スパム対策エージェントのログ
製品: Exchange Server 2013
エージェント ログには、Microsoft Exchange Server 2013 の特定のスパム対策エージェントによってメッセージに対して実行された処理が記録されます。 エージェント ログに情報を書き込むことができるのは、以下のエージェントのみです。
- 接続フィルター エージェント
- コンテンツ フィルター エージェント
- エッジ ルール エージェント
- 受信者フィルター エージェント
- 送信者フィルター エージェント
- Sender ID エージェント
注:
メールボックス サーバーでは、接続フィルター エージェントおよびエッジ ルール エージェントを使用できません。
エージェント ログに書き込まれる情報は、エージェント、SMTP イベント、およびメッセージに対して実行された処理によって異なります。
エージェント ログのすべての構成タスクを実行するために、Exchange 管理シェルで Set-TransportService コマンドレットを使用します。 エージェント ログでは、以下のオプションを選択できます。
- エージェント ログを有効または無効にします。 既定では有効になっています。
- エージェント ログ ファイルの場所を指定します。 既定値は、%ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog です。
- 各エージェント ログ ファイルの最大サイズを指定します。 既定のサイズは 10 MB です。
- エージェント ログ ファイルに含まれるディレクトリの最大サイズを指定します。 既定のサイズは 250 MB です。
- エージェント ログ ファイルの最大保存期間を指定します。 既定の保存期間は 7 日です。
ログ ファイルが使用するハード ディスク容量を抑えるために、Exchange は循環ログを使用し、ファイル サイズとファイル保存期間に基づいてエージェント ログを制限します。
トランスポート エージェントの概要
メールボックス サーバーまたはエッジ トランスポート サーバー上のトランスポート サービスを介してメッセージを送受信する際に SMTP コマンド シーケンスが使用されますが、エージェントがメッセージを処理できるのは、SMTP コマンド シーケンス内の特定のポイントに限られます。 SMTP コマンド シーケンス内のこれらのアクセス ポイントは、 SMTP イベントと呼ばれます。 各エージェントには、割り当て可能な優先度があります。 ただし SMTP イベントは、必ず特定の順序で発生します。 したがって、エージェントの優先度は SMTP イベントによって異なります。 2 つのエージェントが、同一の SMTP イベントでメッセージを処理する場合、優先度が高い方のエージェントが先にメッセージを処理します。
次の表に、SMTP イベントを発生順に、およびそれらの各 SMTP イベントにおいてエージェント ログに情報を書き込むエージェントを優先度の順に示します。
SMTP イベント (発生順)、および各 SMTP イベントにおいてエージェント ログに情報を書き込むエージェント (優先度の順)
| SMTP イベント | エージェント |
|---|---|
| OnConnect | 接続フィルター エージェント |
| OnMailCommand | 接続フィルター エージェント 送信者フィルター エージェント |
| OnRcptCommand | 接続フィルター エージェント 受信者フィルター エージェント |
| OnEndOfHeaders | 接続フィルター エージェント Sender ID エージェント 送信者フィルター エージェント |
| OnEndOfData | エッジ ルール エージェント コンテンツ フィルター エージェント |
注:
メールボックス サーバーでは、接続フィルター エージェントおよびエッジ ルール エージェントを使用できません。
エージェント、SMTP イベント、およびエージェントの優先度の詳細については、「トランスポート エージェント」を参照してください。
エージェント ログ ファイルの構造
エージェント ログは、%ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog にあります。
エージェント ログ ファイルの名前付け規則は です AGENTLOGyyyyMMdd-nnnn.log。 プレースホルダーは以下の情報を表しています。
- プレースホルダー yyyyMMdd は、ログ ファイルが作成された協定世界時 (UTC) の日付です。 プレースホルダー yyyy = year、 MM = month、 dd = day。
- プレースホルダー nnnn は、各日の値 1 から始まるインスタンス番号です。
ファイル サイズが指定された最大値に達すると、ログ ファイルに情報を書き込むのをやめ、インスタンス番号を増やした新しいログ ファイルを開きます。 このプロセスを終日繰り返します。 循環ログでは、エージェント ログ ディレクトリが指定された最大サイズに達するか、またはログ ファイルが指定された最大保存期間に達すると、最も古いログ ファイルを削除します。
エージェント ログ ファイルは、データをコンマ区切りファイル (CSV) 形式で格納するテキスト ファイルです。 個々のエージェント ログ ファイルには、以下の情報を含むヘッダーがあります。
- #Software: エージェント ログ ファイルを作成したソフトウェアの名前。 通常、値は Microsoft Exchange Server です。
- #Version: エージェント ログ ファイルを作成したソフトウェアのバージョン番号。 現在、この値は 15.0.0.0 です。
- #Log-Type: ログの種類の値 。これはエージェント ログです。
- #Date: ログ ファイルが作成された UTC 日時。 UTC 日時は ISO 8601 日付時刻形式で表されます。 yyyy-MM-ddThh:mm:ss.fffZ は、 yyyy = year、 MM = month、 dd = day、T は時間成分の先頭を示します 。hh = hour、 mm = minute、 ss = second、 fff = fractions of a second、Z signifies Zulu は UTC を示す別の方法です。
- #Fields: エージェント ログ ファイルで使用されるコンマ区切りのフィールド名。
エージェント ログに書き込まれる情報
エージェント ログでは、個々のエージェント トランザクションがログの 1 行として格納されます。 各行の情報は、フィールドごとにまとめられています。 これらのフィールドはコンマで区切られています。 通常、フィールド名はフィールドに含まれる情報の種類を判断できる程度に説明的な名前です。 ただし、一部のフィールドは空白になる場合もあります。 また、フィールドに格納される情報の種類は、エージェントによって、またはメッセージに対して実行されたエージェントの処理によって異なる場合があります。 次の表は、各エージェント トランザクションの分類に使用されるフィールドを示します。
各エージェント トランザクションの分類に使用されるフィールド
| フィールド名 | 説明 |
|---|---|
| Timestamp | エージェント イベントの日時です (UTC)。 UTC 日時は ISO 8601 日付時刻形式で表されます。 yyyy-MM-ddThh:mm:ss.fffZ は、 yyyy = year、 MM = month、 dd = day、T は時間成分の先頭を示します 。hh = hour、 mm = minute、 ss = second、 fff = fractions of a second、Z signifies Zulu は UTC を示す別の方法です。 |
| SessionId | 一意の SMTP セッション識別子です。 この識別子は、16 桁の 16 進数で表されます。 |
| Localendpoint | メッセージを受け取ったローカル IP アドレスおよびポート番号です。 SMTP セッションでは、通常ポート 25 が使用されます。 |
| RemoteEndpoint | このサーバーに接続してメッセージを配信した、直前の SMTP サーバーの IP アドレスおよびポート番号です。 インターネット メールが境界ネットワークのエッジ トランスポート サーバーを通過すると、メールボックス サーバー上でのエージェント ログの RemoteEndpoint の値が、エッジ トランスポート サーバーの IP アドレスになります。 メッセージは SMTP によって送信されますが、送信側サーバーが使用するポート番号は、1,024 より大きい不定な値です。 |
| EnteredOrgFromIP | 最初に Exchange 組織に接続してメッセージを配信した、リモート SMTP サーバーの IP アドレスです。 エッジ トランスポート サーバーでは、 RemoteEndpoint と EnteredOrgFromIP の値は同じになります。 スパム対策エージェントは、 EnteredOrgFromIP 内の IP アドレスを使用してメッセージを調べます。 |
| Messageid | ヘッダー フィールドの MessageID 値。 この値が空白である場合は、メッセージが受け付けられた場合のみ、Exchange トランスポート サーバーが任意の値を割り当てます。 値が割り当てられると、 の MessageID 値はメッセージの有効期間中は定数になります。 |
| P1FromAddress | メッセージ エンベロープで MAIL FROM 指定された送信者の電子メール アドレス。 この値は、SMTP メッセージング サーバー間でのメッセージの送受信に使用されます。 この値が P2FromAddresses の値と比較され、メッセージ ヘッダーの送信者アドレスが偽造されていないかどうかが判定されます。 |
| P2FromAddresses | ヘッダー フィールドまたはメッセージ ヘッダーの From ヘッダー フィールドに Sender 指定された送信者の電子メール アドレス。 |
| [受信者] | 受信者の電子メール アドレスです。 元のメッセージには複数の受信者が含まれていても、エージェント ログの各行には 1 人の受信者のみが格納されます。 |
| NumRecipients | 元のメッセージの受信者の合計数です。 |
| Agent | 処理を実行するエージェントの名前です。 使用可能な値は次のいずれかです。
|
| Event | エージェントによる処理が発生した SMTP イベントです。
Event の値はエージェントによって異なります。 各エージェントが利用できる SMTP イベントについては、このトピックの最初の表で説明されています。
Event の取り得る値は以下のとおりです。
|
| Action | エージェントによってメッセージに対して実行された処理です。
Action の取り得る値は以下のとおりです。
|
| SmtpResponse | RFC 2034 で定義されている拡張 SMTP の応答です。 |
| Reason | エージェントによって行われた処理の理由です。 |
| ReasonData | エージェントによって行われた処理の詳細な説明です。 |
エージェント ログの検索
Get-AgentLog コマンドレットおよび Get-AntiSpamFilteringReport.ps1 スクリプトを使用して、エージェント ログを検索できます。
Get-AntiSpamFilteringReport.ps1 スクリプトは にあります%ExchangeInstallPath%Scripts。 シェルのスクリプトは Scripts フォルダーから実行する必要があります。 シェルの場所を Scripts フォルダーに変更するには、次のコマンドを実行します。
Cd $env:ExchangeInstallPath\Scripts
Scripts フォルダーのスクリプトを実行するには、次の構文を使用します。
.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]
スクリプトの使用方法の詳細を確認するには、次のコマンドを実行します。
Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1