Antispam-Agent-ProtokollierungAnti-spam agent logging

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Agent-Protokolle zeichnen die Aktionen auf, die von bestimmten Antispam-Agents in Microsoft Exchange Server 2013 für eine Nachricht ausgeführt werden. Nur die folgenden Agents können Informationen in das Agent-Protokoll schreiben:Agent logs record the actions performed on a message by specific anti-spam agents in Microsoft Exchange Server 2013. Only the following agents can write information to the agent log:

  • Verbindungsfilter-AgentConnection Filtering agent

  • Inhaltsfilter-AgentContent Filter agent

  • Edge-Regel-AgentEdge Rules agent

  • Empfängerfilter-AgentRecipient Filter agent

  • Absenderfilter-AgentSender Filter agent

  • Sender ID-AgentSender ID agent

Hinweis

Der Verbindungsfilter-Agent und der Agent für Edge-Regeln sind auf Postfachservern nicht verfügbar.The Connection Filtering agent and the Edge Rules agent aren't available on Mailbox servers.

Die in das Agent-Protokoll geschriebenen Informationen hängen vom Agent, dem SMTP-Ereignis und der Aktion ab, die für die Nachricht ausgeführt wird.The information written to the agent log depends on the agent, the SMTP event, and the action performed on the message.

Verwenden Sie das Cmdlet Set-TransportService in der Exchange-Verwaltungsshell, um alle Konfigurationsaufgaben für die Agent-Protokollierung auszuführen. Die folgenden Optionen sind für die Agent-Protokollierung verfügbar:You use the Set-TransportService cmdlet in the Exchange Management Shell to perform all agent log configuration tasks. The following options are available for the agent logs:

  • Aktivieren bzw. Deaktivieren der Agent-Protokollierung. Standardmäßig ist diese aktiviert.Enable or disable agent logging. The default is enabled.

  • Angeben des Speicherorts der Agent-Protokolldateien.Specify the location of the agent log files. Der Standardwert ist% ExchangeInstallPath% TransportRoles\Logs\Hub\AgentLog.The default value is %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

  • Angeben einer maximalen Größe für einzelne Agent-Protokolldateien. Die Standardgröße ist 10 MB.Specify a maximum size for the individual agent log files. The default size is 10 megabytes (MB).

  • Angeben einer maximalen Größe für das Verzeichnis, in dem die Agent-Protokolldateien enthalten sind. Die Standardgröße ist 250 MB.Specify a maximum size for the directory that contains agent log files. The default size is 250 MB.

  • Angeben einer maximalen Alters für die Agent-Protokolldateien. Die Standardeinstellung beträgt 7 Tage.Specify a maximum age for the agent log files. The default age is 7 days.

Exchange verwendet die Umlaufprotokollierung, um Größe und Alter der Agent-Protokolle zu begrenzen und somit den von den Protokolldateien benötigten Festplattenspeicherplatz zu verringern.Exchange uses circular logging to limit the agent logs based on file size and file age to help control the hard disk space used by the log files.

Übersicht über Transport-AgentsOverview of transport agents

Agents können nur an bestimmten Punkten in der SMTP-Befehlsfolge angewendet werden, die zum Transport der Nachrichten durch den Transportdienst auf einem Postfachserver oder einem Edge-Transport-Server verwendet wird. Diese Zugriffspunkte in der SMTP-Befehlsfolge werden SMTP-Ereignisse genannt. Jeder Agent hat einen Prioritätswert, der zugewiesen werden kann. Die SMTP-Ereignisse müssen allerdings stets in einer bestimmten Reihenfolge auftreten. Deshalb hängt die Agent-Priorität vom SMTP-Ereignis ab. Wenn zwei Agents während desselben SMTP-Ereignisses auf eine Nachricht angewendet werden können, wird der Agent mit der höchsten Priorität zuerst auf die Nachricht angewendet.Agents can only act upon messages at specific points in the SMTP command sequence used to transport the messages through the Transport service on a Mailbox server or an Edge Transport server. These access points in the SMTP command sequence are called SMTP events. Each agent has a priority value that can be assigned. However, the SMTP events must always occur in a specific order. Therefore, the agent priority depends on the SMTP event. If two agents can act on a message during the same SMTP event, the agent that has the highest priority will act on the message first.

Die folgende Tabelle enthält die SMTP-Ereignisse in der Reihenfolge ihres Auftretens sowie die Agents, die Informationen in das Agent-Protokoll schreiben (in der Prioritätsreihenfolge vom höchsten zum niedrigsten Wert für jedes SMTP-Ereignis).The following table lists the SMTP events in order of occurrence and the agents that write information to the agent log in order of priority from highest to lowest for each SMTP event.

SMTP-Ereignisse in der Reihenfolge ihres Auftretens sowie die Agents, die Informationen in das Agent-Protokoll schreiben, in der Prioritätsreihenfolge für jedes SMTP-EreignisSMTP events in order of occurrence and the agents that write information to the agent log in order of priority for each SMTP event

SMTP-EreignisSMTP event AgentAgent

OnConnectOnConnect

Verbindungsfilter-AgentConnection Filtering agent

OnMailCommandOnMailCommand

Verbindungsfilter-AgentConnection Filtering agent

Absenderfilter-AgentSender Filter agent

OnRcptCommandOnRcptCommand

Verbindungsfilter-AgentConnection Filtering agent

Empfängerfilter-AgentRecipient Filter agent

OnEndOfHeadersOnEndOfHeaders

Verbindungsfilter-AgentConnection Filtering agent

Sender ID-AgentSender ID agent

Absenderfilter-AgentSender Filter agent

OnEndOfDataOnEndOfData

Edge-Regel-AgentEdge Rules agent

Inhaltsfilter-AgentContent Filtering agent

Hinweis

Der Verbindungsfilter-Agent und der Agent für Edge-Regeln sind auf Postfachservern nicht verfügbar.The Connection Filtering agent and the Edge Rules agent aren't available on Mailbox servers.

Weitere Informationen zu Agents, SMTP-Ereignissen und Agent-Priorität finden Sie unter Transport-Agents.For more information about agents, SMTP events, and agent priority, see Transport agents.

Struktur der Agent-ProtokolldateienStructure of the agent log files

Die Agent-Protokolle sind in% ExchangeInstallPath%\TransportRoles\Logs\Hub AgentLog.The agent logs exist in %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

Die Benennungskonvention für die Agent-Protokolldateien lautet AGENTLOGyyymmdd-nnnn.log.The naming convention for the agent log files is AGENTLOGyyyymmdd-nnnn.log. Die Platzhalter stehen für die folgenden Informationen:The placeholders represent the following information:

  • Der Platzhalter JJJJMMTT ist das UTC-Datum (Coordinated Universal Time), an dem die Protokolldatei erstellt wurde.The placeholder yyyymmdd is the Coordinated Universal Time (UTC) date that the log file was created. Der Platzhalter yyyy = Year, mm = month und DD = Day.The placeholder yyyy = year, mm = month, and dd = day.

  • Der Platzhalter nnnn ist eine Instanznummer, die mit dem Wert 1 für jeden Tag beginnt.The placeholder nnnn is an instance number that starts at the value of 1 for each day.

Die Daten werden solange in die Protokolldatei geschrieben, bis die Dateigröße den maximal festgelegten Wert erreicht. Dann wird eine neue Datei mit der nächsthöheren Instanznummer geöffnet. Dieser Vorgang wird während des ganzen Tags wiederholt. Bei der Umlaufprotokollierung werden die ältesten Protokolldateien gelöscht, wenn das Agent-Protokollverzeichnis die festgelegte Maximalgröße oder eine Protokolldatei das festgelegte Höchstalter erreicht.Information is written to the log file until the file size reaches its maximum specified value, and a new log file that has an incremented instance number is opened. This process is repeated throughout the day. Circular logging deletes the oldest log files when the agent log directory reaches its maximum specified size, or when a log file reaches its maximum specified age.

Bei den Agent-Protokolldateien handelt es sich um Textdateien, die Daten im CSV-Dateiformat (Comma Separated Value) enthalten. Jede Agent-Protokolldatei enthält eine Kopfzeile mit den folgenden Informationen:The agent log files are text files that contain data in the comma-separated value file (CSV) format. Each agent log file has a header that contains the following information:

  • Software: Name der Software, von der die Agent-Protokolldatei erstellt wurde. ** #**#Software: Name of the software that created the agent log file. In der Regel lautet der Wert "Microsoft Exchange Server".Typically, the value is Microsoft Exchange Server.

  • Version: Versionsnummer der Software, von der die Agent-Protokolldatei erstellt wurde. ** #**#Version: Version number of the software that created the agent log file. Der aktuelle Wert lautet 15.0.0.0.Currently, the value is 15.0.0.0.

  • Log-Type: Log Type Value, Agent Log. ** #**#Log-Type: Log type value, which is Agent Log.

  • Datum: UTC Datum-Uhrzeit, zu der die Protokolldatei erstellt wurde. ** #**#Date: UTC date-time when the log file was created. Die UTC-Datum-Uhrzeit wird im ISO 8601-Datum-Uhrzeit-Format dargestellt: yyyy-mm-ttThh: mm: SS. fffZ, wobei yyyy = Year, mm = month, DD = Day, T den Anfang der Zeitkomponente angibt, HH = Hour, mm = Minute, SS = Second, fff = Brüche einer Sekunde, und Z bedeutet Zulu, was eine andere Möglichkeit zum bezeichnen von UTC ist.The UTC date-time is represented in the ISO 8601 date-time format: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

  • Fields: durch Kommas getrennte Feldnamen, die in den Agent-Protokolldateien verwendet werden. ** #**#Fields: Comma delimited field names used in the agent log files.

In das Agent-Protokoll geschriebene InformationenInformation written to the agent log

Im Agent-Protokoll werden die einzelnen Agent-Transaktionen jeweils in einer einzelnen Zeile gespeichert. Die in den einzelnen Zeilen gespeicherten Informationen sind nach Feldern angeordnet. Diese Felder sind durch Kommas getrennt. Anhand des Feldnamens kann im Allgemeinen festgestellt werden, welchen Informationstyp das jeweilige Feld enthält. Einige Felder sind jedoch ggf. leer. Oder der Typ der im Feld gespeicherten Information kann sich basierend auf dem Agent oder der Aktion ändern, die vom Agent auf die Nachricht angewendet wird. In der folgenden Tabelle werden die Felder beschrieben, die zum Klassifizieren der einzelnen Agent-Transaktionen verwendet werden.The agent log stores each agent transaction on a single line in the log. The information stored on each line is organized by fields. These fields are separated by commas. The field name is generally descriptive enough to determine the type of information it contains. However, some of the fields may be blank. Or the type of information stored in the field may change based on the agent or the action performed on the message by the agent. The following table describes the fields used to classify each agent transaction.

Zum Klassifizieren der einzelnen Agent-Transaktionen verwendete FelderFields used to classify each agent transaction

FeldField name BeschreibungDescription

TimestampTimestamp

Datum und Uhrzeit des Agent-Ereignisses im UTC-Format.UTC date-time of the agent event. Die UTC-Datum-Uhrzeit wird im ISO 8601-Datum-Uhrzeit-Format dargestellt: yyyy-mm-ttThh: mm: SS. fffZ, wobei yyyy = Year, mm = month, DD = Day, T den Anfang der Zeitkomponente angibt, HH = Hour, mm = Minute, SS = Second, fff = Brüche einer Sekunde, und Z bedeutet Zulu, was eine andere Möglichkeit zum bezeichnen von UTC ist.The UTC date-time is represented in the ISO 8601 date-time format: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

SessionIDSessionId

Eindeutige SMTP-Sitzungs-ID. Diese ID wird als 16-stelliger Hexadezimalwert angegeben.Unique SMTP session identifier. This identifier is represented as a 16-digit hexadecimal number.

LocalEndPointLocalEndpoint

Lokale IP-Adresse und Portnummer, die die Nachricht angenommen hat.Local IP address and port number that accepted the message. Für SMTP-Sitzungen wird meist Port 25 verwendet.SMTP sessions typically use port 25.

RemoteEndPointRemoteEndpoint

IP-Adresse und Portnummer des vorherigen SMTP-Servers, der sich zum Übermitteln der Nachricht mit diesem Server verbunden hat. Wenn Internetnachrichten über einen Edge-Transport-Server im Umkreisnetzwerk übermittelt werden, weist der Wert von RemoteEndpoint im Agent-Protokoll auf dem Postfachserver die IP-Adresse des Edge-Transport-Servers auf. Auch wenn die Nachricht über SMTP übertragen wird, ist die vom absendenden Server verwendete Portnummer eine beliebige Zahl größer als 1.024. IP address and port number of the previous SMTP server that connected to this server to deliver the message. When Internet mail flows through an Edge Transport server in the perimeter network, the value of RemoteEndpoint in the agent log on the Mailbox server will be the IP address of the Edge Transport server. Even though the message is transmitted by SMTP, the port number used by the sending server will be a random number larger than 1,024.

EnteredOrgFromIPEnteredOrgFromIP

Die IP-Adresse des SMTP-Remoteservers, der zum Zustellen der Nachricht zuerst eine Verbindung mit der Exchange-Organisation hergestellt hat. Auf einem Edge-Transport-Server ist der Wert von RemoteEndpoint und EnteredOrgFromIP identisch. Antispam-Agents verwenden die IP-Adresse in EnteredOrgFromIP, um eine Nachricht zu untersuchen. IP address of the remote SMTP server that first connected to the Exchange organization to deliver the message. On an Edge Transport server, the value of RemoteEndpoint and EnteredOrgFromIP are the same. Anti-spam agents use the IP address in EnteredOrgFromIP to examine a message.

MessageIdMessageId

Wert des MessageID Kopfzeilenfelds.Value of the MessageID header field. Ist dieser Wert leer, weist der Exchange-Transportserver einen beliebigen Wert zu, jedoch nur, wenn die Nachricht angenommen wird.If this value is blank, the Exchange transport server assigns an arbitrary value, but only if the message is accepted. Nachdem ein Wert zugewiesen wurde, ist der Wert MessageID von für die Lebensdauer der Nachricht konstant.After a value is assigned, the value of MessageID is constant for the lifetime of the message.

P1FromAddressP1FromAddress

Absender-e-Mail MAIL FROM -Adresse, die im Nachrichtenumschlag angegeben ist.Sender email address specified in MAIL FROM in the message envelope. Dieser Wert dient zum Transportieren der Nachricht zwischen SMTP-Messagingservern.This value is used to transport the message between SMTP messaging servers. Dieser Wert dient zum Vergleich mit dem Wert von P2FromAddresses, um zu ermitteln, ob die Absenderadresse im Nachrichtenkopf gefälscht ist.This value serves as a comparison to the value of P2FromAddresses to determine whether the sender address in the message header is forged.

P2FromAddressesP2FromAddresses

Absender-e-Mail- From Adresse, die im Kopf Sender Zeilenfeld oder im Kopfzeilenfeld im Nachrichtenkopf angegeben ist.Sender email address specified in the From header field or in the Sender header field in the message header.

RecipientRecipient

E-Mail-Adresse der Empfänger. Obgleich die ursprüngliche Nachricht mehrere Empfänger enthalten kann, wird im Agent-Protokoll pro Zeile nur ein Empfänger angezeigt.Email address of the recipients. Although the original message may contain multiple recipients, only one recipient is displayed per line in the agent log.

NumRecipientsNumRecipients

Gesamtanzahl der Empfänger in der ursprünglichen Nachricht.Total number of recipients in the original message.

AgentAgent

Name des Agents, der die Aktion durchführt. Die folgenden Werte sind möglich:Name of the agent that took the action. The possible values are as follows:

  • Inhaltsfilter-AgentContent Filter agent

  • Empfängerfilter-AgentRecipient Filter agent

  • Absenderfilter-AgentSender Filter agent

  • Sender ID-AgentSender ID agent

EventEvent

SMTP-Ereignis, bei dem der Agent die Aktion ausgeführt hat. Der Wert von Event hängt vom Agent ab. Die SMTP-Ereignisse, die jedem Agent zur Verfügung stehen, wurden bereits in der ersten Tabelle weiter oben in diesem Thema beschrieben. Die möglichen Werte für Event lauten wie folgt: SMTP event where the action was taken by the agent. The value of Event depends on the agent. The SMTP events available to each agent are described in the first table earlier in this topic. The possible values for Event are as follows:

  • OnConnectOnConnect

  • OnEndOfHeadersOnEndOfHeaders

  • OnEndOfDataOnEndOfData

  • OnMailCommandOnMailCommand

  • OnRcptCommandOnRcptCommand

ActionAction

Vom Agent auf die Nachricht angewendete Aktion. Die möglichen Werte für Action lauten wie folgt: Action performed on the message by the agent. The possible values for Action are as follows:

  • AcceptMessageAcceptMessage

  • DeleteMessageDeleteMessage

  • DeleteRecipientsDeleteRecipients

  • DisconnectDisconnect

  • QuarantineMessageQuarantineMessage

  • QuarantineRecipientsQuarantineRecipients

  • RejectAuthenticationRejectAuthentication

  • RejectCommandRejectCommand

  • RejectConnectionRejectConnection

  • RejectMessageRejectMessage

  • RejectRecipientsRejectRecipients

SmtpResponseSmtpResponse

Enhanced SMTP-Antwort gemäß der Definition in RFC 2034.Enhanced SMTP response as defined in RFC 2034.

ReasonReason

Grund für die vom Agent durchgeführte Aktion.Reason for the action supplied by the agent.

ReasonDataReasonData

Beschreibende Details zu der vom Agent durchgeführten Aktion.Descriptive details for the action supplied by the agent.

Durchsuchen der Agent-ProtokolleSearch the agent logs

Sie können das Cmdlet Get-AgentLog und das Skript Get-AntiSpamFilteringReport.ps1 verwenden, um die Agent-Protokolle zu durchsuchen.You can use the Get-AgentLog cmdlet and the Get-AntiSpamFilteringReport.ps1 script to search the agent logs.

Das Skript Get-antispamfilteringreport. ps1- Skript befindet sich %ExchangeInstallPath%Scriptsin.The Get-AntiSpamFilteringReport.ps1 script is located in %ExchangeInstallPath%Scripts. You need to run the script in the Shell from the Scripts folder.You need to run the script in the Shell from the Scripts folder. To change your location in the Shell to the Scripts folder, run the following command:To change your location in the Shell to the Scripts folder, run the following command:

Cd $env:ExchangeInstallPath\Scripts

To run the script in the Scripts folder, use the following syntax:To run the script in the Scripts folder, use the following syntax:

.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]

Führen Sie den folgenden Befehl aus, um Einzelheiten zum Verwenden des Skripts zu erfahren:For details about using the script, run the following command:

Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1