Ведение журнала агента защиты от спамаAnti-spam agent logging

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

В журналах агентов регистрируются действия, которые специальные агенты защиты от нежелательной почты в службе Microsoft Exchange Server 2013 выполняют с сообщением. Вносить сведения в журнал агентов могут только следующие агенты.Agent logs record the actions performed on a message by specific anti-spam agents in Microsoft Exchange Server 2013. Only the following agents can write information to the agent log:

  • Агент фильтрации подключенийConnection Filtering agent

  • Агент фильтра содержимогоContent Filter agent

  • Агент пограничных правилEdge Rules agent

  • Агент фильтра получателейRecipient Filter agent

  • Агент фильтра отправителейSender Filter agent

  • Агент идентификации отправителейSender ID agent

Примечание

Агент фильтрации подключений и агент пограничных правил недоступны на серверах почтовых ящиков.The Connection Filtering agent and the Edge Rules agent aren't available on Mailbox servers.

Данные, записываемые в журнал агентов, зависят от агента, события SMTP и действия, выполненного над сообщением.The information written to the agent log depends on the agent, the SMTP event, and the action performed on the message.

Командлет Set-TransportService позволяет выполнять в командной консоли Exchange все задачи по настройке журнала агентов. Для журналов агентов доступны следующие параметры.You use the Set-TransportService cmdlet in the Exchange Management Shell to perform all agent log configuration tasks. The following options are available for the agent logs:

  • Включение или отключение ведения журнала агентов. По умолчанию регистрация включена.Enable or disable agent logging. The default is enabled.

  • Укажите местоположение файлов журнала агента. Значение по умолчанию: % ExchangeInstallPath % TransportRoles\журналы\сервера-концентратора\AgentLog.Specify the location of the agent log files. The default value is %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

  • Указание максимального размера для отдельных файлов журнала агента. Значение по умолчанию — 10 мегабайт (МБ).Specify a maximum size for the individual agent log files. The default size is 10 megabytes (MB).

  • Указание максимального размера для каталога, содержащего файлы журнала агента. Размер по умолчанию — 250 МБ.Specify a maximum size for the directory that contains agent log files. The default size is 250 MB.

  • Указание максимального срока хранения для файлов журнала агента. Значение по умолчанию – 7 дней.Specify a maximum age for the agent log files. The default age is 7 days.

Для упрощения контроля расходования пространства на диске, используемого файлами журнала, в службе Exchange используется циклическое ведение журнала для ограничения размера журналов агентов на основе размера файлов и срока их хранения.Exchange uses circular logging to limit the agent logs based on file size and file age to help control the hard disk space used by the log files.

СодержаниеContents

Обзор агентов транспортаOverview of transport agents

Структура файлов журнала агентаStructure of the agent log files

Сведения, записываемые в журнал агентаInformation written to the agent log

Поиск журналов агентовSearch the agent logs

Обзор агентов транспортаOverview of transport agents

Агенты могут воздействовать на сообщения только в определенных точках последовательности команд SMTP, используемых для транспортировки сообщений через транспортную службу на сервере почтовых ящиков или пограничном транспортном сервере. Эти точки доступа в последовательности команд SMTP называются события SMTP. Каждому агенту можно назначить приоритет. Однако события SMTP всегда должны происходить в определенном порядке. Следовательно, приоритет агента зависит от события SMTP. Если два агента выполняют действие над сообщением во время одного события SMTP, агент, обладающий более высоким приоритетом, выполнит действие первым.Agents can only act upon messages at specific points in the SMTP command sequence used to transport the messages through the Transport service on a Mailbox server or an Edge Transport server. These access points in the SMTP command sequence are called SMTP events. Each agent has a priority value that can be assigned. However, the SMTP events must always occur in a specific order. Therefore, the agent priority depends on the SMTP event. If two agents can act on a message during the same SMTP event, the agent that has the highest priority will act on the message first.

В следующей таблице перечислены события SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета, начиная с наивысшего, для каждого события SMTP.The following table lists the SMTP events in order of occurrence and the agents that write information to the agent log in order of priority from highest to lowest for each SMTP event.

События SMTP в порядке их наступления и агенты, которые записывают данные в журнал агентов в порядке приоритета для каждого события SMTPSMTP events in order of occurrence and the agents that write information to the agent log in order of priority for each SMTP event

Событие SMTPSMTP event AgentAgent

OnConnectOnConnect

Агент фильтрации подключенийConnection Filtering agent

OnMailCommandOnMailCommand

Агент фильтрации подключенийConnection Filtering agent

Агент фильтра отправителейSender Filter agent

OnRcptCommandOnRcptCommand

Агент фильтрации подключенийConnection Filtering agent

Агент фильтра получателейRecipient Filter agent

OnEndOfHeadersOnEndOfHeaders

Агент фильтрации подключенийConnection Filtering agent

Агент идентификации отправителейSender ID agent

Агент фильтра отправителейSender Filter agent

OnEndOfDataOnEndOfData

Агент пограничных правилEdge Rules agent

Агент фильтрации содержимогоContent Filtering agent

Примечание

Агент фильтрации подключений и агент пограничных правил недоступны на серверах почтовых ящиков.The Connection Filtering agent and the Edge Rules agent aren't available on Mailbox servers.

Дополнительные сведения об агентах, событиях SMTP и приоритете агентов см. в разделе Агенты транспорта.For more information about agents, SMTP events, and agent priority, see Transport agents.

В началоReturn to top

Структура файлов журнала агентаStructure of the agent log files

Файлы журнала существует в папке % ExchangeInstallPath % TransportRoles\журналы\сервера-концентратора\AgentLog.The agent logs exist in %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

Имена файлов журнала агентов имеют следующий вид: AGENTLOGyyyymmdd-nnnn.log. Заполнители обозначают следующее:The naming convention for the agent log files is AGENTLOGyyyymmdd-nnnn.log. The placeholders represent the following information:

  • Заполнитель ГГГГММДД представляет дату по Гринвичу (UTC), который был создан файл журнала. Заполнитель yyyy = год, mm = месяц и dd = день.The placeholder yyyymmdd is the Coordinated Universal Time (UTC) date that the log file was created. The placeholder yyyy = year, mm = month, and dd = day.

  • Заполнитель nnnn — это номер экземпляра, который начинается в значение 1 для каждого дня.The placeholder nnnn is an instance number that starts at the value of 1 for each day.

Данные записываются в файл журнала до тех пор, пока размер файла не достигнет максимально допустимого значения и не откроется новый файл журнала, имеющий следующий порядковый номер. Эта процедура выполняется круглосуточно. При циклическом ведении журнала удаляются самые старые файлы журнала, когда каталог журналов агентов достигает максимально допустимого размера, или когда файл журнала достигает максимально допустимого срока хранения.Information is written to the log file until the file size reaches its maximum specified value, and a new log file that has an incremented instance number is opened. This process is repeated throughout the day. Circular logging deletes the oldest log files when the agent log directory reaches its maximum specified size, or when a log file reaches its maximum specified age.

Файлы журнала агентов представляют собой текстовые файлы в формате CSV. Каждый файл журнала агентов снабжен заголовком, содержащим следующие сведения.The agent log files are text files that contain data in the comma-separated value file (CSV) format. Each agent log file has a header that contains the following information:

  • ** #Программного обеспечения** Имя программного обеспечения, создавшего файл журнала агента. Как правило значение — Microsoft Exchange Server.#Software Name of the software that created the agent log file. Typically, the value is Microsoft Exchange Server.

  • ** #Версии** Номер версии программного обеспечения, который создан файл журнала агента. На данный момент значение является 15.0.0.0.#Version Version number of the software that created the agent log file. Currently, the value is 15.0.0.0.

  • ** #Типа журнала** Значения типа журнала, которое равно журнала агента.#Log-Type Log type value, which is Agent Log.

  • ** #Дата** UTC даты времени создания файла журнала. Даты и времени UTC представлен в формате ISO 8601 даты и времени: гггг мм ддThh:mm:ss.fffZ, где гггг = год, мм = месяц, дд = день, T указывает начало компонента времени, чч = часы, мм * *= минуты, сс = секунды, fff = доли секунды, и Z означает Зулусский, другим способом для обозначения UTC.#Date UTC date-time when the log file was created. The UTC date-time is represented in the ISO 8601 date-time format: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

  • ** #Поля** Запятыми имена полей, используемые в файлах журнала агента.#Fields Comma delimited field names used in the agent log files.

В началоReturn to top

Сведения, записываемые в журнал агентаInformation written to the agent log

В журнале агентов каждая транзакция агента хранится в отдельной строке. Сведения, хранящиеся в каждой строке, сгруппированы по полям. Поля разделяются запятыми. Как правило, имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть пустыми. Кроме того, тип данных, хранящихся в поле, может меняться в зависимости от агента или действия, выполняемого агентом над сообщением. В следующей таблице описаны поля, используемые для классификации каждой транзакции агента.The agent log stores each agent transaction on a single line in the log. The information stored on each line is organized by fields. These fields are separated by commas. The field name is generally descriptive enough to determine the type of information it contains. However, some of the fields may be blank. Or the type of information stored in the field may change based on the agent or the action performed on the message by the agent. The following table describes the fields used to classify each agent transaction.

Поля, используемые для классификации каждой транзакции агентаFields used to classify each agent transaction

Имя поляField name ОписаниеDescription

TimestampTimestamp

UTC даты и времени события агента. Даты и времени UTC представлен в формате ISO 8601 даты и времени: гггг мм ддThh:mm:ss.fffZ, где гггг = год, мм = месяц, дд = день, T указывает начало компонента времени, чч = часы, мм = минуты, сс = секунды, fff = доли секунды, и Z означает Зулусский, другим способом для обозначения UTC.UTC date-time of the agent event. The UTC date-time is represented in the ISO 8601 date-time format: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

Код сеансаSessionId

Уникальный идентификатор сеанса SMTP. Идентификатор представляется 16-значным шестнадцатеричным числом.Unique SMTP session identifier. This identifier is represented as a 16-digit hexadecimal number.

LocalEndpointLocalEndpoint

Локальный IP-адрес и номер порта, принявшего сообщение. Сеансы SMTP обычно используют порт 25.Local IP address and port number that accepted the message. SMTP sessions typically use port 25.

RemoteEndpointRemoteEndpoint

IP-адрес и номер порта предыдущего сервера SMTP, подключавшегося к данному серверу для доставки сообщения. При прохождении потока почты из Интернета через пограничный транспортный сервер в сети периметра значением RemoteEndpoint в журнале агента на сервере почтовых ящиков будет IP-адрес пограничного транспортного сервера. Хотя сообщение передано с помощью протокола SMTP, номер порта, использованного для отправки, будет случайным числом больше 1 024. IP address and port number of the previous SMTP server that connected to this server to deliver the message. When Internet mail flows through an Edge Transport server in the perimeter network, the value of RemoteEndpoint in the agent log on the Mailbox server will be the IP address of the Edge Transport server. Even though the message is transmitted by SMTP, the port number used by the sending server will be a random number larger than 1,024.

EnteredOrgFromIPEnteredOrgFromIP

IP-адрес удаленного сервера SMTP, который первым подключается к организации Exchange, чтобы доставить сообщение. На пограничном транспортном сервере значения полей RemoteEndpoint и EnteredOrgFromIP одинаковы. Агенты защиты от нежелательной почты используют IP-адрес в поле EnteredOrgFromIP для проверки сообщения. IP address of the remote SMTP server that first connected to the Exchange organization to deliver the message. On an Edge Transport server, the value of RemoteEndpoint and EnteredOrgFromIP are the same. Anti-spam agents use the IP address in EnteredOrgFromIP to examine a message.

Код сообщенияMessageId

Значение равно MessageID поле заголовка. Если это значение не задан, транспортный сервер Exchange назначает произвольного значения, но только если принято сообщение. После назначения значение, значение MessageID является постоянным в течение времени жизни сообщения.Value of the MessageID header field. If this value is blank, the Exchange transport server assigns an arbitrary value, but only if the message is accepted. After a value is assigned, the value of MessageID is constant for the lifetime of the message.

P1FromAddressP1FromAddress

Адрес электронной почты отправителя, указанного в MAIL FROM в конверте сообщения. Это значение используется для передачи сообщений между серверами обмена сообщениями SMTP. Это значение выступает в качестве сравнения значение P2FromAddresses для определения, является ли адрес отправителя в заголовке сообщения подделан.Sender email address specified in MAIL FROM in the message envelope. This value is used to transport the message between SMTP messaging servers. This value serves as a comparison to the value of P2FromAddresses to determine whether the sender address in the message header is forged.

P2FromAddressesP2FromAddresses

Адрес электронной почты отправителя, указанного в From поле заголовка или в Sender поле заголовка в заголовке сообщения.Sender email address specified in the From header field or in the Sender header field in the message header.

RecipientRecipient

Адреса электронной почты получателей. Хотя исходное сообщение может быть предназначено нескольким получателям, в одной строке журнала агентов показывается только один получатель.Email address of the recipients. Although the original message may contain multiple recipients, only one recipient is displayed per line in the agent log.

NumRecipientsNumRecipients

Общее количество получателей исходного сообщения.Total number of recipients in the original message.

АгентAgent

Имя агента, выполнившего данное действие. Возможные значения:Name of the agent that took the action. The possible values are as follows:

  • Агент фильтра содержимогоContent Filter agent

  • Агент фильтра получателейRecipient Filter agent

  • Агент фильтра отправителейSender Filter agent

  • Агент идентификации отправителейSender ID agent

EventEvent

Событие SMTP, при котором агент выполнил действие. Значение поля Event зависит от агента. События SMTP, доступные для каждого агента, описаны в первой таблице данного раздела. Возможны следующие значения поля Event: SMTP event where the action was taken by the agent. The value of Event depends on the agent. The SMTP events available to each agent are described in the first table earlier in this topic. The possible values for Event are as follows:

  • OnConnectOnConnect

  • OnEndOfHeadersOnEndOfHeaders

  • OnEndOfDataOnEndOfData

  • OnMailCommandOnMailCommand

  • OnRcptCommandOnRcptCommand

ActionAction

Выполненное агентом действие над сообщением. Возможны следующие значения поля Action: Action performed on the message by the agent. The possible values for Action are as follows:

  • AcceptMessageAcceptMessage

  • DeleteMessageDeleteMessage

  • DeleteRecipientsDeleteRecipients

  • DisconnectDisconnect

  • QuarantineMessageQuarantineMessage

  • QuarantineRecipientsQuarantineRecipients

  • RejectAuthenticationRejectAuthentication

  • RejectCommandRejectCommand

  • RejectConnectionRejectConnection

  • RejectMessageRejectMessage

  • RejectRecipientsRejectRecipients

SmtpResponseSmtpResponse

Ответ Enhanced SMTP согласно RFC 2034.Enhanced SMTP response as defined in RFC 2034.

ReasonReason

Причина действия, указанная агентом.Reason for the action supplied by the agent.

ReasonDataReasonData

Описание действия, указанное агентом.Descriptive details for the action supplied by the agent.

В началоReturn to top

Поиск журналов агентовSearch the agent logs

Искать журналы агентов можно с помощью командлета Get-AgentLog и сценария Get-AntiSpamFilteringReport.ps1.You can use the Get-AgentLog cmdlet and the Get-AntiSpamFilteringReport.ps1 script to search the agent logs.

Get-AntiSpamFilteringReport.ps1 скрипт расположен в %ExchangeInstallPath%Scripts. Необходимо запустить скрипт в командной консоли в папке Scripts. Чтобы изменить расположение в командной консоли Exchange в папку скриптов, выполните следующую команду:The Get-AntiSpamFilteringReport.ps1 script is located in %ExchangeInstallPath%Scripts. You need to run the script in the Shell from the Scripts folder. To change your location in the Shell to the Scripts folder, run the following command:

Cd $env:ExchangeInstallPath\Scripts

Чтобы запустить папку сценариев, введите команду в следующем формате:To run the script in the Scripts folder, use the following syntax:

.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]

Для получения сведений об использовании сценария, выполните следующую команду:For details about using the script, run the following command:

Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1

В началоReturn to top