Registro de log do agente antispam
Aplica-se a: Exchange Server 2013
Os logs do agente registram as ações executadas em uma mensagem por agentes anti-spam específicos no Microsoft Exchange Server 2013. Somente os seguintes agentes podem gravar informações no log do agente:
- Agente de Filtragem de Conexão
- Agente de Filtro de Conteúdo
- Agente do Edge Rules
- Agente de Filtro de Destinatários
- Agente de Filtro por Remetente
- Agente de ID de Remetente
Observação
O agente de filtragem de conexões e o agente do Edge Rules não estão disponíveis em servidores de caixa de correio.
As informações gravadas no log do agente dependem do agente, do evento SMTP e da ação executada na mensagem.
Você usa o cmdlet Set-TransportService no Shell de Gerenciamento do Exchange para executar todas as tarefas de configuração de log do agente. As seguintes opções estão disponíveis para os logs do agente:
- Habilitar ou desabilitar o registro em log do agente. O padrão é habilitado.
- Especifique o local dos arquivos de log do agente. O valor padrão é %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.
- Especifique um tamanho máximo para os arquivos de log do agente individual. O tamanho padrão é de 10 megabytes (MB).
- Especifique um tamanho máximo para o diretório que contém arquivos de log do agente. O tamanho padrão é 250 MB.
- Especifique uma idade máxima para os arquivos de log do agente. A idade padrão é de 7 dias.
O Exchange usa log circular para limitar os logs do agente com base no tamanho do arquivo e na idade do arquivo para ajudar a controlar o espaço em disco rígido usado pelos arquivos de log.
Visão geral dos agentes de transporte
Os agentes só podem agir em mensagens em pontos específicos na sequência de comandos SMTP usada para transportar as mensagens por meio do serviço de transporte em um servidor da Caixa de Correio ou em um servidor de Transporte de Borda. Esses pontos de acesso na sequência de comandos SMTP são chamados de eventos SMTP. Cada agente tem um valor de prioridade que pode ser atribuído. No entanto, os eventos SMTP sempre devem ocorrer em uma ordem específica. Portanto, a prioridade do agente depende do evento SMTP. Se dois agentes puderem agir em uma mensagem durante o mesmo evento SMTP, o agente que tiver a maior prioridade agirá na mensagem primeiro.
A tabela a seguir lista os eventos SMTP em ordem de ocorrência e os agentes que gravam informações no log do agente em ordem de prioridade de mais alto a mais baixo para cada evento SMTP.
Eventos SMTP em ordem de ocorrência e os agentes que gravam informações no log do agente em ordem de prioridade para cada evento SMTP
| Evento SMTP | Agente |
|---|---|
| OnConnect | Agente de Filtragem de Conexão |
| OnMailCommand | Agente de Filtragem de Conexão Agente de Filtro por Remetente |
| OnRcptCommand | Agente de Filtragem de Conexão Agente de Filtro de Destinatários |
| OnEndOfHeaders | Agente de Filtragem de Conexão Agente de ID de Remetente Agente de Filtro por Remetente |
| Onendofdata | Agente do Edge Rules Agente de Filtragem de Conteúdo |
Observação
O agente de filtragem de conexões e o agente do Edge Rules não estão disponíveis em servidores de caixa de correio.
Para obter mais informações sobre agentes, eventos SMTP e prioridade do agente, consulte Agentes de transporte.
Estrutura dos arquivos de log do agente
Os logs do agente existem em %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.
A convenção de nomenclatura para os arquivos de log do agente é AGENTLOGyyyyMMdd-nnnn.log. Os marcadores representam as seguintes informações:
- O espaço reservado yyyyMdd é a data UTC (Hora Universal Coordenada) que o arquivo de log foi criado. O espaço reservado yyyy = ano, MM = mês e dd = dia.
- O espaço reservado nnnn é um número de instância que começa no valor de 1 para cada dia.
Informações são gravadas no arquivo de log até o tamanho do arquivo atingir o valor máximo especificado e um novo arquivo de log com número de instância incrementado ser aberto. Esse processo se repete ao longo do dia. O log circular exclui os arquivos de log mais antigos quando o diretório de log do agente atinge seu tamanho máximo especificado ou quando um arquivo de log atinge sua idade máxima especificada.
Os arquivos de log do agente são arquivos de texto que contêm dados no formato CSV (arquivo de valor separado por vírgulas). Cada arquivo de log do agente tem um cabeçalho que contém as seguintes informações:
- #Software: nome do software que criou o arquivo de log do agente. Normalmente, o valor é Microsoft Exchange Server.
- #Version: número de versão do software que criou o arquivo de log do agente. Atualmente, o valor é 15.0.0.0.
- #Log tipo: valor de tipo de log, que é o Log do Agente.
- #Date: hora de data utc quando o arquivo de log foi criado. A data-hora utc é representada no formato iso 8601 date-time: yyyy-MM-ddThh:mm:ss.fffZ, em que yyyy = year, MM = month, dd = day, T indica o início do componente de tempo, hh = hora, mm = minuto, ss = segundo, fff = frações de segundo, e Z significa Zulu, que é outra maneira de denotar UTC.
- #Fields: nomes de campo delimitados por vírgulas usados nos arquivos de log do agente.
Informações gravadas no log do agente
O log do agente armazena cada transação de agente em uma única linha no log. As informações armazenadas em cada linha são organizadas por campos. Esses campos são separados por vírgulas. O nome do campo geralmente é descritivo o suficiente para determinar o tipo de informação que ele contém. No entanto, alguns dos campos podem estar em branco. Ou o tipo de informações armazenadas no campo pode ser alterado com base no agente ou na ação executada na mensagem pelo agente. A tabela a seguir descreve os campos usados para classificar cada transação de agente.
Campos usados para classificar cada transação de agente
| Nome do campo | Descrição |
|---|---|
| Carimbo de data/hora | Hora de data utc do evento do agente. A data-hora utc é representada no formato iso 8601 date-time: yyyy-MM-ddThh:mm:ss.fffZ, em que yyyy = year, MM = month, dd = day, T indica o início do componente de tempo, hh = hora, mm = minuto, ss = segundo, fff = frações de segundo, e Z significa Zulu, que é outra maneira de denotar UTC. |
| Sessionid | Identificador de sessão SMTP exclusivo. Esse identificador é representado como um número hexadecimal de 16 dígitos. |
| Localendpoint | Endereço IP local e número de porta que aceitaram a mensagem. As sessões SMTP normalmente usam a porta 25. |
| Remoteendpoint | Endereço IP e número da porta do servidor SMTP anterior que se conectou a esse servidor para entregar a mensagem. Quando o email da Internet flui por meio de um servidor de Transporte de Borda na rede de perímetro, o valor de RemoteEndpoint no log do agente no servidor da caixa de correio será o endereço IP do servidor de Transporte de Borda. Embora a mensagem seja transmitida pelo SMTP, o número da porta usado pelo servidor de envio será um número aleatório maior que 1.024. |
| EnteredOrgFromIP | Endereço IP do servidor SMTP remoto que primeiro se conectou à organização do Exchange para entregar a mensagem. Em um servidor de Transporte de Borda, o valor de RemoteEndpoint e EnteredOrgFromIP são os mesmos. Agentes anti-spam usam o endereço IP em EnteredOrgFromIP para examinar uma mensagem. |
| MessageId | Valor do MessageID campo cabeçalho. Se esse valor estiver em branco, o servidor de transporte do Exchange atribuirá um valor arbitrário, mas somente se a mensagem for aceita. Depois que um valor é atribuído, o valor de MessageID é constante para o tempo de vida da mensagem. |
| P1FromAddress | Endereço de email do remetente especificado no MAIL FROM envelope da mensagem. Esse valor é usado para transportar a mensagem entre servidores de mensagens SMTP. Esse valor serve como uma comparação com o valor de P2FromAddresses para determinar se o endereço do remetente no cabeçalho da mensagem é forjado. |
| P2FromAddresses | Endereço de email do remetente especificado no campo cabeçalho From ou no Sender campo cabeçalho no cabeçalho da mensagem. |
| Recipiente | Email endereço dos destinatários. Embora a mensagem original possa conter vários destinatários, apenas um destinatário é exibido por linha no log do agente. |
| NumRecipients | Número total de destinatários na mensagem original. |
| Agente | Nome do agente que tomou a ação. Os valores possíveis são os seguintes:
|
| Event | Evento SMTP em que a ação foi tomada pelo agente. O valor de Evento depende do agente. Os eventos SMTP disponíveis para cada agente são descritos na primeira tabela anterior neste tópico. Os valores possíveis para Evento são os seguintes:
|
| Action | Ação executada na mensagem pelo agente. Os valores possíveis para a Ação são os seguintes:
|
| SmtpResponse | Resposta SMTP aprimorada conforme definido no RFC 2034. |
| Motivo | Motivo da ação fornecida pelo agente. |
| ReasonData | Detalhes descritivos para a ação fornecida pelo agente. |
Pesquisa os logs do agente
Você pode usar o cmdlet Get-AgentLog e o scriptGet-AntiSpamFilteringReport.ps1 para pesquisar os logs do agente.
O scriptGet-AntiSpamFilteringReport.ps1 está localizado em %ExchangeInstallPath%Scripts. Você precisa executar o script no Shell na pasta Scripts. Para alterar sua localização no Shell para a pasta Scripts, execute o seguinte comando:
Cd $env:ExchangeInstallPath\Scripts
Para executar o script na pasta Scripts, use a seguinte sintaxe:
.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]
Para obter detalhes sobre como usar o script, execute o seguinte comando:
Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1