エージェント ログの管理

  • [アーティクル]

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-01-09

エージェント ログは、特定のスパム対策エージェントがメッセージに対して実行した動作を記録します。これらのエージェントは、エッジ トランスポート サーバーの役割またはハブ トランスポート サーバーの役割がインストールされ Microsoft Exchange Server 2007 を実行しているコンピュータにインストールされ構成されます。エージェント ログに情報を書き込むことができるのは、以下のエージェントのみです。

  • 接続フィルタ エージェント
  • コンテンツ フィルタ エージェント
  • エッジ ルール エージェント
  • 受信者フィルタ エージェント
  • 送信者フィルタ エージェント
  • Sender ID エージェント

エージェント ログに書き込まれる情報は、エージェント、SMTP (簡易メール転送プロトコル) イベント、およびメッセージに対して実行された動作によって異なります。

エージェント ログで構成可能なオプションは、EdgeTransport.exe.config アプリケーション構成ファイルの AgentLogEnabled パラメータのみです。既定では、エージェント ログはハブ トランスポート サーバーまたはエッジ トランスポート サーバーで有効になっています。以下の一覧は、エージェント ログの構成可能でない値です。

  • エージェント ログが格納されるパスは、C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog です。
  • 各エージェント ログ ファイルの最大サイズは 10 MB です。
  • エージェント ログ ファイルを格納するディレクトリの最大サイズは 250 MB です。
  • エージェント ログ ファイルの最長保存期間は 30 日です。

ログ ファイルが使用するハード ディスク容量を抑えるために、Exchange 2007 サーバーは循環ログを使用し、ファイル サイズとファイル保存期間に基づいてエージェント ログを制限します。

note注 :
エージェント ログ ファイルのファイル保存期間やディレクトリ サイズの値を構成することはできませんが、これらの制限を超えてエージェント ログ ファイルを保存する必要がある場合は、スケジュールされたタスクを作成して、使用されていないエージェント ログ ファイルを別の場所に定期的に移動することによって可能になります。
note注 :
既定では、トランスポート ログ プロセスのログ出力レベルの値は 0 (最低) です。Microsoft Exchange で、循環ログによってログ ファイルが削除されたときにイベント ログ エントリを書き込むには、トランスポート ログ プロセスのログ出力レベルの値を 5 (最大) または 7 (上級) に変更する必要があります。詳細については、「Exchange プロセスのログ出力レベルを変更する方法」を参照してください。

トランスポート エージェントの概要

ハブ トランスポート サーバーまたはエッジ トランスポート サーバーをとおしてメッセージを送受信する際に SMTP コマンド シーケンスが使用されますが、エージェントがメッセージを処理できるのは、SMTP コマンド シーケンス内の特定のポイントに限られます。SMTP コマンド シーケンス内のこれらのアクセス ポイントは、SMTP イベントと呼ばれます。各エージェントには、割り当て可能な優先度があります。ただし SMTP イベントは、必ず特定の順序で発生します。したがって、エージェントの優先度は SMTP イベントによって異なります。2 つのエージェントが、同一の SMTP イベントでメッセージを処理する場合、優先度が高い方のエージェントが先にメッセージを処理します。

表 1 では、SMTP イベントを発生順に、およびそれらの各 SMTP イベントにおいてエージェント ログに情報を書き込むエージェントを優先度の順に示しています。

表 1   SMTP イベント (発生順)、および各 SMTP イベントにおいてエージェント ログに情報を書き込むエージェント (優先度の順)

SMTP イベント エージェント

OnConnect

接続フィルタ エージェント

OnMailCommand

接続フィルタ エージェント

送信者フィルタ エージェント

OnRcptCommand

接続フィルタ エージェント

受信者フィルタ エージェント

OnEndOfHeaders

接続フィルタ エージェント

Sender ID エージェント

送信者フィルタ エージェント

OnEndOfData

エッジ ルール エージェント

コンテンツ フィルタ エージェント

エージェント、SMTP イベント、およびエージェントの優先度の詳細については、「トランスポート エージェントの概要」を参照してください。

エージェント ログ ファイルの構造

エージェント ログは、C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog に格納されます。

エージェント ログ ファイルの名前付け規則は、AGENTLOGyyyymmdd-nnnn.log です。プレースホルダは以下の情報を表しています。

  • プレースホルダ yyyymmdd は、ログ ファイルを作成した世界協定時刻 (UTC) の日付です。ここで、yyyy = 年、mm = 月、dd = 日を表しています。
  • プレースホルダ nnnn はインスタンス番号で、毎日値 1 から始まります。

情報は、ファイル サイズが 10 MB に達するまでログ ファイルに書き込まれます。ファイル サイズがこの最大値に達したら、インスタンス番号を増やした新しいログ ファイルを開きます。このプロセスを終日繰り返します。循環ログでは、エージェント ログ ディレクトリが 250 MB に達するか、またはログ ファイルの保存期間が 30 日に達すると、最も古いログ ファイルから削除されます。

エージェント ログ ファイルは、データをコンマ区切り (CSV) 形式で格納するテキスト ファイルです。個々のエージェント ログ ファイルには、以下の情報を含むヘッダーがあります。

  • #Software:   エージェント ログ ファイルを作成したソフトウェアの名前です。通常、この値は Microsoft Exchange Server です。
  • #Version:   エージェント ログ ファイルを作成したソフトウェアのバージョン番号です。現在、この値は 8.0.0.0 です。
  • #Log-Type:   このフィールドの値はエージェント ログです。
  • #Date:   ログ ファイルが作成された UTC の日時です。UTC の日時は次のような ISO 8601 の日時形式で表されます。yyyy-mm-ddThh:mm:ss.fffZ。ここでは yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒の端数であり、Z は UTC の別の呼び方である Zulu を表しています。
  • #Fields:   エージェント ログ ファイルで使用されているフィールド名をコンマで区切ったものです。

エージェント ログに書き込まれる情報

エージェント ログでは、個々のエージェント トランザクションがログの 1 行として格納されます。各行の情報は、フィールドごとにまとめられています。これらのフィールドはコンマで区切られています。通常、フィールド名はフィールドに含まれる情報の種類を判断できる程度に説明的な名前です。ただし、一部のフィールドは空白になる場合もあります。また、フィールドに格納される情報の種類は、エージェントによって、またはエージェントのメッセージに対する処理によって異なる場合があります。表 2 は、各エージェント トランザクションの分類に使用されるフィールドについて説明しています。

表 2   各エージェント トランザクションの分類に使用されるフィールド

フィールド名 説明

Timestamp

エージェント イベントの日時です (UTC)。ISO 8601 形式で表されます。値は yyyy-mm-ddThh:mm:ss.fffZ 形式で記述されます。ここで、yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒の端数、Z は Zulu を表しています。

SessionId

一意の SMTP セッション識別子です。この識別子は、16 桁の 16 進数で表されます。

LocalEndpoint

メッセージを受け取ったローカル IP アドレスおよびポート番号です。SMTP セッションでは、通常ポート 25 が使用されます。

RemoteEndpoint

このサーバーに接続してメッセージを配信した、直前の SMTP サーバーの IP アドレスおよびポート番号です。エッジ トランスポート サーバーとハブ トランスポート サーバーのトポロジにおいて、ハブ トランスポート サーバーのエージェント ログにある RemoteEndpoint の値は、エッジ トランスポート サーバーの IP アドレスになります。メッセージは SMTP によって送信されますが、送信側サーバーが使用するポート番号は、1024 より大きい不定な値です。

EnteredOrgFromIP

最初に Exchange 組織に接続してメッセージを配信した、リモート SMTP サーバーの IP アドレスです。エッジ トランスポート サーバーでは、RemoteEndpoint と EnteredOrgFromIP の値は同じになります。スパム対策エージェントは、EnteredOrgFromIP 内の IP アドレスを使用してメッセージを調べます。

MessageId

MessageID: ヘッダー フィールドの値です。この値が空白である場合は、メッセージが受け付けられた場合のみ、Exchange 2007 トランスポート サーバーが任意の値を割り当てます。値が割り当てられると、MessageID: の値はメッセージの有効期間全体にわたって不変です。

P1FromAddress

メッセージ エンベロープの MAIL FROM: で指定されている送信者の電子メール アドレスです。この値は、SMTP メッセージング サーバー間でのメッセージの送受信に使用されます。この値が P2FromAddresses の値と比較され、メッセージ ヘッダーの送信者アドレスが偽造されていないかどうかが判定されます。

P2FromAddresses

メッセージ ヘッダー内の From: ヘッダー フィールドまたは Sender: ヘッダー フィールドで指定されている送信者の電子メール アドレスです。

Recipient

受信者の電子メール アドレスです。元のメッセージには複数の受信者が含まれていても、エージェント ログの各行には 1 人の受信者のみが格納されます。

NumRecipients

元のメッセージの受信者の合計数です。

Agent

処理を実行したエージェントの名前です。使用可能な値は次のいずれかです。

  • 接続フィルタ エージェント
  • コンテンツ フィルタ エージェント
  • エッジ ルール エージェント
  • 受信者フィルタ エージェント
  • 送信者フィルタ エージェント
  • Sender ID エージェント

Event

エージェントによる処理が発生した SMTP イベントです。Event の値はエージェントによって異なります。各エージェントが利用できる SMTP イベントについては、このトピックの表 1 で説明されています。Event の取り得る値は以下のとおりです。

  • OnConnect
  • OnEndOfHeaders
  • OnEndOfData
  • OnMailCommand
  • OnRcptCommand

Action

エージェントがメッセージに対して実行する処理です。Action の取り得る値は以下のとおりです。

  • AcceptMessage
  • DeleteMessage
  • DeleteRecipients
  • Disconnect
  • QuarantineMessage
  • QuarantineRecipients
  • RejectAuthentication
  • RejectCommand
  • RejectConnection
  • RejectMessage
  • RejectRecipients

SmtpResponse

RFC 2034 で定義されている拡張 SMTP の応答です。

Reason

エージェントによって行われた処理の理由です。

ReasonData

エージェントによって行われた処理の詳細な説明です。

エージェント ログの検索

Exchange 管理シェルで Get-AgentLog コマンドレットを使用して、または Get-AntiSpamFilteringReport スクリプトを使用して、エージェント ログを検索することができます。

詳細については、「Get-AgentLog」を参照してください。

エージェント ログを有効または無効にする方法

既定では、エージェント ログはハブ トランスポート サーバーまたはエッジ トランスポート サーバーで有効になっています。エージェント ログは、C:\Program Files\Microsoft\Exchange Server\Bin にある EdgeTransport.exe.config ファイルを変更することによって有効にするか無効にするかを指定できます。EdgeTransport.exe.config ファイルは、EdgeTransport.exe ファイルと関連付けられた、XML アプリケーション構成ファイルです。EdgeTransport.exe と MSExchangeTransport.exe は、Microsoft Exchange Transport サービスによって使用される実行可能ファイルです。このサービスは、すべてのハブ トランスポート サーバーまたはエッジ トランスポート サーバーで実行されます。EdgeTransport.exe.config ファイルに加えられた変更は、Microsoft Exchange Transport サービスの再起動後に適用されます。

次の例は、EdgeTransport.exe.config ファイルの標準的な構造を示しています。

<configuration>

<runtime>

<gcServer enabled="true" />

</runtime>

<appSettings>

<add key=" 構成オプション " value=" " />

...

</appSettings>

</configuration>

<appSettings> セクションでは、新しい構成オプションを追加したり、既存の構成オプションを変更したりすることができます。さまざまな構成オプションがありますが、それらの多くはエージェント ログとはまったく関係がありません。エージェント ログとは関係のない構成オプションはすべて、このトピックの範囲外です。

note注 :
<add key=../> セクションのパラメータ名は、大文字と小文字を区別します。

エージェント ログを有効または無効にするには、次の操作を行います。

  1. メモ帳を使用して、C:\Program Files\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config ファイルを開きます。

  2. <appSettings> セクションで以下の行を変更します。

    <add key="AgentLogEnabled" value="<TRUE | FALSE>" />

    たとえば、エージェント ログを無効にするには、AgentLogEnabled パラメータを以下のように変更します。

    <add key="AgentLogEnabled" value="FALSE" />

  3. EdgeTransport.exe.config ファイルを保存して閉じます。

  4. Microsoft Exchange Transport サービスを再起動します。

詳細情報

詳細については、「スパム対策およびウイルス対策向けの機能」を参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。