Ведение журнала в отношении агента защиты от нежелательной почтыAnti-spam agent logging

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

В журналах агентов регистрируются действия, которые специальные агенты защиты от нежелательной почты в службе Microsoft Exchange Server 2013 выполняют с сообщением. Вносить сведения в журнал агентов могут только следующие агенты.Agent logs record the actions performed on a message by specific anti-spam agents in Microsoft Exchange Server 2013. Only the following agents can write information to the agent log:

  • Агент фильтрации подключенийConnection Filtering agent

  • Агент фильтра содержимогоContent Filter agent

  • Агент пограничных правилEdge Rules agent

  • Агент фильтра получателейRecipient Filter agent

  • Агент фильтра отправителейSender Filter agent

  • Агент идентификации отправителейSender ID agent

Примечание

Агент фильтрации подключений и агент пограничных правил недоступны на серверах почтовых ящиков.The Connection Filtering agent and the Edge Rules agent aren't available on Mailbox servers.

Данные, записываемые в журнал агентов, зависят от агента, события SMTP и действия, выполненного над сообщением.The information written to the agent log depends on the agent, the SMTP event, and the action performed on the message.

Командлет Set-TransportService позволяет выполнять в командной консоли Exchange все задачи по настройке журнала агентов. Для журналов агентов доступны следующие параметры.You use the Set-TransportService cmdlet in the Exchange Management Shell to perform all agent log configuration tasks. The following options are available for the agent logs:

  • Включение или отключение ведения журнала агентов. По умолчанию регистрация включена.Enable or disable agent logging. The default is enabled.

  • Указание расположения файлов журнала агента.Specify the location of the agent log files. Значение по умолчанию:% ExchangeInstallPath%\TransportRoles\журналов\концентратора AgentLog.The default value is %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

  • Указание максимального размера для отдельных файлов журнала агента. Значение по умолчанию — 10 мегабайт (МБ).Specify a maximum size for the individual agent log files. The default size is 10 megabytes (MB).

  • Указание максимального размера для каталога, содержащего файлы журнала агента. Размер по умолчанию — 250 МБ.Specify a maximum size for the directory that contains agent log files. The default size is 250 MB.

  • Указание максимального срока хранения для файлов журнала агента. Значение по умолчанию - 7 дней.Specify a maximum age for the agent log files. The default age is 7 days.

Для упрощения контроля расходования пространства на диске, используемого файлами журнала, в службе Exchange используется циклическое ведение журнала для ограничения размера журналов агентов на основе размера файлов и срока их хранения.Exchange uses circular logging to limit the agent logs based on file size and file age to help control the hard disk space used by the log files.

Обзор агентов транспортаOverview of transport agents

Агенты могут воздействовать на сообщения только в определенных точках последовательности команд SMTP, используемых для транспортировки сообщений через транспортную службу на сервере почтовых ящиков или пограничном транспортном сервере. Эти точки доступа в последовательности команд SMTP называются события SMTP. Каждому агенту можно назначить приоритет. Однако события SMTP всегда должны происходить в определенном порядке. Следовательно, приоритет агента зависит от события SMTP. Если два агента выполняют действие над сообщением во время одного события SMTP, агент, обладающий более высоким приоритетом, выполнит действие первым.Agents can only act upon messages at specific points in the SMTP command sequence used to transport the messages through the Transport service on a Mailbox server or an Edge Transport server. These access points in the SMTP command sequence are called SMTP events. Each agent has a priority value that can be assigned. However, the SMTP events must always occur in a specific order. Therefore, the agent priority depends on the SMTP event. If two agents can act on a message during the same SMTP event, the agent that has the highest priority will act on the message first.

В следующей таблице перечислены события SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета, начиная с наивысшего, для каждого события SMTP.The following table lists the SMTP events in order of occurrence and the agents that write information to the agent log in order of priority from highest to lowest for each SMTP event.

События SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета для каждого события SMTPSMTP events in order of occurrence and the agents that write information to the agent log in order of priority for each SMTP event

Событие SMTPSMTP event AgentAgent

OnConnectOnConnect

Агент фильтрации подключенийConnection Filtering agent

OnMailCommandOnMailCommand

Агент фильтрации подключенийConnection Filtering agent

Агент фильтра отправителейSender Filter agent

ОнркпткоммандOnRcptCommand

Агент фильтрации подключенийConnection Filtering agent

Агент фильтра получателейRecipient Filter agent

OnEndOfHeadersOnEndOfHeaders

Агент фильтрации подключенийConnection Filtering agent

Агент идентификации отправителейSender ID agent

Агент фильтра отправителейSender Filter agent

OnEndOfDataOnEndOfData

Агент пограничных правилEdge Rules agent

Агент фильтрации содержимогоContent Filtering agent

Примечание

Агент фильтрации подключений и агент пограничных правил недоступны на серверах почтовых ящиков.The Connection Filtering agent and the Edge Rules agent aren't available on Mailbox servers.

Дополнительные сведения об агентах, событиях SMTP и приоритете агентов см. в разделе Агенты транспорта.For more information about agents, SMTP events, and agent priority, see Transport agents.

Структура файлов журнала агентаStructure of the agent log files

Журналы агента существуют в центре\\\журнала% ExchangeInstallPath% TransportRoles: AgentLog.The agent logs exist in %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

Имена файлов журнала агентов имеют следующий вид: AGENTLOGyyyymmdd-nnnn.log.The naming convention for the agent log files is AGENTLOGyyyymmdd-nnnn.log. Заполнители обозначают следующее:The placeholders represent the following information:

  • Заполнитель ГГГГММДД — это Дата создания файла журнала в формате UTC.The placeholder yyyymmdd is the Coordinated Universal Time (UTC) date that the log file was created. Заполнитель гггг = год, mm = месяц и дд = день.The placeholder yyyy = year, mm = month, and dd = day.

  • Заполнитель nnnn — это номер экземпляра, который начинается со значения 1 для каждого дня.The placeholder nnnn is an instance number that starts at the value of 1 for each day.

Данные записываются в файл журнала до тех пор, пока размер файла не достигнет максимально допустимого значения и не откроется новый файл журнала, имеющий следующий порядковый номер. Эта процедура выполняется круглосуточно. При циклическом ведении журнала удаляются самые старые файлы журнала, когда каталог журналов агентов достигает максимально допустимого размера, или когда файл журнала достигает максимально допустимого срока хранения.Information is written to the log file until the file size reaches its maximum specified value, and a new log file that has an incremented instance number is opened. This process is repeated throughout the day. Circular logging deletes the oldest log files when the agent log directory reaches its maximum specified size, or when a log file reaches its maximum specified age.

Файлы журнала агентов представляют собой текстовые файлы в формате CSV. Каждый файл журнала агентов снабжен заголовком, содержащим следующие сведения.The agent log files are text files that contain data in the comma-separated value file (CSV) format. Each agent log file has a header that contains the following information:

  • Программное обеспечение: название программного обеспечения, которое создало файл журнала агента. ** #**#Software: Name of the software that created the agent log file. Как правило, значением является: Microsoft Exchange Server.Typically, the value is Microsoft Exchange Server.

  • Version: номер версии программного обеспечения, создавшего файл журнала агента. ** #**#Version: Version number of the software that created the agent log file. Текущее значение — 15.0.0.0.Currently, the value is 15.0.0.0.

  • Log-Type: значение типа журнала, которое является журналом агента. ** #**#Log-Type: Log type value, which is Agent Log.

  • Дата: Дата и время создания файла журнала в формате UTC. ** #**#Date: UTC date-time when the log file was created. Дата и время в формате UTC представлены в формате даты-времени ISO 8601: гггг-мм-ддTчч: мм: СС. FFFZ, где гггг = год, мм = месяц, дд = день, T обозначает начало компонента времени, чч = час, *мм *= Minute, SS = секунды, FFF = доли секунды, а Z — зулу, что является еще одним способом обозначить время в формате UTC.The UTC date-time is represented in the ISO 8601 date-time format: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

  • Поля: разделенные запятыми имена полей, используемые в файлах журнала агентов. ** #**#Fields: Comma delimited field names used in the agent log files.

Сведения, записываемые в журнал агентаInformation written to the agent log

В журнале агентов каждая транзакция агента хранится в отдельной строке. Сведения, хранящиеся в каждой строке, сгруппированы по полям. Поля разделяются запятыми. Как правило, имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть пустыми. Кроме того, тип данных, хранящихся в поле, может меняться в зависимости от агента или действия, выполняемого агентом над сообщением. В следующей таблице описаны поля, используемые для классификации каждой транзакции агента.The agent log stores each agent transaction on a single line in the log. The information stored on each line is organized by fields. These fields are separated by commas. The field name is generally descriptive enough to determine the type of information it contains. However, some of the fields may be blank. Or the type of information stored in the field may change based on the agent or the action performed on the message by the agent. The following table describes the fields used to classify each agent transaction.

Поля, используемые для классификации каждой транзакции агентаFields used to classify each agent transaction

Имя поляField name ОписаниеDescription

TimestampTimestamp

Дата и время события агента в формате UTC.UTC date-time of the agent event. Дата и время в формате UTC представлены в формате даты-времени ISO 8601: гггг-мм-ддTчч: мм: СС. FFFZ, где гггг = год, мм = месяц, дд = день, T обозначает начало компонента времени, чч = час, мм = Minute, SS = секунды, FFF = доли секунды, а Z — зулу, что является еще одним способом обозначить время в формате UTC.The UTC date-time is represented in the ISO 8601 date-time format: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

SessionIdSessionId

Уникальный идентификатор сеанса SMTP. Идентификатор представляется 16-значным шестнадцатеричным числом.Unique SMTP session identifier. This identifier is represented as a 16-digit hexadecimal number.

ЛокалендпоинтLocalEndpoint

Локальный IP-адрес и номер порта, принявшего сообщение.Local IP address and port number that accepted the message. Сеансы SMTP обычно используют порт 25.SMTP sessions typically use port 25.

RemoteEndpointRemoteEndpoint

IP-адрес и номер порта предыдущего сервера SMTP, подключавшегося к данному серверу для доставки сообщения. При прохождении потока почты из Интернета через пограничный транспортный сервер в сети периметра значением RemoteEndpoint в журнале агента на сервере почтовых ящиков будет IP-адрес пограничного транспортного сервера. Хотя сообщение передано с помощью протокола SMTP, номер порта, использованного для отправки, будет случайным числом больше 1 024. IP address and port number of the previous SMTP server that connected to this server to deliver the message. When Internet mail flows through an Edge Transport server in the perimeter network, the value of RemoteEndpoint in the agent log on the Mailbox server will be the IP address of the Edge Transport server. Even though the message is transmitted by SMTP, the port number used by the sending server will be a random number larger than 1,024.

ЕнтередоргфромипEnteredOrgFromIP

IP-адрес удаленного сервера SMTP, который первым подключается к организации Exchange, чтобы доставить сообщение. На пограничном транспортном сервере значения полей RemoteEndpoint и EnteredOrgFromIP одинаковы. Агенты защиты от нежелательной почты используют IP-адрес в поле EnteredOrgFromIP для проверки сообщения. IP address of the remote SMTP server that first connected to the Exchange organization to deliver the message. On an Edge Transport server, the value of RemoteEndpoint and EnteredOrgFromIP are the same. Anti-spam agents use the IP address in EnteredOrgFromIP to examine a message.

MessageIdMessageId

Значение поля MessageID заголовка.Value of the MessageID header field. Если это значение пусто, транспортный сервер Exchange назначает произвольное значение, но только если сообщение принято.If this value is blank, the Exchange transport server assigns an arbitrary value, but only if the message is accepted. После присвоения значения значение MessageID равно константе в течение всего времени существования сообщения.After a value is assigned, the value of MessageID is constant for the lifetime of the message.

P1FromAddressP1FromAddress

Адрес электронной почты отправителя MAIL FROM , указанный в конверте сообщения.Sender email address specified in MAIL FROM in the message envelope. Это значение используется для передачи сообщения между серверами обмена сообщениями SMTP.This value is used to transport the message between SMTP messaging servers. Это значение сравнивается со значением P2FromAddresses для определения того, не подделан ли адрес отправителя в заголовке сообщения.This value serves as a comparison to the value of P2FromAddresses to determine whether the sender address in the message header is forged.

P2FromAddressesP2FromAddresses

Адрес электронной почты отправителя, From указанный в поле заголовка или Sender в поле заголовка в заголовке сообщения.Sender email address specified in the From header field or in the Sender header field in the message header.

RecipientRecipient

Адреса электронной почты получателей. Хотя исходное сообщение может быть предназначено нескольким получателям, в одной строке журнала агентов показывается только один получатель.Email address of the recipients. Although the original message may contain multiple recipients, only one recipient is displayed per line in the agent log.

НумреЦипиентсNumRecipients

Общее количество получателей исходного сообщения.Total number of recipients in the original message.

АгентAgent

Имя агента, выполнившего данное действие. Возможные значения:Name of the agent that took the action. The possible values are as follows:

  • Агент фильтра содержимогоContent Filter agent

  • Агент фильтра получателейRecipient Filter agent

  • Агент фильтра отправителейSender Filter agent

  • Агент идентификации отправителейSender ID agent

EventEvent

Событие SMTP, при котором агент выполнил действие. Значение поля Event зависит от агента. События SMTP, доступные для каждого агента, описаны в первой таблице данного раздела. Возможны следующие значения поля Event: SMTP event where the action was taken by the agent. The value of Event depends on the agent. The SMTP events available to each agent are described in the first table earlier in this topic. The possible values for Event are as follows:

  • OnConnectOnConnect

  • OnEndOfHeadersOnEndOfHeaders

  • OnEndOfDataOnEndOfData

  • OnMailCommandOnMailCommand

  • ОнркпткоммандOnRcptCommand

ActionAction

Выполненное агентом действие над сообщением. Возможны следующие значения поля Action: Action performed on the message by the agent. The possible values for Action are as follows:

  • АкцептмессажеAcceptMessage

  • DeleteMessageDeleteMessage

  • ДелетереЦипиентсDeleteRecipients

  • DisconnectDisconnect

  • QuarantineMessageQuarantineMessage

  • КуарантинереЦипиентсQuarantineRecipients

  • РежектаусентикатионRejectAuthentication

  • РежекткоммандRejectCommand

  • РежектконнектионRejectConnection

  • RejectMessageRejectMessage

  • РежектреЦипиентсRejectRecipients

СмтпреспонсеSmtpResponse

Ответ Enhanced SMTP согласно RFC 2034.Enhanced SMTP response as defined in RFC 2034.

ReasonReason

Причина действия, указанная агентом.Reason for the action supplied by the agent.

РеасондатаReasonData

Описание действия, указанное агентом.Descriptive details for the action supplied by the agent.

Поиск журналов агентовSearch the agent logs

Искать журналы агентов можно с помощью командлета Get-AgentLog и сценария Get-AntiSpamFilteringReport.ps1.You can use the Get-AgentLog cmdlet and the Get-AntiSpamFilteringReport.ps1 script to search the agent logs.

Сценарий сценария Get-AntispamFilteringReport. ps1 находится в %ExchangeInstallPath%Scriptsфайле.The Get-AntiSpamFilteringReport.ps1 script is located in %ExchangeInstallPath%Scripts. Вам необходимо запустить сценарий в командной консоли из папки "Сценарии".You need to run the script in the Shell from the Scripts folder. Чтобы изменить расположение в командной консоли на папку сценариев, выполните следующую команду:To change your location in the Shell to the Scripts folder, run the following command:

Cd $env:ExchangeInstallPath\Scripts

Чтобы запустить папку сценариев, введите команду в следующем формате:To run the script in the Scripts folder, use the following syntax:

.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]

Для получения сведений об использовании сценария, выполните следующую команду:For details about using the script, run the following command:

Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1