Registro de agente contra correo no deseadoAnti-spam agent logging

Se aplica a: Exchange Server 2013Applies to: Exchange Server 2013

Los registros de agente graban las acciones realizadas en un mensaje mediante agentes específicos contra correo electrónico no deseado en Microsoft Exchange Server 2013. Únicamente los siguientes agentes pueden escribir información en el registro de agente:Agent logs record the actions performed on a message by specific anti-spam agents in Microsoft Exchange Server 2013. Only the following agents can write information to the agent log:

  • Agente de filtro de conexiónConnection Filtering agent

  • Agente de filtro de contenidoContent Filter agent

  • Agente de reglas perimetralesEdge Rules agent

  • Agente de filtro de destinatariosRecipient Filter agent

  • Agente de filtro de remitentesSender Filter agent

  • Agente de Id. de remitenteSender ID agent

Nota

El agente de filtrado de conexiones y el agente de reglas perimetrales no están disponibles en los servidores Buzón de correo.The Connection Filtering agent and the Edge Rules agent aren't available on Mailbox servers.

La información escrita en el registro de agentes depende del agente, del evento SMTP y de la acción realizada en el mensaje.The information written to the agent log depends on the agent, the SMTP event, and the action performed on the message.

Puede usar el cmdlet Set-TransportService del Shell de administración de Exchange para realizar todas las tareas de configuración del registro de agente. Las siguientes opciones están disponibles para los registros de agente:You use the Set-TransportService cmdlet in the Exchange Management Shell to perform all agent log configuration tasks. The following options are available for the agent logs:

  • Habilitar o deshabilitar el registro de agente. El valor predeterminado es habilitado.Enable or disable agent logging. The default is enabled.

  • Especificar la ubicación de los archivos de registro de agente.Specify the location of the agent log files. El valor predeterminado es% ExchangeInstallPath% TransportRoles\logs\agentlog\del concentrador.The default value is %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

  • Especificar un tamaño máximo para los archivos individuales de registro de agente. El tamaño predeterminado es 10 megabytes (MB).Specify a maximum size for the individual agent log files. The default size is 10 megabytes (MB).

  • Especificar un tamaño máximo para el directorio que contiene los archivos de registro de agente. El tamaño predeterminado es 250 MB.Specify a maximum size for the directory that contains agent log files. The default size is 250 MB.

  • Especificar la antigüedad máxima para los archivos de registro de agente. La antigüedad predeterminada es 7 días.Specify a maximum age for the agent log files. The default age is 7 days.

Exchange usa un registro circular para limitar los registros de agente en función del tamaño y la antigüedad del archivo para ayudar a controlar el espacio en disco duro utilizado por los archivos de registro.Exchange uses circular logging to limit the agent logs based on file size and file age to help control the hard disk space used by the log files.

Introducción a los agentes de transporteOverview of transport agents

Los agentes únicamente pueden actuar sobre los mensajes en puntos específicos de la secuencia de comandos SMTP que se usa para transportar los mensajes a través del servicio de transporte en un servidor de buzones de correo o un servidor de transporte perimetral. Estos puntos de acceso de la secuencia de comandos SMTP se denominan Eventos SMTP. Cada agente tiene un valor prioritario que puede asignarse. Sin embargo, los eventos SMTP siempre deben producirse en un orden determinado. Por lo tanto, la prioridad de agentes depende del evento SMTP. Si dos agentes pueden actuar en un mensaje durante el mismo evento SMTP, el agente que tiene mayor prioridad actuará sobre el mensaje en primer lugar.Agents can only act upon messages at specific points in the SMTP command sequence used to transport the messages through the Transport service on a Mailbox server or an Edge Transport server. These access points in the SMTP command sequence are called SMTP events. Each agent has a priority value that can be assigned. However, the SMTP events must always occur in a specific order. Therefore, the agent priority depends on the SMTP event. If two agents can act on a message during the same SMTP event, the agent that has the highest priority will act on the message first.

En la siguiente tabla se enumeran los eventos SMTP en el orden en que suceden y los agentes que escriben la información en el registro de agentes en orden de prioridad (de mayor a menor) para cada evento SMTP.The following table lists the SMTP events in order of occurrence and the agents that write information to the agent log in order of priority from highest to lowest for each SMTP event.

Eventos SMTP en el orden en que suceden y agentes que escriben la información en el registro de agentes en orden de prioridad para cada evento SMTPSMTP events in order of occurrence and the agents that write information to the agent log in order of priority for each SMTP event

Evento SMTPSMTP event RepresentanteAgent

OnConnectOnConnect

Agente de filtro de conexiónConnection Filtering agent

OnMailCommandOnMailCommand

Agente de filtro de conexiónConnection Filtering agent

Agente de filtro de remitentesSender Filter agent

OnRcptCommandOnRcptCommand

Agente de filtro de conexiónConnection Filtering agent

Agente de filtro de destinatariosRecipient Filter agent

OnEndOfHeadersOnEndOfHeaders

Agente de filtro de conexiónConnection Filtering agent

Agente de Id. de remitenteSender ID agent

Agente de filtro de remitentesSender Filter agent

OnEndOfDataOnEndOfData

Agente de reglas perimetralesEdge Rules agent

Agente de filtrado de contenidoContent Filtering agent

Nota

El agente de filtrado de conexiones y el agente de reglas perimetrales no están disponibles en los servidores Buzón de correo.The Connection Filtering agent and the Edge Rules agent aren't available on Mailbox servers.

Para obtener más información sobre los agentes, eventos SMTP y la prioridad de agentes, consulte Agentes de transporte.For more information about agents, SMTP events, and agent priority, see Transport agents.

Estructura de los archivos de registro de agenteStructure of the agent log files

Los registros de agente existen en% ExchangeInstallPath%\TransportRoles\logs\Hub agentlog.The agent logs exist in %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

La convención de la nomenclatura para los archivos de registro de agentes es AGENTLOGyyyymmdd-nnnn.log.The naming convention for the agent log files is AGENTLOGyyyymmdd-nnnn.log. Los marcadores de posición representan la siguiente información:The placeholders represent the following information:

  • El marcador de posición AAAAMMDD es la fecha UTC (hora universal coordinada) en que se creó el archivo de registro.The placeholder yyyymmdd is the Coordinated Universal Time (UTC) date that the log file was created. El marcador de posición yyyy = año, mm = mes y DD = día.The placeholder yyyy = year, mm = month, and dd = day.

  • El marcador de posición nnnn es un número de instancia que empieza por el valor 1 para cada día.The placeholder nnnn is an instance number that starts at the value of 1 for each day.

La información se escribe en el archivo de registro hasta que el tamaño del archivo alcanza su valor máximo especificado y se abre un nuevo archivo de registro que tiene un número de instancia mayor. Este proceso se repite durante el día. El registro circular elimina los archivos de registro más antiguos cuando el directorio de registro de agente alcanza el tamaño máximo especificado o cuando un archivo de registro alcanza la antigüedad máxima especificada.Information is written to the log file until the file size reaches its maximum specified value, and a new log file that has an incremented instance number is opened. This process is repeated throughout the day. Circular logging deletes the oldest log files when the agent log directory reaches its maximum specified size, or when a log file reaches its maximum specified age.

Los archivos de registro de agentes son archivos de texto que contienen datos en el formato de archivo de valores separados por comas (CSV). Cada archivo de registro de agentes tiene un encabezado que contiene la siguiente información:The agent log files are text files that contain data in the comma-separated value file (CSV) format. Each agent log file has a header that contains the following information:

  • Software: nombre del software que creó el archivo de registro del agente. ** #**#Software: Name of the software that created the agent log file. Normalmente, el valor es Microsoft Exchange Server.Typically, the value is Microsoft Exchange Server.

  • Versión: número de versión del software que creó el archivo de registro de agente. ** #**#Version: Version number of the software that created the agent log file. Actualmente, el valor es 15.0.0.0.Currently, the value is 15.0.0.0.

  • Log-Type: valor de tipo de registro, que es el registro de agente. ** #**#Log-Type: Log type value, which is Agent Log.

  • Date: fecha y hora UTC en que se creó el archivo de registro. ** #**#Date: UTC date-time when the log file was created. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: yyyy-MM-DDTHH: mm: SS. FFFZ, donde YYYY = año , mm = mes, DD = día, T indica el principio del componente de hora, HH = hora, mm = minuto, SS = segundo, FFF = fracciones de segundo y Z significa Zulú, que es otra forma de indicar UTC.The UTC date-time is represented in the ISO 8601 date-time format: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

  • Campos: nombres de campos delimitados por comas usados en los archivos de registro de agente. ** #**#Fields: Comma delimited field names used in the agent log files.

Información escrita en el registro de agenteInformation written to the agent log

El registro de agentes almacena cada transacción de agentes en una sola línea del registro. La información almacenada en cada línea se organiza por campos. Estos campos se separan con comas. El nombre del campo suele ser lo bastante descriptivo como para determinar el tipo de información que contiene. Sin embargo, algunos campos permanecen en blanco. O el tipo de información almacenada en el campo puede cambiar en función del agente o de la acción que el agente realiza en el mensaje. En la siguiente tabla se describen los campos usados para clasificar cada transacción de agente.The agent log stores each agent transaction on a single line in the log. The information stored on each line is organized by fields. These fields are separated by commas. The field name is generally descriptive enough to determine the type of information it contains. However, some of the fields may be blank. Or the type of information stored in the field may change based on the agent or the action performed on the message by the agent. The following table describes the fields used to classify each agent transaction.

Campos usados para clasificar cada transacción de agenteFields used to classify each agent transaction

Nombre del campoField name DescripciónDescription

TimestampTimestamp

Fecha y hora UTC del evento de agente.UTC date-time of the agent event. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: yyyy-MM-DDTHH: mm: SS. FFFZ, donde YYYY = año , mm = mes, DD = día, T indica el principio del componente de hora, HH = hora, mm = minuto, SS = segundo, FFF = fracciones de segundo y Z significa Zulú, que es otra forma de indicar UTC.The UTC date-time is represented in the ISO 8601 date-time format: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

SessionIdSessionId

Identificador de sesión SMTP exclusivo. Este identificador se representa con un número hexadecimal de 16 dígitos.Unique SMTP session identifier. This identifier is represented as a 16-digit hexadecimal number.

LocalEndpointLocalEndpoint

Dirección IP local y número de puerto que aceptaron el mensaje.Local IP address and port number that accepted the message. Las sesiones SMTP usan normalmente el puerto 25.SMTP sessions typically use port 25.

RemoteEndpointRemoteEndpoint

Dirección IP y número de puerto del servidor SMTP anterior que se conectaron a este servidor para entregar el mensaje. Cuando el correo Internet fluye a través de un servidor de transporte perimetral en la red perimetral, el valor de RemoteEndpoint en el registro de agente del servidor de buzones de correo será la dirección IP del servidor de transporte perimetral. Aun cuando el mensaje se haya transmitido por SMTP, el número de puerto usado por el servidor de envío será un número aleatorio mayor que 1.024. IP address and port number of the previous SMTP server that connected to this server to deliver the message. When Internet mail flows through an Edge Transport server in the perimeter network, the value of RemoteEndpoint in the agent log on the Mailbox server will be the IP address of the Edge Transport server. Even though the message is transmitted by SMTP, the port number used by the sending server will be a random number larger than 1,024.

EnteredOrgFromIPEnteredOrgFromIP

Dirección IP del servidor SMTP remoto que se conectó en primer lugar a la organización de Exchange para entregar el mensaje. En un servidor de transporte perimetral, el valor de RemoteEndpoint y de EnteredOrgFromIP es el mismo. Los agentes contra correo electrónico no deseado usan la dirección IP en EnteredOrgFromIP para examinar un mensaje. IP address of the remote SMTP server that first connected to the Exchange organization to deliver the message. On an Edge Transport server, the value of RemoteEndpoint and EnteredOrgFromIP are the same. Anti-spam agents use the IP address in EnteredOrgFromIP to examine a message.

MessageIdMessageId

Valor del campo MessageID de encabezado.Value of the MessageID header field. Si este valor está en blanco, el servidor de transporte de Exchange asigna un valor arbitrario, pero solamente si se acepta el mensaje.If this value is blank, the Exchange transport server assigns an arbitrary value, but only if the message is accepted. Una vez asignado un valor, su valor MessageID es constante mientras dure el mensaje.After a value is assigned, the value of MessageID is constant for the lifetime of the message.

P1FromAddressP1FromAddress

Dirección de correo electrónico del remitente MAIL FROM especificada en en el sobre del mensaje.Sender email address specified in MAIL FROM in the message envelope. Este valor se usa para transportar el mensaje entre servidores de mensajería SMTP.This value is used to transport the message between SMTP messaging servers. Este valor sirve como comparación con el valor de P2FromAddresses para saber si la dirección del remitente de la cabecera del mensaje se ha falsificado.This value serves as a comparison to the value of P2FromAddresses to determine whether the sender address in the message header is forged.

P2FromAddressesP2FromAddresses

Dirección de correo electrónico del remitente especificada From en el campo de encabezado Sender o en el campo de encabezado del encabezado del mensaje.Sender email address specified in the From header field or in the Sender header field in the message header.

RecipientRecipient

Dirección de correo electrónico de los destinatarios. Aunque el mensaje original puede contener muchos destinatarios, en el registro de agentes sólo se muestra un destinatario por línea.Email address of the recipients. Although the original message may contain multiple recipients, only one recipient is displayed per line in the agent log.

NumRecipientsNumRecipients

Número total de destinatarios del mensaje original.Total number of recipients in the original message.

AgentAgent

Nombre del agente que ha realizado la acción. Los valores posibles son:Name of the agent that took the action. The possible values are as follows:

  • Agente de filtro de contenidoContent Filter agent

  • Agente de filtro de destinatariosRecipient Filter agent

  • Agente de filtro de remitentesSender Filter agent

  • Agente de Id. de remitenteSender ID agent

EventEvent

Evento SMTP en el que el agente realizó la acción. El valor de Event depende del agente. Los eventos SMTP disponibles para cada agente se describen en la primera tabla que aparece en este tema. Los posibles valores para el Event son los siguientes: SMTP event where the action was taken by the agent. The value of Event depends on the agent. The SMTP events available to each agent are described in the first table earlier in this topic. The possible values for Event are as follows:

  • OnConnectOnConnect

  • OnEndOfHeadersOnEndOfHeaders

  • OnEndOfDataOnEndOfData

  • OnMailCommandOnMailCommand

  • OnRcptCommandOnRcptCommand

ActionAction

Acción que el agente realiza en el mensaje. Los posibles valores para la Action son los siguientes: Action performed on the message by the agent. The possible values for Action are as follows:

  • AcceptMessageAcceptMessage

  • DeleteMessageDeleteMessage

  • DeleteRecipientsDeleteRecipients

  • DisconnectDisconnect

  • QuarantineMessageQuarantineMessage

  • QuarantineRecipientsQuarantineRecipients

  • RejectAuthenticationRejectAuthentication

  • RejectCommandRejectCommand

  • RejectConnectionRejectConnection

  • RejectMessageRejectMessage

  • RejectRecipientsRejectRecipients

SmtpResponseSmtpResponse

Respuesta SMTP mejorada, tal y como se define en RFC 2034.Enhanced SMTP response as defined in RFC 2034.

ReasonReason

Motivo de la acción realizada por el agente.Reason for the action supplied by the agent.

ReasonDataReasonData

Detalles precisos de la acción realizada por el agente.Descriptive details for the action supplied by the agent.

Búsqueda de registros de agenteSearch the agent logs

Puede usar el cmdlet Get-AgentLog y el script Get-AntiSpamFilteringReport.ps1 para buscar los registros de agente.You can use the Get-AgentLog cmdlet and the Get-AntiSpamFilteringReport.ps1 script to search the agent logs.

El script Get-antispamfilteringreport. PS1 se encuentra en %ExchangeInstallPath%Scripts.The Get-AntiSpamFilteringReport.ps1 script is located in %ExchangeInstallPath%Scripts. Debe ejecutar el script en el Shell desde la carpeta de scripts.You need to run the script in the Shell from the Scripts folder. Para cambiar la ubicación en el Shell a la carpeta de scripts, ejecute el siguiente comando:To change your location in the Shell to the Scripts folder, run the following command:

Cd $env:ExchangeInstallPath\Scripts

Para ejecutar el script en la carpeta de scripts, use la siguiente sintaxis:To run the script in the Scripts folder, use the following syntax:

.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]

Para más información sobre el uso del script, ejecute el siguiente comando:For details about using the script, run the following command:

Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1