Introdução
Este documento descreve como determinar a disposição de uma mensagem com os logs de e-mail recuperados de vários comandos no Cisco Email Security Appliance (ESA).
Pré-requisitos
As informações neste documento são baseadas em:
- ESA
- Todas as versões do AsyncOS
Rastreamento de mensagem
Se você executar o AsyncOS for Email Versão 6.0 ou posterior, a maneira mais eficaz de determinar o que aconteceu com uma determinada mensagem é usar a página Rastreamento de mensagem na guia Monitor. Isso permite pesquisar com uma variedade de opções em uma interface da Web fácil de usar.
Se você executar uma versão mais antiga ou precisar reunir todas as linhas de log para fins de solução de problemas, use os comandos grep ou findevent, conforme detalhado nas próximas seções.
Comando Findevent
Se você tiver o AsyncOS for Email versão 5.1.2 ou posterior, o comando CLI findevent simplificará a pesquisa por uma mensagem específica. Findevent permite que você pesquise pelo envelope de, pelo destinatário do envelope ou pelo Assunto da mensagem. Isso também pode ser feito independentemente do caso. Depois de localizar a mensagem, você poderá retornar cada linha de log relevante para essa mensagem. Se você executar findevent sem argumentos, ele iniciará um assistente para guiá-lo pelo processo. Como sempre, você pode usar o comando help para aprender a forma curta:
> help findevent
findevent [-i] [-f from | -s subject | -t to] log_name
findevent -m mid log_name
O primeiro formulário realiza uma pesquisa por um envelope específico de, assunto ou envelope para dentro do nome log_name e lista os IDs de mensagem (MIDs) que correspondem. O sinalizador -i pode ser usado para pesquisas que não diferenciam maiúsculas e minúsculas.
O segundo formulário exibe todas as linhas de log para o MID fornecido.
Se você tiver uma versão mais antiga, o comando CLI grep pode ser usado para realizar a mesma coisa. No entanto, o uso do comando grep exige um conhecimento mais detalhado de como os ESAs registram eventos de mensagem.
Comando Grep
O primeiro desafio ao pesquisar logs de e-mail é encontrar sua mensagem. Você pode fazer isso se procurar o remetente, o destinatário ou o assunto. Depois de localizar a mensagem, é importante entender como os logs de e-mail são organizados. Os eventos de log de e-mail da Segurança de conteúdo recebem acrônimos. Os eventos mais importantes são ICID, MID, RID e DCID.
ID de conexão de injeção (ICID): quando um host remoto estabelece uma conexão com o dispositivo, essa conexão é atribuída a um ICID. Um ICID pode gerar vários MIDs.
Observação: ICID 0 define uma mensagem que foi injetada a partir de si mesma. Na verdade, o numeral 0 depois de um ICID ou DCID se refere a sessões abertas para ou do endereço de loop local do dispositivo.
MID: Depois que uma conexão é estabelecida, cada correio de SMTP bem-sucedido de: cria um novo MID. Um único MID pode gerar muitos RIDs.
ID do destinatário (RID): cada destinatário (Para: Cc: ou Cco obtém um RID. Os RIDs somente geram vários DCIDs se houver uma devolução suave (erro de conexão) e a entrega for tentada novamente.
ID de conexão de entrega (DCID): cada destinatário que vai para o mesmo domínio de destino recebe o mesmo DCID até os limites do sistema receptor. Portanto, se todos os destinatários de uma mensagem forem para o mesmo domínio, haverá um DCID para todos os RIDs. Se, em vez disso, cada RID vai para um domínio separado, então há uma correlação um-para-um.
Observação: DCID 0 define uma mensagem que nunca foi enviada. Na verdade, o numeral 0 depois de um ICID ou DCID se refere a sessões abertas para ou do endereço de loop local do dispositivo.
Geralmente, quando você encontra sua mensagem, você encontra seu MID. Então você faz grep para o MID e determina o ICID e RID. Com o ICID, você pode determinar a Pontuação de reputação SenderBase (SBRS) para o remetente. Com o RID e, em seguida, o DCID, você pode determinar o que aconteceu quando o ESA tentou a entrega.
Observação: depois de ter o MID, o ICID e o DCID, você poderá recuperar todas as linhas dessa mensagem em um grep, se a origem da mensagem não for mais antiga que o log de e-mail mais antigo.
example.com> grep -e " MID 11123" -e " ICID 11092" -e " DCID 23349" mail_logs
Exemplo
- Procurar o assunto da mensagem:
example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> test
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Mon Jan 23 10:25:03 2006 Info: SMTP listener testpairlist starting
Tue Jan 24 12:10:15 2006 Info: Message aborted MID 8 Dropped by filter
'testdrop'
Tue Jan 31 23:55:38 2006 Info: MID 32 Subject 'testmsgquarantine'
Wed Feb 1 00:23:59 2006 Info: MID 62 Subject 'testmsgquarantine'
Wed Feb 1 00:27:48 2006 Info: MID 64 Subject 'testmsg2'
Wed Feb 1 22:30:37 2006 Info: MID 80 Subject 'test zip'
Wed Feb 1 22:37:51 2006 Info: MID 83 Subject 'FW: test zip'
Wed Feb 1 22:41:50 2006 Info: MID 84 Subject 'FW: test zip'
Fri Feb 3 15:17:47 2006 Info: MID 94 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
Isso gerou várias correspondências que continham teste no assunto. A mensagem foi enviada aproximadamente às 15h42, para que você possa usar esse MID na próxima pesquisa.
Aqui estão alguns pontos importantes a serem observados sobre as perguntas:
- Deseja que esta pesquisa não diferencie maiúsculas de minúsculas? [S]>
Se você responder Yes a essa pergunta, ele encontrará entradas independentemente do uso de maiúsculas e minúsculas.
- Deseja encerrar os logs? [N]>
Se você responder Sim a essa pergunta, ele encontrará apenas novas entradas à medida que elas forem geradas. Ele não pesquisa todos os arquivos de log. Escolha No para pesquisar todos os logs.
- Deseja paginar a saída? [N]>
Se você responder Sim a essa pergunta, as entradas serão exibidas uma página por vez. Isso é útil se você precisar fazer uma pesquisa geral e esperar recuperar muitas entradas. Isso impede que as entradas rolem para fora da exibição.
- Procure o MID:
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> MID 96
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:41:43 2006 Info: Start MID 96 ICID 10394
Fri Feb 3 15:41:43 2006 Info: MID 96 ICID 10394 From: <bob@example.net>
Fri Feb 3 15:41:58 2006 Info: MID 96 ICID 10394 RID 0 To:
<nasir@example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Message-ID
<4o8836$30@mail.example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 ready 23 bytes from
<bob@example.net>
Fri Feb 3 15:42:06 2006 Info: MID 96 matched all recipients for
per-recipient policy DEFAULT in the outbound table
Fri Feb 3 15:42:06 2006 Info: MID 96 antivirus negative
Fri Feb 3 15:42:06 2006 Info: MID 96 queued for delivery
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: MID 96 RID [0] Response '2.6.0
<4o8836$30@mail.example.com> Queued mail for delivery'
Fri Feb 3 15:42:06 2006 Info: Message finished MID 96 done
Observe que as entradas MID fornecem mais informações sobre como a mensagem é processada. As entradas MID também fazem referência ao ICID e ao DCID. Se quiser saber mais sobre a conexão de entrada, grep para o ICID. Se quiser saber mais sobre o que aconteceu quando o ESA tentou a entrega, grep para o DCID.
- Para determinar onde a mensagem foi entregue, procure o DCID.
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> DCID 14
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:42:06 2006 Info: New SMTP DCID 14 interface 192.168.0.199
address 10.1.1.112 port 25
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:11 2006 Info: DCID 14 close
Observe que a mensagem foi entregue da interface 192.168.0.199 para o host com o endereço IP 10.1.1.112 na porta 25.
Se não houve tentativa de entrega, mas a mensagem foi colocada na fila para entrega, isso indica que o sistema pode ter dificuldade em se comunicar com o servidor de destino. Você pode usar hoststatus na CLI para ver se o status do host destinatário está Inativo e para verificar se os IPs ordenados correspondem às suas rotas SMTP para o domínio de destino ou aos registros MX públicos, conforme aplicável.
Feedback