Inleiding
In dit document wordt beschreven hoe u de verwijdering van een bericht kunt bepalen met de maillogboeken die zijn opgehaald uit verschillende opdrachten op het Cisco Email Security Appliance (ESA).
Voorwaarden
De informatie in dit document is gebaseerd op:
- ESA
- Alle versies van AsyncOS
Berichtentracering
Als u AsyncOS voor e-mail versie 6.0 of hoger uitvoert, is de meest effectieve manier om te bepalen wat er met een bepaald bericht is gebeurd, de pagina Berichten bijhouden gebruiken op het tabblad Monitor. Hiermee kunt u met verschillende opties zoeken in een gebruiksvriendelijke webinterface.
Als u een oudere versie uitvoert of alle logboekregels moet verzamelen om problemen op te lossen, gebruikt u de opdrachten grep of findvent zoals beschreven in de volgende secties.
Findevent, opdracht
Als u AsyncOS voor e-mail versie 5.1.2 of hoger hebt, maakt de CLI-opdracht findevent het eenvoudiger om naar een specifiek bericht te zoeken. Met Findevent kunt u zoeken op de envelop van, de ontvanger van de envelop of het onderwerp van het bericht. Dit kan ook ongeacht het geval. Zodra u uw bericht hebt gevonden, kunt u elke logregel die relevant is voor dat bericht retourneren. Als u findevent zonder argumenten uitvoert, wordt een wizard gestart om u door het proces te leiden. Zoals altijd kunt u de Help gebruiken om het korte formulier te leren:
> help findevent
findevent [-i] [-f from | -s subject | -t to] log_name
findevent -m mid log_name
Het eerste formulier voert een zoekopdracht uit naar een specifieke envelop van, onderwerp of envelop naar binnen de genoemde log_name en vermeldt de Message ID's (MID's) die overeenkomen. De -i-vlag kan worden gebruikt voor niet-hoofdlettergevoelige zoekopdrachten.
In het tweede formulier worden alle logboekregels voor de opgegeven MID weergegeven.
Als u een oudere versie hebt, kan de CLI-grep-opdracht worden gebruikt om hetzelfde te bereiken. Het gebruik van de grep-opdracht vereist echter meer gedetailleerde kennis van de manier waarop ESA's berichtgebeurtenissen registreren.
GREP, opdracht
De eerste uitdaging bij het zoeken naar e-maillogs is om uw bericht te vinden. U kunt dit doen als u zoekt naar de afzender, de ontvanger of naar het onderwerp. Zodra u uw bericht hebt gevonden, is het belangrijk om te begrijpen hoe de maillogs zijn georganiseerd. Gebeurtenissen in het e-maillogboek van Content Security worden afgekort. De belangrijkste gebeurtenissen zijn ICID, MID, RID en DCID.
Injectieverbinding-ID (ICID): Wanneer een externe host een verbinding met het toestel tot stand brengt, wordt aan die verbinding een ICID toegewezen. Een ICID kan veel MID's voortbrengen.
Opmerking: ICID 0 definieert een bericht dat van zichzelf is geïnjecteerd. In feite verwijst het cijfer 0 na een ICID of DCID naar sessies die geopend zijn naar of van het lokale lusadres van het apparaat.
MID: Zodra een verbinding tot stand is gebracht, wordt met elke succesvolle SMTP-mail (Simple Mail Transfer Protocol) van: opdracht een nieuwe MID gemaakt. Een enkele MID kan veel RID's voortbrengen.
Ontvanger-ID (RID): Elke ontvanger (Aan: CC: of Bcc krijgt een RID. RID's genereren alleen meerdere DCID's als er een soft bounce (verbindingsfout) is en de levering opnieuw wordt geprobeerd.
Delivery Connection ID (DCID): Elke ontvanger die naar hetzelfde bestemmingsdomein gaat, ontvangt dezelfde DCID tot de limieten van het ontvangende systeem. Dus als de ontvangers van een bericht allemaal naar hetzelfde domein gaan, dan is er één DCID voor alle RID's. Als in plaats daarvan elk RID naar een afzonderlijk domein gaat, is er een één-op-één correlatie.
Opmerking: DCID 0 definieert een bericht dat nooit is verzonden. In feite verwijst het cijfer 0 na een ICID of DCID naar sessies die geopend zijn naar of van het lokale lusadres van het apparaat.
Over het algemeen, wanneer je je boodschap vindt, vind je de MID. Vervolgens ga je voor de MID en bepaal je de ICID en RID. Met de ICID kunt u de SenderBase Reputation Score (SBRS) voor de afzender bepalen. Met het RID en vervolgens het DCID kunt u bepalen wat er gebeurde toen de ESA probeerde te leveren.
Opmerking: Zodra u de MID, ICID en DCID hebt, kunt u alle rijen voor dat bericht in één grep ophalen, als de oorsprong van het bericht niet ouder is dan uw oudste maillog.
example.com> grep -e " MID 11123" -e " ICID 11092" -e " DCID 23349" mail_logs
Voorbeeld
- Zoeken naar het onderwerp van het bericht:
example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> test
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Mon Jan 23 10:25:03 2006 Info: SMTP listener testpairlist starting
Tue Jan 24 12:10:15 2006 Info: Message aborted MID 8 Dropped by filter
'testdrop'
Tue Jan 31 23:55:38 2006 Info: MID 32 Subject 'testmsgquarantine'
Wed Feb 1 00:23:59 2006 Info: MID 62 Subject 'testmsgquarantine'
Wed Feb 1 00:27:48 2006 Info: MID 64 Subject 'testmsg2'
Wed Feb 1 22:30:37 2006 Info: MID 80 Subject 'test zip'
Wed Feb 1 22:37:51 2006 Info: MID 83 Subject 'FW: test zip'
Wed Feb 1 22:41:50 2006 Info: MID 84 Subject 'FW: test zip'
Fri Feb 3 15:17:47 2006 Info: MID 94 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
Dit genereerde verschillende wedstrijden die test in het onderwerp bevatten. Het bericht werd rond 15:42 verzonden, dus je kunt die MID gebruiken voor de volgende zoekopdracht.
Hier zijn enkele belangrijke punten om op te merken over de vragen:
- Wil je dat deze zoekopdracht hoofdletterongevoelig is? [Y]>
Als u Ja op deze vraag antwoordt, vindt u vermeldingen, ongeacht het geval.
- Wil je de logs bijhouden? [N]>
Als u Ja op deze vraag antwoordt, worden alleen nieuwe items gevonden terwijl ze worden gegenereerd. Het doorzoekt niet alle logbestanden. Kies Nee om alle logs te doorzoeken.
- Wilt u de uitvoer pagineren? [N]>
Als u Ja op deze vraag antwoordt, worden de items één pagina per keer weergegeven. Dit is handig als u een algemene zoekopdracht moet uitvoeren en verwacht veel vermeldingen op te halen. Hierdoor wordt voorkomen dat de items van het scherm afscrollen.
- Zoeken naar de MID:
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> MID 96
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:41:43 2006 Info: Start MID 96 ICID 10394
Fri Feb 3 15:41:43 2006 Info: MID 96 ICID 10394 From: <bob@example.net>
Fri Feb 3 15:41:58 2006 Info: MID 96 ICID 10394 RID 0 To:
<nasir@example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Message-ID
<4o8836$30@mail.example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 ready 23 bytes from
<bob@example.net>
Fri Feb 3 15:42:06 2006 Info: MID 96 matched all recipients for
per-recipient policy DEFAULT in the outbound table
Fri Feb 3 15:42:06 2006 Info: MID 96 antivirus negative
Fri Feb 3 15:42:06 2006 Info: MID 96 queued for delivery
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: MID 96 RID [0] Response '2.6.0
<4o8836$30@mail.example.com> Queued mail for delivery'
Fri Feb 3 15:42:06 2006 Info: Message finished MID 96 done
Merk op dat de MID-vermeldingen meer informatie geven over de manier waarop het bericht wordt verwerkt. De MID-vermeldingen verwijzen ook naar de ICID en de DCID. Als je meer wilt weten over de inkomende verbinding, grep dan voor de ICID. Als u meer wilt weten over wat er gebeurde toen de ESA probeerde te leveren, grep voor de DCID.
- Om te bepalen waar het bericht is afgeleverd, zoekt u naar de DCID.
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> DCID 14
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:42:06 2006 Info: New SMTP DCID 14 interface 192.168.0.199
address 10.1.1.112 port 25
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:11 2006 Info: DCID 14 close
Merk op dat het bericht is geleverd vanaf de 192.168.0.199-interface naar de host met IP-adres 10.1.1.112 via poort 25.
Als de levering niet is geprobeerd, maar het bericht in de wachtrij voor levering stond, duidt dit erop dat het systeem problemen zou kunnen hebben met de communicatie met de bestemmingsserver. U kunt de hoststatus van de CLI gebruiken om te zien of de status van de ontvangende host Down is en om te controleren of de bestelde IP's overeenkomen met uw SMTP-routes voor het bestemmingsdomein of de openbare MX-records, naargelang het geval.