 설명
Timestamp 에이전트 이벤트의 UTC 날짜-시간입니다. UTC 날짜-시간은 ISO 8601 날짜-시간 형식으로 표시됩니다 . yyyy-MM-ddThh:mm:ss.fffZ, 여기서 yyyy = year, MM = month, dd = day, T는 시간 구성 요소의 시작을 나타내고, hh = hour, mm = minute, ss = second, fff = 초의 분수, Z는 UTC를 나타내는 또 다른 방법인 Zulu를 나타냅니다.
SessionId 고유한 SMTP 세션 식별자입니다. 이 식별자는 16자리 16자리 16진수로 표시됩니다.
LocalEndpoint 메시지를 수락한 로컬 IP 주소 및 포트 번호입니다. SMTP 세션은 일반적으로 포트 25를 사용합니다.
RemoteEndpoint 메시지를 배달하기 위해 이 서버에 연결된 이전 SMTP 서버의 IP 주소 및 포트 번호입니다. 인터넷 메일이 경계 네트워크의 Edge 전송 서버를 통해 흐르는 경우 사서함 서버의 에이전트 로그에 있는 RemoteEndpoint 값은 Edge 전송 서버의 IP 주소가 됩니다. 메시지가 SMTP에 의해 전송되더라도 보내는 서버에서 사용하는 포트 번호는 1,024보다 큰 난수입니다.
EnteredOrgFromIP Exchange organization 처음 연결하여 메시지를 배달한 원격 SMTP 서버의 IP 주소입니다. Edge 전송 서버에서 RemoteEndpointEnteredOrgFromIP 값은 동일합니다. 스팸 방지 에이전트는 EnteredOrgFromIP 의 IP 주소를 사용하여 메시지를 검사합니다.
MessageId 헤더 필드의 MessageID 값입니다. 이 값이 비어 있으면 Exchange 전송 서버는 메시지가 수락된 경우에만 임의의 값을 할당합니다. 값이 할당된 후 의 MessageID 값은 메시지의 수명 동안 상수입니다.
P1FromAddress 메시지 봉투에 MAIL FROM 지정된 보낸 사람 전자 메일 주소입니다. 이 값은 SMTP 메시징 서버 간에 메시지를 전송하는 데 사용됩니다. 이 값은 메시지 헤더의 보낸 사람 주소가 위조되었는지 여부를 확인하기 위해 P2FromAddresses 값과 비교하는 역할을 합니다.
P2FromAddresses 헤더 필드 또는 메시지 헤더의 FromSender 헤더 필드에 지정된 보낸 사람 전자 메일 주소입니다.
받는 사람 받는 사람의 Email 주소입니다. 원본 메시지에 여러 수신자가 포함될 수 있지만 에이전트 로그의 줄당 하나의 받는 사람만 표시됩니다.
NumRecipients 원본 메시지의 총 수신자 수입니다.
에이전트 작업을 수행한 에이전트의 이름입니다. 가능한 값은 다음과 같습니다.
  • 콘텐츠 필터 에이전트
  • 받는 사람 필터 에이전트
  • 보낸 사람 필터 에이전트
  • 보낸 사람 ID 에이전트
이벤트 에이전트가 작업을 수행한 SMTP 이벤트입니다. 이벤트 값은 에이전트에 따라 달라집니다. 각 에이전트에서 사용할 수 있는 SMTP 이벤트는 이 항목의 앞부분에 있는 첫 번째 표에 설명되어 있습니다. 이벤트에 사용할 수 있는 값은 다음과 같습니다.
  • OnConnect
  • OnEndOfHeaders
  • Onendofdata
  • OnMailCommand
  • OnRcptCommand
작업 에이전트가 메시지에 대해 수행하는 작업입니다. 작업에 사용할 수 있는 값은 다음과 같습니다.
  • AcceptMessage
  • DeleteMessage
  • DeleteRecipients
  • 분리
  • QuarantineMessage
  • QuarantineRecipients
  • RejectAuthentication
  • RejectCommand
  • RejectConnection
  • RejectMessage
  • RejectRecipients
SmtpResponse RFC 2034에 정의된 향상된 SMTP 응답입니다.
이유 에이전트가 제공한 작업에 대한 이유입니다.
ReasonData 에이전트에서 제공하는 작업에 대한 설명이 포함된 세부 정보입니다.

에이전트 로그 Search

Get-AgentLog cmdlet 및 Get-AntiSpamFilteringReport.ps1 스크립트를 사용하여 에이전트 로그를 검색할 수 있습니다.

Get-AntiSpamFilteringReport.ps1 스크립트는 에 있습니다%ExchangeInstallPath%Scripts. 스크립트 폴더의 셸에서 스크립트를 실행해야 합니다. Shell의 위치를 Scripts 폴더로 변경하려면 다음 명령을 실행합니다.

Cd $env:ExchangeInstallPath\Scripts

Scripts 폴더에서 스크립트를 실행하려면 다음 구문을 사용합니다.

.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]

스크립트 사용에 대한 자세한 내용은 다음 명령을 실행합니다.

Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1