Inleiding
Dit document beschrijft hoe u de regeling van een bericht kunt bepalen met de e-maillogbestanden die uit verschillende opdrachten op de Cisco Email Security Applicatie (ESA) zijn ophalen.
Voorwaarden
De informatie in dit document is gebaseerd op:
- ESA
- Alle versies van AsyncOS
Berichttracering
Als u AsyncOS voor E-mail versie 6.0 of later uitvoert, is de meest effectieve manier om te bepalen wat er met een bepaald bericht is gebeurd, de pagina voor het volgen van berichten te gebruiken vanuit het tabblad Monitor. Dit maakt het mogelijk om met verschillende opties te zoeken in een gebruiksvriendelijke web interface.
Als u een oudere versie uitvoert of alle logregels moet verzamelen voor probleemoplossingsdoeleinden, gebruikt u de opdrachten grep of findevent zoals in de volgende secties wordt beschreven.
Opdracht Zoeken
Als u AsyncOS voor E-mail versie 5.1.2 of hoger hebt, maakt de CLI Find opdracht het eenvoudiger om naar een specifiek bericht te zoeken. Met Findevent kunt u zoeken op de envelop van, de ontvanger van de envelop of het bericht Onderwerp. Dit kan ongeacht het geval worden gedaan. Zodra u uw bericht vindt, kunt u elke logregel die relevant is voor dat bericht terugsturen. Als u findevent zonder argumenten uitvoert, wordt een wizard gestart om u door het proces te leiden. Zoals altijd kunt u de help-opdracht gebruiken om het korte formulier te leren:
> help findevent
findevent [-i] [-f from | -s subject | -t to] log_name
findevent -m mid log_name
Het eerste formulier voert een zoekopdracht uit naar een specifieke envelop van, onderwerp of envelop naar binnen de genoemde log_name en geeft een lijst van de Berichten-ID’s (MID’s) die overeenkomen. De markering -i kan worden gebruikt voor niet-hoofdlettergevoelige zoekopdrachten.
Het tweede formulier geeft alle logregels voor de gegeven MID weer.
Als u een oudere versie hebt, kan de opdracht CLI grep worden gebruikt om hetzelfde te bereiken. Het gebruik van het grep commando vereist echter meer gedetailleerde kennis over hoe ESA's berichten bijhouden.
Gecombineerde opdracht
De eerste uitdaging bij het zoeken naar e-maillogbestanden is om uw bericht te vinden. U kunt dit doen als u zoekt naar de afzender, de ontvanger, of naar het onderwerp. Zodra u uw bericht hebt gevonden, is het belangrijk om te begrijpen hoe de e-maillogboeken worden georganiseerd. De gebeurtenissen van het de postlogboek van de Veiligheid van de inhoud worden gegeven acroniemen. De belangrijkste gebeurtenissen zijn ICID, MID, RID en DCID.
Injection Connection ID (ICID): wanneer een externe host een verbinding met het apparaat tot stand brengt, wordt aan die verbinding een ICID toegewezen. Eén ICID kan veel MID's kweken.
Opmerking: ICID 0 definieert een boodschap die uit zichzelf is geïnjecteerd. In feite verwijst het cijfer 0 na een ICID of DCID naar sessies die zijn geopend naar of van het aansluitnetadres van het apparaat.
MID: Zodra een verbinding is gemaakt, maakt elke succesvolle Simple Mail Transfer Protocol (SMTP)-mail van: opdracht een nieuwe MID. Een enkele MID kan veel RID's voortbrengen.
Ontvanger-ID (RID): Elke ontvanger (aan: CC: of BCC krijgt een RID. RID’s paaien alleen meerdere DCID’s als er een zachte bounce (verbindingsfout) is en de levering opnieuw wordt geprobeerd.
Leveringsverbinding-ID (DCID): Elke ontvanger die naar hetzelfde doeldomein gaat ontvangt dezelfde DCID tot aan de limieten van het ontvangende systeem. Dus als de ontvangers van een bericht allemaal naar hetzelfde domein gaan, dan is er één DCID voor alle RID's. Als in plaats daarvan elk RID naar een afzonderlijk domein gaat, dan is er een één-op-één correlatie.
Opmerking: DCID 0 definieert een bericht dat nooit is verzonden. In feite verwijst het cijfer 0 na een ICID of DCID naar sessies die zijn geopend naar of van het aansluitnetadres van het apparaat.
Over het algemeen, wanneer je je bericht vindt, vind je de MID. Vervolgens verzamelt u de MID en bepaalt u de ICID en het RID. Met de ICID kunt u de SenderBase Reputation Score (SBRS) voor de afzender bepalen. Met de RID en vervolgens de DCID, kunt u bepalen wat er gebeurde toen de ESA trachtte te leveren.
Opmerking: Zodra u de MID, ICID en DCID hebt, kunt u alle rijen voor dat bericht in één keer ophalen, als de oorsprong van het bericht niet ouder is dan uw oudste e-maillogbestand.
example.com> grep -e " MID 11123" -e " ICID 11092" -e " DCID 23349" mail_logs
Voorbeeld
- Zoek naar het bericht onderwerp:
example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> test
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Mon Jan 23 10:25:03 2006 Info: SMTP listener testpairlist starting
Tue Jan 24 12:10:15 2006 Info: Message aborted MID 8 Dropped by filter
'testdrop'
Tue Jan 31 23:55:38 2006 Info: MID 32 Subject 'testmsgquarantine'
Wed Feb 1 00:23:59 2006 Info: MID 62 Subject 'testmsgquarantine'
Wed Feb 1 00:27:48 2006 Info: MID 64 Subject 'testmsg2'
Wed Feb 1 22:30:37 2006 Info: MID 80 Subject 'test zip'
Wed Feb 1 22:37:51 2006 Info: MID 83 Subject 'FW: test zip'
Wed Feb 1 22:41:50 2006 Info: MID 84 Subject 'FW: test zip'
Fri Feb 3 15:17:47 2006 Info: MID 94 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
Dit genereerde een aantal overeenkomsten die test bevatten in het onderwerp. Het bericht werd verzonden om ongeveer 3:42pm, zodat u kunt gebruiken dat MID voor de volgende zoekopdracht.
Hier volgen een paar belangrijke opmerkingen over de vragen:
- Wil je dat deze zoekopdracht hoofdlettergevoelig is? [Y]>
Als je ja antwoordt op deze vraag, vindt het inzendingen, ongeacht de zaak.
- Wil je de logboeken volgen? [N]>
Als u ja antwoordt op deze vraag, vindt het alleen nieuwe items zoals ze worden gegenereerd. Het zoekt niet alle logbestanden. Kies Nee om alle logbestanden te doorzoeken.
- Wilt u de uitvoer pagineren? [N]>
Als u ja antwoordt op deze vraag, worden de gegevens op één pagina tegelijk weergegeven. Dit is handig als u een algemene zoekactie moet uitvoeren en verwacht veel items op te halen. Dit voorkomt dat de items van het display worden weergegeven.
- Zoek naar de MID:
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> MID 96
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:41:43 2006 Info: Start MID 96 ICID 10394
Fri Feb 3 15:41:43 2006 Info: MID 96 ICID 10394 From: <bob@example.net>
Fri Feb 3 15:41:58 2006 Info: MID 96 ICID 10394 RID 0 To:
<nasir@example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Message-ID
<4o8836$30@mail.example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 ready 23 bytes from
<bob@example.net>
Fri Feb 3 15:42:06 2006 Info: MID 96 matched all recipients for
per-recipient policy DEFAULT in the outbound table
Fri Feb 3 15:42:06 2006 Info: MID 96 antivirus negative
Fri Feb 3 15:42:06 2006 Info: MID 96 queued for delivery
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: MID 96 RID [0] Response '2.6.0
<4o8836$30@mail.example.com> Queued mail for delivery'
Fri Feb 3 15:42:06 2006 Info: Message finished MID 96 done
Bericht dat de MID-vermeldingen meer informatie geven over de manier waarop het bericht wordt verwerkt. De MID-vermeldingen verwijzen ook naar de ICID en de DCID. Als u meer wilt weten over de inkomende verbinding, neem dan contact op met de ICID. Als u meer wilt weten over wat er gebeurde toen de ESA de levering probeerde, groep voor de DCID.
- Om te bepalen waar het bericht is afgeleverd, zoekt u naar de DCID.
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> DCID 14
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:42:06 2006 Info: New SMTP DCID 14 interface 192.168.0.199
address 10.1.1.112 port 25
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:11 2006 Info: DCID 14 close
Bericht dat het bericht van de interface van 192.168.0.199 aan de gastheer met IP adres 10.1.1.112 over Port 25 werd geleverd.
Als de levering niet werd geprobeerd, maar het bericht voor levering werd een rij gevormd, wijst het erop dat het systeem in zijn communicatie met de bestemmingsserver moeilijkheden zou kunnen hebben. U kunt hoststatus gebruiken vanuit de CLI om te zien of de status van de ontvangende host Down is en om te verifiëren dat de bestelde IP's overeenkomen met uw SMTP-routes voor het doeldomein of de openbare MX-records, al naargelang van toepassing.
Feedback