Antispam-Agent-Protokollierung
Gilt für: Exchange Server 2013
Agent-Protokolle zeichnen die Aktionen auf, die von bestimmten Antispam-Agents in Microsoft Exchange Server 2013 für eine Nachricht ausgeführt werden. Nur die folgenden Agents können Informationen in das Agent-Protokoll schreiben:
- Verbindungsfilter-Agent
- Inhaltsfilter-Agent
- Edge-Regel-Agent
- Empfängerfilter-Agent
- Absenderfilter-Agent
- Sender ID-Agent
Hinweis
Der Verbindungsfilter-Agent und der Agent für Edge-Regeln sind auf Postfachservern nicht verfügbar.
Die in das Agent-Protokoll geschriebenen Informationen hängen vom Agent, dem SMTP-Ereignis und der Aktion ab, die für die Nachricht ausgeführt wird.
Verwenden Sie das Cmdlet Set-TransportService in der Exchange-Verwaltungsshell, um alle Konfigurationsaufgaben für die Agent-Protokollierung auszuführen. Die folgenden Optionen sind für die Agent-Protokollierung verfügbar:
- Aktivieren oder deaktivieren Sie die Agentprotokollierung. Standardmäßig ist diese aktiviert.
- Angeben des Speicherorts der Agent-Protokolldateien. Der Standardwert ist "%ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog".
- Angeben einer maximalen Größe für einzelne Agent-Protokolldateien. Die Standardgröße ist 10 MB.
- Angeben einer maximalen Größe für das Verzeichnis, in dem die Agent-Protokolldateien enthalten sind. Die Standardgröße ist 250 MB.
- Angeben einer maximalen Alters für die Agent-Protokolldateien. Die Standardeinstellung beträgt 7 Tage.
Exchange verwendet die Umlaufprotokollierung, um Größe und Alter der Agent-Protokolle zu begrenzen und somit den von den Protokolldateien benötigten Festplattenspeicherplatz zu verringern.
Übersicht über Transport-Agents
Agents können nur an bestimmten Punkten in der SMTP-Befehlsfolge angewendet werden, die zum Transport der Nachrichten durch den Transportdienst auf einem Postfachserver oder einem Edge-Transport-Server verwendet wird. Diese Zugriffspunkte in der SMTP-Befehlsfolge werden SMTP-Ereignisse genannt. Jeder Agent hat einen Prioritätswert, der zugewiesen werden kann. Die SMTP-Ereignisse müssen allerdings stets in einer bestimmten Reihenfolge auftreten. Deshalb hängt die Agent-Priorität vom SMTP-Ereignis ab. Wenn zwei Agents während desselben SMTP-Ereignisses auf eine Nachricht angewendet werden können, wird der Agent mit der höchsten Priorität zuerst auf die Nachricht angewendet.
Die folgende Tabelle enthält die SMTP-Ereignisse in der Reihenfolge ihres Auftretens sowie die Agents, die Informationen in das Agent-Protokoll schreiben (in der Prioritätsreihenfolge vom höchsten zum niedrigsten Wert für jedes SMTP-Ereignis).
SMTP-Ereignisse in der Reihenfolge ihres Auftretens sowie die Agents, die Informationen in das Agent-Protokoll schreiben, in der Prioritätsreihenfolge für jedes SMTP-Ereignis
| SMTP-Ereignis | Agent |
|---|---|
| OnConnect | Verbindungsfilter-Agent |
| OnMailCommand | Verbindungsfilter-Agent Absenderfilter-Agent |
| OnRcptCommand | Verbindungsfilter-Agent Empfängerfilter-Agent |
| OnEndOfHeaders | Verbindungsfilter-Agent Sender ID-Agent Absenderfilter-Agent |
| OnEndOfData | Edge-Regel-Agent Inhaltsfilter-Agent |
Hinweis
Der Verbindungsfilter-Agent und der Agent für Edge-Regeln sind auf Postfachservern nicht verfügbar.
Weitere Informationen zu Agents, SMTP-Ereignissen und Agent-Priorität finden Sie unter Transport-Agents.
Struktur der Agent-Protokolldateien
Die Agent-Protokolle befinden sich unter "%ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog".
Die Namenskonvention für die Agent-Protokolldateien ist AGENTLOGyyyymmdd-nnnn.log. Die Platzhalter stehen für die folgenden Informationen:
- Der Platzhalter yyyymmdd ist das Utc-Datum (Coordinated Universal Time), an dem die Protokolldatei erstellt wurde. Der Platzhalter yyyy = year, mm = month und dd = day.
- Der Platzhalter nnnn ist eine Instanznummer, die mit dem Wert 1 für jeden Tag beginnt.
Informationen werden in die Protokolldatei geschrieben, bis die Dateigröße ihren angegebenen Maximalwert erreicht und eine neue Protokolldatei mit einer inkrementierten Instanznummer geöffnet wird. Dieser Vorgang wird während des ganzen Tags wiederholt. Die Zirkelprotokollierung löscht die ältesten Protokolldateien, wenn das Agent-Protokollverzeichnis seine maximale angegebene Größe erreicht oder wenn eine Protokolldatei ihr maximales angegebenes Alter erreicht.
Bei den Agent-Protokolldateien handelt es sich um Textdateien, die Daten im CSV-Dateiformat (Comma Separated Value) enthalten. Jede Agent-Protokolldatei enthält eine Kopfzeile mit den folgenden Informationen:
- #Software: Name der Software, die die Agent-Protokolldatei erstellt hat. In der Regel lautet der Wert "Microsoft Exchange Server".
- #Version: Versionsnummer der Software, die die Agent-Protokolldatei erstellt hat. Der aktuelle Wert lautet 15.0.0.0.
- #Log-Type: Protokolltypwert, d. h. Agent-Protokoll.
- #Date: UTC-Datum/Uhrzeit der Erstellung der Protokolldatei. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, mm = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit ist, UTC anzugeben.
- #Fields: Durch Trennzeichen getrennte Feldnamen, die in den Agent-Protokolldateien verwendet werden.
In das Agent-Protokoll geschriebene Informationen
Das Agentprotokoll speichert jede Agent-Transaktion in einer einzelnen Zeile im Protokoll. Die in den einzelnen Zeilen gespeicherten Informationen sind nach Feldern angeordnet. Diese Felder sind durch Kommas getrennt. Der Feldname ist im Allgemeinen beschreibend genug, um den Typ der darin enthaltenen Informationen zu bestimmen. Einige der Felder sind jedoch möglicherweise leer. Oder der Typ der im Feld gespeicherten Informationen kann sich basierend auf dem Agent oder der Aktion ändern, die vom Agent für die Nachricht ausgeführt wird. In der folgenden Tabelle werden die Felder beschrieben, die zum Klassifizieren der einzelnen Agent-Transaktionen verwendet werden.
Zum Klassifizieren der einzelnen Agent-Transaktionen verwendete Felder
| Feld | Beschreibung |
|---|---|
| Timestamp | Datum und Uhrzeit des Agent-Ereignisses im UTC-Format. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, mm = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit ist, UTC anzugeben. |
| Sessionid | Eindeutige SMTP-Sitzungs-ID. Diese ID wird als 16-stelliger Hexadezimalwert angegeben. |
| LocalEndpoint | Lokale IP-Adresse und Portnummer, die die Nachricht angenommen hat. Für SMTP-Sitzungen wird meist Port 25 verwendet. |
| Remoteendpoint | IP-Adresse und Portnummer des vorherigen SMTP-Servers, der sich zum Übermitteln der Nachricht mit diesem Server verbunden hat. Wenn Internetnachrichten über einen Edge-Transport-Server im Umkreisnetzwerk übermittelt werden, weist der Wert von RemoteEndpoint im Agent-Protokoll auf dem Postfachserver die IP-Adresse des Edge-Transport-Servers auf. Auch wenn die Nachricht über SMTP übertragen wird, ist die vom absendenden Server verwendete Portnummer eine beliebige Zahl größer als 1.024. |
| EnteredOrgFromIP | Die IP-Adresse des SMTP-Remoteservers, der zum Zustellen der Nachricht zuerst eine Verbindung mit der Exchange-Organisation hergestellt hat. Auf einem Edge-Transport-Server ist der Wert von RemoteEndpoint und EnteredOrgFromIP identisch. Antispam-Agents verwenden die IP-Adresse in EnteredOrgFromIP, um eine Nachricht zu untersuchen. |
| MessageId | Wert des MessageID Headerfelds. Ist dieser Wert leer, weist der Exchange-Transportserver einen beliebigen Wert zu, jedoch nur, wenn die Nachricht angenommen wird. Nachdem ein Wert zugewiesen wurde, ist der Wert von MessageID für die Lebensdauer der Nachricht konstant. |
| P1FromAddress | Absender-E-Mail-Adresse, die in MAIL FROM im Nachrichtenumschlag angegeben ist. Dieser Wert dient zum Transportieren der Nachricht zwischen SMTP-Messagingservern. Dieser Wert dient zum Vergleich mit dem Wert von P2FromAddresses, um zu ermitteln, ob die Absenderadresse im Nachrichtenkopf gefälscht ist. |
| P2FromAddresses | Absender-E-Mail-Adresse, die From im Kopfzeilenfeld oder im Sender Kopfzeilenfeld im Nachrichtenkopf angegeben ist. |
| Empfänger | E-Mail-Adresse der Empfänger. Obgleich die ursprüngliche Nachricht mehrere Empfänger enthalten kann, wird im Agent-Protokoll pro Zeile nur ein Empfänger angezeigt. |
| NumRecipients | Gesamtanzahl der Empfänger in der ursprünglichen Nachricht. |
| Agent | Name des Agents, der die Aktion durchführt. Die folgenden Werte sind möglich:
|
| Event | SMTP-Ereignis, bei dem der Agent die Aktion ausgeführt hat. Der Wert von Event hängt vom Agent ab. Die SMTP-Ereignisse, die jedem Agent zur Verfügung stehen, wurden bereits in der ersten Tabelle weiter oben in diesem Thema beschrieben. Die möglichen Werte für Event lauten wie folgt:
|
| Action | Vom Agent auf die Nachricht angewendete Aktion. Die möglichen Werte für Action lauten wie folgt:
|
| SmtpResponse | Enhanced SMTP-Antwort gemäß der Definition in RFC 2034. |
| Reason | Grund für die vom Agent durchgeführte Aktion. |
| ReasonData | Beschreibende Details zu der vom Agent durchgeführten Aktion. |
Durchsuchen der Agent-Protokolle
Sie können das Cmdlet Get-AgentLog und das Skript Get-AntiSpamFilteringReport.ps1 verwenden, um die Agent-Protokolle zu durchsuchen.
Das Get-AntiSpamFilteringReport.ps1 Skript befindet sich in %ExchangeInstallPath%Scripts. You need to run the script in the Shell from the Scripts folder. To change your location in the Shell to the Scripts folder, run the following command:
Cd $env:ExchangeInstallPath\Scripts
To run the script in the Scripts folder, use the following syntax:
.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]
Führen Sie den folgenden Befehl aus, um Einzelheiten zum Verwenden des Skripts zu erfahren:
Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1