Ведение журнала в отношении агента защиты от нежелательной почты
Область применения: Exchange Server 2013 г.
В журналах агентов регистрируются действия, которые специальные агенты защиты от нежелательной почты в службе Microsoft Exchange Server 2013 выполняют с сообщением. Вносить сведения в журнал агентов могут только следующие агенты.
- Агент фильтрации подключений
- Агент фильтра содержимого
- Агент пограничных правил
- Агент фильтра получателей
- Агент фильтра отправителей
- Агент идентификации отправителей
Примечание.
Агент фильтрации подключений и агент пограничных правил недоступны на серверах почтовых ящиков.
Данные, записываемые в журнал агентов, зависят от агента, события SMTP и действия, выполненного над сообщением.
Командлет Set-TransportService позволяет выполнять в командной консоли Exchange все задачи по настройке журнала агентов. Для журналов агентов доступны следующие параметры.
- Включение или отключение ведения журнала агентов. По умолчанию регистрация включена.
- Указание расположения файлов журнала агента. Значением по умолчанию является %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.
- Указание максимального размера для отдельных файлов журнала агента. Значение по умолчанию 10 мегабайт (МБ).
- Указание максимального размера для каталога, содержащего файлы журнала агента. Размер по умолчанию 250 МБ.
- Указание максимального срока хранения для файлов журнала агента. Значение по умолчанию - 7 дней.
Для упрощения контроля расходования пространства на диске, используемого файлами журнала, в службе Exchange используется циклическое ведение журнала для ограничения размера журналов агентов на основе размера файлов и срока их хранения.
Обзор агентов транспорта
Агенты могут воздействовать на сообщения только в определенных точках последовательности команд SMTP, используемых для транспортировки сообщений через транспортную службу на сервере почтовых ящиков или пограничном транспортном сервере. Эти точки доступа в последовательности команд SMTP называются события SMTP. Каждому агенту можно назначить приоритет. Однако события SMTP всегда должны происходить в определенном порядке. Следовательно, приоритет агента зависит от события SMTP. Если два агента выполняют действие над сообщением во время одного события SMTP, агент, обладающий более высоким приоритетом, выполнит действие первым.
В следующей таблице перечислены события SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета, начиная с наивысшего, для каждого события SMTP.
События SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета для каждого события SMTP
| Событие SMTP | Агент |
|---|---|
| OnConnect | Агент фильтрации подключений |
| OnMailCommand | Агент фильтрации подключений Агент фильтра отправителей |
| OnRcptCommand | Агент фильтрации подключений Агент фильтра получателей |
| OnEndOfHeaders | Агент фильтрации подключений Агент идентификации отправителей Агент фильтра отправителей |
| OnEndOfData | Агент пограничных правил Агент фильтрации содержимого |
Примечание.
Агент фильтрации подключений и агент пограничных правил недоступны на серверах почтовых ящиков.
Дополнительные сведения об агентах, событиях SMTP и приоритете агентов см. в разделе Агенты транспорта.
Структура файлов журнала агента
Журналы агентов находятся в папке %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.
Соглашение об именовании для файлов журнала агента — AGENTLOGyyyyMMdd-nnnn.log. Заполнители обозначают следующее:
- Заполнитель yyyyMdd — это дата создания файла журнала в формате UTC. Заполнитель гггг = год, ММ = месяц и дд = день.
- Заполнитель nnnn — это номер экземпляра, начинающийся со значения 1 для каждого дня.
Данные записываются в файл журнала до тех пор, пока размер файла не достигнет максимально допустимого значения и не откроется новый файл журнала, имеющий следующий порядковый номер. Эта процедура выполняется круглосуточно. При циклическом ведении журнала удаляются самые старые файлы журнала, когда каталог журналов агентов достигает максимально допустимого размера, или когда файл журнала достигает максимально допустимого срока хранения.
Файлы журнала агентов представляют собой текстовые файлы в формате CSV. Каждый файл журнала агентов снабжен заголовком, содержащим следующие сведения.
- #Software: имя программного обеспечения, создавшего файл журнала агента. Как правило, значением является: Microsoft Exchange Server.
- #Version: номер версии программного обеспечения, создавшего файл журнала агента. Текущее значение 15.0.0.0.
- #Log-Type: значение типа журнала, которое является журналом агента.
- #Date: дата и время создания файла журнала в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: yyyy-MM-ddThh:mm:ss.fffZ, где гггг = год, ММ = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.
- #Fields: имена полей с разделителями-запятыми, используемые в файлах журнала агента.
Сведения, записываемые в журнал агента
В журнале агентов каждая транзакция агента хранится в отдельной строке. Сведения, хранящиеся в каждой строке, сгруппированы по полям. Поля разделяются запятыми. Как правило, имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть пустыми. Кроме того, тип данных, хранящихся в поле, может меняться в зависимости от агента или действия, выполняемого агентом над сообщением. В следующей таблице описаны поля, используемые для классификации каждой транзакции агента.
Поля, используемые для классификации каждой транзакции агента
| Имя поля | Описание |
|---|---|
| Timestamp | Дата и время события агента в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: yyyy-MM-ddThh:mm:ss.fffZ, где гггг = год, ММ = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC. |
| Sessionid | Уникальный идентификатор сеанса SMTP. Идентификатор представляется 16-значным шестнадцатеричным числом. |
| LocalEndpoint | Локальный IP-адрес и номер порта, принявшего сообщение. Сеансы SMTP обычно используют порт 25. |
| RemoteEndpoint | IP-адрес и номер порта предыдущего сервера SMTP, подключавшегося к данному серверу для доставки сообщения. При прохождении потока почты из Интернета через пограничный транспортный сервер в сети периметра значением RemoteEndpoint в журнале агента на сервере почтовых ящиков будет IP-адрес пограничного транспортного сервера. Хотя сообщение передано с помощью протокола SMTP, номер порта, использованного для отправки, будет случайным числом больше 1 024. |
| EnteredOrgFromIP | IP-адрес удаленного сервера SMTP, который первым подключается к организации Exchange, чтобы доставить сообщение. На пограничном транспортном сервере значения полей RemoteEndpoint и EnteredOrgFromIP одинаковы. Агенты защиты от нежелательной почты используют IP-адрес в поле EnteredOrgFromIP для проверки сообщения. |
| MessageId | Значение поля заголовка MessageID . Если это значение пусто, транспортный сервер Exchange назначает произвольное значение, но только если сообщение принято. После присвоения значения значение MessageID является константой в течение всего времени существования сообщения. |
| P1FromAddress | Адрес электронной почты отправителя, указанный в MAIL FROM конверте сообщения. Это значение используется для передачи сообщения между серверами обмена сообщениями SMTP. Это значение сравнивается со значением P2FromAddresses для определения того, не подделан ли адрес отправителя в заголовке сообщения. |
| P2FromAddresses | Адрес электронной почты отправителя, указанный From в поле заголовка Sender или в поле заголовка в заголовке сообщения. |
| Получатель | Адреса электронной почты получателей. Хотя исходное сообщение может быть предназначено нескольким получателям, в одной строке журнала агентов показывается только один получатель. |
| NumRecipients | Общее количество получателей исходного сообщения. |
| Агент | Имя агента, выполнившего данное действие. Возможные значения:
|
| Event | Событие SMTP, при котором агент выполнил действие. Значение поля Event зависит от агента. События SMTP, доступные для каждого агента, описаны в первой таблице данного раздела. Возможны следующие значения поля Event:
|
| Action | Выполненное агентом действие над сообщением. Возможны следующие значения поля Action:
|
| SmtpResponse | Ответ Enhanced SMTP согласно RFC 2034. |
| Reason | Причина действия, указанная агентом. |
| ReasonData | Описание действия, указанное агентом. |
Поиск журналов агентов
Искать журналы агентов можно с помощью командлета Get-AgentLog и сценария Get-AntiSpamFilteringReport.ps1.
Скрипт Get-AntiSpamFilteringReport.ps1 находится в %ExchangeInstallPath%Scripts. Вам необходимо запустить сценарий в командной консоли из папки "Сценарии". Чтобы изменить расположение в командной консоли на папку сценариев, выполните следующую команду:
Cd $env:ExchangeInstallPath\Scripts
Чтобы запустить папку сценариев, введите команду в следующем формате:
.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]
Для получения сведений об использовании сценария, выполните следующую команду:
Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1