Безопасность : устройства безопасности электронной почты Cisco ESA

Определение расположения сообщения ESA

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как определить расположение сообщения с почтовыми журналами, полученными из различных команд на Cisco Email Security Appliance (ESA).

Внесенный Нэзиром Шэкуром и Робертом Шервином, специалистами службы технической поддержки Cisco.

Предварительные условия

Информация в данном документе основана на следующих положениях:

  • ESA
  • Все версии AsyncOS

Отслеживание сообщений

Если вы выполняете AsyncOS для Почтовой Версии 6.0 или позже, большая часть эффективного способа для определения то, что произошло с конкретным сообщением, должен использовать страницу Message Tracking от вкладки Monitor. Это позволяет вам искать с многообразием параметров в простом в использовании веб-интерфейсе.

Если вы выполняете более старую версию или должны собрать все строки журнала для целей устранения проблем, используйте grep или findevent команды, как детализировано в следующих разделах.

Команда Findevent

Если у вас есть AsyncOS для Почтовой Версии 5.1.2 или позже, CLI findevent команда делает более простым искать определенное сообщение. Findevent позволяет вам искать конвертом от, получатель конверта или тема сообщения. Это может быть сделано независимо от случая также. Как только вы находите свое сообщение, можно возвратить каждую строку журнала, относящуюся к тому сообщению. При выполнении findevent без аргументов он запускает мастера для руководства вас посредством процесса. Как всегда, можно использовать команду справки для обучения краткой формы:

> help findevent
findevent [-i] [-f from | -s subject | -t to] log_name
findevent -m mid log_name

Первая форма проводит поиск определенного конверта от, предмет или конверт к в именованном log_name и перечисляет Идентификаторы сообщения (СЕРЕДИНЫ) того соответствия. Флаг-i может использоваться для непоисков с учетом регистра.

Вторая форма отображает все строки журнала для данного MID.

Если у вас есть более старая версия, команда grep CLI может использоваться для выполнения той же вещи. Однако использование команды grep требует более детального знания как события сообщения журнала ESA.

Команда Grep

Первая проблема при поиске почтовых журналов состоит в том, чтобы найти сообщение. Можно сделать это при поиске отправителя, получателя, или для предмета. Как только вы нашли свое сообщение, важно понять, как организованы почтовые журналы. Событиям журнала почты Безопасности содержания дают акронимы. Самые важные события являются ICID, MID, RID и DCID.

Инжекционный Идентификатор соединения (ICID): Когда удаленный хост устанавливает соединение с устройством, тому соединению назначают ICID. Один ICID может породить много СЕРЕДИН.

Примечание: ICID 0 определяет сообщение, которое было введено от себя. Фактически, цифра 0 после ICID или DCID ссылается на сеансы, открытые для или от адреса абонентской линии устройства.

MID: Как только соединение установлено, каждая успешная почта Протокола SMTP от: команда создает новый MID. Одиночный MID может породить много RID.

ID получателя (RID): Каждый получатель (К: Cc: или Скрытая копия получает RID. RID только порождают множественный DCIDs, если существует мягкий сильный удар (ошибка подключения), и доставка повторно предпринята.

Идентификатор соединения доставки (DCID): Каждый получатель, который переходит к тому же целевому домену, получает тот же DCID до пределов принимающей системы. Таким образом, если receipients сообщения, все переходят к тому же домену, то существует один DCID для всех RID. Если вместо этого, каждый RID переходит к отдельному домену, то существует однозначная корреляция.

Примечание: DCID 0 определяет сообщение, которое никогда не передавалось. Фактически, цифра 0 после ICID или DCID ссылается на сеансы, открытые для или от адреса абонентской линии устройства.

Обычно при обнаружении сообщения вы находите его MID. Затем вы grep для MID и определяете ICID и RID. С ICID можно определить Счет Репутации SenderBase (SBRS) для отправителя. С RID и затем DCID, можно определить то, что произошло, когда ESA делал попытку доставки.

Примечание: Как только у вас есть MID, ICID и DCID, можно получить все строки для того сообщения в одном grep, если происхождение сообщения не является более старым, чем самый старый почтовый журнал.

example.com> grep -e " MID 11123" -e " ICID 11092" -e " DCID 23349" mail_logs

Пример

  1. Поиск темы сообщения:

    example.com> grep
    Currently configured logs:
    16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
    Enter the number of the log you wish to grep.
    []> 16
    Enter the regular expression to grep.
    []> test
    Do you want this search to be case insensitive? [Y]>
    Do you want to tail the logs? [N]>
    Do you want to paginate the output? [N]>
    Mon Jan 23 10:25:03 2006 Info: SMTP listener testpairlist starting
    Tue Jan 24 12:10:15 2006 Info: Message aborted MID 8 Dropped by filter
    'testdrop'
    Tue Jan 31 23:55:38 2006 Info: MID 32 Subject 'testmsgquarantine'
    Wed Feb 1 00:23:59 2006 Info: MID 62 Subject 'testmsgquarantine'
    Wed Feb 1 00:27:48 2006 Info: MID 64 Subject 'testmsg2'
    Wed Feb 1 22:30:37 2006 Info: MID 80 Subject 'test zip'
    Wed Feb 1 22:37:51 2006 Info: MID 83 Subject 'FW: test zip'
    Wed Feb 1 22:41:50 2006 Info: MID 84 Subject 'FW: test zip'
    Fri Feb 3 15:17:47 2006 Info: MID 94 Subject 'test'
    Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'


    Это генерировало несколько соответствий, которые содержали тест в предмете. Сообщение передавалось в приблизительно 15:42, таким образом, можно использовать тот MID для следующего поиска.

    Вот некоторые важные моменты, которые необходимо отметить, о вопросах:

    • Вы хотите, чтобы этот поиск был нечувствителен к регистру? [Y]>
      Если вы отвечаете Да на этот вопрос, он находит записи независимо от случая.

    • Вы хотите выследить журналы? [N]>
      Если вы отвечаете Да на этот вопрос, он только находит новые записи, поскольку они генерируются. Это не ищет все файлы журнала. Выберите No для поиска всех журналов.

    • Вы хотите разбить на страницы выходные данные? [N]>
      Если вы отвечаете Да на этот вопрос, он отображает записи одна страница за один раз. Если необходимо сделать общий поиск и ожидать получать много записей, это полезно. Это мешает записям перейти прочь показа.


  2. Поиск MID:

    mail.example.com> grep
    Currently configured logs:
    16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
    Enter the number of the log you wish to grep.
    []> 16
    Enter the regular expression to grep.
    []> MID 96
    Do you want this search to be case insensitive? [Y]>
    Do you want to tail the logs? [N]>
    Do you want to paginate the output? [N]>
    Fri Feb 3 15:41:43 2006 Info: Start MID 96 ICID 10394
    Fri Feb 3 15:41:43 2006 Info: MID 96 ICID 10394 From: <bob@example.net>
    Fri Feb 3 15:41:58 2006 Info: MID 96 ICID 10394 RID 0 To:
    <nasir@example.com>
    Fri Feb 3 15:42:06 2006 Info: MID 96 Message-ID
    <4o8836$30@mail.example.com>
    Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
    Fri Feb 3 15:42:06 2006 Info: MID 96 ready 23 bytes from
    <bob@example.net>
    Fri Feb 3 15:42:06 2006 Info: MID 96 matched all recipients for
    per-recipient policy DEFAULT in the outbound table
    Fri Feb 3 15:42:06 2006 Info: MID 96 antivirus negative
    Fri Feb 3 15:42:06 2006 Info: MID 96 queued for delivery
    Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:06 2006 Info: MID 96 RID [0] Response '2.6.0
    <4o8836$30@mail.example.com> Queued mail for delivery'
    Fri Feb 3 15:42:06 2006 Info: Message finished MID 96 done


    Заметьте, что записи MID предоставляют дополнительные сведения о, как обработано сообщение. Записи MID также ссылаются на ICID и DCID. Если вы хотите знать больше о входящем соединении, grep для ICID. Если вы хотите знать больше о том, что произошло, когда ESA делал попытку доставки, grep для DCID.

  3. Для определения, где сообщение было передано, ищите DCID.

    mail.example.com> grep
    Currently configured logs:
    16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
    Enter the number of the log you wish to grep.
    []> 16
    Enter the regular expression to grep.
    []> DCID 14
    Do you want this search to be case insensitive? [Y]>
    Do you want to tail the logs? [N]>
    Do you want to paginate the output? [N]>
    Fri Feb 3 15:42:06 2006 Info: New SMTP DCID 14 interface 192.168.0.199
    address 10.1.1.112 port 25
    Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
    Fri Feb 3 15:42:11 2006 Info: DCID 14 close


    Заметьте, что сообщение было освобождено от этих 192.168.0.199 интерфейсов до хоста с IP-адресом 10.1.1.112 по порту 25.

    Если доставка не была предпринята, но сообщение было помещено в очередь для доставки, это указывает, что система могла бы испытать затруднения в своей связи с сервером назначения. Можно использовать hoststatus от CLI, чтобы видеть, не работает ли статус хоста получателя и проверить, что Упорядоченные IPs совпадают или маршрутами SMTP для целевого домена или с общими записями MX, как применимыми.


Document ID: 117853